+ 41 52 511 3200 (SUI)     + 1 713 955 7305 (EE.UU.)     
Política de Ciberseguridad

 

1. Introducción y propósito

1.1 Rheonics se compromete a proteger sus activos de información, incluidos datos de propiedad exclusiva, información de clientes, propiedad intelectual e infraestructura de TI, contra acceso, uso, divulgación, alteración, interrupción o destrucción no autorizados.

1.2 Esta política establece el marco para mantener un entorno seguro para Rheonics' operaciones digitales, alineadas con:

  • Regulaciones: FADP suizo, RGPD (cuando corresponda), leyes federales/estatales de EE. UU. y otras leyes nacionales aplicables donde Rheonics opera
  • Estándares: Principios de confianza cero, puntos de referencia CIS, pautas NIST (por ejemplo, SP 800-88, SP 800-171 cuando corresponda) y pautas OWASP.

1.3 Objetivos:

  • Salvaguardar la confidencialidad, integridad y disponibilidad (CIA) de los datos y sistemas.
  • Minimizar los riesgos de incidentes de ciberseguridad y garantizar la continuidad del negocio.
  • Fomentar una cultura de concienciación sobre la seguridad entre todo el personal.
  • Garantizar el cumplimiento de las obligaciones legales, reglamentarias y contractuales.

 

2. Alcance

Se aplica a todos Rheonics empleados, contratistas, consultores, pasantes, voluntarios y terceros (“Usuarios”) que accedan Rheonics Sistemas, datos o instalaciones. Abarca:

2.1 Activos

  • Ferretería
  • Software (incluidos SaaS/IaaS/PaaS)
  • Datos (electrónicos y físicos)
  • Redes
  • Instalaciones físicas

2.2 actividades

  • Trabajo en sitio
  • Trabajo remoto
  • Uso de dispositivos propiedad de la empresa
  • Uso de dispositivos personales (BYOD)
  • Actividades de desarrollo
  • Interacciones con proveedores externos

 

3. Roles y responsabilidades


RolFunciones clave
GestionamientoDefender las políticas; asignar recursos; garantizar el cumplimiento general y la gestión de riesgos.
Equipo de TI/SeguridadImplementar/gestionar controles; liderar la respuesta a incidentes; realizar auditorías y evaluaciones.
Todos los usuariosCumplir con la política; utilizar contraseñas seguras + MFA; informar incidentes rápidamente; completar la capacitación.

 

4. Declaraciones de política

4.1 de Seguridad de Datos

  • Clasificación y manejo: Los datos deben clasificarse y gestionarse según su sensibilidad (véase el Apéndice A). Los requisitos aumentan con la sensibilidad.
  • Encriptación: Los datos restringidos y confidenciales deben cifrarse en reposo y en tránsito mediante algoritmos sólidos estándar de la industria.
  • Disposición: Se deben utilizar métodos seguros: borrado conforme a la norma NIST SP 800-88 para medios electrónicos; trituración transversal (P-4 o superior) para documentos físicos que contengan datos confidenciales o restringidos. Se deben cumplir los plazos de conservación de datos.

4.2 Control de acceso

  • Mínimo privilegio y RBAC: El acceso se concede en función de la necesidad de la función laboral (menor privilegio) mediante el control de acceso basado en roles (RBAC).
  • Autenticación: Se requieren ID de usuario únicos. Las contraseñas seguras (véase el Apéndice B) y la autenticación multifactor (MFA) son obligatorias para los servicios en la nube, el acceso remoto, las cuentas administrativas y los sistemas que gestionan datos confidenciales o restringidos.
  • Reseñas: Los derechos de acceso son revisados ​​trimestralmente por los gerentes/propietarios del sistema; se revocan inmediatamente tras la baja o el cambio de rol. Se requiere un proceso de aprobación formal para la concesión o modificación de accesos.

4.3 Política de uso aceptable (AUP)

  • Propósito de negocio: Rheonics Los recursos son principalmente para uso comercial. Se permite un uso personal incidental limitado, siempre que no interfiera con las tareas, consuma recursos excesivos, genere costos ni infrinja políticas o leyes.
  • Actividades Prohibidas: Incluyendo, pero no limitado a: actividades ilegales, acoso, acceso o distribución de material ofensivo, violación de derechos de autor, modificación no autorizada del sistema, elusión de controles de seguridad, instalación de software no autorizado, introducción de malware, intercambio o exfiltración de datos no autorizados, uso personal excesivo.
  • Vigilancia del usuario: Los usuarios deben tener cuidado con el correo electrónico (phishing), la navegación web (sitios maliciosos) y el manejo de archivos adjuntos/enlaces.

4.4 Seguridad de la red

  • Perímetro y segmentación: Mantenimiento de firewalls e IDS/IPS. La segmentación de la red aísla los sistemas críticos (p. ej., I+D, producción) y los almacenes de datos.
  • Wi-Fi: WPA3-Enterprise seguro (o WPA2-Enterprise mínimo) para redes internas. El Wi-Fi para invitados debe estar lógicamente separado y no permitir el acceso a recursos internos.
  • Acceso remoto: Solo mediante una VPN aprobada por la empresa con MFA. El túnel dividido puede estar restringido.
  • Confianza cero: La implementación de los principios de la arquitectura de Confianza Cero (por ejemplo, microsegmentación, verificación continua, controles del estado del dispositivo) está en curso y se prevé que se complete para el primer trimestre de 1 para las redes críticas.

4.5 Seguridad de puntos finales propiedad de la empresa

  • Protection:Todos los puntos finales propiedad de la empresa (computadoras de escritorio, portátiles, dispositivos móviles) deben tener un Endpoint Detection & Response (EDR) administrado por la empresa o un software antivirus aprobado, en funcionamiento y actualizado.
  • Parcheo: Los sistemas operativos y las aplicaciones deben mantenerse actualizados mediante el proceso de gestión de parches de la empresa. Los parches críticos se aplican dentro de los plazos definidos.Rheonics para definir plazos, por ejemplo, 72 horas para sistemas operativos críticos].
  • Encriptación: El cifrado de disco completo (por ejemplo, BitLocker, FileVault) es obligatorio en computadoras portátiles y dispositivos portátiles.

4.6 Traiga su propio dispositivo (BYOD)

  • Aprobación y estándares: Uso de dispositivos personales (BYOD) para acceder a información no pública Rheonics Los datos requieren aprobación explícita y adhesión a estándares mínimos (véase el Apéndice D).
  • Requerimientos de seguridad: Incluye inscripción a MDM, versiones de SO compatibles, software de seguridad, cifrado, códigos de acceso, capacidad de borrado remoto y segregación/contenedorización de datos.
  • Descargo de responsabilidad: Rheonics se reserva el derecho de gestionar/borrar datos de la empresa de los dispositivos BYOD; Rheonics no es responsable de la pérdida de datos personales durante las acciones de seguridad.

4.7 Seguridad y gestión del software

  • Software autorizado: Solo se puede instalar software con licencia y aprobado por el departamento de TI. Se prohíbe a los usuarios instalar aplicaciones no autorizadas.
  • Gestión de parches: Se aplica a todo el software (SO, aplicaciones, firmware) en todos los sistemas (servidores, puntos finales, dispositivos de red).
  • Gestión de vulnerabilidades: Se realizan análisis de vulnerabilidades con regularidad. Las vulnerabilidades críticas deben remediarse dentro de los plazos definidos.Rheonics Pruebas de penetración realizadas periódicamente en sistemas críticos.
  • Desarrollo seguro: (Si corresponde) Los equipos de desarrollo deben seguir prácticas de codificación segura (por ejemplo, OWASP Top 10), realizar revisiones de código y utilizar herramientas de prueba de seguridad (SAST/DAST).
  • Análisis de composición de software (SCA): Los componentes de código abierto deben inventariarse y analizarse para detectar vulnerabilidades. Se prohíbe el uso de software o componentes al final de su vida útil (EOL), a menos que la gerencia o el departamento de seguridad informática lo acepten explícitamente.

4.8 Seguridad física

  • Control de acceso: El acceso a Rheonics Instalaciones, salas de servidores y laboratorios de I+D restringidos mediante controles físicos (credenciales, llaves, biometría). Se mantienen registros de acceso para áreas sensibles.
  • Gestión de visitantes: Los visitantes deben registrarse, recibir una identificación temporal y ser escoltados en áreas no públicas.
  • Seguridad de la estación de trabajo: Los usuarios deben bloquear las estaciones de trabajo cuando no estén supervisadas (Windows+L / Ctrl+Cmd+Q).
  • Escritorio/pantalla despejados: La información sensible (documentos físicos, pantallas) debe protegerse de la vista no autorizada, especialmente en áreas abiertas o al dejar escritorios sin supervisión. Se utilizan contenedores de basura seguros.

4.9 Seguridad en la nube

  • Servicios aprobados: Uso de servicios en la nube (SaaS, IaaS, PaaS) para Rheonics Los datos deben ser aprobados por TI/Seguridad.
  • Configuración y monitorizaciónoring: Los servicios deben configurarse de forma segura, de acuerdo con los estándares CIS cuando corresponda (AWS/GCP/Azure). Se deben implementar políticas de acceso condicional (p. ej., geolocalización, conformidad con dispositivos). El registro de la API y la actividad del usuario deben estar habilitados y monitoreados.
  • Protección de Datos: Asegúrese de que los proveedores de la nube cumplan Rheonics' seguridad de datos, encriptación, respaldo y requisitos de residencia a través de contratos y evaluaciones.

4.10 Gestión de terceros/proveedores

  • Evaluación de riesgos: Evaluaciones de seguridad realizadas antes de contratar a proveedores que acceden, procesan y almacenan Rheonics datos o conectarse a redes. El nivel de riesgo determina la profundidad de la evaluación.
  • Requisitos contractuales: Los contratos deben incluir cláusulas que cubran la confidencialidad, la protección de datos (incluidos los DPA si se procesan datos personales según GDPR/FADP), controles de seguridad, notificación de incidentes y derechos de auditoría.
  • Monitoreo continuooring: Revisión periódica de la postura de seguridad crítica del proveedor.

4.11 Respuesta a incidentes

  • Presentación de informes: Los incidentes sospechosos deben reportarse de inmediato (objetivo dentro de 1 hora desde el descubrimiento) a través de () o (canal de Equipos Internos de la Empresa 24/7).
  • Plan de respuesta: Rheonics Mantiene un Plan de Respuesta a Incidentes (PRI). Consulte el Apéndice C para conocer el flujo básico.
  • Incidentes críticos: (p. ej., ransomware, filtración de datos confirmada) Activar acciones de escalamiento y contención (objetivo en 4 horas). La notificación a los departamentos legales y ejecutivos se ajusta a los plazos establecidos por la normativa (p. ej., notificación de la filtración en 72 horas, RGPD/FADP, cuando corresponda).
  • Cooperación: Todos los usuarios deben cooperar plenamente con las investigaciones de respuesta a incidentes.

 

5. Ejecución

Las infracciones se abordarán según la gravedad y la intención, de conformidad con la legislación laboral local.

ViolaciónEjemploConsecuencia (Ejemplos)
Clasificacion "Minor"Desviación accidental de la política; capacitación no crítica perdidaAdvertencia por escrito; reentrenamiento obligatorio
Clasificacion MayorCredenciales compartidas; infracciones menores reiteradas; instalación de software P2P no autorizadoSuspensión; acción disciplinaria formal
Crítico / intencionalViolación intencional de datos; actividad maliciosa; sabotajeTerminación; posibles acciones legales

 

6. Mantenimiento de políticas

  • Cadencia de revisión: Revisado al menos anualmente por el propietario de la política (jefe de TI) y las partes interesadas.
  • Desencadenantes de revisión: Revisiones ad hoc desencadenadas por: incidentes de seguridad importantes, cambios regulatorios significativos (por ejemplo, nuevas leyes de privacidad de datos), cambios importantes en tecnología/infraestructura (por ejemplo, gran migración a la nube), hallazgos de auditoría.
  • Novedades:Cambios aprobados comunicados a todos los usuarios.

 

7. Apéndices

7.1 Apéndice A: Clasificación de datos

ClasificaciónEjemploRequisitos de manejo
RestringidoInformación personal identificable del cliente, código fuente de I+D, claves criptográficas• Cifrado (en reposo/tránsito)
• Registros de acceso estrictos
• Necesidad de saber + aprobación explícita
• Revisión anual del acceso
ConfidencialRegistros de empleados, datos financieros, estrategias internas• Se recomienda/requiere MFA
• Base de necesidad de saber
• Intercambio interno limitado
Interno Notas de reuniones, políticas internas, comunicaciones generales• No compartir externamente sin aprobación.
• Utilizar los sistemas de la empresa
Público:Materiales de marketing, contenido público del sitio web• Sin restricciones de manipulación/uso compartido

 

7.2 Apéndice B: Requisitos de contraseña

  • Longitud mínima:
    • Cuentas de usuario: 12 caracteres
    • Cuentas de administrador/servicio: 16 caracteres
  • Complejidad:
    • Al menos 3 de 4: mayúsculas, minúsculas, números, símbolos (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). No puede contener nombre de usuario ni palabras comunes del diccionario.
  • Rotación
    • Máximo de 90 días (a menos que se utilicen métodos de autenticación continua aprobados).
  • Historia
    • Las 5 contraseñas anteriores no se pueden reutilizar.
  • Almacenamiento:
    • No debe escribirse sin protección. Utilice un gestor de contraseñas aprobado por la empresa (p. ej., Bitwarden, 1Password) para...oring Contraseñas únicas y complejas. Prohibido compartir contraseñas. Prohibida la omisión de MFA.

 

7.3 Apéndice C: Flujo de respuesta a incidentes

  • Detección y análisis: Identificar incidentes potenciales.
  • Presentación de informes: Informar INMEDIATAMENTE (dentro del plazo objetivo de 1 hora) a TI/Seguridad a través de los canales definidos.
  • Triaje y evaluación: TI/Seguridad evalúa la gravedad y el impacto.
  • Contención: Aislar los sistemas/cuentas afectados (dentro del plazo de 4 horas para incidentes críticos).
  • Erradicación: Eliminar amenaza/vulnerabilidad.
  • Recuperación:Restaurar sistemas/datos de forma segura.
  • Revisión posterior al incidente: Lecciones aprendidas, mejora de procesos.
    • Notificación: Notificaciones legales/reglamentarias/al cliente realizadas según sea necesario en función de la evaluación (por ejemplo, dentro de las 72 horas para violaciones de datos personales GDPR/FADP).

 

7.4. Apéndice D: Estándares mínimos BYOD

  • Aprobación:Obligatorio antes de acceder a datos no públicos.
  • Requisitos del dispositivo:
    • Versiones del sistema operativo: Debe ejecutar versiones compatibles actualmente con el proveedor (por ejemplo, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Seguridad: Bloqueo de pantalla/biometría habilitados; cifrado del dispositivo habilitado; puede requerirse software de seguridad aprobado (AV/antimalware); dispositivo no jailbreak/rooteado.
    • MDM: Inscripción en Rheonics'La solución de gestión de dispositivos móviles (MDM) es obligatoria.
    • Borrado remoto: La capacidad debe estar habilitada para los datos/perfiles de la empresa.
  • Segregación de datos: Los datos de la empresa se acceden y almacenan mediante aplicaciones aprobadas dentro de un perfil o contenedor administrado (p. ej., Microsoft Intune MAM, Android Work Profile). No se copian los datos de la empresa a aplicaciones ni almacenamiento personal.
  • Nuestra RedConéctese a través de Wi-Fi seguro; evite redes Wi-Fi públicas que no sean de confianza para trabajar.

 

8. Contacto y acuse de recibo

  • Preguntas/inquietudes de seguridad: Contacto () o al Equipo de TI/Seguridad a través de canales internos.
  • Reportar incidentes: Utilice métodos urgentes: () y (canal de Equipos Internos de la Empresa 24/7).
  • Reconocimiento: Todos los usuarios deben leer, comprender y confirmar la recepción de esta política electrónicamente a través del Portal de RR. HH. o del Sistema de Capacitación al incorporarse y tras actualizaciones significativas. El hecho de no confirmar la recepción no invalida la aplicabilidad de la política.
Descargar Política de Ciberseguridad
Rheonics Política de Ciberseguridad
Buscar