Medidas de Seguridad

 

Fecha de entrada en vigencia: 14 de mayo de 2018

Visión General de la Seguridad

Sena Technologies tiene un equipo dedicado a la seguridad que guía la implementación de controles, procesos y procedimientos que rigen la seguridad de Sena y sus clientes. El equipo de seguridad de Sena es responsable de desarrollar, implementar y mantener un programa de seguridad de la información que refleje los siguientes principios:

  • Alinear las actividades de seguridad con las estrategias de Sena y respaldar los objetivos de Sena.
  • Aprovechar la seguridad para facilitar la confidencialidad, la integridad y la disponibilidad de los datos y los activos.
  • Utilizar los recursos de seguridad de Sena de manera eficiente y efectiva.
  • Utilizar y monitorizar las métricas para facilitar el rendimiento adecuado de las actividades relacionadas con la seguridad.
  • Gestionar la seguridad utilizando una estrategia basada en los riesgos.
  • Implementar medidas diseñadas para gestionar los riesgos y el posible impacto hasta un nivel aceptable.
  • Aprovechar los marcos de seguridad de la industria cuando sean relevantes y aplicables.
  • Aprovechar los procesos de cumplimiento y aseguramiento cuando sea necesario.
  • Analiza las amenazas identificadas o potenciales para Sena y sus clientes, ofrecer recomendaciones razonables de compensación y comunicar los resultados según sea adecuado.  

Seguridad, Disponibilidad y Recuperación de Desastres del Centro de Datos

  • Sena aprovecha los principales proveedores de centros de datos para alojar nuestra infraestructura física.  
  • Nuestros proveedores de centros de datos usan una variedad de equipos de seguridad, técnicas y procedimientos diseñados para controlar, monitorear y registrar el acceso a las instalaciones.
  • Hemos implementado soluciones diseñadas para protegernos y resguardarnos de los efectos de los ataques de DDoS.    
  • Tenemos equipos dedicados ubicados en varias geografías para respaldar nuestra plataforma e infraestructura de soporte.  
  • Sena mantiene centros de datos separados geográficamente para facilitar la infraestructura, así como la disponibilidad y continuidad del servicio. 
  • Sena tiene un plan de recuperación de desastres (fallo) que se evalúa al menos una vez al año. Los resultados de las pruebas se documentan y conservan.  

Seguridad a Nivel de la Aplicación

  • Sena controla las contraseñas para las cuentas de usuario y ofrece SSL para los clientes.  
  • Sena utiliza tecnología de Web Application Firewall (WAF).

Respuesta ante incidentes

  • En caso de un evento o un problema relacionado con la seguridad de la plataforma de Sena, el equipo de seguridad de Sena sigue un proceso formal de respuesta ante incidentes.  
  • Analizamos las amenazas identificadas o potenciales para Sena y sus clientes, ofrecemos recomendaciones razonables de compensación y comunicamos los resultados según sea adecuado.

Acceso al Edificio y la Red de Sena

  • El acceso físico a las oficinas de Sena y el acceso a la red interna de Sena es restringido y está monitoreado.  

Control de los sistemas de acceso

  • El acceso a los sistemas de Sena se limita al personal adecuado.
  • Sena se suscribe al principio del menor privilegio (por ejemplo, a empleados, cuentas de sistema, proveedores, etc., se les otorga el menor acceso para su función).
  • Sena aprovecha la autenticación de varios factores.

Gestión de los Riesgos de Seguridad

La inteligencia de las amenazas y la evaluación del riesgo son los componentes clave del programa de seguridad de la información de Sena. El hecho de conocer y comprender las amenazas potenciales (y reales) es lo que guía la selección y la implementación de los controles de seguridad adecuados para mitigar los riesgos. Las posibles amenazas a la seguridad se identifican y evalúan en cuanto a su gravedad y explotabilidad antes de clasificarlas como riesgos. Si es necesario mitigar el riesgo, el equipo de seguridad trabaja con las partes interesadas y relevantes, así como con los propietarios del sistema para remediarlo. Los esfuerzos de corrección se ponen a prueba para confirmar que las nuevas medidas o controles han logrado el propósito esperado.