Resolución
| Fecha de publicación | 30 Marzo 2023 |
| Número de registro | IN2023733283 |
| Emisor | BANCO POPULAR Y DE DESARROLLO COMUNAL |
Junta Directiva
La Junta Directiva Nacional en su calidad de tal y actuando en funciones propias de Asamblea de Accionistas, mediante Sesión Ordinaria Nº 5982 acuerdo N° 281 celebrada el 1 de marzo del 2023, aprobó la actualización al Reglamento de Seguridad de la Información y Ciberseguridad del Conglomerado Financiero Banco Popular, en los siguientes términos:
REGLAMENTO DE SEGURIDAD DE LA INFORMACIÓN
Y CIBERSEGURIDAD DEL CONGLOMERADO
FINANCIERO BANCO POPULAR
Y DE DESARROLLO COMUNAL
CAPÍTULO PRIMERO:
Generalidades
Artículo 1º—Fundamento. El presente Reglamento se dicta de conformidad con lo establecido en el inciso b) del artículo 24 de la Ley Orgánica del Banco Popular y de Desarrollo Comunal, para regular la actividad de Seguridad de la Información, sin perjuicio de lo dispuesto en la ley, en otras normas externas y reglamentos especiales emitidos por la Junta Directiva Nacional.
Artículo 2º—Definiciones[1]
Antimalware: Programa cuyo objetivo es detectar y eliminar cualquier código informático malicioso.
Ciberseguridad: Protección de los activos de información y los componentes digitales utilizados para procesar, almacenar y distribuir dicha información a través de sistemas de información interconectados al ciberespacio
Confidencialidad: Propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información
Conglomerado: Conglomerado Financiero Banco Popular y de Desarrollo Comunal.
Continuidad del negocio: Capacidad de la organización para continuar suministrando productos o servicios a niveles predefinidos aceptables, posterior a un incidente disruptivo ISO 22301.2015.
Disponibilidad: Cualidad de que la información resulte accesible y utilizable cuando lo requiera una entidad autorizada.
Dispositivos móviles: Equipos de cómputo portables con capacidad de almacenamiento de información y conectividad a redes, incluyendo mas no limitándolo a celulares, teléfonos inteligentes, tabletas, agendas electrónicas, dispositivos de almacenamiento externos, entre otros.
Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos.
ISO/IEC 27002: Buenas prácticas de seguridad para implementar los controles del estándar ISO/IEC 27001. Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.
Malware: Corresponde un software malicioso que se instala en los dispositivos móviles, servicios o red programable para el robo o acceso información confidencial de la empresa, puede permanecer oculto al usuario.
Necesidad del Saber: Principio de seguridad donde solo se le concede el acceso a la información a un usuario que necesita para realizar sus tareas (diferentes tareas/roles significan necesidades de saber diferentes y, por lo tanto, perfil de acceso diferente).
Seguridad de la información: Conjunto de medidas preventivas y reactivas que permiten resguardar y proteger la información con el fin de preservar su disponibilidad, integridad y confidencialidad; además, puede involucrar propiedades como autenticidad, rendición de cuentas, no repudio y confiabilidad.
Sociedades Anónimas: Corresponde a Popular Seguros Correduría de Seguros, Operadora de Planes de Pensiones Complementarias del Banco Popular y de Desarrollo Comunal S. A., Popular Sociedad Fondos de Inversión, Popular Valores Puesto de Bolsa. Así como otra sociedad que se cree a futuro.
Sistema de Gestión de Seguridad de la Información (SGSI): Ayuda a establecer políticas y procedimientos en relación con los objetivos del negocio del Conglomerado para proteger la información, con el objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que el propio Conglomerado ha decidido asumir.
Teletrabajo: Se refiere a todas las formas de trabajo fuera de la oficina, incluyendo los ambientes de trabajo no tradicionales, tales como los denominados ambientes de “trabajo a distancia”, “lugar de trabajo flexible”, “trabajo remoto”, y “trabajo virtual”.
Tercero: Persona física o jurídica que presta servicios profesionales al Conglomerado a través de una contratación.
Artículo 3º—Dirección responsable. La Gerencia General Corporativa del Banco a través del Comité Corporativo de Seguridad de la Información y Ciberseguridad y de su dependencia adscrita, la División de Seguridad de la Información son los responsables de elaborar un Plan de Gestión de Seguridad de la Información y Ciberseguridad. Además, deben velar por su correcta planificación, ejecución, seguimiento, mejora y actualización en el Conglomerado.
I. Requisitos del plan de gestión de seguridad de la información y Ciberseguridad:
a) Incluir todos los principios de seguridad del Conglomerado (Integridad, disponibilidad y confidencialidad), así como las estrategias a implementar para lograr esos principios.
b) Asegurar que los objetivos y estrategias de la Seguridad de la Información se encuentren alineados con las estrategias del Conglomerado.
c) Definir el conjunto de controles preventivos, detectivos y correctivos que permitan gestionar riesgos de seguridad salvaguardando la información, con el fin de preservar su disponibilidad, integridad y confidencialidad.
II. Responsabilidades de las áreas encargadas:
Son responsabilidades de la División de Seguridad de la Información, con el apoyo de la Dirección de Tecnología de Información del Banco y de las áreas equivalentes en cada Sociedad Anónima:
a) Identificar los recursos necesarios para la ejecución del Plan de Gestión de Seguridad de la Información y Ciberseguridad.
b) Liderar, asesorar y comunicar al Conglomerado el enfoque, acciones ejecutadas y gestionar la rendición de cuentas por los responsables pertinentes, así como los beneficios recibidos del proceso de implementación del Plan de Gestión de Seguridad de la Información y Ciberseguridad.
c) Definir un manual de ejecución, seguimiento, evaluación y mejora, del Sistema de Gestión de Seguridad de la Información, el cual debe quedar debidamente documentado en todas sus fases.
d) Definir y gestionar los lineamientos que conformen el marco normativo de seguridad de la información y Ciberseguridad del Conglomerado de conformidad con el Plan de Gestión de Seguridad de la Información y Ciberseguridad.
e) La División Seguridad de la Información será la responsable de velar y supervisar el cumplimiento de lo expuesto en el presente Reglamento.
Son responsabilidades de las Dependencias de Seguridad Informática y Tecnologías de Información del Conglomerado:
a) Definir, aplicar y velar por el cumplimiento de los controles técnicos con base en la normativa de seguridad de la información existente, para proteger la confidencialidad, integridad y disponibilidad de la información contenida dentro de los sistemas informáticos del Conglomerado.
b) Identificar, emitir, gestionar y cumplir las recomendaciones sobre los riesgos de ciberseguridad, diseño y arquitectura de seguridad de las plataformas tecnológicas a implementar en el Conglomerado considerando las partes interesadas.
c) Apoyar, colaborar y atender las solicitudes, normativa e instrucciones de la División de Seguridad de la Información para la gestión y Plan de Seguridad de la Información y Ciberseguridad.
Artículo 4º—Ámbito de regulación o control. El ámbito de regulación, control y monitoreo de la Seguridad de la Información se define según el estándar internacional ISO/IEC 27001 e ISO/IEC 27002, además de buenas prácticas y normas de seguridad relacionadas, que abarcan los siguientes objetivos de control que deberán ser gobernados en el marco normativo de seguridad de la información.
Artículo 5º—Desarrollo, modificación, aprobación e implementación de nuevas directrices. Cualquier propuesta para el desarrollo y ajuste de las directrices de Seguridad de la Información es responsabilidad de la División de Seguridad de la Información, y podrá apoyarse cuando lo considere pertinente de la Dirección de Tecnología de Información del Banco o dependencias homólogas de las Sociedades Anónimas, además de partes interesadas, considerando en el proceso lo establecido en el Sistema de Gestión de Aseguramiento de la Calidad.
Toda directriz de Seguridad de la Información debe estar basada en la Política de Seguridad de la Información y cualquier propuesta de creación y modificación debe ser presentada ante el Comité Corporativo de Seguridad de la Información para su aprobación y puesta en efectividad.
CAPÍTULO SEGUNDO:
De la Seguridad de la Información
Artículo 6º—Alcance de la Seguridad de la Información: Se enmarca en el alcance del Sistema de Gestión de Seguridad de la Información, procurando abordar información relevante, sistemas y dependencias del Conglomerado, por lo cual se deberá disponer de un documento formal que así lo respalde, con el fin de asegurar el cumplimiento de la confidencialidad, integridad y disponibilidad de la información.
Artículo 7º—Responsabilidades. Le corresponde a la Gerencia General Corporativa o Gerencias Generales promover la divulgación y aplicación del marco normativo de Seguridad de la Información a todas las personas usuarias, así como proveer los recursos necesarios para gestionar el Sistema de Gestión de Seguridad de la Información en todas sus fases.
Toda persona usuaria de la información del Conglomerado debe cumplir con la normativa emitida por Seguridad de la Información.
El personal del Conglomerado y terceros tienen la responsabilidad de cumplir con la normativa de seguridad de la información considerando el acceso, uso, procesamiento, almacenamiento, transmisión, clasificación y eliminación de la información del Conglomerado en cumplimiento de sus funciones del puesto.
Es responsabilidad directa de cada jefatura de las dependencias del Conglomerado velar por el cumplimiento del marco normativo emitida para la Seguridad de la Información.
Artículo 8º—De La Seguridad Inform...
Para continuar leyendo
Solicita tu prueba