Bizneo dépend de systèmes d'information. Ces systèmes sont gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés susceptibles d'affecter la disponibilité, l'intégrité, la confidentialité, l'authenticité ou la traçabilité des informations traitées et des services fournis. Consciente de l'importance de la sécurité de l'information, et en accord avec le chemin qui marque notre propre identité, Bizneo a promu l'établissement d'un système de gestion de la sécurité de l'information (ci-après ISMS) selon la norme ISO 27001 et conformément aux exigences du décret royal 3/2010, du 8 janvier, qui réglemente le Système national de sécurité dans le domaine de l'administration électronique (ci-après, ENS), afin d'identifier, d'évaluer et de minimiser les risques auxquels sont exposées ses informations et celles de ses clients, ainsi que d'assurer le respect des objectifs fixés.
Le but de cette politique de sécurité est de garantir la qualité de l'information et la fourniture continue de services, en agissant de manière préventive et en supervisant l'activité quotidienne, ainsi que de fournir un cadre de référence pour l'établissement d'objectifs de sécurité qui permettent à Bizneo de développer une culture d'entreprise, une manière de travailler et de prendre des décisions, alignées sur la sécurité de l'information et sur le fait que le respect des données à caractère personnel est une constante.
La direction accorde une valeur particulière à la disponibilité et à la confidentialité de ses informations et, plus encore, de celles de ses clients, et en fait le principal critère d'évaluation de ses risques. Ainsi, elle s'engage à développer, mettre en œuvre, maintenir et améliorer en permanence son SMSI dans le but d'améliorer continuellement la manière dont nous fournissons nos services et dont nous traitons les informations de nos clients. C'est pourquoi les différents départements de Bizneo veillent à ce que la sécurité fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à son démantèlement, en passant par les décisions de développement ou d'acquisition et les activités d'exploitation.
Par conséquent, Bizneo a pour politique d'établir des objectifs annuels en matière de sécurité de l'information, de se conformer aux exigences légales, contractuelles et commerciales, de mener des activités de formation et de sensibilisation à la sécurité de l'information pour l'ensemble du personnel et d'établir la responsabilité des employés en ce qui concerne le signalement des failles de sécurité et le respect des politiques et procédures inhérentes au SMSI.
Bizneo est prêt à prévenir, détecter, réagir et récupérer des incidents, conformément à l'article 7 de l'ENS, et a donc pris des mesures pour améliorer les différents aspects de la sécurité de l'information :
i. En matière de prévention
Tous les services concernés doivent éviter, ou du moins empêcher autant que possible, que des informations ou des services soient compromis par des incidents de sécurité. À cette fin, les mesures de sécurité déterminées par l'ENS, ainsi que les contrôles supplémentaires identifiés par une évaluation des menaces et des risques, doivent être mis en œuvre. Ces contrôles, ainsi que les rôles et responsabilités de l'ensemble du personnel en matière de sécurité, doivent être clairement définis et documentés.
Pour assurer la conformité avec la politique, les services doivent :
Autoriser les systèmes avant leur mise en service.
Évaluer régulièrement la sécurité, y compris les changements de configuration effectués régulièrement.
Demander un examen périodique par des tiers afin d'obtenir une évaluation indépendante.
Évaluer le risque existant de la possibilité de se connecter à d'autres systèmes d'information interconnectés conformément aux dispositions de l'art. 11.k) de l'ENS.
ii. En matière de détection
Comme les services peuvent se dégrader rapidement en raison d'incidents, allant d'un simple ralentissement à une immobilisation, Bizneo surveille en permanence les opérations pour détecter les anomalies dans les niveaux de prestation de services et agir en conséquence, comme le prévoit l'article 9 de l'ENS.
La surveillance est particulièrement importante lors de l'établissement des lignes de défense conformément à l'article 8 et à l'article 11.l) de l'ENS. Par conséquent, des mécanismes de détection, d'analyse et de rapport sont mis en place pour informer les responsables régulièrement et en cas d'écart significatif par rapport aux paramètres qui ont été préétablis comme étant normaux.
iii. En matière de réponse
Bizneo a mis en place des procédures afin de :
Mettre en place des mécanismes pour répondre efficacement aux incidents de sécurité conformément à l'article 11.m) de l'ENS.
Désigner des points de contact pour les communications relatives aux incidents détectés.
Établir des protocoles pour l'échange d'informations relatives à l'incident.
iv. En matière de récupération
Afin de garantir la disponibilité des services critiques et sur la base des exigences établies dans l'Art. 11.o) de l'ENS, Bizneo a développé des plans de continuité des systèmes d'information dans le cadre de son plan général de continuité des activités et de ses activités de récupération.
Cette politique de sécurité de l'information sera toujours alignée sur les politiques générales de l'entreprise et sur celles qui servent de cadre à d'autres systèmes de gestion interne, comme les politiques de qualité.
À Madrid, le 14 juin 2023
Santiago Salas
CEO Bizneo