Seguridad en RWS

El proceso de adquisición de RWS requiere que los nuevos proveedores se sometan a una evaluación de riesgos de seguridad antes de su incorporación. A los proveedores se les asigna una categoría de riesgo según una serie de criterios, entre los que se incluyen: la urgencia de los bienes/servicios que se van a proporcionar y la sensibilidad de la información o las instalaciones a las que tienen acceso.

Sí, la política de gestión de la seguridad de los proveedores de RWS Group especifica los requisitos de seguridad para proveedores de terceros.

RWS lleva a cabo un análisis mensual de las vulnerabilidades de su infraestructura de cara al público. Se evalúan las debilidades y se aplican las medidas de mitigación adecuadas de acuerdo con la Política global de pruebas de seguridad. Un miembro del equipo de seguridad de la información está presente en la Junta asesora global de cambios de TI para evaluar el impacto en la seguridad de los cambios propuestos.

«La política del ciclo de vida de desarrollo de software seguro de RWS Group especifica cómo se deben desarrollar los productos de forma segura. La seguridad forma parte de cada etapa del desarrollo, tanto en la recopilación como en el diseño, la implementación, la verificación y el lanzamiento de los requisitos. Los cambios se prueban antes del lanzamiento»

Sí, en RWS utilizamos tanto Service Centre como ServiceNow para realizar un seguimiento de los flujos de trabajo, desde las solicitudes de asistencia hasta la asignación y resolución. Los acuerdos de nivel de servicio (SLA) se establecen en función de la urgencia del incidente, cambio o problema.

Sí. RWS dispone de una política de seguridad de TI y de uso aceptable.

En RWS solo conservaremos los datos del cliente siempre que sea necesaria para la prestación de los servicios y, en cualquier caso, según lo acordado en el Contrato.

Sí, en RWS contamos con un equipo de gestión de software y activos (SAM, por sus siglas en inglés). También utilizamos una herramienta de activos llamada Lansweeper y Flexera en la red de RWS. Lansweeper detecta y registra automáticamente elementos en la red corporativa de RWS, incluyendo detalles como el propietario, el tipo de activo, el software instalado, la garantía y la configuración. Todos los activos tienen un propietario asignado.

Sí, los parches se aplican automáticamente a los puntos finales mediante una aplicación de parches centralizada. La aplicación de parches para actualizar los servidores se realiza al menos una vez al año. Normalmente, esta aplicación de parches se realizará durante el periodo de mantenimiento mensual rutinario. Los parches de otro tipo (como SQL o antivirus) se realizarán ad hoc cuando se desee, pero se deben probar en un sistema de desarrollo o de ensayo antes de pasar a producción, donde existen dichos sistemas.

Sí, las responsabilidades y funciones de gestión de cambios se rigen por el proceso de CAB en el que se incluyen tanto la gestión como las partes interesadas, incluidos los comprobadores de sistemas de TI y RWS. Cualquier cambio del sistema se prueba antes de su implementación o lanzamiento. Los cambios urgentes se llevan a cabo de la misma manera que el proceso de gestión de cambios estándar, y se garantiza que los cambios se registran, prueban, acuerdan e implementan. La implementación de cambios es responsabilidad de la gestión de lanzamientos; sin embargo, el proceso en general es responsabilidad de CAB.

Sí, disponemos de una política de acceso lógico que especifica los procesos que se han de utilizar para gestionar el acceso lógico.

Sí, el programa de evaluación de riesgos de RWS es propiedad del equipo ejecutivo de RWS y se comunica a los empleados pertinentes.

El programa de gestión de riesgos para la seguridad de RWS se resume en la política de gestión de riesgos para la seguridad de RWS Group. Contiene la metodología que ha de utilizarse en la identificación y gestión de los riesgos para la seguridad como, por ejemplo: la identificación de activos, el análisis de impactos, la evaluación de riesgos, la identificación y aplicación de controles y la supervisión de la efectividad del control. Los riesgos se evalúan periódicamente o cuando se produce un cambio significativo que podría afectar a la confidencialidad, la integridad o la disponibilidad de la información o los activos de RWS. El responsable de gestión de seguridad, riesgos y cumplimiento y el Comité directivo de seguridad de la información se encargan de la supervisión y la gestión de los procesos de gestión de riesgos, según corresponda.

Sí, en RWS nos tomamos muy en serio la privacidad de los datos. Tienes disponible nuestra política de privacidad aquí: www.rws.com/about/privacy

Sí, los clientes pueden ver nuestra certificación ISO 27001 en https://www.rws.com/es/legal/security/

Sí, el software de RWS alojado por RWS Cloud Operations se incluye dentro de nuestro informe SOC 2 tipo II. Se puede solicitar un resumen ejecutivo del informe.

Sí. El programa de seguridad de la información de RWS es propiedad del director de información y lo gestiona el Comité directivo de seguridad de la información de nivel ejecutivo a lo largo del año, con el fin de garantizar que sigue apoyando los objetivos empresariales.

Sí. El director de información de RWS es el patrocinador ejecutivo de seguridad de la información. La responsabilidad diaria de la gestión del sistema de gestión de la seguridad de la información de RWS y el cumplimiento continuo de los requisitos de seguridad recae en un pequeño equipo dirigido por el responsable de gestión de seguridad, riesgo y cumplimento de RWS.

Sí, el patrocinador ejecutivo para la seguridad de la información aprueba y firma la política de seguridad de la información de RWS y establece los requisitos de seguridad de alto nivel que permiten a RWS mantener y desarrollar continuamente su sistema de gestión de la seguridad de la información.

Nuestras políticas se revisan al menos una vez al año. El cliente puede consultar los documentos internos tanto de forma presencial como remota durante una auditoría bajo acuerdo de confidencialidad. 

Política de seguridad de la información del ISMS de RWS Group
Política de seguridad de la información de RWS Group
Política de gestión de riesgos de seguridad de RWS Group (interna)
Política de pruebas de seguridad de RWS Group (interna)
Política de acceso lógico de RWS Group (interna)
Política de continuidad del negocio de RWS Group (interna)
Política global de clasificación y gestión de RWS Group (interna)
Política de gestión de incidentes de seguridad de la información de RWS Group (interna)
Política de seguridad física de RWS Group (interna)
Política de privacidad de RWS Group (interna)
Política de sistemas de TI de RWS Group (interna)
Política de controles criptográficos de RWS Group (interna)
Política de gestión de la seguridad de los proveedores de RWS Group (interna)
Política de desarrollo de software seguro de RWS Group (interna)
Política de uso aceptable del ISMS de RWS Group (interna)
Política de excepciones de seguridad del ISMS de RWS Group (interna) 

Nuestras políticas se publican en la intranet corporativa y están disponibles para todos los empleados de RWS. Las políticas se comunican regularmente a los empleados de RWS a través de la concienciación y los cursos obligatorios sobre seguridad y privacidad»

Sí

Sí. RWS cuenta con una política y un proceso de excepciones de seguridad.

Sí, cualquier incumplimiento de nuestras políticas de seguridad de la información será analizado e investigado por el equipo global de seguridad de la información y, a continuación, el caso se enviará a la dirección y al equipo de RR. HH. pertinente para que lo investiguen y tomen las medidas necesarias. Las sanciones dependen de la gravedad del incidente y podrían dar lugar a medidas disciplinarias que podrían llegar hasta el despido.

El departamento jurídico de RWS supervisa los requisitos legales y normativos pertinentes que tienen que ver con RWS. Los requisitos normativos relativos a la seguridad de la información serán tratados entre el jefe del departamento jurídico y el jefe global de seguridad de la información. Se aplicarán cambios al programa de seguridad según corresponda.

Cualquier solicitud legal de este tipo será gestionada por nuestro equipo jurídico, y se tendrá en cuanta cualquier obligación contractual y requisito legal.

Sí, la política de gestión de incidentes de seguridad de la información de RWS Group se publica y es accesible para todos los empleados en la intranet de RWS e incluye, entre otros, aspectos como: la supervisión y preparación, la identificación, la contención, la mitigación, la recuperación y el seguimiento.

Sí, la política de gestión de incidentes de seguridad de la información de RWS Group se publica y es accesible para todos los empleados en la intranet de RWS e incluye, entre otros, aspectos como: la supervisión y preparación, la identificación, la contención, la mitigación, la recuperación y el seguimiento.

Sí, el proveedor de red de RWS supervisa el tráfico y proporciona alertas en caso de anomalías. RWS utiliza sistemas de detección/prevención de intrusos (IDS/IPS, por sus siglas en inglés) en áreas clave de la red para detectar y prevenir intrusiones. Los puntos finales cuentan con un software de detección/prevención adecuado.

Sí. El curso de concienciación sobre seguridad de la información es una parte fundamental del proceso de incorporación para el personal, los contratistas y los trabajadores autónomos de RWS. Posteriormente, se imparte anualmente a todos los empleados un curso sobre seguridad de la información basado en el uso de ordenadores en un módulo de aprendizaje específico. Además, el curso de concienciación sobre la seguridad de la información se imparte como parte de la formación anual sobre el Código de conducta y a través de nuestras frecuentes campañas «Think Security».

Sí. Se comprueba la identidad y el derecho al trabajo de todos los empleados nuevos. Cuando así lo requiera su función en la organización o las obligaciones nacionales, se pueden realizar más comprobaciones de antecedentes de conformidad con las leyes pertinentes.

Los trabajadores autónomos de RWS no están sujetos a comprobaciones de antecedentes como tal. Sin embargo, sí que disponemos de un acuerdo de proveedores para nuestros traductores autónomos que incluye medidas de seguridad mínimas y un acuerdo de confidencialidad. Los clientes pueden solicitar una comprobación de antecedentes de los traductores autónomos según lo acordado contractualmente, de conformidad con las normativas locales.

Sí, todos los nuevos empleados deben completar el curso obligatorio de concienciación sobre seguridad de la información y la formación sobre el Código de conducta, que también aborda el tema de los elementos de seguridad. En caso de una rescisión, se recuerda a los empleados sus responsabilidades de seguridad tras el empleo. Se recuperan todos los activos y se suspenden las cuentas pendientes de revisión y eliminación.

Sí, la política de clasificación y gestión de RWS Group cubre las áreas de destrucción de datos y saneamiento de recursos multimedia. Los procesos específicos para implementar la política son propiedad de los respectivos propietarios de tecnología, y son ellos mismos quienes realizan su mantenimiento.