Protección de datos

Seguridad de la información Medidas técnicas y organizativas

El grupo Radius adopta un enfoque de mejores prácticas en materia de Protección de Datos, siguiendo las orientaciones de la ICO y alineándose con los principios de la Legislación y Regulación vigente en materia de Protección de Datos. Desde 2014 hemos invertido fuertemente en nueva Infraestructura de TI y personal clave para cumplir con la norma ISO 27001 de Gestión de Seguridad de la Información, con el apoyo de una destacada consultora de Seguridad de la Información (SI). En 2018 logramos la Certificación ISO 27001 y fuimos reacreditados en el primer trimestre de 2021. Desde 2016 también hemos logrado la certificación Cyber Essentials Plus, en el cuarto trimestre de cada año posterior.

A continuación se presenta una sinopsis estructurada de nuestras Medidas Técnicas y Organizativas de Seguridad de la Información que hemos adoptado, enmarcadas en torno a la Norma ISO 27001 para un Sistema de Gestión de la Seguridad de la Información (SGSI):

Gestión - La dirección de Radius reconoce que la información que gestiona debe ser tratada con el cuidado adecuado (tanto si esa información es propiedad de la organización, de los clientes de la organización o de los usuarios de los servicios prestados por la organización), y se compromete a preservar su Confidencialidad, Integridad y Disponibilidad.

Política de seguridad de la información: existe un conjunto completo de políticas de seguridad de la información compuesto por una política de seguridad de la información global con una declaración ejecutiva y objetivos definidos, subpolíticas de seguridad de la información primarias que afectan a todos los trabajadores, subpolíticas de seguridad de la información secundarias que afectan a algunos trabajadores y documentos de subpolítica de seguridad de la información de referencia para orientación general.

Organización de la seguridad de la información: se definen las funciones y responsabilidades del SGSI, gestionado por un equipo compuesto por el Jefe de SI, los auditores de SI y el analista de ciberseguridad, que informa al Consejo.

Seguridad de los recursos humanos - Todo el personal es sometido a una investigación de acuerdo con la norma BPSS, y el personal clave también es sometido a una comprobación DBS - Existe un proceso formal de inicio/traslado/cespaso y un proceso disciplinario formal - La formación y concienciación sobre SI es un requisito obligatorio para todos los Asset Management – There are 3 types of Data Classification defined with appropriate handling guidelines provided – Information assets are recorded and managed within a master Asset Register, indicating assigned owners and locations – All assets no longer required are securely disposed of through WEEE registered processors.

Control de acceso - Todos los usuarios disponen de cuentas de usuario estándar que incluyen un identificador y una contraseña - Los administradores disponen de una cuenta de usuario adicional con privilegios elevados - El inicio de sesión único y la autenticación multifactorial se adoptan cada vez más en todo el parque - La recertificación de las cuentas de usuario es frecuente y algunas de ellas se revisan mensualmente.

Criptografía - Un aspecto del negocio en rápida evolución y crecimiento, con claves gestionadas de forma centralizada y de acuerdo con las mejores prácticas.

Seguridad física y medioambiental - Todos los centros de datos se alojan en entornos con estrictas medidas de seguridad física - Un número cada vez mayor de oficinas, incluida la sede central, disponen de control de acceso por proximidad basado en tarjetas de identificación, que en última instancia se implantará en todas las oficinas - Lo mismo ocurre con la cobertura de CCTV y ANPR - Barridos mensuales de las oficinas. Operations Security – IT teams follow ITIL principles – Change management is controlled by a Change Advisory Board process – Production environments are separated from Development and Test environments – Every user endpoint is encrypted and has anti-malware protection – All systems are NTP synchronized – Logs are retained for 12 months – Software is deployed, patched and managed centrally – Vulnerability Assessments carried out at varying frequencies.

Seguridad de las comunicaciones - Existe segregación de redes con algunas DMZ - Procesos de transferencia de información - Gestión del correo electrónico con doble filtrado en la nube - Acuerdos de confidencialidad (NDA) según sea necesario.

Adquisición, desarrollo y mantenimiento de sistemas: la seguridad de la información es parte integrante de los principios de seguridad por diseño adoptados, con evaluaciones del impacto en la protección de datos (EIPD) realizadas por los gestores de proyectos para todos los cambios obligatorios.

Relaciones con los proveedores - Se evalúa el riesgo de los proveedores en su interacción con los datos y sistemas de Radius - Supervisión continua del cumplimiento - Contratos/Acuerdos/NDA aplicados en consonancia con los requisitos del GDPR.

Gestión de incidentes de seguridad de la información - Notificación de incidentes gestionada a través de un registro con un repositorio de pruebas seguro - Diversas herramientas de supervisión automatizadas en funcionamiento - Proceso de notificación de violaciones de datos complementado con un servicio de retención de respuesta a violaciones de datos de terceros de una destacada consultoría de seguridad de la información del Reino Unido. Aspectos de seguridad de la información de la gestión de la continuidad de la actividad empresarial - Planes de continuidad de la actividad empresarial implantados e invocados con éxito varias veces hasta la fecha - Planes de recuperación en caso de catástrofe definidos para todos los sistemas principales - Calendario de pruebas implantado.

Cumplimiento - Se ha identificado toda la legislación y reglamentación pertinente y se ha actuado en consecuencia - Se han llevado a cabo DPIA en consonancia con el GDPR - Pruebas de penetración independientes - El SGSI se ha evaluado de forma independiente - El foro de gestión de la SI proporciona una revisión interna del SGSI.

Esta declaración de protección de datos se revisó y actualizó por última vez el 30 de marzo de 2022 - Versión 1.4.mes hasta la fecha - Planes de recuperación de desastres definidos para todos los sistemas centrales - Calendario de pruebas en vigor.