Política de seguridad de la información y ciberseguridad

1 INTRODUCCIÓN

La evolución tecnológica está transformando la manera en la que las organizaciones llevan a cabo sus actividades de negocio. En el contexto actual, las entidades se enfrentan a una amplia gama de riesgos en el ámbito de la Seguridad de la Información y, por ello, es clave establecer medidas sólidas y proactivas que garanticen la protección de la información y de los activos que la soportan.

La Dirección General del Grupo ABANCA (en adelante, “ABANCA” o, alternativamente, “la Organización”) reconoce que el riesgo es inherente a su negocio y que la gestión del riesgo es fundamental para lograr sus objetivos, dar confianza a sus clientes y ejecutar sus estrategias con éxito.

Por este motivo, en la sesión del 22 de marzo de 2024, el Consejo de Administración de ABANCA aprobó la Política de Seguridad de la Información (en adelante, también la “Política”), con el propósito de trazar la postura de ABANCA en la gestión y gobierno de la seguridad, proporcionando principios y pautas para salvaguardar los datos y garantizar la confidencialidad, la integridad y la disponibilidad de la información tratada.

Además, con esta Política, se pretende manifestar el compromiso de la Organización estableciendo la Seguridad de la Información y la ciberseguridad como uno de los pilares fundamentales en todos los procesos bancarios.

Asimismo, el desarrollo del cuerpo normativo de ABANCA se fundamenta sólidamente en los estándares reconocidos a nivel internacional, tales como ISO 27000 y NIST CSF. Estos marcos normativos nos permiten alinearnos con las mejores prácticas en gestión de riesgos y protección de la información. Cabe destacar que esta Política afecta a toda la información propia, de sus clientes o de terceras partes implicadas en la prestación del servicio y con independencia de la forma en que esta sea transmitida, procesada o almacenada, o del soporte en el que se encuentre.

2 ÁMBITO DE APLICACIÓN

Toda persona que trabaje en o para ABANCA o que necesite acceder a los sistemas de información de ABANCA, debe cumplir de forma obligatoria con lo establecido en la Política, así como con toda la normativa que de ella se deriva.

Cuando ABANCA utilice servicios de terceros o les ceda información, les hará partícipes de esta Política y de la normativa que aplique a dichos servicios o información, que tienen obligación de cumplir.

3 OBJETIVOS

La Política tiene como fin proteger la información de ABANCA y de sus clientes, junto con las tecnologías utilizadas para su transmisión, procesamiento o almacenamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar:

  • Confidencialidad: garantizar que la información sensible está accesible únicamente para aquellas personas autorizadas para ello.

  • Integridad: mantener la exactitud y la integridad de toda la información, asegurando que no sea alterada de forma no autorizada durante su almacenamiento, procesamiento o transmisión.

  • Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y a los recursos asociados cuando lo necesiten.

4 PRINCIPIOS

Para materializar el compromiso de Dirección General con relación a la Seguridad de la Información, en consonancia con los objetivos anteriormente expuestos, se establecen los siguientes principios:

  1. Compromiso: se hace patente el compromiso de la Dirección General con respecto a la Seguridad de la Información, en consonancia con la estrategia de negocio, dotándole de los medios y facultades necesarias para la realización de sus funciones.

  2. Gestión de riesgos: se identifican y analizan los riesgos y se acometen acciones de mitigación sobre los mismos con base en la necesidad de reducción de riesgos de la Organización. Las medidas que se apliquen han de ser proporcionales al riesgo.

  3. Seguridad integral: se considera la seguridad como un proceso globalizador que abarca aspectos físicos, lógicos, organizativos y humanos, posibilitando la definición de una estrategia única de protección.

  4. Identificación, protección, detección, respuesta y recuperación:

    a. Las medidas de identificación permiten tener el conocimiento de los activos y funciones para gestionar los riesgos de la Organización.

    b. Las medidas de protección tienen como fin evitar que se produzcan incidentes o minimizar su ocurrencia.

    c. Las medidas de detección sirven para identificar eventos potencialmente peligrosos. Deben ir acompañadas de medidas de respuesta.

    d. Las medidas de respuesta actúan ante el evento detectado, minimizando los daños que hayan podido ocurrir.

    e. Las medidas de recuperación permiten restablecer la información o los servicios que hayan podido resultar afectados por un incidente.

  5. Defensa en profundidad: se debe contar con sucesivas capas de protección de manera que un incidente no sea capaz de desarrollar todo su potencial dañino en caso de que ocurra. Para ello, las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.

  6. Reevaluación periódica de las medidas y mejora continua: se verifica que las medidas siguen siendo las adecuadas, tanto a los riesgos identificados como a los nuevos riesgos que se identifiquen, y que mantienen su eficacia, al menos anualmente. Considerar la seguridad de la información y la ciberseguridad como un proceso de mejora continua, que permita alcanzar niveles de seguridad cada vez más avanzados.

  7. Segregación de funciones: se realiza separación de responsabilidades que evite conflictos de interés que puedan ir en detrimento de la seguridad.

  8. Concienciación: se debe crear una “cultura de seguridad” tanto internamente, en relación con todo el personal, como externamente, en relación con los clientes y proveedores de ABANCA.

  9. Cumplimiento: se debe garantizar el cumplimiento de todos aquellos requerimientos legales, reglamentarios y contractuales que resulten aplicables a la seguridad de la información.

  10. Incumplimiento: se tendrá en cuenta que los incumplimientos de la Política que se encuentren regulados por la legislación correspondiente resultará en responsabilidades legales. Si el incumplimiento no está legislado, la Dirección de ABANCA decidirá aplicar las medidas correspondientes en función de la gravedad. En el caso de personal de terceras empresas, serán de aplicación las medidas previstas en el contrato.

La Política se desarrollará por medio de normas, procedimientos y guías que afrontan aspectos específicos y que están a disposición de los miembros de la Organización.

5 MANTENIMIENTO Y REVISIÓN DE LA POLÍTICA

Para asegurar la vigencia y eficacia de la Política, se llevarán a cabo revisiones anuales de esta con el fin de alinearla con los objetivos estratégicos de ABANCA y adaptarla a las exigencias de los entornos tecnológicos emergentes. Asimismo, se actualizará también en caso de un cambio sustancial en la Organización.

En cualquier caso, las modificaciones de la Política deberán ser debidamente elevadas y aprobadas por el órgano responsable y competente de ABANCA.