Descargas
Descargas

Ciberseguridad

Nuestro objetivo en Aleatica es fomentar una cultura de concienciación continua entre los colaboradores sobre las ciberamenazas, así como implementar una estrategia sólida de gestión de los riesgos asociados a la ciberseguridad con el fin de organizar y proteger la información y la infraestructura tecnológica de la empresa sin interrumpir la capacidad de Aleatica de ofrecer valor a sus grupos de interés.

Estrategia de ciberseguridad

Para abordar este desafío, el Departamento Corporativo de TI creó una estrategia global de ciberseguridad mediante el desarrollo de un Marco de Ciberseguridad basado en el NIST-CSF (National Institute of Standards and Technology Cybersecurity Framework), que es un marco de referencia con enfoque en la reducción del riesgo asociado a las amenazas de ciberseguridad que puedan comprometer la seguridad de la información, lo que contribuirá a la creación de valor a largo plazo, asegurando que todos los interesados hagan un uso seguro de los sistemas de información, componentes tecnológicos y telecomunicaciones, fortaleciendo la prevención, defensa, detección y respuesta a los ciberataques.

El Marco de Ciberseguridad está compuesto por un núcleo organizado jerárquicamente que se desarrolla en Funciones. Estas tienen como objetivo organizar las actividades centrales al más alto nivel para permitir que el riesgo de ciberseguridad se reduzca a niveles aceptables. Estas funciones incluyen: Identificar, Proteger, Detectar, Responder y Recuperar.

Gobernanza de la ciberseguridad

El liderazgo en estas materias estará a cargo del Director/Gerente de la respectiva Unidad de Negocio dentro de AleEatica, quien deberá observar y cumplir cabalmente el Marco de Ciberseguridad.

CEC
Comité estratégico de ciberseguridad

Oficial de ciberseguridad

ETIC
Equipo táctico de incidentes de ciberseguridad

GRIC
Grupo de respuesta a incidentes de ciberseguridad

Formación en ciberseguridad

El proceso de formación en ciberseguridad de Aleatica consta de dos componentes principales:

Las áreas corporativas de TI

(Dirección Corporativa de TI y Aleatica Labs) siguen un plan anual de formación en ciberseguridad, supervisado por Recursos Humanos, que asegura el pleno cumplimiento de la formación especializada en ciberseguridad y mejores prácticas de TI.

Para colaboradores administrativos no operativos en las Unidades de Negocio y a nivel corporativo

Los colaboradores deben completar un curso anual de certificación en ciberseguridad, accesible a través de una aplicación móvil o un sitio web, lo que les permite volver a revisar el contenido según sea necesario.

Los seminarios web bimensuales se centran en generar conciencia sobre la seguridad de la información y la ciberseguridad. Las grabaciones están disponibles en la aplicación para verlas sin conexión si los colaboradores se pierden la sesión en vivo.

Una campaña global de concientización sobre ciberseguridad comparte consejos, noticias, infografías y videos interactivos a través de correos electrónicos mensuales.

Proceso de escalamiento de la ciberseguridad

De acuerdo con el Marco de Ciberseguridad de Aleatica, los colaboradores deben informar cualquier amenaza de ciberseguridad sospechada o real al Centro de Ayuda de Sistemas (MAS) de la Dirección Corporativa de TI por correo electrónico o teléfono. A cada caso informado se le asigna un número de ticket y el equipo de Ciberseguridad investiga y resuelve el problema. Si existe una posible violación de las pautas de protección de datos, se informa al área de Protección de Datos para que tome las medidas adecuadas.

Planes de contingencia y continuidad empresarial en materia de ciberseguridad

Aleatica cuenta con planes de contingencia y continuidad de negocio para abordar incidentes de ciberseguridad. Estos planes garantizan que los procesos críticos de negocio puedan seguir funcionando mediante mecanismos de contingencia, tal y como se define en los Planes de Recuperación ante Desastres (DRP, por sus siglas en inglés) de cada Unidad de Negocio y Oficina Corporativa. En 2023, el equipo de Gestión de TI y Ciberseguridad Corporativa revisó y validó la gestión de los DRP en todas las unidades. Cada unidad debe probar su DRP anualmente.

En caso de incidente de ciberseguridad,

Aleatica sigue procedimientos predefinidos, matrices de comunicación y pautas para evaluar la gravedad y el impacto del incidente. Se toman las medidas adecuadas en función de la clasificación del incidente y se escala y reporta el incidente según los protocolos establecidos. Estos procedimientos se prueban y validan con cada incidente o amenaza.

Análisis de vulnerabilidades de ciberseguridad

En febrero de 2023, Aleatica contrató a una empresa experta en ciberseguridad para que brindara servicios centrados en la resiliencia y la respuesta a incidentes. Estos servicios incluyeron hacking ético y pruebas de penetración para identificar vulnerabilidades y mejorar las habilidades de los equipos de TI de Aleatica en materia de ciberseguridad.

Se entregaron dos informes clave:

Un informe de análisis de madurez totalmente abordado para el tercer trimestre de 2023.
Un informe de análisis externo que se completará en enero de 2024.

Como resultado, Aleatica fortaleció sus controles de seguridad informática, mejoró su infraestructura, mejoró su capacidad para identificar y responder a problemas de ciberseguridad y aclaró los roles en materia de ciberseguridad. Además, se asignó un equipo de respuesta 24 horas al día, 7 días a la semana, para actuar de inmediato en caso de incidentes de ciberseguridad.

Desde 2019, el Departamento de TI Corporativo de Aleatica ha realizado análisis trimestrales para identificar y abordar de forma proactiva las vulnerabilidades en los recursos tecnológicos que respaldan tareas administrativas clave como el correo electrónico, los sitios web, los servidores y la autenticación de usuarios.

Desempeño

En 2023, el área de Ciberseguridad de Aleatica dentro de la Dirección Corporativa de TI logró lo siguiente:

Cumplimiento del 100%

del Plan Anual de formación especializada en ciberseguridad y mejores prácticas TI para las áreas TI corporativas (Dirección TI Corporativa y Aleatica Labs).

Un curso de Certificación en Ciberseguridad

alcanzó al 93% de los usuarios administrativos no operativos tanto en las Unidades de Negocio como a nivel Corporativo.

Mayor conciencia de los colaboradores

sobre correos electrónicos maliciosos a través de pruebas de ingeniería social, con tasas de éxito del 86% y 88%.

Todas las Unidades de Negocio mantuvieron o incrementaron

sus niveles de madurez en ciberseguridad, y el 100% alcanzó o mejoró un nivel.

Una cultura más fuerte de concientización sobre ciberseguridad,

con más colaboradores que informan amenazas, lo que conduce a mejores controles de ciberseguridad.

Realizó cinco campañas de concientización sobre ciberseguridad

y cinco seminarios web.

En Aleatica no se han producido filtraciones de datos en 2022 y 2023.

Desarrollamos soluciones de transporte inteligentes que superan las expectativas de los usuarios y contribuyen al desarrollo sostenible de nuestro planeta.