POLÍTICA DE SEGURANÇA CIBERNÉTICA

Transcrição

1 SCOTIABANK BRASIL S/A BANCO MÚLTIPLO POLÍTICA DE SEGURANÇA CIBERNÉTICA MAIO 2019 Efetiva em: 6 de maio de 2019 Página 1 de 10

2 1 INTRODUÇÃO OBJETIVO ESCOPO DEFINIÇÕES E ACRÔNIMOS POLÍTICAS E DIRETRIZES RELACIONADAS DETALHAMENTO DA POLÍTICA LINHAS DE DEFESA PAPÉIS E RESPONSABILIDADES COMPARTILHAMENTO DE INFORMAÇÕES CLASSIFICAÇÃO DE SERVIÇOS RELEVANTES... 8 APÊNDICE 1 REVISÃO E GOVERNANÇA DA POLÍTICA... 9 APROVAÇÃO DA POLÍTICA Página 2 de 10

3 1 INTRODUÇÃO 1.1 OBJETIVO A POLÍTICA DE SEGURANÇA CIBERNÉTICA é um adendo à POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BANK OF NOVA SCOTIA, matriz do Scotiabank Brasil. Foi elaborada em resposta à RESOLUÇÃO divulgada pelo BANCO CENTRAL DO BRASIL no dia 26 de abril de ESCOPO Esta política, sujeita a todos os requisitos regulatórios e legais, aplica-se ao: Scotiabank Brasil; Funcionários e colaboradores; Funcionários e colaboradores do BNS na operação do SBB; e Terceiros externos, por força contratual. 1.3 DEFINIÇÕES E ACRÔNIMOS BNS significa The Bank o Nova Scotia, instituição financeira global com matriz em Toronto, Canadá. SBB significa Scotiabank Brasil como subsidiária integral do BNS. Banco significa: BNS; e SBB CISO significa Chief Information Security Officer. PSI significa Política da Segurança da Informação. ISGF significa Information Security Governance Framework (Estrutura de Governança de Segurança da Informação). Página 3 de 10

4 1.4 POLÍTICAS E DIRETRIZES RELACIONADAS O SBB como subsidiária integral do BNS respeita todos termos definidos pelo BNS. Esse adendo relaciona e complementa as políticas, diretivas e procedimentos do BNS que se aplicam ao SBB e destaca os desvios dos mesmos, por exceção ou conflito, de origem regulatória, administrativa ou operacional. Quando não destacado de forma contrária, os termos da matriz são integralmente aplicados. Esta política está relacionada e deve ser lida em conjunto com as Políticas, Estruturas e Procedimentos abaixo: POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BANCO DA NOVA SCOTIA; ESTRUTURA DE GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO. MANUAL DE PROCEDIMENTOS GESTÃO DE RISCO DE TERCEIROS. Página 4 de 10

5 2 DETALHAMENTO DA POLÍTICA A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO detalha os aspectos críticos de Segurança Cibernética listados abaixo: TÓPICO Referência I. OBJETIVOS DE SEGURANÇA CIBERNÉTICA DO BNS; ISGF, página 17 (a) Technical Security Services (b) Cyber Security Services (c) Customer Protection Services ISGF, página 18 (d) Vulnerability Management Services PSI, página 7 (e) Proteção de dados o Prevenção e detecção de intrusão; Itens (a) e (b) do Tópico I o Prevenção ao vazamento de informações; Item (a) do Tópico I o Autenticação e controle de acesso; Item (c) do Tópico I o Criptografia; Item (c) do Tópico I o Testes periódicos; Item (d) do Tópico I o Análise de vulnerabilidade; Item (d) do Tópico I o Prevenção contra softwares maliciosos; Item (c) do Tópico I o Rastreabilidade de dados; Item (e) do Tópico I o Segmentação de redes de computadores; Item (a) do Tópico I II. PROCEDIMENTOS E CONTROLES PARA REDUÇÃO DA VULNERABILIDADE A INCIDENTES E CUMPRIMENTO DOS OBJETIVOS; III. CONTROLES DE RASTREABILIDADE PARA GARANTIR A SEGURANÇA DE INFORMAÇÕES SENSÍVEIS; IV. REGISTRO, ANÁLISE DE CAUSA E IMPACTO E CONTROLES DOS EFEITOS DE INCIDENTES RELEVANTES. PSI, página 8 Avaliar e Melhorar ISGF, página 14 IT Support Area PSI, página 5 Políticas e diretrizes de proteção da privacidade de informações pessoais do Scotiabank. ISGF, página 15 Divisional IT Management V. DIRETRIZES: o Continuidade de negócios; PSI, página 5 Política de gestão de continuidade de negócios. o Requisitos mínimos sobre procedimentos e controles para prevenção e tratamento de incidentes para empresas prestadoras de serviços e terceiros com visibilidade às informações sensíveis ou relevantes para a operação do Banco. PSI, página 8 Relatório de Incidentes o Classificação da sensibilidade e relevância dos dados; PSI, página 6 Classificação da Informação. o Parâmetros para avaliação de incidentes relevantes. Item 2.4 da política VI. DISSEMINAÇÃO DA CULTURA DE SEGURANÇA CIBERNÉTICA: PSI, página 7 Conscientização o Programas de capacitação e de avaliação periódica; ISGF, página 16 Chief Information Security Officer o Compartilhamento de informação; Item 2.3 da política ISGF, página 11 ITORMC o Engajamento da alta administração com a melhoria contínua; ISGF, página 8 Top Level Oversight Roles Página 5 de 10

6 2.1 LINHAS DE DEFESA O gerenciamento de risco de informação, incluindo segurança cibernética, está estruturada em três linhas de defesa como descrito abaixo: 1A. RESPONSÁVEL PELO RISCO Todos os colaboradores do banco são os responsáveis pela identificação, gerenciamento e mitigação dos riscos de segurança de informação e de segurança cibernética inerentes às suas atividades. 1B. SUPORTE À RESOLUÇÃO DO RISCO Apoiar a Linha 1A na identificação, avaliação, monitoramento, comunicação e respostas aos riscos de segurança da informação e de segurança cibernética. 2. SUPERVISÃO DO RISCO Estabelecer o apetite ao risco, limites, políticas e estruturas de acordo com as melhores práticas e requisitos relatórios e legais. Medir, monitorar e comunicar os riscos de forma independente da primeira linha de defesa. 3. AVALIAÇÃO INDEPENDENTE Avaliar de forma independente a postura de risco do Banco. Comunicar no nível executivo. Focar na estrutura de governança e controles de sistemas. Página 6 de 10

7 2.2 PAPÉIS E RESPONSABILIDADES A tabela abaixo lista os Papéis e Responsabilidades complementares para atendimento das regulações e leis brasileiras somadas àquelas definidas na ESTRUTURA DE GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO: PAPEL (Chief Information Security Officer) IT HEAD (Chefe de TI) RESPONSABILIDADES Responsável pelos ativos tecnológicos e sua evolução de forma a aprimorar a postura do SBB quanto à segurança da informação e pelo atendimento das regulações e leis brasileiras. LINHA DE DEFESA 1A & 1B CISO (Chefe de Segurança da Informação) CRO (Chefe de Riscos) Responsável por segurança da informação perante reguladores brasileiros. Ponto de contato do SBB subordinado do CISO do BNS. Assegurar a convergência com a política de gerenciamento de risco do BNS e governança de risco do Banco Central do Brasil. Departamento Jurídico Responsabilidade compartilhada por assegurar que os contratos com terceiros incluam cláusulas apropriadas para assegurar que as resoluções e leis brasileiras sejam respeitadas. A responsabilidade é compartilhada com o contratante do serviço ou produto e com o CISO. Compliance Responsável por assegurar conformidade das políticas e processos locais com as regulações e leis brasileiras. Preparar os formulários de aceite das políticas de segurança cibernética para colaboradores. Controlar o aceite das políticas pelos colaboradores e prestadores de serviços. ITCO (Comitê de TI) Comunicar em conjunto com o CISO e IT HEAD de forma tempestiva a ocorrência de incidentes de segurança cibernética aos reguladores brasileiros. Compartilhar com reguladores brasileiros o relatório anual de incidentes cibernéticos ocorridos no Banco. Avaliar, aprovar e supervisionar a execução de planos de ação relacionados à segurança da informação. 1A & 1B Página 7 de 10

8 2.3 COMPARTILHAMENTO DE INFORMAÇÕES O Banco é membro associado à FS-ISAC e utiliza esse canal para o compartilhamento de informações relativas à incidentes de segurança da informação. A qualidade das informações compartilhadas através da FS-ISAC é devidamente verificada pelo Banco de forma a assegurar que possam contribuir com a postura de segurança da informação das instituições globais. 2.4 CLASSIFICAÇÃO DE SERVIÇOS RELEVANTES A matriz abaixo estabelece os critérios de inclusão e de exclusão de serviços relevantes. Serviços relevantes sob a perspectiva de segurança da informação requerem gerenciamento e controles compatíveis para assegurar a disponibilidade, integridade e confidencialidade da informação. CRITÉRIOS DE INCLUSÃO A) Essenciais para desempenho das funções operacionais críticas abaixo: I. Liquidação em reais ou em moeda estrangeira. II. Controle de risco de mercado e exposição. III. Gerenciamento de caixa. B) Desempenhados fora do território brasileiro. C) Serviços em nuvem ou estabelecido em data center externo necessários para operação. D) Que tratem informações pessoais e sensíveis. E) Que estejam classificados como críticos no Manual de Procedimentos Gestão de Risco de Terceiros. F) Cumprimento de obrigações regulatórias. CRITÉRIOS DE EXCLUSÃO A) Serviços relevantes que possam ser prestados por outros terceiros; e B) que possam ser operacionalizados com o novo prestador em até 3 meses. Página 8 de 10

9 APÊNDICE 1 REVISÃO E GOVERNANÇA DA POLÍTICA Revisão e Atualização A política será revisada e atualizada, no mínimo, anualmente ou sempre que houver mudanças materiais nos processos internos, requisitos regulatórios ou nas boas práticas da indústria financeira. A política será revisada, atualizada e aprovado segundo o processo abaixo: O responsável pela política conseguirá das partes interessadas as mudanças ocorridas nos processos internos, regulações, boas práticas e eventos externos e revisará a política de acordo com as informações; O patrocinador da política revisará a política e recomendará nova atualização ou aprovação. As mudanças na política serão aprovadas no ITCO, autoridade do SBB; As mudanças na política que conflitem ou desviem da política do BNS deverão seguir o fluxo de aprovação definido na(s) política(s) do BNS em conflito. Matriz de papéis de responsabilidades sobre a revisão e atualização da política Papel Responsável CISO Brasil Partes interessadas Diretores e gerentes Patrocinador CRO Autoridade Aprovadora Diretoria Executiva Auditoria Chief Auditor Brasil Responsabilidade Responsável pela manutenção, desenvolvimento e aprovação da Política e por sua comunicação. Monitorar mudanças relevantes com as partes interessadas, atualizar e aprovar a política de acordo. Responsáveis pela elaboração inicial da política; Contribuir nas revisões e comunicar necessidades de atualização; Executivo responsável pela política e por assegurar que ela seja respeitada. Responsável pela revisão antes de submissão para aprovação formal. Aprovação final da política. Assegurar que a governança e a supervisão de acordo com a metodologia de auditoria sejam respeitadas. Plano de Comunicação da Política A política será publicada seguindo o procedimento definido pela área de Compliance do SBB. Página 9 de 10

10 SCOTIABANK BRASIL S/A - BANCO MULTIPLO POLÍTICA DE SEGURANÇA CIBERNÉTICA Maio 2019 SIGN-OFF APROVAÇÃO Country Head: Paulo Bernardo Diretor: Alexandre Yoda Diretor: Antonio Pianucci Diretor: Izabel Salvucci Página 10 de 10