Política de gestión de riesgos de ciberseguridad

vspry permite a las instituciones financieras acelerar su viaje de transformación digital para ofrecer experiencias excepcionales a los clientes e impulsar el crecimiento del negocio.

Nuestros principios

  • Aplicamos múltiples capas y tipos de controles, de modo que si falla uno, otros controles limitan el impacto de un compromiso de la seguridad de la información, lo que denominamos el principio de "defensa en profundidad".
  • Garantizamos que el acceso a los activos de información y su configuración se restrinjan al mínimo necesario para alcanzar los objetivos empresariales, lo que denominamos el principio de "mínimo privilegio", cuyo objetivo es reducir el número de vectores de ataque que pueden utilizarse para comprometer nuestra seguridad de la información.
  • Garantizamos la detección a tiempo de los incidentes de seguridad de la información. Esto minimiza el impacto de un compromiso de la seguridad de la información.
  • Garantizamos que la seguridad de la información se incorpora al diseño de los activos de nuestros sistemas de información, lo que denominamos seguridad desde el diseño.
  • Garantizamos que el uso y el acceso a los activos de información sean atribuibles a un individuo, hardware o software, con actividad registrada y supervisada.
  • Nos aseguramos de que la gestión de errores esté diseñada de tal forma que los errores no permitan el acceso no autorizado a los activos de información u otros compromisos de seguridad de la información.
  • Asumimos que los activos de información tienen un nivel desconocido y posiblemente reducido de control de seguridad de la información, al que nos referimos como el principio de "nunca confíes, siempre identifica".
  • Garantizamos el cumplimiento de la separación de funciones mediante la asignación adecuada de roles y responsabilidades, lo que reduce la posibilidad de que las acciones de una sola persona pongan en peligro la seguridad de nuestra información.
  • Diseñamos controles que imponen el cumplimiento de nuestro marco de políticas de seguridad de la información, reduciendo así la dependencia de las personas.
  • Diseñamos controles de detección y respuesta basándonos en el supuesto de que los controles preventivos han fallado. Esto suele denominarse el principio de "infracción supuesta".

Concienciación

  • Contamos con un programa de formación y concienciación sobre seguridad de la información para comunicar a los miembros del equipo las prácticas, políticas y demás expectativas en materia de seguridad de la información.
  • Hacemos un seguimiento de la formación realizada y comprobamos la comprensión de las políticas de seguridad de la información pertinentes al inicio y periódicamente.
  • Educamos a nuestros usuarios sobre a) el uso personal frente al uso corporativo de los activos de información; b) el uso del correo electrónico, el uso de Internet (incluidas las redes sociales) y la protección contra el malware; c) la protección física, la informática remota y el uso de dispositivos móviles; d) el conocimiento de las técnicas de ataque comunes dirigidas al personal y los activos (por ejemplo e) los controles de acceso, incluidas las normas relativas a las contraseñas y otros requisitos de autenticación; f) las responsabilidades con respecto a cualquier software desarrollado o configurado por el usuario final (incluidas hojas de cálculo, bases de datos y ofimática); g) las expectativas del personal en los casos en que el dispositivo propio es una opción; h) el tratamiento de datos sensibles; e i) la notificación de incidentes y problemas de seguridad de la información.

Identidad y acceso

  • Adoptamos controles de gestión de identidades y accesos para garantizar que el acceso a los activos de información sólo se conceda cuando exista una necesidad empresarial válida, y sólo durante el tiempo que se requiera el acceso.
  • Los factores que tenemos en cuenta a la hora de autorizar el acceso a los activos de información incluyen la función empresarial, la ubicación física, el acceso remoto, la hora y la duración del acceso, el estado de los parches y del antimalware, el software, el sistema operativo, el dispositivo y el método de conectividad.
  • La provisión de acceso a nuestros usuarios implica las siguientes fases del proceso: a) identificación - determinación de quién o qué solicita el acceso; b) autenticación - confirmación de la supuesta identidad; y c) autorización - evaluación de si se permite el acceso a un activo de información por parte del solicitante en función de las necesidades de la empresa y del nivel de seguridad de la información (confianza) requerido.
  • Establecemos procesos para garantizar que las identidades y credenciales se emiten, gestionan, verifican, revocan y auditan para dispositivos, usuarios y software/procesos autorizados.
  • La solidez de la identificación y la autenticación es proporcional al impacto que tendría la falsificación de una identidad. Entre las técnicas habituales para aumentar la solidez de la identificación y la autenticación se incluyen el uso de técnicas de contraseña segura (es decir, longitud, complejidad, limitaciones de reutilización y frecuencia de cambio), el uso de técnicas criptográficas y el aumento del número y tipo de factores de autenticación utilizados. Los factores de autenticación incluyen algo que una persona: a) conoce - por ejemplo, identificadores de usuario y contraseñas; b) tiene - por ejemplo, un token de seguridad u otros dispositivos en posesión de la persona utilizados para la generación de contraseñas de un solo uso; y c) es - por ejemplo, escáneres de retina, escáneres de mano, escáneres de firma, firma digital, escáneres de voz u otros datos biométricos.
  • Los siguientes son ejemplos en los que normalmente se requiere una autenticación más fuerte, dado el impacto en caso de que se falsifique una identidad: a) administración u otro acceso privilegiado a activos de información sensibles o críticos; b) acceso remoto (es decir, a través de redes públicas) a activos de información sensibles o críticos; y c) actividades de alto riesgo (por ejemplo, transferencias de fondos de terceros, creación de nuevos beneficiarios).
  • Desplegamos los siguientes controles de acceso a) realización de procesos de diligencia debida antes de conceder acceso al personal; b) aplicación de perfiles de acceso basados en funciones y diseñados para garantizar una separación efectiva de funciones; c) prohibición de compartir cuentas y contraseñas (con la posible excepción de las cuentas genéricas, en las que la prohibición de compartir cuentas y contraseñas es inevitable debido a limitaciones tecnológicas); d) cambio de contraseñas y nombres de usuario por defecto; e) supresión oportuna de los derechos de acceso siempre que se produzca un cambio de función o responsabilidad y al cesar en el empleo; f) tiempos de espera de las sesiones; g) procesos para notificar al personal adecuado las altas, bajas y cambios de función de los usuarios; h) registro de auditoría y supervisión del acceso a los activos de información por parte de todos los usuarios; i) revisiones periódicas del acceso de los usuarios por parte de los propietarios de los activos de información para garantizar que se mantiene el acceso adecuado; j) autenticación multifactor para el acceso privilegiado, el acceso remoto y otras actividades de alto riesgo; k) generación, en lugar de almacenamiento, de contraseñas/números de identificación personal (PIN) cuando se utilicen para autorizar actividades de alto riesgo; y l) regla de las dos personas aplicada a los activos de información con el nivel más alto de sensibilidad (por ejemplo, claves de cifrado, generación de PIN, etc.).por ejemplo, claves de cifrado, generación de PIN, bases de datos financieras).
  • A efectos de rendición de cuentas, nos aseguramos de que los usuarios y los activos de información estén identificados de forma única, y de que sus acciones se registren con un nivel de granularidad suficiente para respaldar los procesos de supervisión de la seguridad de la información.

Seguridad del software

  • Incluimos consideraciones de seguridad de la información en todo el ciclo de vida de la entrega de software, incluso cuando se utilizan técnicas ágiles. Las actividades típicas del ciclo de vida de la entrega de software comprenden la determinación de requisitos, la selección y configuración (para software suministrado por proveedores, incluido el software como servicio), el diseño y la programación (para software desarrollado internamente), las pruebas y la implementación.
  • La seguridad continua del software existente se tiene en cuenta como parte de la gestión de cambios y a medida que se identifican nuevas vulnerabilidades. Entre los factores que solemos tener en cuenta están a) requisitos: los requisitos de seguridad de la información se identifican explícitamente como parte de la definición de los requisitos del software y abordan las amenazas potenciales; b) diseño: a la hora de diseñar software seguro, hay que tener en cuenta la modularización del software; en qué parte de la red se encuentra el software; bajo qué privilegios se ejecuta el software; la inclusión de funciones de seguridad de la información como parte de las especificaciones técnicas; y las normas y directrices de seguridad de la información según las cuales se redactan las especificaciones del software; c) selección y configuración: a la hora de seleccionar y configurar el software suministrado por el proveedor, hay que tener en cuenta las pruebas de seguridad realizadas para identificar vulnerabilidades (intencionadas o deliberadas); las capacidades de gestión de acceso de los usuarios (por ejemplo, basadas en funciones; las vulnerabilidades de la interfaz; las capacidades de supervisión; las capacidades de cifrado; las capacidades de cifrado para identificar vulnerabilidades); y las capacidades de gestión de acceso de los usuarios (por ejemplo, basadas en funciones).d) normas y directrices: el conjunto de conocimientos necesarios para desarrollar programas informáticos seguros se plasma en una serie de normas y directrices. Existen normas para cada lenguaje de programación, que tienen en cuenta las vulnerabilidades conocidas y lo que se considera una buena práctica.
  • Mantenemos un registro de herramientas de desarrollo de software aprobadas y su uso asociado. Imponemos el cumplimiento del registro con fines de control de calidad, evitando comprometer el entorno de producción y reduciendo el riesgo de introducir vulnerabilidades inesperadas. Esto no impide el uso de otras herramientas en un entorno que no sea de producción con fines de evaluación y experimentación.
  • Implantamos funciones, responsabilidades y herramientas para gestionar el registro y despliegue del código fuente con el fin de garantizar que no se pongan en peligro los requisitos de seguridad de la información.

Técnicas criptográficas

  • Las técnicas criptográficas se refieren a métodos utilizados para cifrar datos, confirmar su autenticidad o verificar su integridad. Los siguientes son ejemplos en los que utilizamos técnicas criptográficas dados los riesgos que implican: a) transmisión y almacenamiento de datos críticos y/o sensibles en un entorno "no fiable" o cuando se requiere un mayor grado de seguridad; b) detección de cualquier alteración no autorizada de los datos; c) verificación de la autenticidad de las transacciones o los datos; y d) protección de los PIN de socios y usuarios finales que suelen utilizarse para la autorización de transacciones financieras.
  • Seleccionamos las técnicas criptográficas en función de la naturaleza de la actividad y de la sensibilidad y criticidad de los datos. Por lo general, las técnicas criptográficas se revisan periódicamente para garantizar que sigan estando a la altura de las vulnerabilidades y amenazas.
  • Seleccionamos los algoritmos de cifrado de entre la población de estándares internacionales bien establecidos y probados que han sido sometidos a un riguroso escrutinio público y a la verificación de su eficacia. La longitud de una clave criptográfica suele seleccionarse de forma que un ataque de fuerza bruta resulte impracticable (es decir, que requiera un periodo de tiempo extremadamente largo para vulnerarla utilizando las capacidades informáticas actuales).
  • La gestión de claves criptográficas se refiere a la generación, distribución, almacenamiento, renovación, revocación, recuperación, archivo y destrucción de claves de cifrado. Una gestión eficaz de las claves criptográficas garantiza la existencia de controles para reducir el riesgo de comprometer la seguridad de las claves criptográficas. Cualquier compromiso de la seguridad de las claves criptográficas podría, a su vez, comprometer la seguridad de los activos de información protegidos por la técnica criptográfica desplegada.
  • Desplegamos, cuando procede, controles para limitar el acceso a las claves criptográficas, incluyendo a) el uso de dispositivos y entornos protegidos física y lógicamente para almacenar y generar claves criptográficas, generar PIN y realizar el cifrado y descifrado. Esto implica el uso de Módulos de Seguridad de Hardware (HSM) o dispositivos de seguridad similares; b) el uso de técnicas criptográficas para mantener la confidencialidad de las claves criptográficas; c) la segregación de funciones, sin que una sola persona tenga conocimiento de toda la clave criptográfica (es decir, controles de dos personas) o tenga acceso a todos los componentes que conforman estas claves; d) fechas predefinidas de activación y desactivación de las claves criptográficas, limitando el período de tiempo que permanecen válidas para su uso. El periodo de validez de una clave criptográfica es proporcional al riesgo; e) procesos de revocación de claves criptográficas claramente definidos; y f) despliegue de técnicas de detección para identificar cualquier caso de sustitución de claves criptográficas.

Seguridad de los socios

  • Como negocio de plataformas, nuestra tecnología puede introducir vulnerabilidades adicionales en la seguridad de la información que, de ser explotadas, podrían dar lugar a incidentes de seguridad de la información potencialmente importantes que afectarían a nuestros socios y a los beneficiarios de sus clientes. Aplicamos controles preventivos, detectivos y de respuesta proporcionales a estos riesgos. Entre los controles más comunes se encuentran: a) controles de autenticación acordes con la vulnerabilidad y las amenazas asociadas a los productos y servicios ofrecidos, que incluyen el uso de un segundo canal de notificación/confirmación de eventos; b) límites para garantizar que las pérdidas se mantienen dentro de los límites de riesgo (por ejemplo, límites de transferencia, límites de transacciones diarias); c) supervisión de la actividad de las transacciones para detectar patrones de comportamiento inusuales y revisión de las tendencias de los eventos de pérdida que puedan desencadenar la necesidad de controles adicionales (por ejemplo, pérdidas por fraude y robo); d) control de la actividad de las transacciones para detectar patrones de comportamiento inusuales y revisión de las tendencias de los eventos de pérdida que puedan desencadenar la necesidad de controles adicionales (por ejemplo, pérdidas por fraude y robo).d) procedimientos documentados y comunicados para el seguimiento y la gestión de incidentes de fraude, fuga de datos y usurpación de identidad; y e) minimización de la recopilación de información sensible sobre los clientes más allá de lo que es relevante para las actividades comerciales emprendidas. Esto incluye la información del cliente utilizada con fines de autenticación, como contraseñas o PIN.

Pruebas

  • Para limitar el acceso a lo que se ha autorizado en función del puesto de trabajo y el principio del menor privilegio, adoptamos la Gestión de Identidad y Acceso (IAM), la identificación y autenticación de usuarios, la seguridad física, la concienciación y la formación de los empleados. A este respecto, realizamos, por ejemplo, pruebas de ingeniería social.
  • Para autenticar a los usuarios con una fuerza de autenticación acorde con la sensibilidad del activo de información al que se accede, aplicamos una política de contraseñas y controles de autenticación del sistema. Realizamos auditorías del acceso de los usuarios para comprobar este objetivo.
  • Para proteger las redes del tráfico de red no autorizado, utilizamos cortafuegos, encaminadores y segmentación de red, y los comprobamos mediante pruebas de penetración.
  • Para proteger los sistemas de ataques maliciosos, desplegamos antimalware, filtrado web y de correo electrónico, con muestras de prueba de malware, y pruebas de configuración para comprobar este objetivo.
  • Para proteger la comunicación entre sistemas, incluido el intercambio de datos, de accesos y usos no autorizados, utilizamos el cifrado y la gestión de claves, con el apoyo de una revisión de la gestión de claves.
  • Para detectar a tiempo los accesos y usos no autorizados, utilizamos registros, información de seguridad y gestión de eventos (SIEM), soluciones de detección de cambios en la integridad, análisis de eventos y procedimientos de escalado, y realizamos pruebas de penetración para comprobar nuestro objetivo.
  • Para implantar software seguro, adoptamos prácticas seguras de desarrollo, adquisición y despliegue de software. Este objetivo se comprueba mediante revisiones de diseño, pruebas de penetración, revisión y escaneado de código, análisis del tráfico de red, pruebas de fallos y fuzzing.
  • Para responder con eficacia y eficiencia a los incidentes de seguridad de la información, adoptamos manuales de respuesta a incidentes de seguridad de la información, gestión de crisis y un Plan de Continuidad de Negocio (PCN). Ponemos a prueba este objetivo mediante ejercicios de simulación y pruebas de escenarios público-privados.
  • Con el fin de que los sistemas sean resilientes ante el fallo de componentes individuales, adoptamos soluciones activo-activo, activo-pasivo desplegadas, soluciones sandboxed y arquitectura de confianza cero. Comprobamos este objetivo mediante pruebas con monos del caos, revisiones de arquitectura, pruebas de fallos y pruebas de conmutación por error.
  • Con el fin de recuperar en todos los escenarios plausibles, adoptamos planes de recuperación y controles para proteger las copias de seguridad de cualquier peligro. Realizamos pruebas técnicas de recuperación y pruebas de penetración en el entorno de las copias de seguridad.
  • Para que los controles de aplicación minimicen el riesgo de nuevas vulnerabilidades por cambios en el sistema, nuestros sistemas son seguros por diseño. Adoptamos un desarrollo de software seguro, pruebas no funcionales, control de cambios y endurecimiento del sistema. Realizamos revisiones de control de cambios, escaneado de código, revisiones de arquitectura y fuzzing.
  • Para identificar y corregir a tiempo las nuevas vulnerabilidades, aplicamos parches y utilizamos la gestión de la configuración, con el apoyo de análisis de vulnerabilidades y pruebas de penetración.
  • Para facilitar la identificación y corrección oportunas de las nuevas amenazas, utilizamos información sobre amenazas, tenemos una estrategia de seguridad de la información y contratamos periódicamente a revisores independientes.

Informes

  • Para socializar nuestra capacidad, informamos sobre la estrategia de seguridad de la información, las iniciativas clave y los avances realizados hasta la fecha; el análisis de la conciencia de la situación (incluida la inteligencia sobre amenazas); las evaluaciones de capacidad (autoevaluadas o a través de la evaluación comparativa); y las deficiencias de capacidad identificadas y el estado de las actividades de corrección.
  • Para comunicar los incidentes, realizamos: (a) informes posteriores a incidentes materiales; (b) análisis de tendencias de incidentes (internos y externos); y (c) resultados de pruebas de respuesta a incidentes (incluidos simulacros).
  • Para comunicar los controles, informamos de: (a) las actividades de pruebas de control, incluidos el calendario, el alcance, los resultados y las tendencias; (b) las actividades de auditoría interna, incluidos el calendario, el alcance, los resultados y las tendencias); (c) los avances en las actividades de riesgo y corrección; (d) los resultados de las evaluaciones de vulnerabilidades y amenazas; (e) las evaluaciones de terceros y partes relacionadas; y (f) los informes de cumplimiento del marco de la política de seguridad de la información.
  • Para socializar la formación de nuestros equipos, informamos: (a) Material informativo y de sensibilización; y (b) Resultados de las sesiones de formación y sensibilización.
  • Para comunicar los eventos previos al compromiso, informamos sobre (a) conexiones bloqueadas por escaneado externo - recuento; (b) nuevas vulnerabilidades por tipo OWASP - recuento; (c) malware detenido - recuento; (d) sitios de phishing conocidos - recuento; (e) sitios de phishing retirados - recuento, y horas abiertos; (f) malware único dirigido a bancos - recuento; (g) vulnerabilidades por línea de código - recuento; (h) aplicaciones que entran en producción con vulnerabilidades de código - recuento; e (i) eventos de seguridad detectados - recuento.
  • Para comunicar nuestras prácticas previas al compromiso, informamos sobre (a) Pruebas de penetración por tipo, recuento y clasificación de los resultados, (b) Sistemas protegidos por sistemas de gestión de identidades y accesos - recuento); (c) Sistemas desarrollados internamente que no pueden actualizarse por tipo, y recuento); (d) Sistemas con componentes de soporte fuera del proveedor por tipo, recuento y % de cobertura); (e) Sistemas sin soluciones antimalware - recuento); (f) Dispositivos no autorizados por tipo, y recuento); (g) Cumplimiento de la configuración de seguridad de la información - cobertura %); (h) Ejercicios de concienciación - cobertura %, y recuento); (i) Personal que responde a las pruebas de phishing - % del personal total; (j) Revisión del acceso de los usuarios por función, privilegio, antigüedad, y cobertura %); (k) Evaluaciones de seguridad de proveedores durante doce meses - cobertura % de terceros relevantes; (l) Antigüedad de los parches por criticidad, y días; y (m) Informe de garantía sobre la seguridad de la información - hallazgos por calificación, y antigüedad hasta la corrección.
  • Para comunicar nuestros sucesos sobre compromiso, informamos sobre (a) Puntos finales de software malicioso detectados - recuento; (b) Software malicioso detectado en servidores - recuento; (c) Directorios en línea que contienen información del personal/clientes - recuento; y (d) Tipo de incidente durante el periodo - por tipo, y recuento.
  • Para comunicar nuestras prácticas en materia de compromiso, informamos sobre (a) Planes de respuesta y recuperación desarrollados por tipo, recuento y % de cobertura; y (b) Ensayos de incidentes por tipo, recuento y % de cobertura).
  • Para comunicar los eventos posteriores al compromiso, informamos sobre (a) APT detectadas - recuento; (b) conexiones bloqueadas a sitios web maliciosos - recuento; (c) violaciones de datos detectadas - recuento; (d) pérdidas financieras - $; y (e) pérdidas de socios - $.
  • Para comunicar las prácticas posteriores a los incidentes, informamos sobre los informes posteriores a los incidentes: cuente.