Seguridad en RWS

En RWS, somos conscientes de que la seguridad de la información es importante para nuestros clientes. Como organización global, hemos adoptado el marco sobre ciberseguridad del Instituto Nacional de Estándares y Tecnología estadounidense (NIST, por sus siglas en inglés) con el fin de estructurar nuestro sistema de gestión de seguridad de la información. 

Este marco, ampliamente aceptado y reconocido en el sector, dota a RWS de una base sólida desde la que satisfacer los requerimientos específicos de cada cliente, como el cumplimiento de HITRUST. Este enfoque nos ha permitido lograr la certificación ISO27001:2013 para muchos de nuestros productos y servicios, así como apoyar a las personas, los procesos y la tecnología. Puedes encontrar más información en nuestra certificación ISO27001 actual. 

Hemos incluido en esta página algunas de nuestras políticas sobre seguridad de la información de alto nivel, junto con documentación relacionada con la seguridad específica de cada producto. Ponte en contacto con nosotros si tienes más preguntas relacionadas con la seguridad de la información.

Preguntas frecuentes

¿Cómo es la selección inicial y el proceso de evaluación de riesgos para proveedores?

El proceso de adquisición de RWS requiere que los nuevos proveedores se sometan a una evaluación de riesgos de seguridad antes de su incorporación. A los proveedores se les asigna una categoría de riesgo según una serie de criterios, entre los que se incluyen: la urgencia de los bienes/servicios que se van a proporcionar y la sensibilidad de la información o las instalaciones a las que tienen acceso.

¿Cuenta RWS con algún programa de gestión de proveedores para garantizar la seguridad?

Sí, la política de gestión global de la seguridad de los proveedores de RWS especifica los requisitos de seguridad para proveedores de terceros.

¿Cómo se identifican y se gestionan las vulnerabilidades de seguridad de la información en los sistemas de TI, incluidos los procesos de gestión de cambios?

RWS lleva a cabo un análisis mensual de las vulnerabilidades de su infraestructura de cara al público. Se evalúan las debilidades y se aplican las medidas de mitigación adecuadas de acuerdo con la Política global de pruebas de seguridad. Un miembro del equipo de seguridad de la información está presente en la Junta asesora global de cambios de TI para evaluar el impacto en la seguridad de los cambios propuestos.

¿Cómo se protegen las aplicaciones a través del ciclo de vida de desarrollo del sistema, incluida la forma en que se desarrollan y prueban los cambios en las aplicaciones?

«La política global del ciclo de vida de desarrollo de software seguro de RWS especifica cómo se deben desarrollar los productos de forma segura. La seguridad forma parte de cada etapa del desarrollo, tanto en la recopilación como en el diseño, la implementación, la verificación y el lanzamiento de los requisitos. Los cambios se prueban antes del lanzamiento».

¿Se utiliza alguna herramienta para realizar un seguimiento de incidentes, cambios y problemas?

Sí, en RWS utilizamos tanto Service Centre como ServiceNow para realizar un seguimiento de los flujos de trabajo, desde las solicitudes de asistencia hasta la asignación y resolución. Los acuerdos de nivel de servicio (SLA) se establecen en función de la urgencia del incidente, cambio o problema.

¿Hay alguna política de uso aceptable en RWS?

Sí. RWS dispone de una política de seguridad de TI y de uso aceptable.

¿Cuál es la política de retención de datos del cliente?

En RWS solo conservaremos los datos del cliente siempre que sea necesaria para la prestación de los servicios y, en cualquier caso, según lo acordado en el Contrato.

¿Hay algún proceso de gestión de activos?

Sí, en RWS contamos con un equipo de gestión de software y activos (SAM, por sus siglas en inglés). También utilizamos una herramienta de activos llamada Lansweeper y Flexera en la red de RWS. Lansweeper detecta y registra automáticamente elementos en la red corporativa de RWS, incluyendo detalles como el propietario, el tipo de activo, el software instalado, la garantía y la configuración. Todos los activos tienen un propietario asignado.

¿Hay algún proceso de gestión de parches?

Sí, los parches se aplican automáticamente a los puntos finales mediante una aplicación de parches centralizada. La aplicación de parches para actualizar los servidores se realiza al menos una vez al año. Normalmente, esta aplicación de parches se realizará durante el periodo de mantenimiento mensual rutinario. Los parches de otro tipo (como SQL o antivirus) se realizarán ad hoc cuando se desee, pero se deben probar en un sistema de desarrollo o de ensayo antes de pasar a producción, donde existen dichos sistemas.

¿Hay algún proceso de gestión de cambios?

Sí, las responsabilidades y funciones de gestión de cambios se rigen por el proceso de CAB en el que se incluyen tanto la gestión como las partes interesadas, incluidos los comprobadores de sistemas de TI y RWS. Cualquier cambio del sistema se prueba antes de su implementación o lanzamiento. Los cambios urgentes se llevan a cabo de la misma manera que el proceso de gestión de cambios estándar, y se garantiza que los cambios se registran, prueban, acuerdan e implementan. La implementación de cambios es responsabilidad de la gestión de lanzamientos; sin embargo, el proceso en general es responsabilidad de CAB.

¿Se ha implementado en RWS un proceso de aprobación formalizado para solicitudes de acceso lógico basado en los principios de menor grado?

Sí, disponemos de una política de acceso lógico que especifica los procesos que se han de utilizar para gestionar el acceso lógico.

¿Hay algún programa de evaluación de riesgos que haya sido aprobado por la dirección y comunicado a los empleados pertinentes? ¿Hay algún propietario responsable de realizar el mantenimiento del programa?

Sí, el programa de evaluación de riesgos de RWS es propiedad del equipo ejecutivo de RWS y se comunica a los empleados pertinentes.

¿Cuáles son los elementos clave del programa de gestión de riesgos para la seguridad de RWS?

El programa de gestión de riesgos para la seguridad de RWS se resume en la política global de gestión de riesgos para la seguridad. Contiene la metodología que ha de utilizarse en la identificación y gestión de los riesgos para la seguridad como, por ejemplo: la identificación de activos, el análisis de impactos, la evaluación de riesgos, la identificación y aplicación de controles y la supervisión de la efectividad del control. Los riesgos se evalúan periódicamente o cuando se produce un cambio significativo que podría afectar a la confidencialidad, la integridad o la disponibilidad de la información o los activos de RWS. El responsable global de Seguridad de la información y el Comité directivo de seguridad de la información se encargan de la supervisión y la gestión de los procesos de gestión de riesgos, según corresponda.

¿Se tiene en cuenta la privacidad de los datos en RWS?

Sí, en RWS nos tomamos muy en serio la privacidad de los datos. Tienes disponible nuestra política de privacidad aquí: www.rws.com/about/privacy

¿Cuenta RWS con la certificación ISO 27001?

Sí, los clientes pueden ver nuestra certificación ISO 27001 en https://www.rws.com/es/legal/security/

¿Cuenta RWS con la certificación SOC 2 tipo II?

Sí, el software de RWS alojado por RWS Cloud Operations se incluye dentro de nuestro informe SOC 2 tipo II. Se puede solicitar un resumen ejecutivo del informe.

¿Hay en marcha algún programa de seguridad establecido, publicado y que se apruebe de manera anual?

Sí. El programa de seguridad de la información de RWS es propiedad del director de transformación y lo gestiona el Comité directivo de seguridad de la información de nivel ejecutivo a lo largo del año, con el fin de garantizar que sigue apoyando los objetivos empresariales.

¿Hay algún propietario de la seguridad de la información o equipo responsable de la seguridad de la información en RWS?

Sí. El director de transformación de RWS es el patrocinador ejecutivo de seguridad de la información. La responsabilidad diaria de la gestión del sistema de gestión de la seguridad de la información de RWS y el cumplimiento continuo de los requisitos de seguridad recae en un pequeño equipo dirigido por el responsable global de la Seguridad de la información de RWS.

¿Hay alguna política de seguridad de la información que haya sido aprobada por la dirección y comunicada a todo el personal?

Sí, el patrocinador ejecutivo para la seguridad de la información aprueba y firma la política de seguridad de la información de RWS y establece los requisitos de seguridad de alto nivel que permiten a RWS mantener y desarrollar continuamente su sistema de gestión de la seguridad de la información.

Enumeración de nuestras políticas de seguridad de la información. ¿Se revisan y actualizan periódicamente dichas políticas y son accesibles para todos los empleados de RWS?

«Nuestras políticas se revisan al menos una vez al año. El cliente puede consultar los documentos internos tanto de forma presencial como remota durante una auditoría bajo acuerdo de confidencialidad. 

ISP100 Política global de seguridad de la información
ISP101 Política global de gestión de riesgos (Interna)
ISP102 Política global de pruebas de seguridad (Interna)
ISP103 Política global de acceso lógico (Interna)
ISP104 Política de continuidad del negocio (Interna)
ISP105 Política global de clasificación y gestión (Interna)
ISP106 Política global de gestión de incidentes de seguridad de la información (Interna)
ISP107 Política global de seguridad física (Interna)
ISP108 Política de privacidad (Interna)
ISP109 Política global de sistemas de TI: Última revisión y aprobación (Interna)
ISP110 Política de control criptográfico global (Interna)
ISP111 Política de gestión global de la seguridad de los proveedores (Interna)
ISP112 Política global del ciclo de vida de desarrollo de software seguro (Interna) 

Nuestras políticas se publican en la intranet corporativa y están disponibles para todos los empleados de RWS. Las políticas se comunican regularmente a los empleados de RWS a través de la concienciación y los cursos obligatorios sobre seguridad y privacidad».

¿Hay algún seguro de ciberseguridad en la organización?

¿Dispone RWS de algún proceso o política de excepciones en materia de seguridad?

En RWS estamos desarrollando actualmente una política global de excepciones de seguridad. Parte de este proyecto de política es un proceso de excepción a la política que implica una solicitud de excepción formal y una evaluación de riesgos antes de su aprobación.

¿Hay algún procedimiento disciplinario formal para el personal que infrinja los procedimientos y las políticas de seguridad de la información?

Sí, cualquier incumplimiento de nuestras políticas de seguridad de la información será analizado e investigado por el equipo global de seguridad de la información y, a continuación, el caso se enviará a la dirección y al equipo de RR. HH. pertinente para que lo investiguen y tomen las medidas necesarias. Las sanciones dependen de la gravedad del incidente y podrían dar lugar a medidas disciplinarias que podrían llegar hasta el despido.

¿Dispone RWS de un proceso para supervisar los cambios en los requisitos normativos de las jurisdicciones pertinentes y ajustar el programa de seguridad, con el objetivo de garantizar su cumplimiento?

El departamento jurídico de RWS supervisa los requisitos legales y normativos pertinentes que tienen que ver con RWS. Los requisitos normativos relativos a la seguridad de la información serán tratados entre el jefe del departamento jurídico y el jefe global de seguridad de la información. Se aplicarán cambios al programa de seguridad según corresponda.

¿Cuenta RWS con un procedimiento documentado para responder a las solicitudes de acceso a los datos de usuarios por parte de gobiernos o terceros?

Cualquier solicitud legal de este tipo será gestionada por nuestro equipo jurídico, y se tendrá en cuanta cualquier obligación contractual y requisito legal.

¿Dispone RWS de un procedimiento y una política de respuesta a incidentes de seguridad de la información? ¿Se publican y comunican?

Sí, la política global de gestión de incidentes de seguridad de la información de RWS se publica y es accesible para todos los empleados en la intranet de RWS e incluye, entre otros, aspectos como: la supervisión y preparación, la identificación, la contención, la mitigación, la recuperación y el seguimiento.

¿Cuenta RWS con un proceso de respuesta a incidentes o brechas de datos?

Sí, la política global de gestión de incidentes de seguridad de la información de RWS especifica las acciones necesarias en caso de que se produzca un incidente de seguridad, y la política de privacidad contiene información específica relacionada con incidentes que involucran información personal.

¿Tiene RWS un proceso para identificar incidentes y sus vectores de ataque comunes junto con mecanismos de detección para detectar incidentes a medida que se producen?

Sí, el proveedor de red de RWS supervisa el tráfico y proporciona alertas en caso de anomalías. RWS utiliza sistemas de detección/prevención de intrusos (IDS/IPS, por sus siglas en inglés) en áreas clave de la red para detectar y prevenir intrusiones. Los puntos finales cuentan con un software de detección/prevención adecuado.

¿Reciben los empleados y consultores el curso de concienciación sobre seguridad de la información de manera periódica?

Sí. El curso de concienciación sobre seguridad de la información es una parte fundamental del proceso de incorporación para el personal, los contratistas y los trabajadores autónomos de RWS. Posteriormente, se imparte anualmente a todos los empleados un curso sobre seguridad de la información basado en el uso de ordenadores en un módulo de aprendizaje específico. Además, el curso de concienciación sobre seguridad de la información se imparte como parte de la formación anual sobre el Código de conducta y a través de nuestra campaña «Think Security» al menos cada dos meses o con más frecuencia si las circunstancias lo exigen.

¿Realiza RWS una comprobación de antecedentes de los empleados?

Sí. Se comprueba la identidad y el derecho al trabajo de todos los empleados nuevos. Cuando así lo requiera su función en la organización o las obligaciones nacionales, se pueden realizar más comprobaciones de antecedentes de conformidad con las leyes pertinentes.

¿Realiza RWS una comprobación de antecedentes de los trabajadores autónomos?

Los trabajadores autónomos de RWS no están sujetos a comprobaciones de antecedentes como tal. Sin embargo, sí que disponemos de un acuerdo de proveedores para nuestros traductores autónomos que incluye medidas de seguridad mínimas y un acuerdo de confidencialidad. Los clientes pueden solicitar una comprobación de antecedentes de los traductores autónomos según lo acordado contractualmente, de conformidad con las normativas locales.

¿Tiene en cuenta RWS la seguridad de la información en el proceso de incorporación y rescisión de los empleados?

Sí, todos los nuevos empleados deben completar el curso obligatorio de concienciación sobre seguridad de la información y la formación sobre el Código de conducta, que también aborda el tema de los elementos de seguridad. En caso de una rescisión, se recuerda a los empleados sus responsabilidades de seguridad tras el empleo. Se recuperan todos los activos y se suspenden las cuentas pendientes de revisión y eliminación.

¿Cuenta RWS con un proceso de destrucción de datos y saneamiento de recursos multimedia?

Sí, la política de clasificación y gestión global de RWS cubre las áreas de destrucción de datos y saneamiento de recursos multimedia. Los procesos específicos para implementar la política son propiedad de los respectivos propietarios de tecnología, y son ellos mismos quienes realizan su mantenimiento.