4. Directrices
4.1. PremisasEsta política se elaboró con base en la Resolución CMN Nº 4.658/2018 y la Resolución del Banco Central de Brasil Nº 85/2021, que tratan sobre la política de seguridad cibernética y los requisitos para la contratación de servicios de procesamiento y almacenamiento de datos y de computación en la nube que deben observar las instituciones de pago autorizadas a funcionar por el Banco Central de Brasil.
4.2. Estructura del ÁreaAlineada con las estrategias internas de TI y las mejores prácticas de Seguridad de la Información, se analizaron los diversos estándares que podrían satisfacer las necesidades de protección de la información de la empresa.
Se eligieron las normas NBR ISO IEC 27001 y 27002, así como los estándares PCI y los requisitos del Banco Central, con el objetivo de implementar no solo controles tecnológicos, sino también controles de proceso, asegurando así la gobernanza en la implementación del Sistema de Gestión de Seguridad de la Información de Credesto.
La estructura organizativa montada refleja la selección de controles de la gestión de seguridad y se basa en el resultado de la Evaluación de Riesgos, en las orientaciones de los accionistas, en el diagnóstico realizado, en los aspectos culturales de Credesto y en la legislación pertinente.
El equipo de Seguridad de la Información es una gerencia ubicada en la estructura de Tecnología de Credesto, bajo la nomenclatura de Seguridad, según se muestra en el organigrama a continuación.
4.2.1. Implementación y Operación del Área de Seguridad de la Información
Con base en el Sistema de Gestión de Seguridad de la Información, Credesto:
4.2.1.1. Formula un plan de tratamiento de riesgos que identifica la acción apropiada a ser adoptada por la dirección, los recursos y las responsabilidades y prioridades para la gestión de los riesgos relacionados con la seguridad de la información.
4.2.1.2. Implementa el plan para el tratamiento de puntos de auditoría que estén bajo la responsabilidad del área, para cumplir con los objetivos de control identificados.
4.2.1.3. Implementa los controles seleccionados para cumplir con los objetivos de control.
4.2.1.4. Define cómo medir la eficacia de los controles o grupos de controles seleccionados y especifica cómo se utilizan esas medidas para evaluar la eficacia de los controles, con el fin de producir resultados comparables y reproducibles.
4.2.1.5. Define el alcance, los límites del área y los procesos involucrados, en términos de las características del negocio, la organización, la ubicación, los activos y la tecnología, incluyendo detalles y justificaciones para cualquier exclusión del alcance de los controles.
4.2.1.6. Implementa tecnologías para identificar intentos y violaciones exitosas o no de la seguridad de la información, así como incidentes de seguridad de la información.
4.2.1.7. Contribuye con tecnologías y procesos para detectar eventos de seguridad de la información y prevenir los incidentes de seguridad de la información mediante el uso de indicadores.
4.2.1.8. Realiza, cada seis meses, el análisis crítico de la eficacia de los controles, a través del Comité de Seguridad de la Información, para garantizar que el alcance permanezca adecuado y que se identifiquen e implementen mejoras en el proceso de gestión de seguridad.
4.2.1.9. Implementa Políticas, Normas y Procedimientos, así como otros controles capaces de permitir la pronta detección de eventos de seguridad de la información y la respuesta a incidentes de seguridad de la información.
Credesto establece, implementa, opera, monitorea, analiza críticamente, mantiene y mejora continuamente su Sistema de Gestión de Seguridad de la Información (SGSI) documentado dentro del contexto de las actividades comerciales globales y los riesgos a los que está sujeta.
4.3. Roles y ResponsabilidadesLos roles y responsabilidades relacionados con esta Política están establecidos a continuación.
4.3.1. Seguridad de la Información
4.3.1.1. Equipo de Seguridad Defensiva
Responsable del monitoreo de amenazas y comportamientos anómalos, así como del acceso a los datos. Investiga, analiza y responde a incidentes cibernéticos en el entorno de Credesto. Gestiona el Centro de Operaciones de Seguridad (SOC), que monitorea el entorno 24x7x365 y analiza las alertas e información de seguridad, distribuyendo a los equipos apropiados. Define, documenta y distribuye procedimientos de respuesta y escalonamiento de incidentes de seguridad para garantizar que todas las situaciones sean abordadas de manera eficiente.
4.3.1.2. Equipo de Integración
Asegura que los requisitos de seguridad necesarios para proteger la misión y los procesos comerciales de la organización sean abordados adecuadamente en todos los aspectos de la arquitectura sistémica, incluyendo modelos de referencia, arquitecturas de segmento y de solución según las mejores prácticas de seguridad.
4.3.1.3. Equipo Corporativo de TI
Responsable de todo el soporte al usuario final, desde soporte técnico hasta orientaciones para el uso de las herramientas utilizadas en Credesto.
4.3.1.4. Gestión de Identidad y Acceso
Responsable del ciclo de vida de los accesos de todos los colaboradores y terceros, así como del cumplimiento de las mejores prácticas. Administra las cuentas de los usuarios, incluyendo adiciones, exclusiones y modificaciones. Controla el acceso a los sistemas y datos mediante perfiles apropiados.
4.3.1.5. EQUIPO DE APOYO
Conduce evaluaciones de normativas y técnicas en cuanto a controles de seguridad a nivel corporativo, gestiona los riesgos asociados con la seguridad de la información, puntos de auditoría, proyectos de cumplimiento y adecuación a las leyes y gestiona los indicadores de seguridad promoviendo la mejora continua del proceso y la conciencia. Define, documenta y distribuye políticas y procedimientos de seguridad.
4.3.2. Administradores y Colaboradores
Es deber de los administradores y colaboradores de Credesto:
4.3.2.1. Observar y velar por el cumplimiento de la presente Política, estando formalmente conscientes de las directrices establecidas y, cuando sea necesario, contactar al responsable del área de seguridad de la información para consultas sobre situaciones que involucren conflictos con esta Política o ante la ocurrencia de situaciones descritas en ella;
4.3.2.2. Cumplir con las leyes y normas que regulen los aspectos de propiedad intelectual y uso de datos, velando por la protección de los datos confidenciales (datos personales, sensibles, financieros, incluidos los datos de tarjetas, estratégicos o protegidos por la ley) de Credesto o datos bajo su responsabilidad durante su tratamiento;
4.3.2.3. Informar al equipo de Seguridad de la Información de manera oportuna sobre cualquier evento sospechoso que pueda comprometer el entorno de Credesto o que constituya una violación de la Política de Seguridad de la Información y Cibernética;
4.3.2.4. Sugerir, recomendar y verificar la implementación de las mejores prácticas de seguridad en todos los procesos de su responsabilidad;
4.3.2.5. Utilizar de manera responsable y con fines laborales, de manera profesional, ética y legal, los activos de tecnología de la información;
4.3.2.6. Proteger la información contra el acceso, modificación, destrucción o divulgación no autorizados;
4.3.2.7. Comprender el papel de la seguridad de la información en sus actividades diarias y participar en los programas de concientización.
4.3.3. Director Responsable de Seguridad de la Información
Es deber del Director responsable de Seguridad de la Información:
4.3.3.1. Cumplir y velar por el cumplimiento de las directrices de esta Política alineada con la Resolución CMN nº 4.658/2018 y la Resolución del Banco Central de Brasil nº 85/2021, así como otros normativos internos relacionados y sus respectivas actualizaciones; y
4.3.3.2. Atender y cumplir con las demandas de los organismos reguladores relacionadas con la Seguridad de la Información.
4.3.4. Cumplimiento y Seguridad de la Información
Es deber del área de Cumplimiento y Seguridad de la Información, conjuntamente, realizar la actualización de los normativos internos relacionados con la Seguridad de la Información, asegurando su conformidad con las leyes y regulaciones aplicables.
4.3.5. Comité Ejecutivo y Comité de Seguridad de la Información
Es deber del Comité Ejecutivo y del Comité de Seguridad de la Información de Credesto garantizar la protección de los datos de tarjetas y la conformidad con el Programa PCI DSS, proporcionando los recursos necesarios para esta adecuación.
En los casos en que sea necesario el contacto con autoridades (por ejemplo, en caso de sospecha de que se ha violado la ley), el Comité de Seguridad de la Información deliberará para definir a los responsables de llevar a cabo las actividades de comunicación.
Ambos comités mencionados anteriormente tienen sus directrices establecidas en el Reglamento Interno del Comité de Seguridad de la Información, disponible para el conocimiento de los colaboradores de Credesto en el repositorio corporativo de normativos internos.
Los materiales de presentación a los comités, así como las agendas correspondientes, deben ser entregados al equipo de Cumplimiento con antelación para la organización de las reuniones y la distribución del material a los integrantes y posibles invitados.
4.4. Activos de Seguridad de la InformaciónPara garantizar la seguridad de la información, se deben respetar y considerar los siguientes pilares en cada toma de decisiones:
4.4.1. Confidencialidad - garantía de que la información sea accedida solo por aquellos expresamente autorizados.
4.4.2. Integridad - garantía de que la información esté íntegra durante el ciclo de creación, procesamiento y eliminación.
4.4.3. Disponibilidad - garantía de que la información esté disponible siempre que sea necesario para el desarrollo de los procesos de negocios.
Se consideran activos de información todos los datos generados o desarrollados para el negocio que pueden estar presentes de diversas formas, como archivos digitales, equipos, medios externos, documentos impresos, sistemas, dispositivos móviles, bases de datos y conversaciones.
Independientemente de la forma presentada, compartida o almacenada, los activos de información deben ser utilizados solo para su finalidad debidamente autorizada, estando sujetos a monitoreo y auditoría.
Todo activo de información de propiedad de Credesto debe tener un responsable debidamente clasificado según los criterios establecidos y protegido adecuadamente de cualquier riesgo o amenaza que pueda comprometer el negocio.
4.5. Directrices GeneralesEn cuanto a la ciberseguridad, Credesto dispone de las siguientes directrices generales:
4.5.1. Protección de los datos contra accesos no autorizados, así como contra modificaciones, destrucciones o divulgaciones no autorizadas;
4.5.2. Clasificación adecuada de la información y garantía de la continuidad de su procesamiento, según los criterios y principios indicados en los normativos específicos;
4.5.3. Asegurarse de que los sistemas y datos bajo nuestra responsabilidad estén debidamente protegidos y solo se utilicen para el cumplimiento de nuestras atribuciones;
4.5.4. Cuidar la integridad de la infraestructura tecnológica en la que se almacenan, procesan y tratan los datos, adoptando las medidas necesarias para prevenir amenazas lógicas, como virus, programas dañinos u otras fallas que puedan provocar accesos, manipulaciones o usos no autorizados de datos restringidos y confidenciales;
4.5.5. Mantener y gestionar software antivirus, firewall y demás software de seguridad instalados y actualizados, así como el mantenimiento de los programas de computadora instalados en el entorno.
4.5.6. Cumplimiento de las leyes y normativas que regulan las actividades realizadas por Credesto.
Con el objetivo de cumplir con las directrices mencionadas anteriormente, Credesto tiene como objetivo en ciberseguridad prevenir, detectar y reducir la vulnerabilidad a incidentes relacionados con el entorno cibernético.
En relación con las medidas de seguridad, Credesto adopta procedimientos y controles para reducir la vulnerabilidad a incidentes y cumplir con los objetivos de ciberseguridad. Entre ellos:
- autenticación, cifrado, prevención y detección de intrusiones;
- prevención de la filtración de información, realización periódica de pruebas y exploraciones para detectar vulnerabilidades, protección contra software malicioso, establecimiento de mecanismos de trazabilidad, controles de acceso y segmentación de la red de computadoras y almacenamiento de copias de seguridad de datos e información,
- según las normativas vigentes;
- aplicación de los procedimientos y controles mencionados anteriormente, incluso en el desarrollo de sistemas de información seguros y en la adopción de nuevas tecnologías utilizadas en las actividades de Credesto.
- tiene controles específicos, incluidos los orientados a la trazabilidad de la información, que buscan garantizar la seguridad de la información sensible.
- controla, monitorea y restringe el acceso a los activos de información al mínimo de permisos y privilegios posible;
- contribuye a la mitigación de los riesgos empresariales y cibernéticos según la Política de Gestión de Riesgos Operativos.
- registra, analiza la causa y el impacto, así como controla los efectos de incidentes relevantes para las actividades de Credesto, que incluyen incluso información recibida de empresas prestadoras de servicios a terceros.
- elabora un inventario de escenarios de crisis cibernéticas relacionados con incidentes de seguridad considerados en las pruebas de continuidad de los servicios prestados y los prueba anualmente para garantizar la eficacia de los procesos, además de producir anualmente un informe de respuesta a incidentes en el entorno tecnológico de Credesto;
- clasifica los incidentes de seguridad según su relevancia de acuerdo con la clasificación de la información involucrada y el impacto en la continuidad del negocio de Credesto;
- realiza evaluaciones periódicas de empresas prestadoras de servicios que realizan el tratamiento de información relevante para Credesto con el objetivo de seguir el nivel de madurez de sus controles de seguridad para la prevención y el tratamiento adecuado de los incidentes;
- tiene criterios para clasificar la relevancia de los servicios de procesamiento y almacenamiento de datos y de computación en la nube, ya sea en el país o en el extranjero.
- adopta un proceso de gestión de continuidad del negocio, según la Política Corporativa de Continuidad del Negocio.
- establece reglas y estándares para asegurar que la información reciba el nivel adecuado de protección en cuanto a su relevancia. Toda información tiene un propietario, se clasifica obligatoriamente y recibe los controles adecuados que garanticen la confidencialidad de esta, de acuerdo con las buenas prácticas del mercado y las regulaciones vigentes.
- realiza acciones para prevenir, identificar, registrar y responder a incidentes y crisis de seguridad que involucren el entorno tecnológico de Credesto y que puedan comprometer los pilares de seguridad de la información o representar riesgos de reputación, financieros u operativos.
- adopta mecanismos para la difusión de la cultura de seguridad de la información y cibernética en la empresa, incluida la implementación de un programa de capacitación obligatoria para los empleados, la provisión de información a los usuarios finales sobre precauciones en el uso de productos y servicios ofrecidos y el compromiso de la alta dirección con la mejora continua de los procedimientos relacionados con la seguridad de la información y cibernética.
- adopta iniciativas para compartir información sobre incidentes relevantes a través de la afiliación a foros de discusión y mediante el uso compartido de la plataforma de SIEM.
4.6. Compromiso de la Alta DirecciónEl compromiso de la Alta Dirección con la efectividad y mejora continua de esta Política, los procedimientos y los controles relacionados con la seguridad de la información y cibernética se percibe a través de la constante transformación y mejora de la gobernanza en acciones relacionadas con los pilares mencionados anteriormente y mediante la provisión de recursos compatibles con la complejidad de Credesto, evaluación y aprobación de Políticas y Procedimientos, entre otras iniciativas.
4.7. Entrenamiento y ConcienciaciónEl Programa de Entrenamiento y Concienciación en Seguridad de la Información es establecido y gestionado por el equipo de Advisory. Se establece un cronograma anual con los temas relevantes a tratar y se pueden adoptar diferentes formatos de entrenamiento y concienciación, como por ejemplo:
- en línea a través de la plataforma de concienciación vigente;
- en línea y en vivo a través de la plataforma de comunicación vigente, permitiendo la interacción con los participantes;
- pruebas de phishing enviadas al correo electrónico de los miembros del equipo;
- entrenamientos específicos para satisfacer las necesidades de un grupo de miembros del equipo;
- comunicados con consejos y materiales de concienciación divulgados a los miembros del equipo a través de los canales oficiales de comunicación.
La evidencia de la participación y el reconocimiento del contenido se evalúa mediante un cuestionario u otro método adecuado.
Las pruebas de ejecución del Programa de Entrenamiento y Concienciación en Seguridad de la Información son almacenadas por el Seguridad de la Información en un lugar protegido.
4.8. Registros e InformaciónLa información relacionada con incidentes de seguridad de la información y cibernéticos es confidencial y no debe, bajo ninguna circunstancia, estar disponible para las partes involucradas. Todos los documentos relativos a investigaciones, incluida la recolección de pruebas, deben archivarse por un período mínimo de 10 (diez) años.
4.9. Disposiciones GeneralesEl equipo de Seguridad de la Información mantiene formalmente documentadas sus Políticas, Procedimientos y otra información relevante en el repositorio corporativo de normativas internas. El responsable del documento debe actualizar la normativa al menos 1 (una) vez al año, siguiendo la directriz corporativa de actualización de documentos establecida por el equipo de cumplimiento.
Los documentos deben seguir la nomenclatura especificada a continuación:
- POL – Políticas: documentos con directrices amplias y reglas sobre un tema.
- PROD – Procedimientos: documentos con instrucciones detalladas sobre un proceso.
Otros documentos, como formularios y diagramas, deben obedecer a la nomenclatura vigente establecida por el equipo de Asesoramiento, según sea necesario.
Documentos divulgados a toda la empresa son revisados por el equipo de Asesoramiento y aprobados por el equipo de Cumplimiento.
Documentos pertinentes solo al equipo de Seguridad de la Información se envían únicamente al equipo de Asesoramiento para su revisión y catalogación.
4.10. Gestión de ConsecuenciasLos miembros del equipo, proveedores, socios y clientes que observen desviaciones con respecto a las directrices de esta política deben informar a través del Canal Ético Credesto. El incumplimiento resultará en medidas según la gravedad, incluida la responsabilidad administrativa, civil o penal, procesos disciplinarios y sanciones previstas en la CLT.
4.11. Cumplimiento de la PolíticaAdemás de la evaluación de la efectividad realizada por el equipo de Seguridad de la Información, los mecanismos de seguridad son evaluados periódicamente por la auditoría interna de Credesto y por auditorías realizadas por entidades reguladoras.
4.12. Contacto con Grupos EspecialesSe establecen contactos con grupos especializados para ampliar el conocimiento sobre las mejores prácticas y mantenerse actualizado sobre Seguridad de la Información. Los proveedores pueden visualizarse en los siguientes enlaces:
4.13. Vigencia de la PolíticaEsta política se revisa anualmente o cuando sea necesario, es aprobada por el Comité de Seguridad de la Información y el Consejo de Administración. Entra en vigor en la fecha de su aprobación y revoca documentos en contrario.