En Blue Yonder estamos comprometidos con la protección de sus datos, por lo que nuestro Programa de Ciberseguridad, las prácticas y políticas de seguridad asociadas se basan en el Instituto Nacional de Estándares y Tecnología (NIST), el Marco de Ciberseguridad (CSF) y las Normas de la Organización Internacional de Normalización (ISO). Blue Yonder Cybersecurity se compone de los siguientes equipos: Concienciación, Capacitación y Educación en Ciberseguridad, Gobernanza, Riesgo y Cumplimiento de Ciberseguridad, Gestión de Amenazas y Vulnerabilidades de Ciberseguridad, Arquitectura e Ingeniería de Ciberseguridad, y Operaciones de Ciberseguridad.
- Mejores prácticas de seguridad
Seguridad organizacional
Conciencia de seguridad
Blue Yonder se asegura de que todo el personal complete una capacitación anual de concientización sobre ciberseguridad y privacidad de datos, que incluye la conciencia de los riesgos emergentes. La capacitación refuerza las prácticas recomendadas para proteger los datos y mantener seguros los sistemas de información en el hogar y en el trabajo.
Gestión de acceso
En Blue Yonder apoyamos los procesos formales para controlar cómo se otorga el acceso a las personas autorizadas según el nivel de acceso requerido para que desempeñen sus funciones laborales. El acceso se otorga según el rol y el principio del mínimo privilegio. Nuestros controles incluyen requisitos de autenticación multifactor, uso de identificaciones únicas y contraseñas seguras. Continuamos monitoreando los procesos y controles de gestión de acceso para verificar su efectividad.
Gobernanza y gestión de riesgos
Nos sometemos a una verificación independiente de los controles de seguridad, privacidad y cumplimiento. Blue Yonder sigue un enfoque basado en el riesgo para la gestión de riesgos de ciberseguridad y nuestra metodología fomenta la planeación, la mitigación y las contramedidas. Nuestro programa formal de gestión de riesgos nos permite abordar las amenazas a nuestros activos y recursos mediante evaluaciones y la comprensión del impacto que pueden tener. También mantenemos un programa formal de gestión de proveedores, que incluye revisiones de seguridad de proveedores para garantizar el cumplimiento de nuestros objetivos de ciberseguridad.
Protección de datos
Blue Yonder sigue una Política de ciberseguridad, una Política de control de acceso, una Política de uso aceptable y un Estándar de clasificación de la información, que rigen las responsabilidades y prácticas de nuestra organización para proteger los datos. Nos centramos continuamente en mejorar nuestros estándares de desarrollo de productos y supervisamos con constancia la eficacia de nuestros controles de seguridad. Nuestra práctica consiste en inventariar, rastrear y gestionar todos los activos de nuestro sistema de información. Se utilizan varias tecnologías de cifrado estándar de la industria en nuestros entornos para proteger los datos en reposo y en tránsito.
Seguridad de productos y aplicaciones
El desarrollo de software seguro es lo más importante para minimizar los riesgos. Requerimos que todos los desarrolladores se sometan a sesiones de capacitación anuales enfocadas en las últimas mejores prácticas de seguridad. Durante la fase de diseño, utilizamos el modelado de amenazas basado en riesgos para identificar posibles problemas de seguridad. Nuestro análisis de aplicaciones incluye múltiples capas de pruebas, incluidas las pruebas de seguridad internas a nivel de código (análisis estático) y a nivel de aplicación (análisis dinámico). Al llevar a cabo pruebas internas y gestionar nuestras pruebas de penetración externas, podemos abordar eficazmente las amenazas potenciales. Además, Blue Yonder implementa un proceso estructurado de gestión de escaneos de código abierto (OSS). Las prácticas recomendadas de seguridad se incorporan a nuestro ciclo de vida de desarrollo, ya que estas medidas están destinadas a identificar, gestionar, evaluar, mitigar o remediar vulnerabilidades con regularidad.
Gestión de vulnerabilidades
Blue Yonder lleva a cabo el escaneo y la aplicación de parches de vulnerabilidades de acuerdo con las frecuencias documentadas definidas en las políticas y procedimientos establecidos. Blue Yonder garantiza que las tecnologías de evaluación de vulnerabilidades, administración de parches y protección contra amenazas, así como los procedimientos de monitoreo programados, estén diseñados para identificar, evaluar, mitigar y proteger contra amenazas de seguridad, virus y otros códigos maliciosos identificados.
Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés)
Blue Yonder cuenta con varios controles técnicos adecuados para detectar posibles incidentes en redes, endpoints y aplicaciones. Blue Yonder mantiene planes de respuesta a incidentes de seguridad basados en los estándares NIST para administrar la respuesta a eventos de seguridad, y se prueban al menos una vez al año. La organización utiliza ubicaciones de centros de datos separadas y aprovecha una solución centralizada de administración de eventos e información de seguridad (SIEM) para agregar y correlacionar registros (de archivos de sistema, archivos de seguridad, etc.) para entender mejor la seguridad del entorno. A través de la capacidad de detección de amenazas las 24 horas del día, los 7 días de la semana, los registros se monitorean continuamente.