Seguridad

En People2.0, la seguridad y la privacidad son fundamentales para nuestro negocio.
Nuestro sistema de gestión de la seguridad de la información abarca cinco certificaciones ISO 27001 en todo el mundo, respaldado por una arquitectura de defensa en profundidad, pruebas rigurosas y supervisión continua para proteger y responder de forma proactiva.

Equipo dedicado a la seguridad y privacidad de la información 👥

• Mantenemos una organización Seguridad de la Información y Privacidad dirigida por nuestro Director Global de Seguridad de la Información y Privacidad que supervisa la estrategia, la gobernanza, la política y la alineación interregional.
  – Este equipo trabaja en todas las regiones, unidades de negocio y pilas tecnológicas, y colabora con los departamentos jurídico, de cumplimiento, de riesgos y de operaciones para garantizar que la seguridad y la privacidad estén integradas en todos los aspectos.
  – El equipo es responsable del desarrollo de políticas, la gestión de riesgos, la coordinación de auditorías, la planificación de la respuesta ante infracciones, la evaluación de la seguridad de los proveedores, los programas de concienciación y las iniciativas de mejora continua.

1. Garantía global a través de ISO 27001 🏛️

• People2.0 cuenta con la certificación ISO 27001 en Norteamérica, el Reino Unido, la UE, la India y Australia, lo que garantiza que nuestras prácticas de seguridad se ajustan a una norma aceptada en todo el mundo.
  – Nuestro SGSI está diseñado para abordar el conjunto completo de controles de la norma ISO 27001 (dominios del anexo A), con auditorías internas y externas periódicas para validar y ajustar el cumplimiento.
  – En todas las zonas geográficas, aplicamos un modelo unificado de evaluación de riesgos, implantación de controles, supervisión y mejora continua.

2. Defensa en profundidad mediante herramientas y conocimientos de nivel 1 🛡️

Combinamos la mejor tecnología con la supervisión, las pruebas y la preparación humanas:

• Protección de endpoints y hosts: SentinelOne EDR + Windows Defender utilizan IA, análisis de comportamiento, prevención de amenazas y contención automatizada.

• DNS / Filtrado Web: Cisco Umbrella defiende en el borde del dominio y las amenazas enrutable

• Protección contra correo electrónico y phishing: Cloudflare Area1 examina el correo electrónico entrante en busca de phishing, BEC y ataques dirigidos.

• Gestión de identidades y accesos: OKTA permite el control centralizado de identidades, MFA, inicio de sesión único y aplicación de privilegios mínimos.

• Seguridad de aplicaciones y código: Snyk está integrado en nuestros pipelines SDLC para identificar vulnerabilidades en dependencias, contenedores y código.

• Pruebas de penetración: Contratamos a pentesters internos y externos para sondear aplicaciones, API e infraestructuras, simulando adversarios para descubrir puntos débiles.

• SIEM / Análisis: Rapid7 procesa registros de eventos, correlaciona anomalías y activa alertas en todas las plataformas.

• Anti-Ransomware / Defensa AI: Halcyon AI añade detección basada en el comportamiento y protección contra ransomware y amenazas sofisticadas

• Vigilancia y supervisión 24×7: Dos Centros de Operaciones de Seguridad globales supervisan y escalan los incidentes según los protocolos definidos.

• Respuesta a incidentes y análisis forense: Retenemos S-RM DFIR para ayudar en la contención, la investigación de la causa raíz y la reparación cuando sea necesario.

Al estratificar la IA, la automatización, la inteligencia, los analistas humanos y las pruebas, reducimos la dependencia de un único control.

3. Gobernanza, procesos y supervisión 🧭

• Nuestro SGSI está supervisado por la alta dirección y los comités internos de gobernanza de la seguridad para garantizar la alineación con los riesgos corporativos y los mandatos normativos.
  – Mantenemos un sólido programa de gestión de riesgos, evaluando, priorizando, tratando y supervisando continuamente los riesgos de seguridad en todas las unidades de negocio, regiones y dominios tecnológicos.
  – Todos los empleados, contratistas y proveedores externos deben completar una formación de concienciación sobre seguridad basada en funciones, simulaciones de phishing y refrescos de prácticas de codificación segura.
  – Las políticas, procedimientos y normas se versionan y revisan periódicamente, con actualizaciones impulsadas por la evolución de las amenazas o los cambios normativos.
  – Hacemos cumplir las evaluaciones de seguridad de terceros y la diligencia debida de los proveedores; los sistemas y socios externos deben cumplir nuestros criterios de seguridad antes de la integración.

4. Transparencia, responsabilidad y confianza 🔍

• Mantenemos registros listos para la auditoría, métricas de seguridad resumidas y pruebas de certificación, que pueden compartirse con los clientes en condiciones contractuales o de confidencialidad adecuadas.
  – Si se produce un incidente de seguridad, seguimos un manual documentado de respuesta a incidentes, contamos con el apoyo de DFIR, notificamos a las partes interesadas y llevamos a cabo análisis de causas y lecciones aprendidas.
  – Las auditorías independientes, las certificaciones externas y las asociaciones externas de pentesting / forenses refuerzan la supervisión objetiva y la responsabilidad.

5. Qué significa esto para los clientes 🤝

• Protección coherente: Dondequiera que residan sus datos, están sujetos a los mismos controles y supervisión básicos.
  – Defensa por capas y probada: Los controles múltiples y superpuestos ayudan a reducir los puntos únicos de fallo.
  – Pruebas y endurecimiento proactivos: Las pruebas de penetración descubren los puntos débiles antes que los adversarios.
  – Resistencia y respuesta: IA + automatización + SOC humanos + apoyo forense nos dan capacidad para detectar, contener y recuperar.
  – Confianza garantizada: Las certificaciones ISO, los informes de auditoría y las pruebas externas proporcionan pruebas tangibles a sus equipos de seguridad y cumplimiento.
  – Riesgo gestionado, no garantías perfectas: No prometemos riesgo cero, pero nos comprometemos a desplegar herramientas líderes en el sector, controles rigurosos, pruebas continuas y transparencia.