Centro de confianza de Nozomi Networks

Bienvenido al Centro de Confianza de Nozomi Networks , su puerta de entrada para comprender las sólidas medidas de seguridad que hemos implementado para proteger nuestros sistemas y sus datos. En Nozomi Networks, damos prioridad a la seguridad y privacidad de la información de nuestros clientes, garantizando que nuestras prácticas cumplen con los más altos estándares de la industria.

Nuestro equipo de Gobernanza, Riesgos y Cumplimiento se dedica a mantener un entorno seguro mediante una combinación de funciones de seguridad avanzadas y auditorías rigurosas.

Seguimos las mejores prácticas del sector para garantizar la resistencia del sistema y ganarnos su confianza con datos confidenciales. Mediante sólidas políticas de seguridad, ayudamos a los clientes a cumplir la normativa y a ganar en tranquilidad. Nozomi Networks invierte continuamente en tecnología avanzada y equipos cualificados para proteger sus datos y mantener los más altos estándares de seguridad y privacidad.

Seguridad de la información

Seguridad de las organizaciones

Nozomi Networks se compromete a desarrollar, suministrar y operar soluciones de ciberseguridad y visibilidad para sistemas de control industrial con el nivel más alto posible de seguridad, integridad y disponibilidad. Y a proteger la información corporativa, la información personal y los datos de los clientes frente a pérdidas, accesos no autorizados y divulgación.

Para lograr este objetivo, Nozomi Networks ha implantado un Sistema de Gestión de la Seguridad de la Información (SGSI):

  • Desarrollo y suministro de productos y servicios altamente seguros a los clientes y socios de Nozomi Networks. 
  • Protección de la información de los clientes. 
  • Protección de los activos de información de Nozomi Networks. 
  • Mantener una cultura de competencia, responsabilidad y conciencia de la seguridad. 

Seguridad del personal

Nozomi Networks hace especial hincapié en la seguridad del personal para garantizar la protección de sus activos de información.

Políticas

La empresa ha desarrollado un amplio conjunto de políticas de seguridad que cubren una gran variedad de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas que tienen acceso a los activos de información de Nozomi Networks.

Formación y sensibilización

Uno de los componentes clave de la seguridad del personal de Nozomi Networks es el programa de formación sobre concienciación en materia de seguridad. Todos los empleados están obligados a asistir a esta formación en el momento de su contratación y, posteriormente, una vez al año. Además, el equipo de seguridad proporciona actualizaciones periódicas de concienciación sobre seguridad a través de diversos canales.

Comprobación de antecedentes

La investigación de antecedentes de los empleados es otro aspecto fundamental de las prácticas de seguridad del personal de Nozomi Networks. La empresa comprueba los antecedentes de todos los nuevos empleados de acuerdo con la legislación local. Estas comprobaciones también se exigen a los contratistas e incluyen la verificación de antecedentes penales, educativos y laborales.

Acuerdos de confidencialidad (NDA)

Todas las nuevas contrataciones deben firmar acuerdos de confidencialidad y no divulgación para proteger la información sensible.

Procesos de incorporación y baja

Nozomi Networks cuenta con estrictos requisitos de incorporación y baja para garantizar el acceso adecuado (y la revocación) a los activos de información.

Seguridad de las empresas

Nozomi Networks se compromete a garantizar el máximo nivel de seguridad informática corporativa. A continuación le mostramos cómo abordamos diversos aspectos de la seguridad informática:

Seguridad de Endpoint

Se aplican controles estrictos a los puntos finales conectados a los sistemas de Nozomi Networks, especialmente a aquellos con acceso a información sensible. Se trata de una parte integral del marco general de seguridad informática.

Supervisión y registro

La supervisión continua registra todos los accesos a la base de datos y envía los registros a un sistema centralizado. El acceso administrativo, el uso de comandos privilegiados y otras actividades de acceso se registran y conservan. La información de los registros está protegida contra manipulaciones y accesos no autorizados.

Protección contra malware

Los servidores y dispositivos endpoint , como portátiles y ordenadores de sobremesa, están protegidos y vigilados frente a malware, códigos maliciosos y aplicaciones no seguras mediante la implantación de un conjunto de herramientas de protección.

Seguridad física

El acceso a las oficinas, salas de ordenadores y áreas de trabajo que contienen información sensible está restringido físicamente sólo al personal autorizado. Los empleados utilizan tarjetas de acceso para entrar en las oficinas y llevan un registro de visitantes. Existen cámaras de vigilancia y medidas de seguridad para controlar los edificios. Se realizan auditorías de seguridad física.

Policies Summary

At Nozomi Networks, transparency is a foundational principle that guides our approach to cybersecurity and governance. We are committed to upholding the strictest information security requirements, ensuring that our systems, data, and operations remain resilient and trustworthy. Our policies are not just guidelines—they are enforceable standards that apply to every employee, reinforcing a culture of accountability and vigilance. This document provides a high-level summary of our core information security policies, outlining the frameworks and expectations that safeguard our organization and the clients we serve.

Acceptable Use of Technology

The Acceptable Use of Technology Policy outlines the guidelines for using technology resources at Nozomi Networks. It emphasizes responsible and diligent conduct to protect company assets from loss, compromise, or harm. The policy covers various aspects such as data management, use of email, computers, software installations, mobile phones, internet access, public Wi-Fi, VPN, communication services, phishing/scam emails, Dropbox, removable media, accounts and secrets, passwords, cloud services, and generational AI models. Non-compliance with the policy may lead to disciplinary actions, including termination of employment.

Control de acceso

The Access Control Policy establishes requirements for authentication, authorization, and accounting (AAA) to ensure the security of Nozomi’s assets and information processing facilities. It mandates that access is limited to authorized personnel only, based on the principles of least privilege and need-to-know. The policy covers user access management, system and application, access control, and access to networks and hosted services. It also includes provisions for audit controls, user registration and de-registration, privileged access rights management, and periodic reviews of access rights. The policy applies to all Nozomi employees, contractors, and anyone with access to Nozomi’s resources and network.

AI Policy

The AI Policy document outlines guidelines for the development, implementation, use, and monitoring of AI and machine learning (ML) technologies within Nozomi Networks. It emphasizes responsible and ethical AI/ML system development, ensuring compliance with regulatory standards like the EU AI Act. The policy covers all AI/ML systems embedded in Nozomi Networks’ software and services, as well as third-party AI tools used within the organization. Key principles include fairness, transparency, data privacy, and security. The policy applies to all employees, contractors, and third-party vendors, aiming to enable innovation while adhering to legal and regulatory requirements.

Business Continuity Policy

The Business Continuity Policy outlines the framework and requirements for Nozomi Networks’ Business Continuity Plan (BCP), ensuring consistent availability and delivery for products, operations, and services, while maintaining the safety of personnel during disasters or disruptions. The policy emphasizes leadership commitment, roles and responsibilities, risk assessment, communications plan, continuity and recovery objectives, disaster recovery plan, functional business continuity plan, exercise and testing, performance evaluation, continual improvement, and adherence to legal and contractual obligations.

Change Management Policy

The Change Management Policy outlines the responsibilities and procedures for managing changes to Nozomi Networks’ information assets, including physical and virtual network devices, software products, internal information systems, and customer-deployed applications. It emphasizes the importance of identifying, tracking, planning testing, and approving changes while assessing potential risks and communicating details to relevant stakeholders. The policy also includes fallback procedures for aborting and recovering from unsuccessful changes and mandates that all exceptions involving security reviewed and approved by the appropriate manager. This policy applies to all employees and contractors involved with the development, management, and support of these assets.

Data Handling Policy

The data handling policy outlines the guidelines for managing and protecting data at Nozomi Networks. It covers data classification, disposal, and retention, ensuring that all data, whether stored physically or virtually, is handled securely. The policy mandates encryption for sensitive data, regular audits, and proper labeling. It also specifies the retention periods for different types of data and the secure disposal of records and storage media. The policy applies to all Nozomi Networks employees and contractors, emphasizing the importance of protecting data to prevent unauthorized access or breaches.

Encryption Policy

The Encryption Policy outlines the cryptographic controls and key management practices for protecting sensitive information at Nozomi Networks. It mandates the use of state-of-the-art cryptographic solutions for data-at-rest and in transit, based on international standards like NIST SP 800-131a and approved algorithms such as AES for confidentiality and SHA-256 for integrity. The policy covers various types of information, including customer data, PII, passwords, intellectual property, and compliance records. It also specifies that encryption mechanisms must meet regulatory and legal requirements and be approved by IT or the CTO.

Human Resources Security Policy

The Human Resources Security Policy outlines the procedures and guidelines for managing the hiring, training, and termination of employees and contractors at Nozomi Networks. It includes background verification checks, contractual agreements, and mandatory information security training for all staff members. The policy also details the responsibilities of employees, managers, compliance, and IT in ensuring timely completion of training and enforcing access restrictions for non-compliance. Additionally, it addresses the termination process, including the immediate disabling of access to company information and facilities, and the return of company property. The policy is classified and confidential.

Information Security Policy

The Information Security Policy outlines Nozomi Networks’ commitment to developing, delivering, and operating cybersecurity and visibility solutions for industrial control systems with the highest level of security, integrity, and availability. The policy aims to protect corporate information, personal information, and customer data against loss, unauthorized access, and disclosure. To achieve this, Nozomi Networks has implemented an Information Security Management System (ISMS) according to the ISO 27001:2022 standard. The ISMS includes applicable policies, processes, and measurable controls relevant to business functions, and it takes input from customer requirements, contractual agreements, and the needs of interested parties. The policy emphasizes leadership commitment, periodic risk assessments, and continual improvement to maintain stakeholder trust and support business objectives.

Office Management Procedure

The Office Management Procedure document outlines the requirements for guest access, badge issuance, and access control to the computer room at Nozomi Networks. It specifies that all guests must report to the Office Manager upon arrival, and their visit details are recorded in a visitor log. The Office Manager is responsible for managing access to the offices and issuing badge access cards to employees and multi-day visitors. The IT Manager controls physical access to the computer room, ensuring that only authorized personnel are allowed entry. The document also includes references to the Office Security – Badge Issuance procedure and emphasizes the importance of maintaining a secure access control system.

Operations Security Policy

The Operations Security Policy outlines the measures to ensure the security, availability, and integrity of Nozomi Networks’ information assets. It covers control of critical systems, system environment control, monitoring and logging, backup and recovery, vulnerability management, and secure configuration. The policy mandates that all personnel involved with system operations adhere to documented procedures for changes, software installations, and patching. It also emphasizes the importance of segregating operational environments, enabling logging and monitoring functions, regular backups, vulnerability assessments, and implementing robust access control and network security measures. The policy is applicable to all employees and contractors.

Physical Security Policy

The Physical Security Policy ensures the physical of all Nozomi Networks offices and information processing centers. It covers designated restricted areas, physical access records, access control, equipment control, visitor control, clear desk policy, and incident management. The policy mandates that access controls are implemented and maintained, access records are kept, equipment is safeguarded, visitors are escorted, and incidents are promptly investigated and resolved. The policy is applicable to all Nozomi Networks employees and contractors.

Política de privacidad

The Privacy Policy outlines Nozomi Networks’ commitment to protecting personal information and ensuring compliance with relevant privacy laws. It covers the collection, use, and safeguarding of personal data, emphasizing principles such as data quality, purpose specification, use limitation, security safeguards, openness, individual participation, and accountability. The policy also details the rights of individuals, including the right to be informed, access, rectification, erasure, restriction of processing, data portability, objection, and rights related to automation decision-making and profiling. Overall, the policy aims to maintain transparency and build trust with stakeholders by adhering to internationally recognized standards for data protection privacy.

Quality Policy

The Quality Policy of Nozomi Networks aims to establish the company as a global leader in providing advanced solutions for protecting operational technology (OT) and industrial control systems (ICS) from cyber threats. To achieve this, Nozomi Networks has implemented a Quality Management System (QMS) in accordance with ISO 9001:2015 standards. This system ensures that processes are managed to meet the requirements of customers and stakeholders, regardless of the company’s size and footprint. All employees and contractors are responsible for adhering to the QMS and applicable laws and regulations. The company is committed to continuous improvement by setting objectives, verifying results, and applying corrective actions when necessary.

Security Incident Management Policy

The Security Incident Management Policy outlines the procedures for handling information security incidents at Nozomi Networks. It applies to all employees, contractors, systems, products, services, and any information managed by the company. The policy emphasizes the responsibility of employees and contractors to protect confidential information, report cyber threats, and participate in containment efforts. Incident management involves detections, containment, investigation, eradication, recovery, and lessons learned. The response to incidents follows documented procedures and reporting methods adhering to the NIST 800-61 standard. Confidentiality is maintained throughout the process, with senior management authorized to disclose specific information to third parties.

System Development, Acquisition, and Maintenance Policy

The System Development, Acquisition, and Maintenance Policy outlines the procedures and standards for developing, acquiring, and maintaining systems, software, and application services at Nozomi Networks. It emphasizes the inclusion of information security requirements throughout the planning, development, and deployment phases of new products, services, or systems. The policy mandates a formal development methodology aligned with industry standards such as ITIL, DevOps, and Agile, and includes phases like requirements gathering, system design, implementation, testing, deployment, operation, and maintenance. Additionally, it covers the end-of-life process for IT applications and the criteria for system acquisition, ensuring security and compliance with regulations and industry standards.

Teleworking Policy

The Teleworking Policy outlines the guidelines for employees and contractors who work from locations other than a designated Nozomi Networks office. It covers eligibility criteria, types of telework arrangements, readiness evaluation, teleworking guidelines, equipment provisions, security measures, and workers’ compensation insurance. The policy emphasizes the importance of maintaining a secure and distraction-free work environment, protecting company assets and information, and adhering to specific security protocols. It also specifies that teleworking employees are covered by workers’ compensation insurance for job-related injuries.

Control de acceso

Nozomi Networks garantiza que a los usuarios sólo se les conceda acceso a la red, los sistemas, las aplicaciones y los servicios de red que hayan sido específicamente autorizados a utilizar. El acceso al sistema se audita, registra y verifica para mantener la seguridad y el cumplimiento.

Para reducir aún más el riesgo de acceso no autorizado a los datos, el modelo de control de acceso de Nozomi Networks se basa en el control de acceso basado en roles (RBAC) para crear una separación de funciones. Se aplican estrictamente los principios de mínimo privilegio.

Nozomi Networks emplea la autenticación multifactor (MFA) para todos los accesos a los sistemas que contienen datos de clientes. Todos los empleados están obligados a utilizar un gestor de contraseñas aprobado. Estos gestores de contraseñas generan, almacenan e introducen contraseñas únicas y complejas para evitar la reutilización de contraseñas, el phishing y otros riesgos relacionados con las contraseñas. Para gestionar el acceso a estas cuentas se utiliza una herramienta de autenticación.

Gestión de la cadena de suministro

Nozomi Networks se dedica a mantener una cadena de suministro segura y fiable mediante la supervisión y evaluación continuas de todos los subprocesadores de datos. Utilizamos diversas métricas para evaluar y revisar el rendimiento y el cumplimiento de nuestros subprocesadores.

Como parte de nuestras operaciones, Nozomi Networks sólo se asocia con terceros subprocesadores certificados. Cada proveedor es evaluado minuciosamente a través de nuestro Programa de Gestión de Riesgos de Terceros para garantizar que cumplen las normativas de privacidad obligatorias y se adhieren a las mejores prácticas en materia de seguridad. El equipo de GRC lleva a cabo la diligencia debida para evaluar las prácticas de privacidad, seguridad y confidencialidad de cada proveedor. Este proceso incluye la firma de un acuerdo de confidencialidad para cumplir las obligaciones aplicables.

Para garantizar el cumplimiento y la seguridad continuos, todos los proveedores críticos son auditados anualmente. También utilizamos una plataforma de gestión de proveedores como repositorio central de información, lo que nos permite gestionar y supervisar eficazmente nuestra cadena de suministro. Estas medidas nos ayudan a mantener los más altos niveles de seguridad y fiabilidad en nuestras operaciones.

Gestión de riesgos

Nozomi Networks adopta un enfoque proactivo en la gestión de riesgos para garantizar la seguridad y fiabilidad de sus servicios. Nuestro equipo realiza periódicamente diversas evaluaciones de riesgos sobre la estructura general de la empresa, el producto, los nuevos proyectos y los cambios propuestos. Una vez identificado un riesgo, seguimos un proceso exhaustivo.

Este enfoque estructurado permite a Nozomi Networks gestionar y mitigar eficazmente los riesgos, garantizando los más altos niveles de seguridad para nuestros servicios.

Identificar el riesgo

Comenzamos por identificar el riesgo y comprender cómo se relaciona con los servicios y la empresa de Nozomi Networks.

Evaluar el riesgo

A continuación, evaluamos o clasificamos el riesgo para obtener una visión holística de la exposición potencial de toda la organización.

Tratar el riesgo

Basándonos en la evaluación, tratamos los riesgos según el proceso de tratamiento de riesgos adecuado.

Control y revisión

Por último, supervisamos y revisamos continuamente los riesgos para vigilar de cerca todos los factores de riesgo.

Cifrado de datos

Cifrado en tránsito

Todas las comunicaciones con Vantage UI y API están encriptadas mediante HTTPS/TLS (TLS 1.2 o superior) estándar del sector.

Cifrado en reposo

Los datos del servicio se cifran en reposo en AWS mediante el cifrado de clave AES-256.

Seguridad de las aplicaciones

Código seguro

Los procesos de ingeniería utilizaron principios de código seguro, centrándose en los 10 principales riesgos de seguridad de la OWASP.

Marco de controles de seguridad

Nozomi Networks utiliza marcos de código abierto modernos y seguros con controles de seguridad incorporados para limitar la exposición a los 10 principales riesgos de seguridad de OWASP. Estos controles inherentes ayudan a reducir el riesgo de inyección SQL (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), y otras vulnerabilidades.

Entornos separados

Los entornos de prueba y ensayo están lógicamente separados del entorno de producción. En los entornos de desarrollo o prueba no se utilizan datos de servicio, lo que permite mantener un entorno seguro y controlado para las pruebas.

Gestión de vulnerabilidades

Exploración dinámica de vulnerabilidades

Nozomi Networks emplea herramientas de seguridad de terceros para escanear de forma continua y dinámica las aplicaciones principales contra los riesgos de seguridad más comunes de las aplicaciones web, incluidos los 10 principales riesgos de seguridad de OWASP.

Análisis de la composición del software

Las bibliotecas y dependencias utilizadas en los productos de Nozomi Networks se analizan para identificar y gestionar vulnerabilidades, garantizando que todos los componentes sean seguros.

Pruebas de penetración de terceros

Además de los amplios programas internos de análisis y pruebas, Nozomi Networks contrata a expertos en seguridad externos para que realicen detalladas pruebas de penetración anuales.

Localidad de alojamiento de datos

Nozomi Networks ofrece a los clientes la flexibilidad de elegir entre varias ubicaciones de centros de datos de AWS en función de sus preferencias y requisitos.

Esto permite a los clientes seleccionar la ubicación del centro de datos más adecuada a sus necesidades, garantizando un rendimiento óptimo, el cumplimiento de las normativas y la soberanía de los datos. Al ofrecer una amplia gama de opciones, Nozomi Networks permite a los clientes tomar decisiones informadas sobre dónde se almacenan y procesan sus datos, mejorando la seguridad y la fiabilidad generales.

Protección de datos

Nuestro compromiso con la privacidad

Nuestras prácticas de privacidad están diseñadas para proteger la información personal en todos los aspectos de nuestras operaciones. Esto incluye datos relacionados con empleados, solicitantes de empleo, proveedores, socios, visitantes del sitio web, clientes y pagadores. Recopilamos información personal sólo con fines específicos, explícitos y legítimos, asegurándonos de que los datos son exactos, completos y están actualizados. Aplicamos sólidas medidas técnicas y organizativas para proteger la información personal contra el acceso no autorizado, la divulgación, la alteración o la destrucción. Se realizan auditorías y revisiones periódicas para mantener la calidad e integridad de los datos.

Transparencia y derechos individuales

La transparencia es un valor fundamental en Nozomi Networks. Proporcionamos a las personas información clara y accesible sobre cómo se recopila, utiliza y protege su información personal. Nuestra política de privacidad y nuestros avisos están disponibles en nuestro sitio web y en otras plataformas relevantes. También facultamos a las personas para que ejerzan sus derechos en virtud de las leyes de privacidad aplicables, incluido el derecho a acceder, corregir, eliminar y restringir el procesamiento de sus datos personales. Nuestro compromiso con la transparencia garantiza que nuestros clientes puedan confiarnos su información más sensible.

Mediante la adhesión a estos principios y la mejora continua de nuestras prácticas de privacidad, Nozomi Networks se compromete a salvaguardar la información personal y a garantizar el cumplimiento de las normas más estrictas de protección de datos.

Gobernanza de la IA

Gobernanza de la IA

En Nozomi Networks, estamos comprometidos con el desarrollo, la implementación y el uso responsables y éticos de las tecnologías de inteligencia artificial (IA) y aprendizaje automático (AM). Nuestra Política de IA proporciona directrices exhaustivas para garantizar que nuestros sistemas de IA/ML se desarrollen e implementen de conformidad con las normas reguladoras, incluida la Ley de IA de la UE. Nuestro Programa se aplica a todos los sistemas de IA/ML integrados en nuestro software y servicios, así como a cualquier herramienta de IA de terceros utilizada dentro de la organización.

Nuestro enfoque se ajusta a nuestros objetivos de permitir la innovación, garantizar una conducta responsable y mantener la transparencia y el cumplimiento de los requisitos legales y reglamentarios.

Gobernanza y rendición de cuentas

Nozomi Networks ha establecido una sólida estructura de gobierno para supervisar nuestras iniciativas de IA. Hemos definido funciones y responsabilidades para la supervisión de los requisitos de la política de IA, con la participación de los departamentos de ingeniería, cumplimiento normativo, jurídico y TI. Existen juntas o comités de revisión para evaluar las iniciativas de IA, garantizando que todos los proyectos de IA se sometan a evaluaciones de riesgo exhaustivas y cumplan con las normativas en evolución. Como la Ley de IA de la UE.

Nuestro compromiso con la gobernanza y la rendición de cuentas garantiza que nuestros sistemas de IA funcionen de forma justa, segura y ética, lo que refuerza nuestra dedicación a mantener la confianza de nuestras partes interesadas.

Garantía

Garantía

01
ISO 27001

Nozomi Networks cuenta con la certificación ISO 27001:2022. Descargue una copia del certificado aquí.

02
SOC 2 Tipo II

Nos sometemos anualmente a auditorías exhaustivas bajo los Principios de Seguridad, Disponibilidad y Confidencialidad. Los informes SOC 2 Tipo II están disponibles bajo NDA. Para solicitar el último informe, póngase en contacto con su representante de ventas de Nozomi Networks .

03
SOC 3

Descargue aquí una copia del informe SOC 3 para obtener más información sobre nuestras prácticas de seguridad.

04
ISO 9001

Nozomi Networks cuenta con la certificación ISO 9001:2015. Descargue una copia del certificado aquí.

LIBRO BLANCO

Proteger los datos de los clientes: Vantage SaaS Multi-tenancy

Este libro blanco ofrece una visión general de la arquitectura de seguridad de datos Vantage , haciendo hincapié en la importancia de la protección de datos para los clientes.

Descargar
LIBRO BLANCO

Medidas de seguridad para Nozomi Networks Vantage

Este documento técnico describe el marco de seguridad, la arquitectura, los controles y los procedimientos operativos diseñados para proteger Nozomi Networks Vantage, una plataforma cloud alojada en Amazon Web Services (AWS).

Descargar
LIBRO BLANCO

Evaluación del cumplimiento de la funcionalidad de agrupación de Vantage IQ en el contexto de la Ley de IA de la UE

Este libro blanco presenta los resultados de una auditoría reciente sobre la funcionalidad de agrupación basada en IA integrada en la plataforma Vantage IQ de Nozomi Networks.

Descargar

Da el siguiente paso.

Descubra lo fácil que es identificar y responder a las ciberamenazas automatizando el descubrimiento, inventario y gestión de activos OT e IoT .