Última actualización: julio de 2022.

Clasificación de la Información: Abierta al público.

Definición

Este documento describe los lineamientos del Grupo Senior en materia de Política de Seguridad de la Información, cuyas reglas y procedimientos son confidenciales y se publican internamente. Estos lineamientos indican el uso aceptable de los activos de información de la institución con base en los principios de confidencialidad, integridad y disponibilidad.

Público objetivo

Grupo Senior, Terceros, Proveedores de Servicios, Clientes, Socios y Canales.

Objetivo

• Establecer lineamientos y políticas de Seguridad de la Información que permitan a los empleados de Senior adoptar estándares de comportamiento de seguridad adecuados a sus objetivos y necesidades;
• Guiar a los empleados en la adopción de controles y procesos para cumplir con los requisitos de Seguridad de la Información;
• Capacitar a los empleados senior en la prevención, detección y respuesta a incidentes de Seguridad de la Información;
• Prevenir posibles causas de incidentes de Seguridad de la Información;
• Salvaguardar la información y los activos tecnológicos de Senior, asegurando los requisitos de confidencialidad, integridad y disponibilidad;
• Minimizar los riesgos de pérdida financiera, confianza del cliente o cualquier otro impacto negativo en el negocio de Senior debido a violaciones de seguridad.

Responsabilidades

La Política de Seguridad de la Información del Grupo Senior aborda las responsabilidades generales de la institución, sus empleados, terceros y la Alta Gerencia.

Concientización y capacitación sobre seguridad de la información

Senior Group establece pautas de educación continua para cultivar buenas prácticas de seguridad para el uso diario de los empleados tanto con fines profesionales como personales. La Política aborda los procedimientos utilizados en el programa de concientización de la institución, como capacitación y boletines internos.

Gestión de riesgos de seguridad de la información

El área de Seguridad de la Información es responsable de la gestión del riesgo cibernético. Este proceso identifica los requisitos de seguridad relacionados con las necesidades de la institución. La gestión del riesgo cibernético es continua y define contextos internos y externos para su evaluación, así como el tratamiento de los riesgos identificados para que se reduzcan a niveles aceptables.

Gestión de contraseñas

The Senior Group sigue las mejores prácticas para el uso de contraseñas, incluida la exigencia de contraseñas complejas y la evitación de la reutilización de contraseñas anteriores.

Las contraseñas deben cumplir con los requisitos mínimos de caracteres, bloquearse después de intentos fallidos y cambiarse periódicamente.

Gestión de activos

El Grupo Senior tiene sus activos de información identificados, actualizados y categorizados, siendo sus respectivos propietarios responsables del uso aceptable de los activos, de acuerdo con la política interna.

Protección y Clasificación de la Información

El Grupo Senior establece lineamientos para clasificar, manejar y etiquetar los activos de información de la empresa. El documento interno describe pautas para clasificar la información y describir sus categorías, procedimientos para manejar y eliminar información, reglas para la prevención de fugas de datos, políticas para copia y restauración de datos (copia de seguridad y restauración), así como pautas para el cifrado.

Uso Aceptable de los Recursos Tecnológicos

Los recursos tecnológicos del Grupo Senior deben ser utilizados de manera profesional, ética y legal, tal como se define en los términos de responsabilidad aplicables. La Política de Seguridad de la Información aborda la definición de los recursos tecnológicos, así como las reglas que deben seguir los empleados de Senior y terceros.

Gestión de identidad y acceso

El Grupo Senior establece pautas generales para el acceso a los activos y sistemas de información. Toda la gestión de acceso está bajo responsabilidad del área de Tecnologías de la Información y se basa en el principio de la necesidad de acceso a la información para el desempeño de las actividades laborales del empleado.

La Política define lineamientos como:

• Perfiles de Acceso al Área Comercial;

• Proceso de Admisión de Empleados o Transferencia de Área;
• Proceso de Despido de Empleados;
• Acceso de Terceros, Invitados y Temporal;
• Acceso a la base de datos;
• Acceso Remoto;
• Acceso Físico;
• Revisión de acceso;
• Parametrización de Contraseña;
• Autenticación de múltiples factores.

Criptografía

Los activos de información de Senior están adecuadamente cifrados para garantizar la protección durante todo el ciclo de vida de la información, siguiendo los estándares de seguridad de los organismos reguladores.

Desarrollo de software

El Grupo Senior desarrolla sus aplicaciones siguiendo procedimientos, documentos e instrucciones de trabajo internos, siguiendo prácticas de seguridad de la información alineadas con la Política de Seguridad interna.

Los entornos de producción están separados de otros entornos y acceden a ellos usuarios previamente autorizados o herramientas aprobadas.

Todos los sistemas o aplicaciones adquiridos de terceros deberán seguir los lineamientos definidos en la Política de Seguridad de la Información y estar debidamente aprobados.

Protección contra malware

Senior define pautas y utiliza herramientas líderes en el mercado para protegerse contra amenazas de códigos maliciosos (malware). Además, el Grupo Senior cuenta con soluciones de seguridad basadas en IA (Inteligencia Artificial) para identificar, detectar y responder inmediatamente a las amenazas.

Monitoreo de seguridad

La Política de Seguridad de la Información aborda el seguimiento de la seguridad, describiendo los aspectos necesarios para identificar posibles amenazas. The Senior Group emplea prácticas, procedimientos y procesos efectivos para monitorear las actividades relacionadas con la seguridad.

Trabajo remoto

El Senior Group establece requisitos para el trabajo remoto, como el uso de una Red Privada Virtual (VPN).

Gestión de vulnerabilidad y cumplimiento

El Grupo Senior implementa procesos de gestión de vulnerabilidades y cumplimiento de manera que se establezcan los siguientes lineamientos:

• Gestión de Vulnerabilidad;
• Gestión de Cumplimiento;
• Pruebas de seguridad periódicas; 
• Correcciones de Seguridad (Gestión de Parches).

Respaldo

The Senior Group adopta soluciones de Backup y Disaster Recovery para proteger sus datos contra la pérdida de información.

Se realizan pruebas periódicas para garantizar la integridad de la información, comprobar la eficacia de los procesos y establecer mejoras.

Respuesta a incidentes de seguridad

El Senior Group establece lineamientos para prevenir, responder y abordar adecuadamente los incidentes de seguridad que estén impactando o puedan impactar los activos/servicios de información o recursos tecnológicos de la institución.

En este tema, la Política cubre las responsabilidades de los departamentos en la prevención y respuesta a incidentes.

Además, la Política describe reglas de priorización y gravedad de posibles incidentes, procedimientos para definir autoridades y lineamientos para la preparación de escenarios de pruebas de continuidad del negocio.

Cabe destacar también que el Grupo Senior cuenta con un Plan de Respuesta a Incidentes, que contiene la metodología y lineamientos para abordar los incidentes de ciberseguridad.

Gestión de la continuidad del negocio

El Grupo Senior ejecuta la gestión de la continuidad del negocio con soluciones, estrategias y procedimientos a llevar a cabo ante posibles escenarios de contingencia en línea con el propósito y objetivos estratégicos de la institución. Para ello, Senior cuenta con un Plan de Continuidad del Negocio (BCP) que cumple con las funciones definidas en documentos internos.

Gestión de terceros

El Grupo Senior establece pautas para los profesionales externos en sus instalaciones o para la contratación de servicios de terceros.

Senior Group tiene reglas adicionales de debida diligencia para terceros relevantes: aquellos que almacenan o procesan datos críticos en una infraestructura tecnológica que no es propiedad de Senior.

Seguridad de dispositivos móviles

El Grupo Senior establece pautas para el uso seguro de los dispositivos móviles, así como las funciones de los departamentos responsables de su seguimiento.

Seguridad de la red

El Grupo Senior dispone de herramientas de seguridad capaces de detectar y responder a intentos de intrusión en su entorno. En este tema, la Política también cubre reglas sobre las redes inalámbricas públicas y corporativas.

Privacidad de datos personales

The Senior Group garantiza que los datos personales no son tratados con fines desleales o abusivos y defiende el derecho fundamental a la privacidad consagrado en la LGPD – Ley General de Protección de Datos Personales (Ley N° 13.709 de 14 de agosto de 2018).

Sanciones y Castigos

El departamento de Seguridad de la Información monitorea continuamente el entorno tecnológico utilizando diversos métodos para garantizar el cumplimiento y adherencia a esta Política. En caso de incumplimiento de las normas allí establecidas, así como de las demás normas y procedimientos de Seguridad de la Información, incluso por omisión o intento no consumado, dicho incumplimiento podrá ser calificado como un incidente de Seguridad de la Información, que está sujeto a sanciones.

Otras sanciones y penalizaciones por incumplimiento de las normas de Seguridad de la Información se describen en la Política Interna.