Política de Seguridad de la Información

1. Misión

En Bullhost, nos comprometemos a proporcionar soluciones de alta calidad y seguridad que aporten valor a nuestros clientes. Nuestra misión es garantizar la protección y confidencialidad de la información de nuestros clientes, y para ello, hemos implementado medidas de seguridad adecuadas para proteger los datos almacenados en nuestros servidores. Además, estamos comprometidos a cumplir con las leyes y regulaciones aplicables en materia de seguridad de la información, y a fomentar una cultura de seguridad entre nuestro personal y nuestros clientes. En resumen, nuestra misión es proporcionar un servicio seguro y confiable que cumpla con las expectativas de nuestros clientes en cuanto a seguridad y privacidad de la información.

2. Visión

En Bullhost, nuestra visión es ser líderes en el mercado de soluciones de alojamiento web y ciberseguridad, brindando a nuestros clientes una experiencia segura, confiable y de calidad. Nos comprometemos a seguir las mejores prácticas en seguridad de la información, y para ello nos basamos en el marco NIST (National Institute of Standards and Technology). Este marco nos permite tener una guía clara y detallada para la gestión de la seguridad de la información, y nos ayuda a asegurar que nuestros servicios sean seguros y cumplan con los estándares internacionales de seguridad. Contamos con nuestro propio centro de datos que nos permite tener un mayor control y garantía sobre la seguridad y disponibilidad de los datos de nuestros clientes. Nuestra visión es seguir innovando y mejorando nuestros servicios, para que nuestros clientes se sientan seguros y confiados al confiarnos sus datos. Asimismo, buscamos ser un referente en cuanto a buenas prácticas de seguridad y privacidad de la información, no solo para nuestros clientes, sino también para la industria en general. En resumen, nuestra visión es ser una empresa líder en el mercado de alojamiento web y ciberseguridad, ofreciendo soluciones innovadoras y de calidad que superen las expectativas de nuestros clientes y estén alineadas con los estándares del marco NIST.

3. Valores

Los valores principales sobre los que se apoyarán las políticas son:

• Pasión y búsqueda de la excelencia en el trabajo.
• Desarrollo profesional mediante la formación continua.
• Compromiso por garantizar la confidencialidad, disponibilidad e integridad de la información de los clientes en los proyectos participados; cumpliendo las medidas de seguridad.
• Compromiso por prevenir incidentes de seguridad de la información en la medida que sea técnica y económicamente viable.
• Compromiso por garantizar la continuidad de los servicios con una recuperación rápida y eficiente ante cualquier contingencia.
• Compromiso con la mejora continua y la implementación de un sistema de gestión de seguridad de la información.

4. Competencias

• Proyectos de adecuación, revisión y auditoria de las normativas de ciberseguridad.
• Proyectos y servicios de instalación de infraestructuras y soluciones de seguridad.
• Servicios de ciberseguridad desde SOC.
• Desarrollo y alojamiento web en CPD propio.
• Soporte informático.

5. Políticas

5.1 Políticas transversales

• La dirección debe comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que permanezcan en niveles aceptables para la organización.
• Se protegerá la confidencialidad de la información de clientes y empleados, de cara a terceros.
• Deberán existir mecanismos para asegurar que los servicios en línea y las redes internas cumplen con los requisitos de disponibilidad requeridos.
• Se asegurará la conservación e integridad de los registros contables.
• Se dispondrá de un sistema de protección y limitación de accesos de forma física al CPD.
• Se monitorizarán y supervisarán las posibles intrusiones digitales y de seguridad al CPD o sistemas internos.

5.2 Políticas basadas en riesgos

• Adopción de una metodología capaz de gestionar la seguridad en función de los riesgos, en base a un análisis continuo de los activos existentes.
• Los riesgos deben poderse medir de forma cualitativa y cuantitativa.
• La dirección revisará la gestión del análisis de riesgos con una periodicidad mínima anual.
• En caso de modificaciones sustanciales en los activos y/o servicios se deberán revisar los riesgos de aquello que haya sido objeto de modificación.
• Durante la definición de nuevos procesos, tanto interno como externo, se realizará un análisis de riesgos o de seguridad para no comprometer la información.

5.3 Políticas de mejora continua

• Se medirá la mejora continua mediante objetivos de seguridad dentro de las siguientes categorías:
  • Auditorías externas.
  • Incidentes de seguridad.
  • Disponibilidad de los servicios.
  • Cumplimientos de SLA
  • Documentación del sistema.
  • Nivel de madurez de los controles.
• La dirección revisará estos indicadores con una periodicidad mínima anual.
• Todos los incidentes se reportarán al Responsable de Seguridad de la Información y deberán estar documentados.
• Toda la documentación del SGSI deberá tener un sistema de control de versiones y seguir el mismo formato.

6. Roles y responsabilidades generales

Se contemplan los siguientes roles y ámbitos de responsabilidad dentro de la organización relativos al SGSI:

• Cualquier trabajador
  •  Deberá mantener la confidencialidad sobre la información a la que tenga acceso dentro de su relación laboral con el cliente. Persistiendo esta obligación incluso después de la finalización de la relación laboral con el mismo.
  •  Deberá mantener la confidencialidad especialmente sobre credenciales o fallos de seguridad identificados en un cliente.
  •  En caso de detectar cualquier fallo o incidencia relacionada con la seguridad, deberá reportarlo inmediatamente al Responsable de Seguridad de la Información.
• Responsable de proyectos o servicios
  • Trasladar al Responsable de Seguridad de la Información las necesidades específicas del proyecto o servicio, cuando estas difieren del ámbito normalizado, para asegurar la calidad de este.
  • Deberán mantener el control del equipamiento suministrado por la empresa y dedicado a los proyectos/servicios bajo su supervisión.
  • Velar por la confidencialidad de la información propiedad de los clientes que hayan de utilizar durante el desarrollo de su actividad.
  • Conocer la información a la que tiene acceso cada una de las personas participante en los proyectos/servicios a su cargo.
  • Aprobar el acceso a la información y recursos necesarios para el desarrollo de los proyectos/servicios de su responsabilidad.
  • Velar por la información suministrada a terceras partes en relación con la compañía (proveedores).
  • Realizar análisis de riesgos de los proyectos/servicios de su responsabilidad.
• Responsable de departamento
  • Será el encargado de gestionar la transferencia de conocimiento proveniente de unidades transversales e incluirlas en el área bajo su supervisión.
  • Será el responsable del equipamiento dedicado a proyectos/servicios dentro del área.
  • Será responsable de asignar los recursos humanos según su conocimiento y especialización a los diferentes proyectos.
  • Aprobar el acceso a información referida a situación y gestión de los proyectos/servicios del área de su responsabilidad.
  • Atender al deber de secreto profesional en aquellas áreas cuyo trabajo se catalogue como I+D dentro de la compañía.
  • Velar por el cumplimiento de las normas establecidas para su ámbito de responsabilidad.
    A continuación, se destacan los puntos detectados más críticos, pero queda a criterio del director de departamento aplicar estas medidas a otra información no detallada en este documento:
    • Administración (incluye RRHH y financiero):
      • Los expedientes de contratación, así como su registro de entrada y salida.
      •  La información de nóminas y retribuciones estará afectada principalmente por la privacidad de la información personal, no tanto por la gestión del conocimiento de la compañía. Los procesos de selección del personal serán considerados confidenciales.
    • Comercial:
      • Las ofertas, licitaciones y oportunidades comerciales pueden requerir de una confidencialidad específica.
      • Los clientes que visiten la empresa no deberán tener acceso a información propia de Bullhost durante su visita.
    • Producción:
      • Cada proyecto/servicio en particular deberá analizarse en función de la información que maneje y de las tecnologías utilizadas para su procesamiento.
  • Dirección
    • Responsable de la información de la organización.
    • Nombrar al Responsable de Seguridad de la Información.
    • Indicar al Responsable de Seguridad de la Información las necesidades desde el punto de vista de la seguridad para cumplir con la confidencialidad, integridad, autenticidad y trazabilidad de los datos existentes en la organización.
    • Liderar la implantación y mantenimiento de un SGSI.
    • Proporcionar los recursos necesarios para poder gestionar el SGSI.
    • Compromiso por la mejora continua del SGSI.

7. Comité de seguridad

El comité de seguridad lo compondrán los siguientes roles.

• Dirección
• Responsable de Seguridad
• Responsable de la Información
• Responsable del Sistema
• Responsable de los Servicios de Producción
• Responsable de los Servicios a clientes (Comercial, Marketing)
• Responsable de los Servicios internos (Admon, RRHH)

Como funciones y responsabilidades el comité de seguridad deberá velar por:

• Establecer y mantener un programa de seguridad y salud en el trabajo.
• Establecer y supervisar el cumplimiento de los requisitos legales y reglamentarios.
• Establecer los procedimientos de identificación de riesgos potenciales y evaluar la necesidad de controles.
• Establecer líneas de comunicación para el intercambio de información sobre riesgos para la salud y la seguridad.
• Establecer un programa de educación y sensibilización de los trabajadores sobre la seguridad y salud en el trabajo.
• Establecer un programa de auditorías para evaluar el cumplimiento de los requisitos de seguridad y salud.
• Establecer los procedimientos para informar y analizar los incidentes y accidentes.
• Establecer y supervisar el cumplimiento de los procedimientos de mantenimiento de equipos, instalaciones y medios de trabajo.
• Establecer los procedimientos para la prevención y control de los riesgos para la seguridad y la salud de los trabajadores.
• Establecer los procedimientos para la gestión de los riesgos para la seguridad y la salud de los trabajadores.