|
<< Clic para mostrar Tabla de Contenidos >> Controles de Seguridad |
Introducción
Bizagi implementa controles y medidas de seguridad y para garantizar la integridad, confidencialidad y disponibilidad de los datos alineados con los principales estándares y marcos de seguridad de la información como ISO 27001, NIST y FedRAMP.
Los controles de seguridad establecidos se enumeran a continuación:
•Controles de acceso y autenticación
•Auditoría y rendición de cuentas
•Continuidad comercial y resiliencia operativa
•Control de cambios y gestión de la configuración
•Seguridad de datos
•Respuesta al incidente
•Registro y monitoreo continuo
•Seguridad física
•Proceso de desarrollo de software seguro
•Cumplimiento normativo
•Evaluación de riesgos y gestión de vulnerabilidades
•Seguridad de la fuerza laboral
Tenga en cuenta que la lista anterior no es exhaustiva.
Controles de acceso y autenticación
Bizagi cumple una política de control de acceso. El propósito de esta Política es crear, implementar y mantener los controles de acceso a los sistemas que contienen información del cliente. Bizagi se basa en una solución empresarial de administración de identidades y accesos basada en la nube que brinda funciones de administración de inicio de sesión y contraseñas, segregación de funciones basada en roles, autenticación de dos factores, entre otras. Nuestras políticas, mecanismos y sistemas de control de acceso permiten a Bizagi evitar el acceso inadecuado a los datos de nuestros clientes.
Auditoría y rendición de cuentas
Bizagi tiene un proceso de Gestión de Auditoría que sirve para consolidar todos los mecanismos de auditoría tales como: planificación de auditorías, análisis de riesgos, evaluación del control de seguridad, cronogramas de remediación, generación de informes y revisión de informes y evidencia de respaldo.
El proceso de Gestión de Auditoría de Bizagi permite verificar el cumplimiento de los estándares, regulaciones, requisitos legales / contractuales y estatutarios relevantes.
Bizagi realiza auditorías internas y externas anualmente.
Continuidad del negocio y resiliencia operativa
Bizagi cumple políticas y procedimientos de gestión de la continuidad del negocio y resiliencia operativa. Esas políticas y procedimientos establecen las acciones necesarias para recuperar los activos de información críticos que respaldan los procesos de negocio, con el fin de reducir los efectos de la interrupción en los servicios, lo que garantiza la continuidad de la operación y la seguridad de la información en los sistemas y procesos de negocio cuando ocurren interrupciones o fallas del servicio. Bizagi prueba sus planes de continuidad del negocio y resiliencia operativa al menos una vez al año.
Control de cambios y gestión de la configuración
Bizagi sigue un procedimiento de administración de cambios, que define cómo se deben realizar los cambios en los activos de la organización, incluyendo aplicaciones, sistemas, infraestructura, configuración, etc. y cómo administrar los riesgos asociados con la aplicación de cambios.
El procedimiento de gestión de cambios de Bizagi establece estándares de creación, aprobación, prueba y publicación de solicitudes de cambio y restringe la adición, eliminación, actualización y gestión no autorizadas de los activos de la organización.
Seguridad de datos
Bizagi utiliza políticas para clasificar, proteger y manejar los datos a lo largo de su ciclo de vida.
Los Acuerdos Estándar de Bizagi describen las medidas de protección establecidas por Bizagi para proteger los datos de la corrupción y evitar el acceso no autorizado a los activos de datos, etc. Asimismo, Bizagi cumple políticas e implementa medidas técnicas para garantizar que los datos se transfieran y eliminen de manera segura.
Bizagi ha establecido y sigue procedimientos de respaldo y restauración para los servicios que contienen datos de los clientes, así como también sigue procedimiento para la recuperación de datos y garantizar los acuerdos de nivel de servicio.
Respuesta a incidentes
Bizagi cumple una política de manejo de incidentes de seguridad de la información. El propósito de esta política es garantizar un enfoque coherente y eficaz para el manejo de incidentes de seguridad de la información, lo que incluye detectar, informar, evaluar, responder, tratar y aprender de ellos. El equipo de Seguridad de la Información y Cumplimiento de Bizagi está suscrito a US-CERT para verificar información sobre las últimas amenazas y actividades, las alertas identificadas se comunican a los equipos que son responsables de implementar la solución propuesta.
Bizagi aplica políticas que requieren notificación en caso de que ocurra un incidente de seguridad que afecte la infraestructura / datos / servicios de nuestros clientes. Bizagi notifica oportunamente a los clientes a través de los canales de soporte.Las notificaciones se envían por correo electrónico, indicando el análisis del incidente, las acciones tomadas para remediarlo y los detalles sobre si se espera o requiere que los clientes tomen medidas.
Registro y monitoreo continuo
Bizagi utiliza mecanismos y procedimientos para registrar, examinar y monitorear continuamente la actividad en los sistemas de información, redes, dispositivos informáticos y en la Plataforma de Bizagi en la Nube.
Se registra la actividad significativa como lo es el acceso del usuarios a la información y actividad de la cuenta del usuario, el uso de ciertos programas de software o utilidades, el uso de una cuenta privilegiada, anomalías del sistema, como lo son: apagado no planificado del sistema o errores de la aplicación, intentos de autenticación fallidos y exitosos, acceso a datos confidenciales, puesta en marcha (o detención) de sistemas de información, incidentes generales de seguridad. Se implementan mecanismos apropiados de auditoría de hardware, software o procedimientos para proporcionar: Fecha y hora de la actividad, el origen de la actividad, identificación del usuario que realiza la actividad, descripción de la actividad intentada o completada.
Los registros mantenidos dentro de una aplicación se respaldan de manera consistente con las políticas de respaldo de la información y los procesos de recuperación de datos para garantizar que la información esté disponible cuando sea requerida.
Seguridad física
Automation Service confía en Microsoft Azure como su proveedor de servicios en la nube. La infraestructura de Azure está diseñada para cumplir con un amplio conjunto de normas y regulaciones de cumplimiento internacionales y específicas de la industria, que incluyen ISO / IEC 27017, SOC 1 y SOC 2, PCI / DSS, NIST-800-171, FedRamp, HIPAA / HITECH y Cláusulas modelo de la UE, entre otras. Para más información consulte Azure facilities, premises, and physical security.
Ciclo de Desarrollo Seguro de Bizagi
Automation Service utiliza Bizagi Automation para los ambientes de ejecución de procesos.
Automation Service implementa un ciclo de desarrollo de software el cuál hace cumplir controles de seguridad máxima según el estándar de la industria, de manera que pueda velar por que el sistema Bizagi (y el servicio como un todo) mitigue de manera exitosa los riesgos generales de seguridad (como por ejemplo una posibilidad de hackeo a la información).
Las prácticas de desarrollo seguro se basan en en la metodología SAMM (Software Assurance Maturity Model) que publica OWASP y en Microsoft Security Development Lifecycle. Asimismo, nuestros desarrollos siguen lineamientos como se dictan por comunidades expertas en seguridad como lo son NIST, OWASP, o Alianza para la Seguridad en la Nube.
Al implementar el ciclo de desarrollo seguro de Bizagi, podemos manejar el riesgo e identificar posibles vulnerabilidades en las primeras etapas de nuevos desarrollos.
Dentro de la estrategia de desarrollo seguro, Bizagi también adopta otras mejores prácticas como lo son:
•El análisis que se realiza a las características nuevas del desarrollo al llevar a cabo un Modelamiento de amenazas.
•La consideración de lineamientos específicos para las diferentes plataformas, tal y como se emiten por sus fabricantes Apple, Android y Microsoft.
•La utilización de herramientas automáticas para realizar tanto: pruebas de seguridad en la aplicación (dinámica), y análisis de código estático.
•Pruebas de penetración realizadas manualmente de manera periódica, por parte del equipo de seguridad de Bizagi, con el objetivo de identificar cualquier potencial vulnerabilidad que de lo contrario sea difícil de detectar bajo pruebas automatizadas.
Además de lo anterior, los clientes y otras organizaciones, han realizado en el pasado, diversos verificaciones de seguridad para corroborar que Bizagi cumple con un nivel adecuado de seguridad para soluciones de clase mundial.
Cumplimiento normativo
Bizagi está diseñado para la seguridad empresarial, los estándares y la escalabilidad, asegurando que sus procesos satisfagan las necesidades y estrictos requisitos de los reguladores globales.
Bizagi está autorizado por FedRamp, certificado por ISO: 27001: 2013, cumple con HIPAA y cumple con GDPR. Para más información consulte el Centro de Confianza.
Evaluación de riesgos y gestión de vulnerabilidades
Bizagi reconoce la importancia de las funciones de gestión y análisis de riesgos y vulnerabilidades. Bizagi sigue una metodología de gestión de riesgos. Esta metodología establece pautas para el análisis y la gestión de riesgos de seguridad y privacidad de la información. La gestión de riesgos es un proceso continuo para determinar el valor de los activos y la correspondiente exposición a amenazas y vulnerabilidades, incluida la evaluación continua y la mitigación de los riesgos identificados. La información producida durante la evaluación de riesgos se utiliza para determinar y gestionar contramedidas críticas para garantizar la seguridad y privacidad de la información de Bizagi.
Seguridad de la fuerza laboral
Bizagi sigue un procedimiento de contratación que define diferentes niveles de verificación de antecedentes de acuerdo con la normativa existente sobre el manejo de datos personales. Todos los empleados de Bizagi han firmado un acuerdo de confidencialidad que forma parte de sus contratos laborales antes de acceder a cualquier activo de información.
Programa de formación y sensibilización
La fuerza laboral de Bizagi recibe educación y capacitación adecuadas en materia de seguridad y actualizaciones periódicas de las políticas y procedimientos de la organización, según sea relevante para su función laboral. Los programas de capacitación y concientización sobre seguridad se llevan a cabo a los empleados una vez que son contratados y anualmente.
Last Updated 8/16/2023 9:21:54 AM