La seguridad de la información es primordial para HID. Con el objetivo de preservar la confianza de nuestros clientes, hemos implementado un sistema integral para la gestión de seguridad de la información (SGSI) que va más allá de los requerimientos de seguridad establecidos y nos permite seguir siendo la fuente confiable mundialmente reconocida para soluciones de identificación segura.
Personal de seguridad
Todos los empleados de HID deben realizar una capacitación en seguridad de la información y protección de datos. Los empleados que pueden llegar a manejar información confidencial o datos de clientes reciben capacitación adicional específica para sus funciones. Además, deben tener con la autorización de seguridad gubernamental (si así lo requiere su trabajo). Contamos con un equipo especializado de profesionales de seguridad altamente calificados, que llevan a cabo las siguientes funciones y responsabilidades:
Comité Directivo Ejecutivo del SGSI
- Cumple con todos los requisitos de gestión ejecutiva dentro del SGSI
- Garantiza la asignación y comunicación de los roles, las responsabilidades y las facultades relevantes para la seguridad de la información
- Aprueba el proceso general de gestión de riesgos, que incluye la metodología de evaluación de riesgos (enfoque), las escalas de impacto y probabilidad, los criterios de aceptación de riesgos, los controles seleccionados y los riesgos residuales y aceptados
Comité Directivo de la Unidad de Negocio
- Garantiza que el SGSI cumpla con los requerimientos empresariales, lo que añade valor a los productos y servicios de la unidad de negocio
- Revisa el proceso de gestión de los riesgos relacionados con la unidad de negocio
- Revisa las políticas, procesos y procedimientos del SGSI
Equipo Global de Seguridad de la Información
- Responsable de la implementación general, mantenimiento y mejora del SGSI
- Garantiza que todos los incidentes de seguridad sean investigados, comunicados, documentados y resueltos de conformidad con las políticas, procesos y procedimientos publicados
- Desarrolla una arquitectura de seguridad de la información que satisface las necesidades comerciales actuales y futuras de HID
Políticas
HID tiene establecidas políticas internas pormenorizadas sobre seguridad de la información y protección de los datos personales. Todo el personal de la organización debe declarar haber leído, entendido y aceptado el cumplimiento de los términos de la Política Global de Seguridad sobre la Información, así como de las políticas y procedimientos que la apoyan.
Evaluaciones
HID está comprometida con la implementación de una estrategia proactiva y analítica de la seguridad cibernética. Las pruebas y mejoras de seguridad son una actividad continua incorporada en nuestro proceso de evaluación de vulnerabilidades y amenazas. Realizamos pruebas continuas en todos los componentes de la solución HID Origo. Además, con el fin de garantizar el más alto nivel de seguridad, colaboramos regularmente con auditores de seguridad externos para validar nuestro nivel de seguridad. Las evaluaciones continuas para detectar posibles puntos vulnerables en los sistemas y las aplicaciones cubren las siguientes áreas:
- Análisis de vulnerabilidades de red
- Pruebas de penetración y revisión de código realizadas por terceros independientes que son líderes en su campo
- Revisión y pruebas de la estructura de controles de seguridad
Instamos a los clientes a que tomen todas las medidas preventivas posibles para impedir el acceso no autorizado. En caso de que se descubran puntos vulnerables, deben informarse directamente a nuestra organización a través del Soporte técnico de HID o del Centro de Seguridad (si no se trata de una circunstancia urgente).
Nota: no permitimos la realización de pruebas de vulnerabilidad y penetración de terceros sin autorización previa. Es nuestra responsabilidad garantizar operaciones sin contratiempos. Las pruebas no controladas conllevan el riesgo de afectar negativamente el rendimiento de los sistemas.
Gestión de incidentes de seguridad
HID cuenta con políticas y procedimientos para la gestión de incidentes de seguridad, además, aplicamos un análisis de causa raíz y desarrollamos planes de acción correctivos adecuados. Notificamos de inmediato a los clientes afectados en caso de que se confirme —o haya suficientes razones para sospechar— la divulgación no autorizada de sus datos, según lo permitido por las leyes pertinentes. Si se detecta un incidente de seguridad, el Equipo Global de Seguridad de la Información toma las medidas necesarias para evaluar, probar y resolver el problema de acuerdo con el procedimiento establecido:
- Investigar y diagnosticar
- Escalar a la dirección superior de la compañía si hay una sospecha de violación de la seguridad o pérdida de datos confidenciales
- Tomar medidas correctivas
- Probar y validar
- Evaluar exhaustivamente la causa raíz del incidente si este se elevó a un nivel superior de gestión debido a su gravedad
Cómo construimos productos seguros
Contamos con un proceso de desarrollo de software ágil basado en el marco de trabajo SAFe (Scaled Agile Framework), que incorpora las mejores prácticas de seguridad en todas las etapas. A continuación se describen algunos de los pasos del procedimiento de integración e implementación continuas.
Desarrollo
Análisis estático y comprobaciones de auditoría del código fuente
Pruebas
- Pruebas de seguridad de aplicaciones y análisis de seguridad de red
- Revisión y aprobación de los resultados de las pruebas de seguridad
Despliegue
- Enmascaramiento de datos confidenciales
- Establecimiento de estándares de seguridad y verificación y aprobación de su implementación
- Comprobaciones de cumplimiento normativo en arquitectura y seguridad
- Aislamiento del entorno de producción y de pruebas
Monitoreo
- Monitoreo y revisión de las políticas de control de acceso
- Implementación de políticas de cortafuegos y revisión de anomalías
- Evaluaciones periódicas de vulnerabilidad
- Implementación de herramientas de análisis de registros