Política de Seguridad de la Información
Última Actualización: julio de 2022.
Clasificación de la Información: uso público.
Definición
Este documento describe las directrices de la Política de Seguridad de la Información del Grupo Senior, cuyas normas y procedimientos son confidenciales y se publican internamente. Estas directrices orientan el uso aceptable de los activos de información de la organización, basándose en los principios de confidencialidad, integridad y disponibilidad.
Público Objetivo
Grupo Senior, Terceros, Proveedores de servicios, Clientes, Socios y Canales.
Objetivo
- Establecer directrices y normas de seguridad de la información que permitan a los empleados de Senior adoptar normas de comportamiento seguro, adecuadas a sus objetivos y necesidades;
- Orientar a los empleados en la adopción de controles y procesos para cumplir los requisitos de Seguridad de la Información;
- Formar a los empleados de Senior en la prevención, detección y respuesta a incidentes de Seguridad de la Información;
- Prevenir las posibles causas de incidentes de Seguridad de la Información;
- Preservar los activos de información y/o tecnológicos de Senior, garantizando los requisitos de confidencialidad, integridad y disponibilidad;
- Minimizar los riesgos de pérdidas financieras, de confianza de los clientes o de cualquier otro impacto negativo en el negocio de Senior como consecuencia de fallas de seguridad.
Responsabilidades
La Política de Seguridad de la Información del Grupo Senior aborda las responsabilidades generales de la organización, de sus empleados y de terceros, así como de la Alta Administración.
Concienciación y Formación en Seguridad de la Información
El Grupo Senior define directrices de educación continua para la aculturación de buenas prácticas de seguridad y su difusión para su uso en el día a día de los empleados, tanto a efectos profesionales como personales. La política aborda los procedimientos utilizados en el programa de concienciación de la institución, como la formación y los comunicados internos.
Gestión de Riesgos en la Seguridad de la Información
La gestión del riesgo cibernético es responsabilidad del departamento de Seguridad de la Información. Este proceso identifica los requisitos de seguridad relacionados con las necesidades de la institución. La gestión del riesgo cibernético es continua y define contextos internos y externos para la evaluación, así como el tratamiento de los riesgos identificados para que se reduzcan a niveles aceptables.
Gestión de Contraseñas
El Grupo Senior utiliza las mejores prácticas en el uso de contraseñas, exigiendo una cierta complejidad para su creación, así como evitando la reutilización de contraseñas anteriores.
Las contraseñas se generan con el requisito de caracteres mínimos definidos, bloqueo por intentos fallidos y una periodicidad requerida para el cambio.
Gestión de Activos
El Grupo Senior tiene sus activos de información identificados, actualizados y clasificados, con sus respectivos propietarios responsables del uso aceptable de los activos, de acuerdo con la política interna.
Protección y Clasificación de la Información
El Grupo Superior establece directrices para la clasificación, tratamiento y rotulación de los activos de información de la empresa. El documento interno proporciona todas las directrices utilizadas para clasificar la información, describe sus categorías, también proporciona directrices para el tratamiento de la información, para la eliminación de la información, describe normas sobre la prevención de fugas de datos y políticas, sobre copias y restauración de datos (copia de seguridad y restauración), así como sobre criptografía.
Uso Aceptable de Recursos Tecnológicos
Los recursos tecnológicos del Grupo Senior se deben utilizar de forma profesional, ética y legal, tal y como se define en el término de responsabilidad aplicable. La Política de Seguridad de la Información aborda la definición de recursos tecnológicos, así como las normas que tratan esta cuestión, que los empleados de Senior y terceros deben seguir.
Gestión de Identidad y Accesos
El Grupo Superior establece directrices generales para el acceso a los activos y sistemas de información. Toda la gestión de accesos es responsabilidad del área de Tecnologías de la Información y se basa en el principio de necesidad de acceso a la información para el desempeño de las actividades laborales del empleado.
La Política define directrices como:
- Perfiles de Acceso de las Áreas de Negocio;
- Proceso de Ingreso o Transferencia de Área de Empleados;
- Proceso de Desvinculación de Empleados;
- Acceso de Terceros, Visitantes y Temporales;
- Acceso a Banco de Datos;
- Acceso Remoto;
- Acceso Físico;
- Revisión de Acceso;
- Parametrización de Contraseñas;
- Factor de Autenticación Múltiple.
Criptografía
Los activos de información de Senior tienen una encriptación adecuada para garantizar la protección a lo largo del ciclo de vida de la información, en cumplimiento con las normas de seguridad de los organismos reguladores.
Desarrollo de Software
El Grupo Senior desarrolla sus aplicaciones de acuerdo con los procedimientos, documentos e instrucciones de trabajo internos, siguiendo las prácticas de seguridad de la información de acuerdo con la Política de Seguridad interna.
Los entornos de producción están separados de otros entornos y sólo pueden acceder a ellos los usuarios previamente autorizados o las herramientas autorizadas.
Todos los sistemas o aplicaciones adquiridos de terceros deben seguir las directrices establecidas en la Política de Seguridad de la Información y estar debidamente aprobados.
Protección Contra Códigos Maliciosos
Senior define directrices y utiliza herramientas líderes en el mercado para protegerse contra las amenazas de código malicioso (malwares). Además, el Grupo Senior cuenta con soluciones de seguridad basadas en IA (Inteligencia Artificial) para identificar, detectar y responder inmediatamente a las amenazas.
Monitoreo de Seguridad
La Política de Seguridad de la Información aborda la supervisión de la seguridad, describiendo los aspectos necesarios para identificar posibles amenazas. El Grupo Senior dispone de prácticas, procedimientos y procesos eficaces para vigilar las actividades relacionadas con la seguridad.
Teletrabajo
El Grupo Senior impone requisitos para el teletrabajo, como el uso de Virtual Private Network (VPN).
Gestión de Vulnerabilidad y Conformidad
El Grupo Senior tiene procesos de gestión de vulnerabilidad y cumplimiento, de forma que se establecen las siguientes directrices:
- Gestión de Vulnerabilidad;
- Gestión de Conformidad;
- Pruebas Periódicas de Seguridad; y
- Correcciones de Seguridad (Gestión de Patch).
Backup
El Senior Group adopta soluciones de Backup y Disaster Recovery para proteger sus datos contra la pérdida de información.
Se adoptan pruebas periódicas para garantizar la integridad de la información, comprobar la eficacia de los procesos y establecer mejoras.
Respuesta a Incidentes de Seguridad
El Grupo Superior define las directrices para prevenir, responder y tratar adecuadamente los incidentes de Seguridad que afecten o puedan afectar a los activos/servicios de información o recursos tecnológicos de la institución.
En este tópico, la Política aborda las responsabilidades de las áreas en la prevención y respuesta a incidentes.
Además, la Política describe normas de priorización y gravedad en relación con posibles incidentes, procedimientos de definición de autoridades y normas de elaboración de escenarios de pruebas de continuidad de los negocios.
También cabe señalar que el Grupo Superior dispone de un Plan de Respuesta a Incidentes, que contiene metodología y directrices para tratar los incidentes de ciberseguridad.
Gestión de Continuidad de Negocios
El Grupo Senior realiza la gestión de la continuidad de negocios con soluciones, estrategias y procedimientos a ser ejecutados durante posibles escenarios de contingencia alineados con el propósito y objetivos estratégicos de la institución. Para tal fin, Senior cuenta con un Plan de Continuidad de Negocios (PCN) que cumple funciones definidas en documentos internos.
Gestión de Terceros
El Grupo Senior establece directrices para los profesionales terceros en sus instalaciones o para la contratación de servicios.
El Grupo Senior tiene reglas adicionales de diligencia debida para terceros considerados relevantes, que son aquellos que almacenan o procesan datos considerados críticos en una estructura tecnológica que no pertenece a Senior.
Seguridad en Dispositivos Móviles
El Grupo Superior define las directrices para el uso seguro de los dispositivos móviles, así como las atribuciones de las áreas responsables de la supervisión.
Seguridad en la Red
El Grupo Senior dispone de herramientas de seguridad capaces de detectar y responder a intentos de intrusión en su entorno. En este tema, la Política también contempla reglas sobre la red inalámbrica corporativa y pública.
Privacidad de Datos Personales
El Grupo Senior garantiza que la finalidad del tratamiento de los datos personales no es ilícita ni abusiva, así como garantiza el derecho fundamental a la privacidad en relación con la LGPD - Ley General de Protección de Datos Personales (Ley nº 13.709, de 14 de agosto de 2018).
Sanciones y Penas
El área de Seguridad de la Información supervisa continuamente el entorno tecnológico utilizando diversos métodos para garantizar el cumplimiento y la adhesión a esta política. Si se produce una infracción de las normas establecidas, así como de las demás normas y procedimientos de Seguridad de la Información, aunque sea por omisión o tentativa no consumada, esa infracción puede clasificarse como un incidente de Seguridad de la Información, que está sujeto a penalización.
Otras sanciones y penalizaciones por incumplimiento de las normas de Seguridad de la Información se describen en la política interna.