• Nenhum resultado encontrado

POLÍTICA DE SEGURANÇA CIBERNÉTICA

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "POLÍTICA DE SEGURANÇA CIBERNÉTICA"

Copied!
10
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 10 páginas )

Texto

(1)

Maio de 2019 SCOTIABANK BRASIL CONFIDENCIAL Página 1 de 10

S

COTIABANK

B

RASIL

S/A

B

ANCO

M

ÚLTIPLO

POLÍTICA DE

SEGURANÇA CIBERNÉTICA

M

AIO

2019

(2)

1 INTRODUÇÃO... 3

1.1 OBJETIVO ... 3

1.2 ESCOPO ... 3

1.3 DEFINIÇÕES E ACRÔNIMOS ... 3

1.4 POLÍTICAS E DIRETRIZES RELACIONADAS ... 4

2 DETALHAMENTO DA POLÍTICA ... 5

2.1 LINHAS DE DEFESA ... 6

2.2 PAPÉIS E RESPONSABILIDADES ... 7

2.3 COMPARTILHAMENTO DE INFORMAÇÕES ... 8

2.4 CLASSIFICAÇÃO DE SERVIÇOS RELEVANTES ... 8

APÊNDICE 1 – REVISÃO E GOVERNANÇA DA POLÍTICA ... 9

(3)

Maio de 2019 SCOTIABANK BRASIL CONFIDENCIAL Página 3 de 10

1

INTRODUÇÃO

1.1 OBJETIVO

A POLÍTICA DE SEGURANÇA CIBERNÉTICA é um adendo à POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BANK OF NOVA SCOTIA, matriz do Scotiabank Brasil. Foi elaborada em resposta à RESOLUÇÃO 4.658 divulgada pelo BANCO CENTRAL DO BRASIL no dia 26 de abril de 2018.

1.2 ESCOPO

Esta política, sujeita a todos os requisitos regulatórios e legais, aplica-se ao: • Scotiabank Brasil;

• Funcionários e colaboradores;

• Funcionários e colaboradores do BNS na operação do SBB; e • Terceiros externos, por força contratual.

1.3 DEFINIÇÕES E ACRÔNIMOS

“BNS” significa The Bank o Nova Scotia, instituição financeira global com matriz em Toronto,

Canadá.

“SBB” significa Scotiabank Brasil como subsidiária integral do BNS. “Banco” significa:

• BNS; e • SBB

“CISO” significa Chief Information Security Officer. “PSI” significa Política da Segurança da Informação.

“ISGF” significa Information Security Governance Framework (Estrutura de Governança de

(4)

1.4 POLÍTICAS E DIRETRIZES RELACIONADAS

O SBB como subsidiária integral do BNS respeita todos termos definidos pelo BNS.

Esse adendo relaciona e complementa as políticas, diretivas e procedimentos do BNS que se aplicam ao SBB e destaca os desvios dos mesmos, por exceção ou conflito, de origem

regulatória, administrativa ou operacional. Quando não destacado de forma contrária, os termos da matriz são integralmente aplicados.

Esta política está relacionada e deve ser lida em conjunto com as Políticas, Estruturas e Procedimentos abaixo:

• POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO BANCO DA NOVA SCOTIA; • ESTRUTURA DE GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO.

(5)

Maio de 2019 SCOTIABANK BRASIL CONFIDENCIAL Página 5 de 10

2

DETALHAMENTO DA POLÍTICA

A POLÍTICA DE SEGURANÇA DA INFORMAÇÃO detalha os aspectos críticos de Segurança Cibernética listados abaixo:

TÓPICO Referência

I. OBJETIVOS DE SEGURANÇA CIBERNÉTICA DO BNS; ISGF, página 17

(a) Technical Security Services (b) Cyber Security Services (c) Customer Protection Services

ISGF, página 18

(d) Vulnerability Management Services

PSI, página 7

(e) Proteção de dados o Prevenção e detecção de intrusão; Itens (a) e (b) do Tópico I o Prevenção ao vazamento de informações; Item (a) do Tópico I o Autenticação e controle de acesso; Item (c) do Tópico I

o Criptografia; Item (c) do Tópico I

o Testes periódicos; Item (d) do Tópico I

o Análise de vulnerabilidade; Item (d) do Tópico I

o Prevenção contra softwares maliciosos; Item (c) do Tópico I

o Rastreabilidade de dados; Item (e) do Tópico I

o Segmentação de redes de computadores; Item (a) do Tópico I II. PROCEDIMENTOS E CONTROLES PARA REDUÇÃO DA VULNERABILIDADE A

INCIDENTES E CUMPRIMENTO DOS OBJETIVOS;

PSI, página 8

Avaliar e Melhorar

ISGF, página 14

IT Support Area III. CONTROLES DE RASTREABILIDADE PARA GARANTIR A SEGURANÇA DE

INFORMAÇÕES SENSÍVEIS;

PSI, página 5

Políticas e diretrizes de proteção da privacidade de informações pessoais do Scotiabank. IV. REGISTRO, ANÁLISE DE CAUSA E IMPACTO E CONTROLES DOS EFEITOS DE

INCIDENTES RELEVANTES.

ISGF, página 15

Divisional IT Management V. DIRETRIZES:

o Continuidade de negócios; PSI, página 5

Política de gestão de continuidade de negócios.

o Requisitos mínimos sobre procedimentos e controles para prevenção e tratamento de incidentes para empresas prestadoras de serviços e terceiros com visibilidade às informações sensíveis ou relevantes para a operação do Banco.

PSI, página 8

Relatório de Incidentes

o Classificação da sensibilidade e relevância dos dados; PSI, página 6

Classificação da Informação. o Parâmetros para avaliação de incidentes relevantes. Item 2.4 da política

VI. DISSEMINAÇÃO DA CULTURA DE SEGURANÇA CIBERNÉTICA: PSI, página 7

Conscientização o Programas de capacitação e de avaliação periódica; ISGF, página 16

Chief Information Security Officer o Compartilhamento de informação; Item 2.3 da política

ISGF, página 11 ITORMC

o Engajamento da alta administração com a melhoria contínua; ISGF, página 8

(6)

2.1 LINHAS DE DEFESA

O gerenciamento de risco de informação, incluindo segurança cibernética, está estruturada em três linhas de defesa como descrito abaixo:

1A.RESPONSÁVEL PELO RISCO • Todos os colaboradores do banco são os

responsáveis pela identificação,

gerenciamento e mitigação dos riscos de segurança de informação e de segurança cibernética inerentes às suas atividades. 1B.SUPORTE À RESOLUÇÃO DO RISCO • Apoiar a Linha 1A na identificação,

avaliação, monitoramento, comunicação e respostas aos riscos de segurança da informação e de segurança cibernética. 2.SUPERVISÃO DO RISCO • Estabelecer o apetite ao risco, limites,

políticas e estruturas de acordo com as melhores práticas e requisitos relatórios e legais.

• Medir, monitorar e comunicar os riscos de forma independente da primeira linha de defesa.

3.AVALIAÇÃO INDEPENDENTE • Avaliar de forma independente a postura de

risco do Banco.

• Comunicar no nível executivo. • Focar na estrutura de governança e

(7)

Maio de 2019 SCOTIABANK BRASIL CONFIDENCIAL Página 7 de 10

2.2 PAPÉIS E RESPONSABILIDADES

A tabela abaixo lista os Papéis e Responsabilidades complementares para atendimento das regulações e leis brasileiras somadas àquelas definidas na ESTRUTURA DE GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO:

PAPEL

(Chief Information Security Officer)

RESPONSABILIDADES LINHA DE

DEFESA

ITHEAD

(Chefe de TI)

• Responsável pelos ativos tecnológicos e sua evolução de forma a aprimorar a postura do SBB quanto à segurança da informação e pelo atendimento das regulações e leis brasileiras.

1A & 1B

CISO

(Chefe de Segurança da Informação)

• Responsável por segurança da informação perante reguladores brasileiros.

• Ponto de contato do SBB subordinado do CISO do BNS.

1A & 1B

CRO

(Chefe de Riscos)

• Assegurar a convergência com a política de gerenciamento de risco do BNS e governança de risco do Banco Central do Brasil.

2

Departamento Jurídico • Responsabilidade compartilhada por

assegurar que os contratos com terceiros incluam cláusulas apropriadas para assegurar que as resoluções e leis brasileiras sejam respeitadas.

• A responsabilidade é compartilhada com o contratante do serviço ou produto e com o CISO.

2

Compliance • Responsável por assegurar conformidade das

políticas e processos locais com as regulações e leis brasileiras.

• Preparar os formulários de aceite das políticas de segurança cibernética para colaboradores.

• Controlar o aceite das políticas pelos colaboradores e prestadores de serviços.

2

ITCO

(Comitê de TI)

• Comunicar em conjunto com o CISO e IT HEAD de forma tempestiva a ocorrência de incidentes de segurança cibernética aos reguladores brasileiros.

• Compartilhar com reguladores brasileiros o relatório anual de incidentes cibernéticos ocorridos no Banco.

• Avaliar, aprovar e supervisionar a execução de planos de ação relacionados à segurança da informação.

(8)

2.3 COMPARTILHAMENTO DE INFORMAÇÕES

O Banco é membro associado à FS-ISAC e utiliza esse canal para o compartilhamento de informações relativas à incidentes de segurança da informação.

A qualidade das informações compartilhadas através da FS-ISAC é devidamente verificada pelo

Banco de forma a assegurar que possam contribuir com a postura de segurança da informação

das instituições globais.

2.4 CLASSIFICAÇÃO DE SERVIÇOS RELEVANTES

A matriz abaixo estabelece os critérios de inclusão e de exclusão de serviços relevantes. Serviços relevantes sob a perspectiva de segurança da informação requerem gerenciamento e controles compatíveis para assegurar a disponibilidade, integridade e confidencialidade da informação.

CRITÉRIOS DE INCLUSÃO

A) Essenciais para desempenho das funções operacionais críticas abaixo: I. Liquidação em reais ou em moeda estrangeira.

II. Controle de risco de mercado e exposição. III. Gerenciamento de caixa.

B) Desempenhados fora do território brasileiro.

C) Serviços em nuvem ou estabelecido em data center externo necessários para operação. D) Que tratem informações pessoais e sensíveis.

E) Que estejam classificados como críticos no “Manual de Procedimentos – Gestão de Risco de Terceiros”.

F) Cumprimento de obrigações regulatórias.

CRITÉRIOS DE EXCLUSÃO

A) Serviços relevantes que possam ser prestados por outros terceiros; e B) que possam ser operacionalizados com o novo prestador em até 3 meses.

(9)

Maio de 2019 SCOTIABANK BRASIL CONFIDENCIAL Página 9 de 10

APÊNDICE 1 – REVISÃO E GOVERNANÇA DA POLÍTICA

Revisão e Atualização

A política será revisada e atualizada, no mínimo, anualmente ou sempre que houver mudanças materiais nos processos internos, requisitos regulatórios ou nas boas práticas da indústria financeira.

A política será revisada, atualizada e aprovado segundo o processo abaixo:

• O responsável pela política conseguirá das partes interessadas as mudanças ocorridas nos processos internos, regulações, boas práticas e eventos externos e revisará a política de acordo com as informações;

• O patrocinador da política revisará a política e recomendará nova atualização ou aprovação.

• As mudanças na política serão aprovadas no ITCO, autoridade do SBB;

• As mudanças na política que conflitem ou desviem da política do BNS deverão seguir o fluxo de aprovação definido na(s) política(s) do BNS em conflito.

Matriz de papéis de responsabilidades sobre a revisão e atualização da política

Papel Responsabilidade Responsável

CISO Brasil

• Responsável pela manutenção, desenvolvimento e aprovação da Política e por sua comunicação. • Monitorar mudanças relevantes com as partes

interessadas, atualizar e aprovar a política de acordo.

Partes interessadas

Diretores e gerentes

• Responsáveis pela elaboração inicial da política; • Contribuir nas revisões e comunicar necessidades

de atualização;

Patrocinador

CRO

• Executivo responsável pela política e por assegurar que ela seja respeitada.

• Responsável pela revisão antes de submissão para aprovação formal.

Autoridade Aprovadora

Diretoria Executiva

• Aprovação final da política.

Auditoria

Chief Auditor Brasil

• Assegurar que a governança e a supervisão de acordo com a metodologia de auditoria sejam respeitadas.

Plano de Comunicação da Política

A política será publicada seguindo o procedimento definido pela área de Compliance do SBB.

(10)

SCOTIABANK BRASIL S/A - BANCO MULTIPLO

POLÍTICA DE

SEGURANÇA CIBERNÉTICA

Maio 2019 SIGN-OFF APROVAÇÃO

Country Head: Paulo Bernardo ________________________________

Diretor: Alexandre Yoda ________________________________

Diretor: Antonio Pianucci ________________________________

Referências

Descarregar agora ( PDF - 10 páginas - 283.09 KB )

Documentos relacionados

Grupo motor-bomba. Tabela de conteúdo. Características RP 51172/ Tipo ABAPG

Não podem ser deduzidas dos nossos dados quaisquer informações sobre uma dada característica específica, nem sobre a aptidão para um determinado fim. Os dados fornecidos não eximem

DOMÍNIO DA LINGUAGEM ALGÉBRICA NO 8º ANO DO ENSINO FUNDAMENTAL: INICIAÇÃO CIENTÍFICA NA FORMAÇÃO DO PROFESSOR DE MATEMÁTICA

(2019) Pretendemos continuar a estudar esses dados com a coordenação de área de matemática da Secretaria Municipal de Educação e, estender a pesquisa aos estudantes do Ensino Médio

Avaliação do sistema de referência e contra-referência na atenção à saúde bucal ao portador de fissura de lábio e/ou palato no Estado de Santa Catarina

atendimento integral ao portador de fissura de lábio e/ou palato, referente às ações e serviços odontológicos nos três níveis de atenção a saúde (primário, secundário

Super-resolução simultânea para sequência de imagens

Os métodos clássicos de determinação dos coeficientes, que possuem boa qualidade de estimativa e grande estabili- dade, têm alto custo computacional no problema de super-resolução;

Coleção de plantas medicinais aromáticas condimentares.

Plantio: Março (sementes), outubro e novembro (estacas) Característica botânica: Planta subarbustiva, perene.. Os ramos são

Toxicidade de dois agroquímicos utilizados no cultivo de arroz irrigado em juvenis de Litopenaeus vannamei

O fato da contagem total de hemócitos no experimento com o agroquímico Talcord não ter sido diferente significativamente entre o controle e os dois tratamentos onde os

A participação da gestão da tecnologia da informação na gestão estratégica em uma instituição pública de ensino: limites e potencialidades

Inicialmente, destacamos os principais pontos de convergência: • O papel tático e operacional exercido pela área de TI dos Câmpus é claramente identificável, tanto nos

As comunidades juvenis (tribos urbanas) na sociedade pós – moderna: uma busca por aceitação, adequação e inclusão no ambiente escolar

Antes de caminhar efetivamente ao encontro de métodos e mecanismos que nos levem a solucionar os problemas de ajustamento e inclusão dos jovens oriundos das “tribos” juvenis urbanas