Conformidad

Política de cifrado
Política de conservación de datos
Política de gestión de activos
Política de protección de datos
Política de derechos humanos
Política medioambiental
Código de conducta
Política de no discriminación e igualdad de oportunidades
Política anticorrupción y antisoborno

Política de gestión de activos

Brask Inc

Propósito

El objetivo de esta política es definir los requisitos para gestionar y realizar un seguimiento adecuado de los activos propiedad de Rask AI, gestionados y bajo su control, a lo largo de su ciclo de vida, desde su adquisición inicial hasta su eliminación final. 

Funciones y responsabilidades 

El Jefe de Personal de Rask AI es responsable de mantener y actualizar esta política. El director general y el departamento jurídico son responsables de aprobar esta política y aprobarán cualquier cambio que se introduzca. 

Política

Norma de inventario de activos

Debe existir un proceso de inventario de activos para respaldar la gestión de los procesos empresariales críticos y cumplir los requisitos legales y normativos. Este proceso también facilitará el descubrimiento, la gestión, la sustitución y la eliminación de todos los activos, así como la identificación y eliminación de cualquier software, activo o proceso ilegal o no autorizado. Todos los activos físicos y virtuales bajo gestión o control de Rask AI se enumerarán en un inventario que incluirá:

  • Identificador único o nombre del activo
  • Descripción del activo
  • Finalidad del activo para apoyar procesos empresariales críticos y cumplir requisitos legales o reglamentarios, si procede.
  • Entidad responsable del activo
  • Clasificación del activo, si procede

Propiedad de activos

A cada activo se le asignará un propietario cuando se cree o transfiera a Rask AI. El propietario del activo puede ser un particular o una entidad con responsabilidad de gestión aprobada; la propiedad no implica derechos de propiedad.

El propietario del activo es responsable de:

  • Garantizar el inventario de los activos
  • Garantizar que los activos están debidamente clasificados y protegidos
  • Definir y revisar periódicamente las restricciones y clasificaciones de acceso, teniendo en cuenta las políticas de control de acceso aplicables.
  • Garantizar un tratamiento adecuado cuando el activo se elimine o destruya. 

Normas de refuerzo del sistema

Mejores prácticas y normas de refuerzo de dispositivos

  • Utilice las guías de mejores prácticas y de refuerzo proporcionadas por el fabricante para proteger las instalaciones de dispositivos frente a vulnerabilidades y accesos no autorizados.
    • Utilice los puntos de referencia del Centro para la Seguridad en Internet (CIS) como guía para el refuerzo del sistema siempre que sea posible.
  • Cambie los valores predeterminados proporcionados por el proveedor, incluidos los nombres de usuario, las contraseñas y los ajustes comunes, para evitar accesos no autorizados.
  • Desactive los protocolos de comunicación inseguros e innecesarios.
  • Generar aleatoriamente y almacenar de forma segura las contraseñas locales en el sistema de gestión de contraseñas aprobado.
  • Instale los parches actuales.
  • Implemente protección contra malware.
  • Activar el registro.

‍Configuración y mantenimiento de infraestructuras

Parcheado interno de estaciones de trabajo y servidores

  • Evaluar e instalar periódicamente parches/actualizaciones del sistema operativo en función de su criticidad.
  • Instale parches/actualizaciones fuera de las horas punta para minimizar las interrupciones de la actividad.

Parcheado de la infraestructura interna

  • Evalúe e instale parches/actualizaciones de la infraestructura (enrutadores, conmutadores, hosts virtuales, etc.) en función de su criticidad.
  • Revisar y aprobar parches/actualizaciones a través de un entorno de laboratorio cuando sea posible.
  • Instale parches/actualizaciones fuera de las horas punta para minimizar las interrupciones.
  • Parchee/actualice los sistemas redundantes de uno en uno para garantizar que no afecten a los servicios compartidos.
  • Siga los procedimientos regulares de gestión de cambios para las actualizaciones de hardware/software de red.

Documentación de apoyo a la infraestructura

  • Mantener un diagrama actualizado de la red accesible al personal de servicio apropiado.
  • Documentar las normas de configuración de todos los dispositivos de infraestructura.

Seguridad de puntos finales/Detección de amenazas

  • Restrinja el uso de soportes extraíbles al personal autorizado.
  • Implemente herramientas antivirus y antimalware en dispositivos de punto final (por ejemplo, estaciones de trabajo, ordenadores portátiles, dispositivos móviles).
  • Configure las herramientas antivirus y antimalware para que reciban actualizaciones automáticamente, ejecuten análisis y alerten al personal adecuado de las amenazas.

Gestión de la capacidad

Los requisitos de capacidad de los sistemas se determinarán en función de la criticidad empresarial del sistema.

  • Ajuste y supervisión de sistemas: Se aplica para garantizar y mejorar la disponibilidad y eficiencia de los sistemas.
  • Controles de detección: Implementados para identificar los problemas a medida que se producen.
  • Proyecciones de capacidad futura: Considere los nuevos requisitos empresariales y del sistema, así como las tendencias actuales y previstas en las capacidades de procesamiento de información de la empresa.
  • Mitigar los cuellos de botella y las dependencias: Los gestores deben supervisar los recursos clave del sistema, identificar las tendencias de uso y tener en cuenta los recursos con largos plazos de aprovisionamiento o costes elevados.

Se conseguirá una capacidad suficiente aumentando la capacidad o reduciendo la demanda. Esto incluye:

  • Eliminación de datos obsoletos (espacio en disco)
  • Desmantelamiento de aplicaciones, sistemas, bases de datos o entornos
  • Optimización de los procesos por lotes y los calendarios
  • Optimización de la lógica de la aplicación o de las consultas a la base de datos
  • Denegación o restricción del ancho de banda para servicios que no sean críticos para la empresa y consuman muchos recursos (por ejemplo, streaming de vídeo).
  • Gestión de la demanda de capacidad
  • Aprovisionamiento de nuevas instancias de servidor cuando se alcanzan los umbrales de capacidad

Gestión de medios de comunicación

Soportes extraíbles

Actualmente no autorizamos soportes extraíbles para fines profesionales.

Transferencia de soportes físicos

Actualmente no autorizamos la transferencia de soportes físicos con fines comerciales.

Devolución de activos en caso de cese

  • El proceso de rescisión incluye la devolución de todos los activos físicos y electrónicos previamente emitidos que sean propiedad de Rask AI o que se hayan confiado a ésta, tal y como se indica en las Condiciones de contratación y en la Política de gestión de activos.
  • Si los equipos de Rask AI fueron adquiridos por un empleado o un usuario externo, o se utilizaron equipos personales, toda la información pertinente deberá transferirse a Rask AI y borrarse de forma segura de los equipos.
  • La copia no autorizada de información por parte de empleados y contratistas se vigilará y controlará durante el periodo de cese.

Eliminación de soportes

Las medidas para la eliminación segura de soportes que contengan información confidencial serán proporcionales a la sensibilidad de dicha información. Las siguientes directrices se aplicarán en consecuencia:

  • Identificación de los artículos que requieren eliminación.
  • Utilización de servicios adecuados de recogida y eliminación por terceros.
  • Eliminación segura mediante incineración o trituración, o borrado de datos para su reutilización dentro de la empresa.
  • Evaluación del riesgo de los soportes dañados para determinar su eliminación o reparación.
  • Cifrado de todo el disco para mitigar el riesgo de divulgación de información confidencial, de acuerdo con la política de cifrado de Rask AI.
  • Registro de cada eliminación para mantener una pista de auditoría.

Empiece ya a traducir vídeos

Pruébelo gratis
Explore gratis - No necesita tarjeta de crédito - Acceso instantáneo