Ciberseguridad y privacidad de los datos

  • Ciberseguridad

  • Privacidad de los datos

La ciberseguridad se refiere a la actividad centrada en defender ordenadores, servicios, dispositivos móviles, sistemas electrónicos, redes y datos de ataques maliciosos. La ciberdelincuencia no es algo nuevo. El aumento de la conectividad, el trabajo remoto, la dependencia de la tecnología y la automatización aumentan el riesgo de sufrir ataques. Además, los cambios en la forma de trabajar derivados de la pandemia han brindado un mayor número de oportunidades a los ciberdelincuentes. 

RWS entiende que nuestra preparación en materia de ciberseguridad debe seguir evolucionando para hacer frente a los cambiantes riesgos. 

La postura estratégica de seguridad de RWS la establece el Comité directivo de seguridad de la información (ISSC, por sus siglas en inglés), presidido por el director de tecnología, quien es además el patrocinador ejecutivo de seguridad. Este grupo incluye a participantes de todas las divisiones y unidades empresariales seleccionadas para colaborar en la mejora continua del Sistema de gestión de la seguridad de la Información (SGSI), que también ayuda a impulsar nuestro programa de integración, aumenta la concienciación y apoya un enfoque coherente de la seguridad de la información centrado en los riesgos. Además, el ISSC se encarga de supervisar y gestionar los riesgos para la seguridad de la información. 

RWS está adoptando el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) estadounidense para proporcionar una estructura común a nuestro sistema de gestión de la seguridad de la información (SGSI) y centralizar nuestros esfuerzos. Esto nos ha ayudado a conseguir la certificación ISO27001:2013, reconocida internacionalmente, para nuestras soluciones de productos alojados, la división de sectores regulados y la división de servicios de propiedad intelectual, así como sus servicios complementarios, personal, procesos y tecnología. RWS también cuenta con certificaciones SOC2 para sus funciones relacionadas con las operaciones en la nube y los servicios lingüísticos. El SGSI constituye una base sólida que proporciona a RWS la agilidad necesaria para seguir desarrollando los controles necesarios para satisfacer una serie de requisitos de cumplimiento de la seguridad de la información específicos del sector, siempre que se consideren de interés para la empresa. Nuestro trabajo continuo para mejorar y ampliar el alcance de nuestro SGSI certificado garantiza la implementación y la validación externa de controles de seguridad de la información reconocidos internacionalmente que benefician tanto a RWS como a nuestros clientes.

Al ser conscientes de que los riesgos de seguridad siempre van a existir, una parte importante de nuestros esfuerzos continuos de integración es la implementación de un conjunto de políticas de seguridad de la información que ofrecerán orientación de alto nivel en materia de seguridad a todas las funciones de RWS en una serie de áreas que incluyen, entre otras, las siguientes: gestión de riesgos, seguridad física, privacidad y gestión de incidentes. Estas políticas definen el enfoque de RWS en defensa de las metas y los objetivos empresariales, a la vez que garantizan un enfoque coherente de la gestión de riesgos. 

El análisis de los riesgos de seguridad, de acuerdo con las políticas y procesos aprobados, identifica las amenazas, considera la probabilidad de que se materialicen y evalúa cualquier impacto potencial en los objetivos de la empresa. Este enfoque estructurado informa a los responsables de la toma de decisiones y les permite determinar si la mitigación es adecuada y, en caso afirmativo, qué forma debe adoptar. Podría tratarse, por ejemplo, de interrumpir una actividad, de aplicar controles técnicos o de actualizar procesos que reduzcan el riesgo a un nivel aceptable. La elección de medidas o controles de mitigación adecuados se basa en el asesoramiento y la orientación del equipo de seguridad, pero es responsabilidad del propietario del activo o del riesgo. Si el propietario de un activo no puede de abordar el riesgo de forma adecuada, este puede remitirse al siguiente nivel de la cadena de gestión. Los riesgos de seguridad se detectan y gestionan a través de nuestro proceso de gestión de riesgos, que es responsabilidad de nuestro director financiero y se comparte con la Junta una vez al año. 

RWS adopta una estrategia de seguridad denominada «defensa en profundidad» y es consciente de la importancia de comprobar periódicamente sus controles de seguridad. Por lo tanto, analizamos sistemáticamente las vulnerabilidades de nuestra infraestructura tanto interna como externa. Asimismo, a petición de algunos de nuestros clientes, ciertos elementos de nuestra infraestructura de cara al público se someten a pruebas de penetración periódicas. Gracias a esto se pueden identificar los puntos débiles, que se analizan para determinar qué medidas de mitigación son las más adecuadas. 

La encuesta sobre infracciones de ciberseguridad realizada en el Reino Unido determinó que el 83 % de las empresas notificaron casos de suplantación de identidad en los últimos 12 meses, siendo este el tipo de ataque más frecuente. RWS también ha sufrido con frecuencia este tipo de ataques y, aunque nuestros controles técnicos bloquean la mayor parte del spam y los mensajes maliciosos, es inevitable que algunos correos electrónicos de suplantación de identidad logren penetrar. Como somos conscientes de que probablemente este sea nuestro eslabón más débil, mantenemos y mejoramos continuamente nuestro régimen de concienciación en materia de seguridad para proporcionar a los empleados la información necesaria para identificar dichas amenazas, lo que reduce los riesgos. Además de enviar mensajes de forma periódica y de concienciar sobre la seguridad a través de MyLX, nuestro sistema de gestión del aprendizaje, RWS recurre a proveedores externos para que impartan formación sobre seguridad, evalúen los conocimientos y realicen pruebas. Esto nos permite identificar dónde puede ser necesaria formación adicional, hacer un seguimiento de su impartición y participación, y comprobar su eficacia.

Somos conscientes de que la adopción de ciberdefensas puede ser costosa, pero también sabemos que es preciso seguir desarrollando nuestra capacidad de recuperación para respaldar nuestro negocio. Nuestra hoja de ruta en materia de seguridad contempla un enfoque rentable y equilibrado para su mejora continua con el objetivo de ofrecer una protección adecuada, de modo que nuestras defensas sean las adecuadas para hacer frente a las amenazas conocidas, pero sin llegar a ser excesivas. Como ejemplo, RWS casi ha completado la implementación de la autenticación multifactor (MFA, por sus siglas en inglés) para acceder a nuestra red privada virtual. Además, comprendemos que no todos los ciberataques se pueden prevenir y hemos recurrido a un socio externo para que nos proporcione una capacidad de detección y respuesta ininterrumpida que permita hacer frente a los incidentes lo antes posible y así minimizar el impacto en la empresa.

RWS garantiza su cumplimiento de la legislación pertinente en materia de protección de datos. Con sede en el Reino Unido, RWS ha adoptado el RGPD de la UE y la Ley de Protección de Datos del Reino Unido de 2018 como referencia para la protección de datos. Contamos con un amplio conjunto de políticas que reflejan la legislación aplicable en materia de privacidad e identifican los procesos, procedimientos y actividades centrados en la protección de la información empresarial confidencial y la información personalmente identificable (IPI). 

RWS, consciente de la exigencia de privacidad como punto de partida, proporciona funcionalidades dentro del software de RWS para permitir a los clientes cumplir con sus obligaciones en virtud de la ley de protección de datos. RWS procesa datos personales en nombre de los clientes cuando presta servicios de localización o cuando concede licencias de nuestro software mediante SaaS. Nuestros clientes recopilan los datos y los transfieren a RWS para su tratamiento. Los datos de los clientes se traducen, transmiten y almacenan en el entorno de RWS y, una vez finalizados, se eliminan de acuerdo con las políticas de eliminación internas o según lo especificado por el cliente. 

Del mismo modo, cuando RWS concede una licencia de software de gestión de contenidos web, el cliente determina los parámetros de recopilación y conservación de datos. RWS procesa los datos de los clientes en virtud de las instrucciones convenidas con los clientes en los acuerdos de confidencialidad, los contratos y los acuerdos de procesamiento de datos. 

RWS no realiza perfiles detallados de clientes consumidores en nombre de los clientes. Los datos proporcionados por los clientes nunca se venden ni se alquilan. En la medida en que sea necesario para la prestación de los servicios, RWS divulgará los datos entre las empresas afiliadas y los subcontratistas externos autorizados; existen acuerdos de procesamiento de datos adecuados que regulan estas transferencias de datos. En los años fiscales 2020 y 2021 no se ha divulgado ni transferido sin autorización ningún tipo de información confidencial, incluyendo la información empresarial confidencial y la información personalmente identificable (IPI). En consecuencia, ningún cliente se ha visto afectado por este tipo de incidentes.