Seguridad de la información y cumplimiento de la normativa

Logros

Nuestro proceso y hoja de ruta.

• ISO27001:2022

• TISAX

• Esenciales de ciberseguridad del Reino Unido

• Informe de nivel 2 de ProcessUnity

• Controles de seguridad

• ISO27001:2022

  • ISO27001:2022

    Nuestro sistema global de gestión de la seguridad de la información ha sido certificado conforme a la norma ISO27001. Esta certificación significa que Monks ha implantado y mantiene un riguroso programa de seguridad conforme a la norma ISO27001:2022, tiene un enfoque sistemático para gestionar la información sensible y ha implantado controles para protegerla contra el acceso no autorizado, el uso indebido, la divulgación o la destrucción. Esta certificación garantiza a nuestros clientes, partes interesadas y socios que hemos implantado las medidas adecuadas para proteger su información.

    La norma ISO 27001 abarca controles en 14 secciones: políticas de seguridad de la información, organización de la seguridad de la información, seguridad de los recursos humanos, gestión de activos, control de acceso, criptografía, seguridad física y medioambiental, seguridad de las operaciones, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento de sistemas, relaciones con los proveedores, gestión de incidentes de seguridad de la información y aspectos de seguridad de la información de la gestión de la continuidad del negocio.

• TISAX

  • TISAX

    Estamos comprometidos con las normas de seguridad de la información del sector de la automoción, con la certificación TISAX (Trusted Information Security Assessment Exchange) que nos permite procesar la información confidencial de sus clientes como sigue.

    La evaluación TISAX abarca una amplia gama de temas de seguridad de la información, como el control de acceso, la protección de datos, la gestión de incidentes, la continuidad del negocio y la seguridad física. La certificación TISAX proporciona un enfoque estandarizado y reconocido para la evaluación de la seguridad de la información en la industria del automóvil, lo que ayuda a mejorar la postura general de seguridad de las empresas que trabajan en este sector. También facilita el intercambio de información sensible entre empresas al proporcionar una plataforma de confianza para compartir datos.

• Esenciales de ciberseguridad del Reino Unido

  • Esenciales de ciberseguridad del Reino Unido

    Las oficinas de Monks en el Reino Unido están certificadas por el programa UK Cyber Essentials, un conjunto de directrices desarrolladas por el Gobierno británico para ayudar a las empresas y organizaciones a protegerse de las ciberamenazas más comunes. Las directrices se basan en cinco principios clave: asegure su conexión a Internet, asegure sus dispositivos y software, controle el acceso a sus datos y servicios, protéjase de virus y otros programas maliciosos y mantenga actualizados sus dispositivos y software.

• Informe de nivel 2 de ProcessUnity

  • Informe de nivel 2 de ProcessUnity (antiguo CyberGRX)

    Monks ha completado con éxito la evaluación ProcessUnity Tier 2, demostrando una postura de seguridad adecuada dentro de este marco de gestión de riesgos de terceros.

• Controles de seguridad

  • Controles de seguridad

    Hemos establecido protecciones para evitar y minimizar cualquier riesgo para la seguridad. Estas protecciones abarcan cuatro áreas principales: seguridad de la organización, seguridad interna, seguridad de la infraestructura y protección de datos. Obtenga más información sobre estos controles en detalle.

  • Seguridad de las organizaciones

    Políticas de seguridad establecidas y revisadas

    Nuestro marco de Seguridad de la Información está alineado con la norma ISO27001 y está formado por más de 20 políticas y normas y procedimientos adicionales que se revisan al menos una vez al año.

    Sistema de gestión de la seguridad de la información

    Mantenemos un SGSI global conforme a la norma ISO27001 que garantiza auditorías y mejoras continuas.

    Gestión de riesgos de ciberseguridad

    Gestionamos los riesgos de ciberseguridad de forma continua, identificando, evaluando y tratando los riesgos que podrían afectar a la protección de datos.

    Equipo de seguridad de la información

    Un equipo global se dedica por completo a la ciberseguridad, el cumplimiento de la seguridad de la información, la gobernanza y la gestión de riesgos.

    Verificación de los antecedentes de los empleados

    Se realizan comprobaciones de antecedentes de acuerdo con la legislación local y la criticidad de las funciones, teniendo en cuenta el acceso y la manipulación de datos por parte de los empleados.

    Formación sobre seguridad

    La empresa exige a los empleados que completen la formación obligatoria sobre concienciación en materia de seguridad, que se mantiene y actualiza de forma continua. Los nuevos empleados reciben formación sobre seguridad y buenas prácticas durante su incorporación.

    Acuerdo de confidencialidad reconocido

    En el momento de la contratación o incorporación, la empresa exige que los contratistas y empleados firmen un acuerdo de confidencialidad, afirmando su compromiso de mantener la confidencialidad de la información sensible. También se firman acuerdos de confidencialidad con terceros.

  • Procedimientos internos de seguridad

    Gestión de vulnerabilidades

    En Monks gestionamos las vulnerabilidades técnicas implementando un proceso de mejora y actualización continua en nuestra infraestructura y endpoints. Se realizan análisis periódicos (y las correcciones necesarias) en nuestras redes y equipos.

    Políticas de respuesta a incidentes establecidas

    La empresa cuenta con una política de respuesta a incidentes y un procedimiento para orientar la gestión de incidentes de seguridad. Los procesos definidos incluyen pasos para registrar, rastrear, resolver y comunicar incidentes de seguridad y privacidad a las partes pertinentes. Se identifican las lecciones aprendidas para prevenir futuros incidentes.

    Las oportunidades de mejora para la gestión de incidentes se identifican, registran y posteriormente se les da seguimiento.

    Control de acceso

    Los permisos se conceden a los usuarios en función de la necesidad de conocimiento. Los derechos de privilegio sólo se conceden a los empleados asignados a funciones de administración y se realiza un estrecho seguimiento a lo largo del ciclo de vida del usuario. Se realizan revisiones periódicas de los accesos para garantizar que los usuarios disponen de los privilegios de acceso correctos.

    Cumplimiento de la política de contraseñas

    La empresa exige el cumplimiento de su política de configuración de contraseñas en los componentes de los sistemas incluidos. Además, la política establece requisitos específicos relativos a la complejidad y longitud de las contraseñas, así como a su actualización periódica, para garantizar la aplicación de medidas de seguridad sólidas.

    Metodología de copias de seguridad

    Se implementan esquemas de copia de seguridad para proteger la información valiosa contra pérdidas, basándose en el riesgo, el impacto y los requisitos empresariales.

    Gestión de proveedores

    La empresa mantiene acuerdos formales con proveedores y terceros, que incluyen compromisos de confidencialidad y privacidad específicos para cada entidad.

    El riesgo de terceros se gestiona para garantizar que estos proveedores cuidan bien la información de Monks durante nuestra relación.

    Procedimiento de gestión de cambios

    En los entornos productivos se lleva a cabo una gestión del cambio debidamente controlada para garantizar que los cambios críticos sean apropiados, eficaces, estén debidamente autorizados y se lleven a cabo de forma que se minimice el impacto inesperado.

    Funciones y responsabilidades de gestión definidas

    Monks tiene correctamente identificadas y asignadas las funciones y responsabilidades en materia de seguridad de la información para una correcta segregación de funciones y rendición de cuentas.

    Controles de acceso físico

    Se definen perímetros de seguridad en las instalaciones y se implantan controles para autorizar el acceso en función de la necesidad de conocimiento. Se designan distintos perímetros para la entrada general, las zonas sensibles y las salas de servidores. Existe un proceso de gestión de accesos para conceder y revocar privilegios en consecuencia.

    Ciclo de vida de desarrollo seguro

    Implantamos un ciclo de vida de desarrollo de software seguro (SSDLC) en el que definimos las mejores prácticas de seguridad basadas en las 10 principales de OWASP y otras normas ampliamente reconocidas, y controles de seguridad como el análisis de código. También formamos continuamente a nuestros desarrolladores y expertos técnicos en buenas prácticas de seguridad.

    Se mantiene el seguro de ciberseguridad

    La empresa cuenta con un seguro de ciberseguridad para mitigar el impacto de los incidentes.

  • Protección de datos

    Clasificación de datos

    La empresa cuenta con una política de sensibilidad de la información para ayudar a garantizar que los datos estén debidamente clasificados, protegidos y restringidos al personal autorizado.

    Cifrado de datos

    Los datos sensibles se cifran en tránsito y en reposo cuando se procesan en nuestros sistemas siguiendo nuestra Norma de Cifrado y Hashing. Los discos de los terminales se encriptan mediante políticas de MDM y los discos externos utilizados con fines empresariales también se encriptan.

    Política de conservación de datos establecida

    La empresa cuenta con una política formal de conservación de datos basada en la normativa y los estándares internos.

    Datos de los clientes

    Protegemos los datos de los clientes con arreglo a nuestras políticas, que incluyen segregación, clasificación, cifrado, retención y control de acceso.

  • Seguridad de las infraestructuras

    Sistema de detección de intrusiones y supervisión

    Las capacidades de prevención IDS y DDoS se implementan en la infraestructura local y en la nube. Los cortafuegos de los terminales se aplican a través de MDM. Además, un SOC supervisa los equipos centrales locales, la solución EDR y los entornos en nube.

    Acceso restringido a la infraestructura de producción

    La empresa restringe el acceso privilegiado a sistemas operativos, bases de datos, redes de producción y claves de cifrado a usuarios autorizados con una necesidad empresarial.

    Trabajo a distancia

    El trabajo a distancia está implantado en Monks de acuerdo con nuestra Política de Seguridad del Trabajo a Distancia para garantizar un entorno seguro para nuestros datos y procesos. Para alcanzar este objetivo se aplican medidas técnicas y se sensibiliza a los usuarios.

    Revocación del acceso en caso de baja

    La empresa lleva a cabo diligentemente los procedimientos de cese para garantizar la revocación oportuna del acceso de los empleados cesados de conformidad con los acuerdos de nivel de servicio (SLA).

    Procedimientos de control de acceso establecidos

    Implantamos el control de acceso a todos nuestros entornos -físicos y lógicos- aplicando medidas acordes con el estado actual de la técnica en cuanto a amenazas que podrían dar lugar a accesos no autorizados. Las medidas de control se revisan periódicamente con el fin de actualizarlas para mantener su exactitud.

    Gestión de registros utilizada

    La empresa registra y correlaciona los registros para detectar eventos que podrían afectar a la capacidad de la organización para cumplir sus objetivos de seguridad.

    Segmentación de red implementada

    La red de la empresa está segmentada lógicamente para separar los servicios y datos críticos y proteger los datos de los clientes.

    Tecnología antimalware utilizada

    Implantamos una solución antimalware (antivirus de nueva generación [NGAV], detección y respuesta de puntos finales [EDR], inteligencia sobre ciberamenazas, capacidades de caza de amenazas gestionadas e higiene de la seguridad) en todos nuestros equipos y está configurada para actualizarse automáticamente.