Política de seguridade da información e ciberseguridade

1 INTRODUCCIÓN

A evolución tecnolóxica está a transformar a maneira na que as organizacións levan a cabo as súas actividades de negocio. No contexto actual, as entidades enfróntanse a unha amplia gama de riscos no ámbito da Seguridade da Información e, por iso, é clave establecer medidas sólidas e proactivas que garantan la protección da información e dos activos que a soportan.

A Dirección Xeral do Grupo ABANCA (de agora en adiante, “ABANCA” ou, alternativamente, “a Organización”) recoñece que o risco é inherente ao seu negocio e que a xestión do risco é fundamental para lograr os seus obxectivos, dar confianza aos seus clientes e executar as súas estratexias con éxito.

Por este motivo, na sesión del 22 de marzo de 2024, o Consello de Administración de ABANCA aprobou a Política de Seguridade da Información (de agora en diante, tamén a “Política”), co propósito de trazar a postura de ABANCA na xestión e goberno da seguridade, proporcionando principios e pautas para salvagardar os datos e garantir a confidencialidade, a integridade e a dispoñibilidade da información tratada.

Ademais, con esta Política, preténdese manifestar o compromiso da Organización establecendo a Seguridade da Información y a ciberseguridade como un dos piares fundamentais en todos os procesos bancarios.

Así mesmo, o desenvolvemento do corpo normativo de ABANCA fundaméntase solidamente nos estándares recoñecidos a nivel internacional, tales como ISO 27000 y NIST CSF. Estes marcos normativos permítennos aliñarnos coas mellores prácticas en xestión de riscos e protección da información.

Cabe destacar que esta Política afecta a toda a información propia, dos seus clientes ou de terceiras partes implicadas na prestación do servizo e con independencia da forma en que esta sexa transmitida, procesada ou almacenada, ou do soporte no que se atope.

2 ÁMBITO DE APLICACIÓN

Toda persoa que traballe en ou para ABANCA ou que necesite acceder aos sistemas de información de ABANCA, debe cumprir de forma obrigatoria co establecido na Política, así como con toda a normativa que dela se derive.

Cando ABANCA utilice servizos de terceiros ou lles ceda información, faralles partícipes desta Política e da normativa que aplique a ditos servizos ou información, que teñen obrigación de cumprir.

3 OBJETIVOS

A Política ten como fin protexer a información de ABANCA e dos seus clientes, xunto coas tecnoloxías utilizadas para a súa transmisión, procesamento o almacenamento, fronte a ameazas internas ou externas, deliberadas ou accidentais, co fin de asegurar:

  • Confidencialidade: garantir que a información sensible está accesible unicamente para aquelas persoas autorizadas para iso.

  • Integridade: manter a exactitude e a integridade de toda a información, asegurando que non sexa alterada de forma non autorizada durante o seu almacenamento, procesamento ou transmisión.

  • Dispoñibilidade: asegurar que os usuarios autorizados teñan acceso á información e aos recursos asociados cando o necesiten.

4 PRINCIPIOS

Para materializar o compromiso da Dirección Xeral con relación á Seguridade da Información, en consonancia cos obxectivos anteriormente expostos, establécense os seguintes principios:

  1. Compromiso: faise patente o compromiso da Dirección Xeral con respecto á Seguridade da Información, en consonancia coa estratexia de negocio, dotándolle dos medios e facultades necesarias para a realización das súas funciones.

  2. Xestión de riscos: identifícanse e analízanse os riscos e acométense accións de mitigación sobre os mesmos con base na necesidade de redución de riscos da Organización. As medidas que se apliquen teñen que ser proporcionais ao risco.

  3. Seguridade integral: considérase a seguridade como un proceso global, que abarca aspectos físicos, lóxicos, organizativos e humanos, posibilitando a definición de unha estratexia única de protección.

  4. Identificación, protección, detección, resposta e recuperación:

    a. As medidas de identificación permiten ter o coñecemento dos activos e funcións para xestionar os riscos da Organización.

    b. As medidas de protección teñen como fin evitar que se produzan incidentes ou minimizar a súa ocorrencia.

    c. As medidas de detección serven para identificar eventos potencialmente perigosos. Deben ir acompañadas de medidas de resposta.

    d. As medidas de resposta actúan ante o evento detectado, minimizando os danos que houberan podido ocurrer.

    e. As medidas de recuperación permiten restablecer a información ou os servizos que houberan podido resultar afectados por un incidente.

  5. Defensa en profundidade: débese contar con sucesivas capas de protección de maneira que un incidente non sexa capaz de desenvolver todo o seu potencial prexudicial en caso de que ocorra. Para iso, as liñas de defensa deben de estar constituídas por medidas de natureza organizativa, física e lóxica.

  6. Re-avaliación periódica das medidas e mellora continua: verifícase que as medidas seguen sendo as adecuadas, tanto as riscos identificados como aos novos riscos que se identifiquen, e que manteñen a súa eficacia, ao menos anualmente. Considerar a Seguridade da información e a ciberseguridade como un proceso de mellora continua, que permita alcanzar niveis de seguridade cada vez mais avanzados.

  7. Segregación de funcións: realízase separación de responsabilidades que evite conflitos de interese que poidan ir en detrimento da seguridade.

  8. Concienciación: débese crear unha “cultura de seguridade” tanto internamente, en relación con todo o persoal, como externamente, en relación cos clientes e provedores de ABANCA.

  9. Cumprimento: débese garantir o cumprimento de todos aqueles requisitos legais, regulamentarios e contractuais que resulten aplicables á Seguridade da información.

  10. Incumprimento: terase en conta que os incumprimentos da Política que se encontren regulados pola lexislación correspondente resultará en responsabilidades legais. Si o incumprimento non está lexislado, a Dirección de ABANCA decidirá aplicar as medidas correspondentes en función da gravidade. No caso de persoal de terceiras empresas, serán de aplicación as medidas previstas no contrato.

A Política desenvolverase por medio de normas, procedementos e guías que afrontan aspectos específicos e que están a disposición dos membros da Organización.

5 MANTENIMIENTO Y REVISIÓN DE LA POLÍTICA

Para asegurar a vixencia e eficacia da Política, levaranse a cabo revisións anuais desta co fin de aliñala cos obxectivos estratéxicos de ABANCA e adaptala aos requisitos dos ambientes tecnolóxicos emerxentes. Así mesmo, actualizarase tamén en caso dun cambio substancial na Organización.

En calquera caso, as modificacións da Política deberán ser debidamente elevadas e aprobadas polo órgano responsable e competente de ABANCA.