Seguridad, certificación y confianza: Marco de seguridad de Proemion

Las soluciones telemáticas de Proemion se diseñan con la seguridad como eje central. A lo largo de la última década, hemos avanzado continuamente en nuestra postura de seguridad, desde las primeras medidas como los módulos de plataforma de confianza (TPM) de hardware y el cifrado TLS en 2016 hasta el programa de seguridad integral actual dirigido por un equipo dedicado a la ciberseguridad. En 2026, Proemion recibió la certificación ISO/IEC 27001:2022, que confirma que nuestro sistema de gestión de la seguridad de la información (SGSI) cumple estrictas normas internacionales. Este libro blanco describe cómo Proemion protege los dispositivos, los datos y los servicios en la nube mediante una arquitectura y unas prácticas de seguridad sólidas.

Integramos la seguridad en cada fase del ciclo de vida del producto, empleamos una criptografía sólida para salvaguardar los datos y garantizamos la integridad del firmware de nuestros dispositivos y de la infraestructura en la nube. Los aspectos más destacados de nuestro enfoque incluyen: prácticas de desarrollo seguras con revisión y comprobación de código, identidad de dispositivos respaldada por hardware y arranque seguro, infraestructura en la nube reforzada con las mejores prácticas del sector, gestión continua de vulnerabilidades (con un mínimo de problemas detectados en las auditorías), supervisión rigurosa de proveedores externos, controles exhaustivos de seguridad física y del personal, y planes de continuidad de negocio alineados con la norma ISO 22301 para la resiliencia. A lo largo de este documento, relacionamos estas prácticas con los objetivos de control pertinentes del Anexo A de la norma ISO 27001:2022 de una forma fácil de entender, lo que demuestra el compromiso de Proemion tanto con la excelencia técnica como con el cumplimiento.

Proemion sigue un ciclo de vida de desarrollo seguro (SDLC) para garantizar que la seguridad se incorpora a nuestros productos desde el principio. Cada paso del diseño, la construcción y el despliegue de nuestro hardware y software telemático incluye puntos de control de seguridad. Equilibramos una sólida cultura de ingeniería de seguridad con una moderna agilidad de desarrollo, para que las nuevas funciones lleguen a los clientes de forma rápida y segura. Los elementos clave de nuestro SDLC incluyen:

Todos los ingenieros reciben formación sobre desarrollo seguro adecuada a su función para estar al día de las amenazas y las mejores prácticas. Todos los desarrolladores reciben formación obligatoria sobre codificación segura y se les anima a participar en ella. Las sesiones periódicas de concienciación sobre seguridad garantizan que el equipo esté atento a las nuevas vulnerabilidades.

Contamos con normas de codificación exhaustivas que van más allá de las 10 principales de OWASP para cubrir una amplia gama de directrices de codificación segura. Estas normas (alineadas con el control de desarrollo seguro de la norma ISO 27001) están integradas en nuestro proceso de desarrollo: el código no puede fusionarse ni publicarse a menos que sea conforme. El análisis estático automatizado centrado en la seguridad y las revisiones manuales del código hacen cumplir estas normas, impidiendo que los puntos débiles más comunes entren nunca en nuestra base de código.

Mantenemos un estricto proceso de revisión por pares de todos los cambios de código. Ingenieros experimentados ("guardianes") realizan revisiones del código centradas en la seguridad de cada cambio, verificando el cumplimiento de nuestras normas de codificación segura e identificando posibles vulnerabilidades. Este principio de los cuatro ojos garantiza que la seguridad no sea responsabilidad de una sola persona, sino una mentalidad compartida por todo el equipo de desarrollo.

Nuestra cadena de suministro de software está estrechamente supervisada. Utilizamos fuentes de confianza para las bibliotecas de terceros y supervisamos continuamente los componentes de código abierto en busca de vulnerabilidades. Por ejemplo, nuestra plataforma de control de código fuente nos avisa automáticamente de las vulnerabilidades conocidas en las dependencias, y actuamos con prontitud en función de su gravedad. También revisamos el código de los nuevos módulos de terceros antes de utilizarlos, evaluamos su seguridad y los integramos sólo cuando cumplen nuestros criterios.

La seguridad forma parte de nuestra "definición de hecho" para cada función. Integramos casos de pruebas unitarias y de seguridad en el proceso de integración continua. Cuando se corrige un error o una vulnerabilidad, añadimos pruebas de regresión para evitar que se repitan. También probamos nuestras aplicaciones en varias fases del proceso de desarrollo, incluidas pruebas automatizadas exhaustivas durante los entornos de creación y preparación, así como pruebas manuales.

Las implantaciones se gestionan mediante código y automatización para eliminar los errores humanos y garantizar la coherencia. Desplegamos nuestras aplicaciones en entornos reforzados configurados mediante módulos de infraestructura como código y de línea de base de seguridad. Cada entorno (de ensayo, de producción) se aprovisiona con configuraciones seguras (por ejemplo, acceso con privilegios mínimos, ajustes de sistema operativo reforzados) que se adhieren a las mejores prácticas del sector. Todos los cambios en la infraestructura de la nube o en el firmware de los dispositivos se someten a una revisión de gestión de cambios, y nuestros procesos automatizados incluyen comprobaciones de seguridad antes de pasar a producción.

A través de estas medidas del SDLC, Proemion garantiza que la seguridad no sea una ocurrencia tardía, sino una parte integral de la innovación del producto. Nuestro enfoque se ajusta a las recomendaciones del anexo A de la norma ISO 27001:2022 sobre desarrollo seguro (por ejemplo, control 8.28 Codificación segura) y gestión del cambio, traduciendo las normas de alto nivel en prácticas cotidianas concretas.

Proteger los datos, tanto los de nuestros clientes como los nuestros, es primordial. Proemion aplica múltiples capas de protección de datos, desde el cifrado y la gestión de claves hasta los procesos de gobernanza de datos, para garantizar la confidencialidad, integridad y disponibilidad de la información. Diseñamos nuestros sistemas bajo el principio de que los datos sensibles deben estar protegidos por defecto, ya sea en reposo, en tránsito o en uso. Entre los aspectos más destacados de nuestras prácticas de protección de datos y criptografía se incluyen:

Todas las comunicaciones entre dispositivos, servicios en la nube e interfaces de usuario se cifran mediante protocolos robustos (TLS 1.2+). Nuestra conectividad de dispositivos, por ejemplo, utiliza TLS 1.2 con suites de cifrado robustas para asegurar la telemetría por aire. Esto garantiza que los datos transmitidos entre una unidad de comunicación Proemion (dispositivo) y nuestro backend no puedan ser escuchados ni manipulados. Revisamos de forma rutinaria nuestras configuraciones TLS comparándolas con los puntos de referencia del sector (como SSL Labs) y hemos obtenido calificaciones "A+" para nuestros puntos finales, lo que refleja un alto nivel de seguridad en el transporte.

Los datos almacenados en nuestras bases de datos en la nube y puntos finales se cifran en reposo para evitar su exposición en caso de pérdida física o acceso no autorizado. Nuestras bases de datos en la nube, el almacenamiento de archivos y las copias de seguridad utilizan cifrado AES-256, con claves gestionadas por servicios de gestión de claves reforzados. Los portátiles y dispositivos móviles utilizados por el personal de Proemion tienen activado el cifrado de disco completo. Seguimos las directrices del sector (incluida la norma NIST SP 800-57) en cuanto a la intensidad de las claves criptográficas y las frecuencias de rotación. Por ejemplo, los datos de los clientes en reposo están protegidos con AES-256 o versiones posteriores, y las claves de cifrado se rotan con regularidad. Las contraseñas nunca se almacenan en texto plano; utilizamos hash unidireccional fuerte de acuerdo con nuestra política de criptografía.

Las claves criptográficas y los secretos se manejan con sumo cuidado. Las claves privadas (para servidores, dispositivos, firma de código, etc.) se almacenan en cámaras acorazadas seguras o módulos de seguridad de hardware, con estrictos controles de acceso (limitados al personal autorizado y que requieren autenticación multifactor). El acceso a las claves se concede según el principio del mínimo privilegio, de acuerdo con nuestra Política de Control de Acceso. Para las claves especialmente críticas, como las claves offline utilizadas para firmar el firmware de los dispositivos, utilizamos un proceso de conocimiento dividido y doble control (para más detalles, consulte Seguridad de dispositivos y firmware). Todo el uso de claves se registra y supervisa para detectar cualquier acceso no autorizado. También garantizamos la generación segura de claves con generadores de números aleatorios de alta calidad y nunca codificamos secretos en código o firmware.

Categorizamos los datos (por ejemplo, públicos, internos, confidenciales) y aplicamos los controles adecuados a cada clasificación. Los datos personales y otra información confidencial se gestionan de conformidad con el GDPR y otras normativas de privacidad pertinentes. Minimizamos la recopilación de datos personales en nuestra plataforma telemática; cuando dichos datos son necesarios (por ejemplo, detalles de la cuenta de usuario), los seudonimizamos o anonimizamos cuando es factible. A nivel interno, los empleados reciben formación sobre el tratamiento adecuado de los datos, por ejemplo, para no transferir datos sensibles a través de canales inseguros y utilizar el almacenamiento cifrado aprobado por la empresa para los archivos confidenciales.

De acuerdo con el principio de "protección de datos desde el diseño", sólo conservamos los datos el tiempo necesario para cumplir su finalidad o los requisitos legales. Disponemos de procesos para eliminar de forma segura o anonimizar los datos que ya no son necesarios. Todos los soportes de almacenamiento que contienen datos confidenciales se borran o destruyen de forma segura antes de su desmantelamiento. Seguimos un calendario documentado de conservación de datos, y nuestra Política de Gestión de Datos garantiza que satisfacemos tanto las necesidades empresariales como las obligaciones de cumplimiento.

El enfoque de Proemion para la protección de datos combina fuertes controles criptográficos con una gestión inteligente de los datos. Mediante el uso de cifrado de última generación y prácticas disciplinadas de manejo de datos, garantizamos que la información confidencial permanezca confidencial e intacta durante todo su ciclo de vida. Estas medidas se ajustan a los controles de encriptación, control de acceso y enmascaramiento de datos de la norma ISO 27001:2022, lo que garantiza que los datos estén siempre a salvo de accesos no autorizados.

La infraestructura en la nube de Proemion es la columna vertebral de nuestra plataforma de conectividad global y la protegemos mediante una estrategia de defensa en profundidad. Utilizamos Amazon Web Services (AWS) como nuestro principal proveedor de la nube y nos adherimos estrechamente a las mejores prácticas de seguridad de AWS. Nuestro enfoque puede resumirse como seguro por diseño y supervisado continuamente. Los aspectos clave de la seguridad y las operaciones de nuestra infraestructura en la nube incluyen:

Diseñamos nuestros sistemas en la nube de acuerdo con el modelo de responsabilidad compartida de AWS y el marco bien diseñado de AWS. Esto significa que delimitamos claramente qué controles de seguridad administra AWS (p. ej., la seguridad del centro de datos físico y el hardware subyacente) y cuáles administramos nosotros (p. ej., todo desde el sistema operativo hacia arriba) para las cargas de trabajo de producción, separándolas de los entornos de desarrollo y pruebas. Nuestro entorno de nube está segmentado en múltiples redes virtuales (VPC) y cuentas para aislar dentro de la producción, y segregamos aún más los servicios por función y sensibilidad. Los grupos de seguridad de red y los cortafuegos aplican el principio del mínimo privilegio: los servicios se comunican únicamente en los puertos/protocolos necesarios. También implementamos los servicios de protección recomendados por AWS, como Web Application Firewalls (AWS WAF) para nuestros servicios web y AWS Shield para la protección DDoS en endpoints públicos.

Todos los servidores (ya sean instancias EC2, contenedores o funciones sin servidor) se lanzan desde imágenes y configuraciones reforzadas. Actualizamos periódicamente las imágenes base y automatizamos la aplicación de configuraciones seguras (por ejemplo, deshabilitando puertos no utilizados y aplicando configuraciones de referencia CIS). Los servicios en la nube, como bases de datos, cachés y cubos de almacenamiento, se configuran pensando en la seguridad: cifrado en reposo activado, políticas de acceso estrictas y ningún acceso público a menos que sea absolutamente necesario. El acceso administrativo a los sistemas en la nube requiere autenticación multifactor (MFA) y está estrictamente controlado mediante roles de AWS Identity and Access Management (IAM). También utilizamos herramientas automatizadas de análisis de la configuración para detectar errores de configuración o desviaciones de nuestra línea de base de seguridad, en consonancia con los controles ISO para la gestión segura de la configuración.

Mantenemos un control estricto sobre el acceso a los recursos de la nube. Cada usuario y servicio de nuestro entorno en la nube opera bajo una identidad dedicada con permisos personalizados. Evitamos las credenciales estáticas de larga duración utilizando funciones IAM y tokens temporales siempre que es posible. La autenticación multifactor es obligatoria para todos los accesos de consola y VPN. Las acciones administrativas en las cuentas en la nube están limitadas a un pequeño número de ingenieros, y todos los accesos quedan registrados. Periódicamente revisamos y ajustamos los permisos para garantizar que ningún usuario o sistema tenga más acceso del necesario (apoyando los controles de gestión de identidades de mínimo privilegio e ISO Anexo A).

Nuestra plataforma en la nube se supervisa continuamente. Agrupamos los registros de todos los sistemas críticos -incluidos los registros de auditoría, los registros de flujo de red, los registros del sistema operativo y los registros de aplicaciones- en un sistema centralizado de Información de Seguridad y Gestión de Eventos (SIEM). Los eventos relevantes para la seguridad (por ejemplo, fallos de autenticación, cambios de configuración, tráfico de red anómalo) activan alertas que nuestro equipo de seguridad debe investigar. Utilizamos AWS CloudTrail y AWS Config para registrar y evaluar acciones en nuestro entorno. Además, empleamos la detección de intrusiones y la monitorización de la integridad de los archivos en sistemas clave para detectar cualquier indicio de peligro. Nuestro equipo de operaciones también integra feeds de inteligencia sobre amenazas, por lo que estamos al tanto de las amenazas emergentes (como vulnerabilidades de día cero o ciberataques activos) y podemos reforzar proactivamente las defensas o aplicar parches, en línea con el nuevo control del Anexo A sobre inteligencia sobre amenazas.

La alta disponibilidad y la continuidad están integradas en nuestra arquitectura de nube. Desplegamos servicios críticos en varias zonas de disponibilidad para resistir las interrupciones del centro de datos. Periódicamente se realizan copias de seguridad (cifradas) de los datos para evitar fallos catastróficos en la región de la nube. Periódicamente realizamos simulacros de recuperación para validar que las copias de seguridad pueden restaurarse y los sistemas reconstruirse dentro de nuestros objetivos de tiempo de recuperación. En caso de interrupción del servicio, nuestros equipos de respuesta a incidentes y operaciones disponen de manuales para mitigar rápidamente el impacto y mantener informados a los clientes. (La continuidad del negocio se trata con más detalle en una sección posterior, pero vale la pena señalar que nuestra configuración en la nube está diseñada para ser resistente por defecto).

Nuestras operaciones en la nube siguen un modelo DevSecOps, en el que la seguridad está integrada en el flujo de trabajo. Los cambios en la infraestructura (como la modificación de las reglas de red o la implantación de un nuevo servicio) se someten a revisión de código y pruebas automatizadas, al igual que el código de las aplicaciones. Utilizamos plantillas de infraestructura como código, lo que significa que las configuraciones del entorno están controladas por versiones y son auditables. Antes de aplicar los cambios, realizamos comprobaciones de políticas automatizadas (por ejemplo, "¿abre este cambio algún puerto que no debería estar abierto?", "¿están activadas las opciones de cifrado?"). Sólo cuando se superan estas comprobaciones y aprobaciones se aplican los cambios, normalmente de forma automática. Así se reduce la posibilidad de que un error humano provoque una brecha de seguridad y se garantiza la trazabilidad de cada cambio en la infraestructura.

En resumen, nuestra infraestructura en la nube se gestiona con el mismo rigor que nuestro software: se diseña de forma segura, se configura con el mínimo privilegio, se observa continuamente y se mejora con el tiempo. Al seguir marcos como AWS Well-Architected y alinearnos con la guía de seguridad en la nube ISO 27001, garantizamos que nuestros sistemas backend -y, por extensión, los datos y servicios de nuestros clientes- estén seguros en la nube.

Proemion no trabaja de forma aislada: dependemos de varios proveedores externos para la infraestructura, los componentes y los servicios, y nos integramos con los sistemas de clientes y socios. Entendemos que nuestra postura de seguridad es tan fuerte como el eslabón más débil, por lo que extendemos nuestra diligencia de seguridad también a terceros. Nuestro programa de seguridad para terceros garantiza que los proveedores, vendedores y socios cumplen normas de seguridad estrictas y que los datos que se comparten con ellos permanecen protegidos. Los aspectos clave de nuestro enfoque incluyen:

Mantenemos un inventario de nuestros proveedores y prestadores de servicios críticos (alojamiento en la nube, bibliotecas de software, socios de fabricación, etc.) y evaluamos su postura de seguridad. Para cada tercero que vaya a manejar datos u operaciones sensibles, llevamos a cabo la diligencia debida durante la incorporación, que puede incluir la revisión de sus certificaciones de seguridad (por ejemplo, ISO 27001, informes SOC 2), el cumplimiento normativo (por ejemplo, GDPR) y su reputación general. Utilizamos un cuestionario estandarizado basado en marcos del sector para evaluar sus controles. Los riesgos se documentan, y los hallazgos de alto riesgo deben mitigarse o compensarse antes de la contratación.

Los acuerdos de Proemion con sus proveedores incluyen disposiciones específicas sobre seguridad y protección de datos. Para cualquier proveedor con acceso a nuestros datos o sistemas, le exigimos contractualmente que siga las prácticas de seguridad y los regímenes de cumplimiento adecuados. Por ejemplo, los proveedores de nube y software deben mantener las certificaciones pertinentes (como ISO 27001 o PCI-DSS, si procede) y notificarnos cualquier infracción o cambio en su postura. También incluimos cláusulas de confidencialidad y tratamiento de datos (a menudo alineadas con el GDPR y nuestras propias normas de privacidad) para garantizar que los terceros protegen los datos al mismo nivel que nosotros.

Las relaciones con terceros no son "set and forget". Revisamos periódicamente el rendimiento y la seguridad de los proveedores clave. Esto puede incluir la revisión anual de sus informes de auditoría actualizados y el seguimiento de sus anuncios para detectar cualquier incidente o vulnerabilidad (por ejemplo, si nuestro proveedor de nube publica un aviso de seguridad, verificamos que nuestro entorno no se vea afectado o aplicamos los parches necesarios). Para los proveedores críticos, mantenemos puntos de contacto y celebramos reuniones periódicas para tratar asuntos de seguridad. También hacemos un seguimiento de cuándo se renuevan los contratos para reevaluar el riesgo y actualizar las condiciones según sea necesario. En estas revisiones se tienen en cuenta los riesgos nuevos y en evolución (como los ataques a la cadena de suministro o los cambios en la actividad de un proveedor).

Cuando nos integramos con API o hardware de terceros (por ejemplo, los sistemas de un cliente o la plataforma de un socio), garantizamos interacciones seguras. Esto puede implicar el uso de VPN o canales seguros dedicados para las integraciones de sistemas, la gestión de claves de autenticación de API con los alcances y la rotación adecuados, y la comprobación de la integración para detectar brechas de seguridad. Tratamos el intercambio de datos salientes con el mismo cuidado que nuestros datos internos, asegurándonos de que estén cifrados en tránsito y limitados al mínimo necesario. Si un socio necesita acceder a nuestros sistemas (por ejemplo, con fines de asistencia), le proporcionamos cuentas específicas con permisos limitados y permitimos un registro detallado de sus actividades.

Nuestros productos incluyen inevitablemente componentes de terceros y de código abierto. Seleccionamos cuidadosamente estos componentes, favoreciendo las bibliotecas bien mantenidas y de amplia confianza. Todo el software y firmware de terceros incluido en nuestras soluciones está catalogado. Supervisamos las fuentes de vulnerabilidades (como las bases de datos CVE) para detectar problemas en estos componentes y los actualizamos o parcheamos rápidamente a través de nuestro proceso de gestión de parches. Además, nuestra política de desarrollo seguro incluye directrices para que los desarrolladores evalúen los componentes de código abierto (por ejemplo, comprobando la firma del código, verificando las sumas de comprobación y revisando las licencias) antes de incluirlos. Al regular lo que entra en nuestro software, reducimos el riesgo de vulnerabilidades ocultas o código malicioso procedente de fuentes de terceros.

Si un incidente de seguridad implica o es causado por un proveedor de servicios externo, trabajamos estrechamente con él para resolverlo. Nuestro plan de respuesta a incidentes incluye contactar con el proveedor, intercambiar la información necesaria y asegurarnos de que toma las medidas adecuadas por su parte. Mantenemos documentación de contactos de terceros para casos de emergencia. Tras el incidente, podemos volver a evaluar la idoneidad del proveedor o exigirle medidas correctivas si no ha cumplido las expectativas.

El compromiso de Proemion con la seguridad de terceros significa que nuestros socios y clientes pueden confiar no sólo en nosotros, sino también en el ecosistema que nos rodea. Esperamos que nuestros proveedores mantengan los mismos altos estándares que nosotros, y lo verificamos mediante una supervisión diligente. Este enfoque se ajusta a los controles del anexo A de la norma ISO 27001:2022 sobre relaciones con proveedores y seguridad de la cadena de suministro, lo que contribuye a garantizar que los datos permanezcan protegidos incluso cuando los manejan terceros. En última instancia, la seguridad es una responsabilidad compartida, y nos tomamos en serio nuestro papel extendiendo nuestra cultura de seguridad más allá de nuestros límites organizativos.

Ante interrupciones imprevistas -ya sean desastres naturales, incidentes cibernéticos o fallos operativos- Proemion está preparada para mantener los servicios críticos y recuperarlos rápidamente. Nuestros planes de Continuidad de Negocio y Recuperación de Desastres (BC/DR) están diseñados para minimizar el tiempo de inactividad y la pérdida de datos, manteniendo las operaciones de nuestros clientes funcionando sin problemas incluso en el peor de los casos. Alineamos nuestra planificación de la continuidad con las normas ISO 27001 Anexo A e ISO 22301 para garantizar las mejores prácticas. Los elementos clave de nuestro programa de continuidad de negocio incluyen

La continuidad del negocio se gestiona como parte integral del Sistema de Gestión de la Seguridad de la Información (SGSI) de Proemion. Identificamos las funciones empresariales críticas y los recursos necesarios para respaldarlas en caso de interrupción, incluidos los servicios telemáticos en la nube, los sistemas informáticos internos y la infraestructura de apoyo. Se realizan análisis del impacto en el negocio (BIA) para determinar las prioridades de recuperación y el tiempo de inactividad aceptable para los procesos clave. Las estrategias de continuidad, las responsabilidades y las acciones de mejora se definen y revisan mediante procesos de gobernanza y gestión establecidos, garantizando la preparación y la mejora continua sin depender de una estructura de gestión de la continuidad independiente.

Para los sistemas críticos, Proemion define Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) apropiados para guiar la planificación de la recuperación y la resistencia. Estos objetivos establecen plazos aceptables de restauración de servicios y expectativas de recuperación de datos basadas en evaluaciones de impacto y riesgo para el negocio. Los objetivos de recuperación se revisan y aprueban mediante procesos de gestión establecidos y se diseñan para cumplir los requisitos contractuales, normativos y operativos aplicables. Se aplican medidas técnicas y organizativas para apoyar estos objetivos y se revisan periódicamente para garantizar su eficacia continua.

Disponemos de un plan técnico documentado de recuperación de desastres que detalla cómo recuperar cada sistema en diferentes situaciones de desastre. Por ejemplo, si toda una región de AWS se cae, disponemos de procedimientos para lanzar nuestros servicios en una región alternativa utilizando datos de copia de seguridad y scripts de infraestructura como código. Si una implementación de software afecta gravemente al sistema, podemos volver a un estado conocido como bueno. Nuestro plan de recuperación ante desastres se prueba periódicamente por partes y en su conjunto. Realizamos simulacros (al menos una vez al año) que simulan una interrupción importante. Durante estos simulacros, el equipo practica la restauración a partir de copias de seguridad, el cambio a sistemas redundantes y la verificación de la integridad de los datos. Las deficiencias detectadas se subsanan con prontitud.

Siempre que es posible, evitamos los puntos únicos de fallo. Nuestros sistemas clave funcionan con una configuración redundante: varios servidores, rutas de red redundantes, energía de reserva en las oficinas, etc. Disponemos de procesos de conmutación por error para los componentes críticos (por ejemplo, si falla un servicio, otro puede tomar el relevo). Hacemos copias de seguridad continuas de los datos, y las copias de seguridad se almacenan fuera de las instalaciones y se cifran. También utilizamos funciones en la nube, como las instantáneas de bases de datos, para garantizar que los datos permanezcan seguros aunque se vea comprometida una única ubicación. La combinación de estas medidas garantiza que muchos incidentes menores (como fallos del servidor o pérdida de conectividad) se gestionen de forma transparente, sin tiempo de inactividad.

En caso de una interrupción importante, tenemos una cadena de mando y un plan de comunicación claros. Nuestro Equipo de Respuesta a Incidentes -que incluye miembros de Seguridad, TI, DevOps y Soporte- hace las veces de equipo de respuesta a emergencias. Se reúnen rápidamente (de forma virtual, si es necesario) para evaluar la situación e iniciar acciones de respuesta. Disponemos de plantillas de comunicación previamente elaboradas para informar a clientes, socios y partes interesadas internas, lo que garantiza la difusión de información oportuna y precisa. Damos prioridad a la seguridad (en caso de incidentes físicos) y a la protección de datos durante cualquier evento de continuidad. Tras el incidente, realizamos una retrospectiva para aprender y mejorar (que se incorpora tanto a nuestro SGCN como a nuestro proceso de gestión de riesgos de seguridad).

La continuidad de la actividad no es un proyecto puntual, sino un esfuerzo continuo. Actualizamos nuestros planes de continuidad y recuperación cada vez que se producen cambios significativos en nuestro entorno, por ejemplo, si adoptamos una nueva tecnología o si cambian nuestras prioridades empresariales. El personal recibe formación periódica sobre procedimientos de emergencia. Nuestro objetivo es que, en caso de desastre, cada miembro del equipo conozca su papel y haya ensayado los pasos de recuperación. Además, al ajustarnos a normas como la ISO 22301, nos aseguramos de que nuestro planteamiento abarca no sólo la recuperación informática, sino también aspectos empresariales más amplios (lugares de trabajo alternativos, comunicación, etc.).

Con unos sólidos planes de continuidad, Proemion se asegura de poder cumplir nuestros compromisos y acuerdos de nivel de servicio con los clientes, incluso en condiciones adversas. Tanto si se trata de un fallo de hardware localizado como de una crisis generalizada, estamos preparados para responder y recuperarnos rápidamente. Esta capacidad de recuperación es una parte clave de nuestra promesa: no sólo protegemos sus datos, sino que también garantizamos la disponibilidad de los servicios en los que confía. En combinación con nuestras medidas de seguridad preventivas, esto hace que nuestra postura global de seguridad sea integral, abarcando la protección, detección, respuesta y recuperación de extremo a extremo.