Política de la Seguridad de la Información

  1. Objetivos

La norma ISO/IEC 27001: 2017 es un estándar de seguridad internacional para Sistemas de Gestión de Seguridad de la Información que proporciona requisitos obligatorios para implementar, revisar y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).

Esta Política de Seguridad de las TIC (en adelante, Política) define y engloba la política del SGSI en términos de las características del Negocio, la Compañía y sus Activos. 

Esta Política establece los principios, ambiciones y objetivos de la Compañía al utilizar el Sistema de Gestión para la Seguridad de la Información para cumplir los mismos. 

2. Alcance

La presente Política es aplicable a todos los activos de información incluyendo instalaciones, sistemas, servicios, software, bases de datos y toda la información almacenada o procesada en los sistemas informáticos.

Asimismo, deberán cumplir con la Política de Seguridad todas las personas que tengan acceso a la información objeto de alcance del Sistema de Gestión de Seguridad de la Información, y/o presten servicios para la Compañía, incluso en el supuesto de que su relación no tenga carácter laboral.

3. Responsabilidades

Esta política será publicada y distribuida por el Responsable de Seguridad.

La dirección de Predictiva definirá y aprobará esta política y sus objetivos de seguridad. 

4. Desarrollo

PREDICTIVA es una empresa tecnológica basada en IA y especializada en desarrollos de procesamiento de lenguaje natural y aprendizaje automático. UPBE es el nombre de nuestro producto y nace con la misión de poner en valor la información de las conversaciones telefónicas que los clientes tienen con las empresas.

UPBE es una tecnología que combina aprendizaje automático y procesamiento de lenguaje natural para detectar de qué se habla en las llamadas. 

UPBE está compuesto por varios módulos o componentes

  1. En primer lugar, está el motor de transcripción de voz a texto. Este motor de transcripción es propio. Está especializado en contexto de llamadas telefónicas de Call Center que técnicamente denominamos de alta complejidad debido al solapamiento de voces, ruidos de fondo, distintas velocidades con las que hablan agente y cliente, compresión del audio, calidad del micrófono, etc. Hay una serie de circunstancias que hacen que este contexto de transcripción sea mucho más complejo al de un asistente conversacional tipo Siri o Alexa donde básicamente le dictamos comandos u órdenes.  
  2. También disponemos de un motor de análisis de sentimientos que analiza la señal de audio y detecta y clasifica las emociones basándose en parámetros de la señal de audio, como la frecuencia, amplitud.  
  3. Una vez disponemos de la transcripción y del análisis sobre la señal de audio, trabaja el módulo de procesamiento de lenguaje natural para identificar ítems o categorías dentro de la conversación. 

UPBE dispone de una plantilla de ítems precargados que serán identificados en la llamada de una forma automática sin requerir configuración. Todos aspectos relacionados con el análisis y evaluación de la experiencia de cliente, Compliance o calidad. 

Además de estas categorías predefinidas, UPBE permite personalizar nuevas. Es decir, crear o definir nuevos ítems que pueden tener que ver con temas más específicos de nuestro negocio cuando, por ejemplo, nuestros clientes hablan de la competencia o valoran nuestros productos y servicios. 

  1. Y, por último, para explotar toda la información, hay una capa de Business Intelligence muy completa que aglutina toda la inteligencia que genera UPBE en una serie de cuadros de mando que me permite entender a distintos niveles lo que está ocurriendo en las llamadas con los clientes y contestar a preguntas clave. 

En UPBE hay desarrollados varios casos de uso para aquellas empresas en las que el canal telefónico es un medio de comunicación significativo con sus clientes: el análisis automático de la experiencia de cliente de cada interacción telefónica, automatización de las auditorías de ventas o la identificación automática de los motivos de llamada.  

En conclusión, lo que desde UPBE ofrecemos es contestar a preguntas del tipo: 

  • Por qué me llaman mis clientes 
  • Cuáles son los principales motivos de insatisfacción 
  • Donde están las debilidades de mis productos o servicios 
  • Qué motivos generan mayor índice de rellamadas 
  • Qué clientes tienen mayor probabilidad de darse de baja de nuestro servicio 

El principal valor de UPBE es ofrecer a las compañías las respuestas a estas preguntas para garantizar una enorme ventaja competitiva frente al resto.  

En el camino que marca nuestra misión y visión, hemos definido unos valores a compartir, que siempre tengan en cuenta aspectos claves en la gestión de la seguridad de la información, que nos permitan desarrollar una cultura de empresa, una forma de trabajar y de tomar decisiones en PREDICTIVA: 

  • Nuestra especialización y continua puesta al día. 
  • Lograr que la seguridad de la información y el respeto a los datos personales sean una constante: 
  • Preservando la confidencialidad de la información y evitando su divulgación y el acceso por personas no autorizadas. 
  • Manteniendo la integridad de la información procurando su exactitud y evitando su deterioro. 
  • Asegurando la disponibilidad de la información en todos los soportes y siempre que sea necesaria. 
  • La Dirección de PREDICTIVA valora especialmente y establece como criterio principal para la estimación de sus riesgos la valoración de la ATRIBUTO C, I, o D de su información y aún más la de sus clientes. 
  • Así, PREDICTIVA se compromete a desarrollar, implantar, mantener y mejorar continuamente su Sistema de Gestión de Seguridad de la Información (SGSI) con el objetivo de la mejora continua en la forma en que prestamos nuestros servicios y en la forma en que tratamos la información de nuestros clientes y nuestra organización. Por ello, es política de PREDICTIVA que: 
  • Se establezcan anualmente objetivos con relación a la Seguridad de la Información. 
  • Se cumpla con los requisitos legales, contractuales y del negocio. 
  • Se realicen actividades de formación y concienciación en materia de los procesos de Seguridad de la Información para todo el personal. 
  • Se desarrolle un proceso de análisis, gestión y tratamiento del riesgo sobre los activos de información. 
  • Se establezcan los objetivos de control y los controles correspondientes para mitigar los riesgos detectados. 
  • Se establezca la responsabilidad de los empleados en relación a:  
  • Reportar las violaciones a la seguridad  
  • Preservar la confidencialidad, integridad y disponibilidad de los activos de información en cumplimiento de la presente política  
  • Cumplir las políticas y procedimientos inherentes al Sistema de Gestión de la Seguridad de la Información. 

El Responsable de Seguridad es el responsable directo del mantenimiento de esta política, prestando consejo y guía para su implementación y correcciones ante desviaciones en su cumplimiento. 

5. Documentación de Referencia

  • Manual del SGSI 
  • ISO/IEC 27001:2013 
  • ISO/IEC 27002:2013 

6. Registros

Esta política establece el marco de referencia para la planificación, operación y mejora del SGSI. 

7. Política de Seguridad

Esta Política de Seguridad de la información ha sido desarrollada para asegurar la confidencialidad, integridad y disponibilidad de la tecnología y los activos de información de la Compañía (p.e. aplicaciones de IT, sistemas y servicios) y se alinea con el estándar ISO/IEC 27002:2017 “Tecnologías de la Información – Técnicas de Seguridad – Código de prácticas para los controles de seguridad de la información”. Asimismo, esta Política hace referencia a la Normativa General de Seguridad de la Información.

8. Objetivos generales de seguridad

El SGSI tiene como objetivo principal asegurar la confidencialidad, disponibilidad e integridad de los sistemas de información que dan soporte a los procesos, sistemas e infraestructura de la Compañía, según el documento de aplicabilidad. Para ello, tiene como objetivos concretos:

  • Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
  • Paliar los efectos de los incidentes de seguridad.
  • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
  • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
  • Evaluar los riesgos que afectan a los activos, con el objeto de adoptar las medidas/controles de seguridad oportunos.
  • Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
  • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
  • Proteger a las personas en caso de catástrofes naturales, incendios, inundaciones, ataques terroristas, etc., mediante planes de emergencia.
  • Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
  • Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, penal, etc., que afecte a los activos de la Compañía.
  • Garantizar un servicio eficiente a nuestros clientes con un alto nivel de calidad, preservando así su confianza. 
  • Proteger el capital intelectual de la Compañía para que no se divulgue ni se utilice ilícitamente.
  • Obtener las evidencias que permitan acreditar los incidentes de seguridad y la identificación de su autor.
  • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la Compañía.
  • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
  • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.

Las distintas áreas cuya responsabilidad se encuentran bajo los servicios prestados deberán contemplar la seguridad desde el mismo momento en que se concibe un nuevo sistema o servicio, aplicando para estos y para los ya existentes, las medidas de seguridad necesarias para garantizar la disponibilidad, confidencialidad e integridad de la información.

Los requisitos de seguridad de los sistemas, las necesidades de formación de los usuarios, administradores y operadores y las necesidades de financiación deben ser identificados e incluidos en la planificación de los sistemas y en los pliegos de prescripciones utilizados para la realización de proyectos que involucren a las TIC.

Se deben articular mecanismos de prevención, reacción y recuperación con objeto de minimizar el impacto de los incidentes de seguridad.

En cuanto a la prevención, se debe evitar que los servicios y la información resulten afectados por un incidente de seguridad. Para ello, la Compañía implementará las medidas de seguridad que les son de aplicación en base a las normativas y regulaciones (referenciadas en el apartado 3 de Marco Normativo) que afectan a su actividad, así como las medidas adicionales necesarias para contrarrestar las amenazas identificadas en el proceso de análisis de riesgos.

En cuanto a la reacción, se establecerán mecanismos de detección, comunicación y gestión de incidentes de seguridad, de forma que cualquier incidente pueda ser tratado en el menor plazo posible. Siempre que sea posible, se detectarán de forma automática los incidentes de seguridad, utilizando elementos de monitorización de los servicios o de detección de anomalías y poniendo en marcha los procedimientos de respuesta al incidente en el menor plazo posible. Para los incidentes detectados por los usuarios, ya sean internos o externos, se establecerán los pertinentes canales de comunicación de incidentes.

En cuanto a la recuperación, para aquellos servicios que se consideren críticos, en base a la valoración que de los mismos realicen sus responsables, se deberán desarrollar planes que permitan la continuidad de los mismos en el caso de que, a raíz de un incidente de seguridad, quedaran indisponibles.