POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Contexto
A medida que las organizaciones buscan mejorar la experiencia de sus clientes y empleados, crear valor y obtener una ventaja competitiva, la capacidad para administrar los riesgos de privacidad de la información y garantizar el cumplimiento de la normativa de protección de datos, resulta fundamental.
Nuestro Compromiso
Nuestro compromiso con la integridad se extiende a la información personal que recopilamos, procesamos y almacenamos en nombre de nuestros clientes y socios comerciales. En particular, nos comprometemos a garantizar que cualquier información personal que nos haya sido confiada, tenga un nivel de protección apropiado para garantizar su seguridad y sólo se utilice de la forma en que los clientes y empleados de nuestros clientes pueden esperar.
Como gestionamos la Seguridad de la Información
El panorama de riesgo cibernético cambia continuamente mediante un proceso de transformación digital acelerada, un número creciente de dispositivos conectados y el surgimiento de nuevas amenazas. Valorar la resiliencia de la organización en un entorno dinámico de amenazas es fundamental para gestionar eficazmente el riesgo empresarial. Para superar estos desafíos, Aon dispone de un conjunto de medidas de Seguridad de la Información que establecen la base sobre la que se asientan los requisitos de Protección de Datos aplicables a los terceros que distribuyen, acceden o almacenan información de carácter personal o confidencial.
Este conjunto de medidas y controles de seguridad de la información se ha diseñado siguiendo las mejores prácticas de la industria y conforme a diversos estándares de seguridad de la información, entre los cuáles se encuentran:
- ISO 27001:2013 "Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos".
- ISO 27002:2013 "Tecnologías de la información. Técnicas de seguridad. Código de prácticas para la gestión de la seguridad de la información".
A continuación, se expone la lista de controles que forman parte las políticas y estándares de seguridad de Aon estructurado es diversas categorías que son:
-
BCP / DRP
Valoración de los procedimientos que garantizan la continuidad de las operaciones en circunstancias extraordinarias, incluido el mantenimiento de medidas para garantizar la privacidad y seguridad de los recursos de información.
- Copias de seguridad: Aon realiza copias de seguridad con carácter periódico y predeterminado, adaptando sus requisitos de retención y conservación de la información a su Plan de Continuidad de Negocio. Asimismo, realiza pruebas regulares de su eficacia.
-
Gestión de incidencias
Análisis de los procedimientos de gestión de incidentes de seguridad de la información para garantizar que el personal está capacitado y equipado para detectar, informar y responder ante incidencias o brechas de seguridad.
- Gestión de la detección, análisis y respuesta a incidencias en seguridad de la información: Aon dispone de procedimientos de detección, análisis y gestión de incidencias en seguridad de la información. Asimismo, dispone de plantillas para la notificación y el registro de incidencias de seguridad. Por otra parte, Aon mantiene contacto directo con autoridades e instituciones públicas responsables de velar por la protección de los datos de carácter personal.
- Reporting de vulnerabilidades en seguridad de la información: Los empleados y contratistas de Aon se encuentran expresamente obligados a reportar cualquier vulnerabilidad detectada en materia de seguridad de la información conforme a la Política Global de Seguridad de la Información.
- Procesos de evaluación de eventos de seguridad de la información: Aon dispone de mecanismos de evaluación de eventos de seguridad de la información en términos de impacto, alcance y afectación, así como los criterios para determinar si se deben clasificar como incidentes de seguridad de la información o incluso requieran la activación del Business continuity plan.
- Respuesta ante incidentes de seguridad de la información: Aon dispone de un procedimiento de respuesta ante incidencias de seguridad de la información.
- Gestión de las vulnerabilidades técnicas: Aon dispone de mecanismos y recursos para la gestión de las vulnerabilidades técnicas detectadas que incluyen:
- La definición de los recursos de información sobre los que identificar las vulnerabilidades técnicas.
- Evaluación sobre la eficacia de los parches de software antes de su instalación.
- Estimación del horizonte temporal para la subsanación de las vulnerabilidades detectadas.
- Asignación de roles y responsabilidades para la subsanación de la vulnerabilidad.
-
Gestión de Activos
- Gestión de la capacidad de los activos: Aon dispone de mecanismos de gestión de la capacidad de sus sistemas de información.
- Gestión de dispositivos móviles: Aon dispone de mecanismos de gestión de los dispositivos móviles de sus empleados cuyo alcance incluye:
- Restricciones para la instalación de software en dispositivos móviles.
- Medidas de seguridad criptográficas.
- Medidas de protección de software malicioso.
- Posibilidad de borrado o deshabilitamiento a distancia.
- Política de teletrabajo: Aon dispone de una política de teletrabajo que establece los derechos y obligaciones de sus empleados.
- Inventario de los activos de información e instalaciones de procesamiento de información: Aon mantiene un inventario de los activos e instalaciones de procesamiento de información que incluye las personas responsables y las reglas de uso aceptable.
- Gestión del uso aceptable de los activos y dispositivos de almacenamiento: Aon dispone de documentos firmados por sus empleados donde se establece el uso aceptable de los activos y dispositivos de almacenamiento de información.
- Gestión de la devolución de activos y dispositivos de almacenamiento: Aon dispone de mecanismos de gestión de la devolución de activos y dispositivos de almacenamiento que incluyen:
- La eliminación de sus datos sensibles o licencias de software antes de la retirada de equipos o dispositivos móviles.
- La destrucción física de los dispositivos de almacenamiento que contienen información confidencial o protegida por derechos de autor o técnicas para hacer que la información original no sea recuperable.
- Firma de un documento por la devolución del equipo y el teléfono móvil a la terminación del contrato.
- Inventario de software autorizado y aplicaciones: Aon mantiene un inventario de software que incluye la siguiente información: vendedores, numeración de las versiones, estado actual del despliegue (incluyendo qué software está instalado en cada sistema) y responsables.
- Gestión de medios de almacenamiento de datos en tránsito: Aon dispone de mecanismos de gestión de los dispositivos de almacenamiento de datos en tránsito incluyendo:
- El registro de los receptores autorizados de sus activos.
- El etiquetado de los dispositivos de almacenamiento o información conforme a la atención del receptor autorizado.
- Gestión de soportes extraíbles (USBs): Aon dispone de mecanismos de gestión de dispositivos de almacenamiento extraíble.
- Destrucción segura de soportes: Aon dispone de medios para retirar los dispositivos de almacenamiento de información confidencial de forma segura. Los proveedores encargados de la retirada disponen de mecanismos de incineración, destrucción o borrado de los datos antes de su utilización por otra aplicación dentro de la organización.
- Restricción sobre los derechos de administración de sistemas: Aon dispone de medidas de restricción sobre los derechos de administración de sus sistemas y aplicaciones. Los empleados de Aon sólo pueden instalar en sus equipos el software previamente autorizado.
-
Gestión de proveedores
- Firma de acuerdos de intercambio de información con clientes/proveedores y third parties: Aon mantiene acuerdos firmados de intercambio de información con sus clientes proveedores y third parties en los que se contemplan (entre otros) los siguientes aspectos:
- Descripción de la información suministrada y los métodos de acceso.
- Requisitos legales, incluyendo protección de datos, derechos de propiedad intelectual y derechos de autor y descripción de las medidas orientadas a garantizar su cumplimiento.
- Obligaciones para implementar y acordar un grupo de controles.
- Reglas de uso aceptable de la información.
- Políticas de seguridad de la información relacionadas.
- Procedimiento de gestión de incidencias incluyendo aspectos tales como la notificación y colaboración mútua en la resolución de incidencias.
- Derecho de auditar los procesos y controles relacionados con el acuerdo.
-
Políticas, normas y procedimientos
- Código ético implantado: Aon dispone de un código de conducta que establece los derechos y obligaciones de sus empleados, contratistas y miembros de su órgano de administración con relación a los siguientes aspectos: confidencialidad, protección de datos, ética y uso apropiado de los equipos e instalaciones de la organización.
- Canal ético de denuncias: Aon mantiene un canal para comunicar de forma anónima y confidencial el incumplimiento de las políticas de seguridad de la información.
- Políticas de Seguridad de la Información en conformidad con los requisitos para la prestación del servicio y la legislación vigente: Aon dispone de una Política Global de Seguridad de la Información que recoge entre otros los siguientes aspectos:
- La definición de seguridad de la información, objetivos y principios para orientar todas las actividades relacionadas con la seguridad de la información.
- La asignación de roles y responsables en materia de seguridad de la información.
- Implantación de un código disciplinario de aplicación en caso de incumplimiento: Los empleados de Aon se encuentran obligados a cumplir con los requisitos fijados por las políticas y procedimientos en materia de seguridad de la información y se encuentran sujetos a la aplicación de un código disciplinario en caso de incumplimiento.
- Procesos de revisión periódica de las Políticas de Seguridad de la Información: Aon revisa y actualiza periódicamente sus políticas de seguridad de la información. El resultado de la revisión se documenta por escrito y antes de proceder a su actualización son aprobadas formalmente por la Dirección.
- Disponibilidad de información sobre la operativa en materia de seguridad de la información: Aon dispone de documentación descriptiva de sus actividades relacionadas con las instalaciones de procesamiento y comunicación, tales como la activación y desactivación de servidores/servicios, copias de respaldo, mantenimiento de equipos, manejo de dispositivos de almacenamiento, laboratorios tecnológicos y gestión de la seguridad del correo electrónico.
- Procesos de comunicación de las políticas normas y procedimientos en seguridad de la información: Aon publica y pone a disposición de sus empleados y partes externas sus políticas y procedimientos en materia de seguridad de la información.
-
Segregación de funciones
- Asignación de roles y responsabilidades para el cumplimiento de la política de seguridad de la información: Aon realiza una asignación de roles y responsabilidades para el cumplimiento de la política de seguridad de la información incluyendo, entre otros, los siguientes aspectos:
- Responsabilidad de las actividades de gestión del riesgo de la seguridad de la información.
- Apetito al riesgo de la organización y aceptación de riesgos residuales.
- Definición de la responsabilidad local para la protección de activos y la realización de controles de seguridad específicos.
-
Seguridad en RRHH
- Comprobación de antecedentes a todos los candidatos de empleo, subcontratistas y terceras partes: Aon realiza procesos de verificación de antecedentes profesionales a todos los candidatos de empleo, subcontratistas y terceras partes analizando, entre otros, los siguientes aspectos:
- Verificación de referencias profesionales satisfactorias.
- Verificación del historial profesional (Informe de vida laboral).
- Firma de acuerdos contractuales que recogen los requisitos de seguridad de la información en materia de RRHH: Aon dispone de acuerdos firmados con empleados, contratistas o clientes conforme al contenido de sus políticas de seguridad de la información. Las obligaciones de estos acuerdos se extienden durante un periodo definido tras la finalización del contrato. Asimismo, dispone de acuerdos de confidencialidad y no divulgación con todos los empleados y contratistas a los que brinda acceso a la información confidencial y/o carácter personal y antes de puedan acceder a las instalaciones de procesamiento de información.
- Programa de concienciación, educación y capacitación en seguridad de la información: El programa de educación y formación en seguridad de la información de Aon comprende, entre otros, los siguientes aspectos:
- La afirmación del compromiso de la Dirección con la seguridad de la información en toda la organización.
- La necesidad de familiarizarse con las reglas y obligaciones de seguridad de la información aplicables y de cumplir con ellas, como se definen en las políticas, normas, leyes, reglamentos, contratos y/o acuerdos.
- La rendición personal de cuentas, por las acciones y omisiones propias, y las responsabilidades generales con relación proteger la información que pertenece a la organización y a terceros.
-
Cumplimiento Regulatorio
- Procesos de identificación, registro y actualización periódica de la lista de requisitos legales exigibles para la prestación del servicio: Aon dispone de procesos de revisión y documentación de los requisitos estatutarios, reglamentarios y contractuales pertinentes. Asimismo, dispone de asesoramiento legal externo para asegurar el cumplimiento con la legislación y las reglamentaciones pertinentes.
- Protección sobre derechos de propiedad intelectual: Aon dispone de una política de cumplimiento de derechos de propiedad intelectual que define el uso legal del software y de productos informáticos, entre otros.
-
Antivirus / Malware
- Implantación de restricciones sobre la utilización de software no autorizado o la navegación en sitios potencialmente peligrosos: Aon dispone de medios para restringir la utilización de software no autorizado y/o la navegación web en sitios potencialmente peligrosos.
- Revisión periódica de la configuración del software de detección de códigos maliciosos y reparación de archivos dañados: Aon revisa periódicamente la configuración de sus sistemas de detección de códigos maliciosos y la reparación de archivos dañados.
-
Audit / Logging
- Registro de actividad de las cuentas de Administración de sistemas: Aon dispone de medios para restringir el borrado de los registros de actividad (accesos, operaciones, etc.) de sus administradores de sistemas y aplicaciones.
- Sincronización de relojes: Aon dispone de mecanismos de sincronización de los relojes de todos sus sistemas de información de acuerdo con una única fuente de referencia de tiempo para el análisis de correlación de eventos.
-
Controles de acceso
- Procesos de control de accesos: Aon dispone de procesos para el control de acceso a sus activos de información que contemplan, entre otros, los siguientes aspectos:
- La segregación de funciones y creación de diferentes roles para el control de acceso, (p.ej., solicitud de acceso, autorización de acceso, administración del acceso).
- Los requisitos para la autorización formal de las solicitudes de acceso.
- Los requisitos para la revisión periódica de los derechos de acceso.
- El retiro de los derechos de acceso.
- Roles con derechos de acceso privilegiado.
- La legislación pertinente y cualquier obligación contractual concerniente a la limitación del acceso a datos o servicios.
- Procesos de control del uso de redes y servicios de red: Aon realiza procesos de control sobre el uso de sus redes y servicios que contemplan (entre otros) los siguientes aspectos:
- Las redes y servicios de red a los que se permite el acceso.
- Los procedimientos de autorización para determinar a quién se permite el acceso a qué redes y servicios de red.
- Los controles y procedimientos de gestión para proteger el acceso a las conexiones y a los servicios de red.
- Los medios usados para acceder a las redes y servicios de red (por ejemplo, el uso de VPN o redes inalámbricas).
- Los requisitos de autenticación de usuarios para acceder a diversos servicios de red.
- Registro de usuarios para la asignación de los derechos de acceso: Aon cuenta con mecanismos de identificación única de los usuarios para estar vinculados a sus acciones, guardando la trazabilidad y, en caso de cualquier acción indebida y/o injustificada, se pueda identificar al responsable.
- Suministro de acceso a usuarios: Aon dispone de un proceso de asignación de los derechos de acceso que incluye:
- La autorización del propietario del sistema de información o servicio para el uso de este.
- Verificación previa de que el nivel de acceso otorgado es coherente con las políticas de acceso implantadas (desempeño del empleado, suministrador, etc.).
- La adaptación de los derechos de acceso de usuarios que han cambiado de roles o de empleo, y retirada o bloqueo inmediato de los derechos de acceso de los usuarios que han dejado la organización.
- Revisión periódica de los derechos de acceso con los propietarios de los sistemas de información o servicios.
- Mantenimiento de un registro de los derechos de acceso suministrados a cada identificación de usuario para acceder a sistemas de información y servicios.
- Gestión de derechos de acceso privilegiado: Aon dispone de mecanismos de gestión de los derechos de acceso privilegiado incluyendo:
- Un registro de los derechos de acceso e identificadores asociados.
- Un proceso para la revisión y autorización de los identificadores genéricos de administración.
-
Detección de intrusiones
- Realización de test de penetración y ejercicios de simulación de ciberataques: Aon planifica y documenta con carácter periódico pruebas de penetración y ejercicios de simulación de ciberataques.
- Disponibilidad de herramientas de detección y generación de alertas: Aon dispone de herramientas de detección automática de intrusiones y la generación de informes técnicos.
-
Cifrado
- Identificación de los procesos de transferencia o almacenamiento de la información que requieren encriptación de los datos: Aon dispone de las herramientas tecnológicas y los procesos necesarios para adaptarse a las necesidades de sus clientes, proveedores y resto de third parties respecto a la transmisión electrónica de datos.
- Encriptación para la transmisión electrónica de datos a través de Internet o cualquier otra red no segura: En este sentido, Aon dispone de mecanismos de cifrado de sus archivos y datos enviados. Asimismo, Aon dispone de otras herramientas para garantizar la transferencia segura de datos en sus procesos de negocio como son la utilización de ficheros EDI y Servidores SFTP.
-
Medidas de seguridad física perimetral
- Medidas de protección ambiental: Los componentes principales de la infraestructura de sistemas y redes de Aon se encuentran ubicados en áreas seguras con mecanismos de vigilancia y control de accesos. Asimismo, los sistemas de administración LAN, puntos de acceso inalámbrico y servidores se encuentran ubicados en áreas seguras.
- Mecanismos de vigilancia y control físico de accesos: Aon controla el acceso de sus empleados y contratistas a sus oficinas y centros de trabajo mediante un sistema de tarjetas electrónicas. Asimismo, Aon dispone de centros de datos seguros conforme a las mejores prácticas de negocio.
- Control sobre equipos de usuarios desatendidos: Aon dispone de mecanismos para proteger los equipos desatendidos por parte de sus empleados:
- La protección de la pantalla/teclado con un sistema de bloqueo, controlado por una contraseña, token o mecanismo similar de autenticación de usuario.
- La protección por bloqueo u otros controles, cuando los equipos no están en uso.
-
Política de contraseñas
- Sistema de gestión de contraseñas: Aon cuenta con un sistema de gestión de contraseñas que contempla, entre otros, los siguientes aspectos:
- Requisitos de complejidad y longitud para la identificación de usuarios en los sistemas y aplicaciones.
- Verificación de la identidad de los usuarios antes de proporcionarles la nueva información de autenticación secreta de reemplazo o temporal.
- La información de autenticación secreta temporal se suministra a los usuarios de una manera segura.
- La información de autenticación secreta temporal es única para cada individuo y no es fácil de adivinar.
-
Seguridad en la red
- Configuración segura de software y hardware en equipos de sobremesa, portátiles, servidores y dispositivos móviles: Aon revisa periódicamente la configuración de su software y hardware en los equipos de sobremesa, portátiles, servidores y dispositivos móviles verificando, entre otros, los siguientes aspectos:
- Los mecanismos para limitar y controlar el uso de puertos, protocolos y servicios de red.
- La separación entre los grupos de servicios de información, usuarios y sistemas de información en las redes de comunicación.
- La definición del perímetro y los controles de acceso de los dominios de red de Aon.
- El acceso restringido a los sistemas internos de Aon para las redes inalámbricas.
- Gestión de la seguridad de los servicios de red: Aon dispone de mecanismos de gestión de la seguridad de los servicios de red que incluyen, entre otros:
- El análisis de la capacidad del proveedor de servicios de red para cumplir con los requisitos de la Política de Seguridad de la Información o el Estándar de Seguridad.
- Capacidad para monitorizar y auditar el cumplimiento de los requisitos de seguridad de la información.
- Niveles de servicio acordados o SLAs.
- Definición de parámetros técnicos para la conexión segura con los servicios de red (p.ej., autenticación, encriptación y controles de conexión de red).
- Restricción de accesos a los servicios o aplicaciones de red.
- Recursos tecnológicos para garantiza la seguridad de los servicios de red.
- Utilización de herramientas de monitorización del tráfico: Aon dispone de mecanismos de control de seguridad de la red que incluye:
- El filtrado web entrante y saliente.
- Sistema firewall de aplicaciones.
-
System Development Lifecycle
- Análisis de requisitos y especificaciones de seguridad de la información en los proyectos de desarrollo de sistemas y aplicaciones: Aon dispone de un procedimiento de evaluación de impacto sobre el tratamiento de datos personales aplicable en aquellos proyectos internos que pueden comportar un elevado riesgo para los derechos y libertades de las personas físicas.
- Control sobre la separación de los entornos de desarrollo, pruebas y operación: Aon dispone de mecanismos de control sobre la separación de los entornos de desarrollo, pruebas y operación. Estos mecanismos incluyen:
- Las reglas para la transferencia de software del estatus de desarrollo al de operaciones.
- Las pruebas de funcionamiento del software de desarrollo y de operaciones necesarias en diferentes sistemas o procesadores y en diferentes dominios o directorios.
- La restricción de los accesos desde sistemas operacionales a compiladores, editores y otras herramientas de desarrollo.
- El uso de diferentes perfiles de usuario para sistemas operacionales y de pruebas y los mensajes de identificación apropiados para reducir el riesgo de error.
- Monitorización de la actividad de desarrollo de sistemas contratada externamente: Aon monitoriza la actividad de desarrollo externo de sus sistemas y aplicaciones. En particular, analiza los siguientes aspectos:
- Acuerdos de licenciamiento, propiedad de los códigos y derechos de propiedad intelectual relacionados con el contenido contratado externamente.
- Aon verifica periódicamente el acceso de los programadores que realizan funciones de soporte. Su acceso está supeditado a las áreas del sistema que son necesarias para realizar su trabajo.
- Control de cambios sobre los desarrollos efectuados en sistemas: Aon cuenta con procesos de control de cambios desde las primeras etapas de diseño hasta las fases de mantenimiento posteriores.
- Control de cambios sobre la plataforma operativa: Aon lleva a cabo procesos de control y análisis sobre las aplicaciones críticas del negocio con carácter previo a la realización de cambios sobre la plataforma operativa.
- Control sobre la configuración segura de las actualizaciones: Aon revisa periódicamente la configuración de la actualización de sus sistemas. No se permite la actualización automática en sistemas críticos para la garantizar la continuidad de las operaciones.
- Control sobre la protección de datos utilizados en las fases de pruebas para el desarrollo de sistemas o aplicaciones: Aon dispone de mecanismos para el enmascaramiento de los datos utilizados en las fases de prueba.