Mejores prácticas de ciberseguridad
Lo más importante
En abril de 2021, el Departamento de Trabajo (DOL) publicó Cybersecurity Program Best Practices, una lista de doce elementos para ser utilizados por los proveedores de servicios de planes de jubilación. El Departamento de Trabajo destacó que una buena ciberseguridad requiere el esfuerzo combinado de los participantes, los empleadores y los proveedores de servicios del plan. Alerus es un socio importante en este esfuerzo. Como banco nacional, nuestro enfoque es sencillo: Protegeremos la información de su plan con el mismo nivel de seguridad que se exige a todos los activos bancarios. A continuación se explica detalladamente cómo nuestros procesos de ciberseguridad se alinean con las mejores prácticas del DOL.
Un programa de ciberseguridad formal y bien documentado
Nuestro programa de seguridad de la información está diseñado para proteger la confidencialidad, integridad y disponibilidad de nuestros sistemas y datos. El equipo de tecnologías de la información (TI) colabora estrechamente con los equipos de seguridad física, auditoría, jurídico, de cumplimiento y de gestión de riesgos para garantizar que adoptamos un enfoque integral para mantener el cumplimiento de las leyes y normativas aplicables, minimizando al mismo tiempo los riesgos para nuestros clientes y empleados.
El Consejo de Administración ha otorgado a los equipos de TI, cumplimiento y seguridad física la autoridad, a través de las políticas que se enumeran a continuación, para garantizar que tengamos los controles adecuados. Todas las políticas son revisadas y actualizadas por los propietarios de las mismas y aprobadas anualmente por el Consejo de Administración. Además de estas políticas, tenemos varias normas de TI que se aprueban a nivel de gestión de TI.
Políticas del programa de ciberseguridad de Alerus
- GLBA – Política de protección de la información de los clientes
- Política de seguridad de la información
- Política de seguridad de datos
- Política de seguridad física
- Política de gestión de proveedores
- Política de clasificación de activos y datos
- Plan de respuesta a incidentes de seguridad informática
- Política de dispositivos móviles
- Política de recuperación en caso de catástrofe
Evaluaciones anuales de riesgo prudentes
Como parte de nuestro cumplimiento de la Ley Gramm-Leach-Bliley (GLBA), realizamos una evaluación anual de los riesgos informáticos que tiene en cuenta los resultados de las auditorías y las pruebas de penetración, los cambios significativos en la tecnología, las sugerencias de mejora y los cambios, o las tendencias observables en materia de ciberseguridad y fraude de cuentas. Los resultados de la evaluación de riesgos son revisados anualmente por nuestro Equipo de Estrategia de Seguridad de la Información, el Consejo de Administración y el Comité de Gestión de Riesgos de la Empresa. Además de la evaluación de riesgos, cada departamento realiza su propia evaluación de riesgos semestral y presenta los resultados al Comité de Gestión de Riesgos de la Empresa.
Una auditoría anual de los controles de seguridad realizada por un tercero fiable
Como banco nacional, Alerus está regulado por la Oficina del Contralor de la Moneda (OCC). La OCC nos audita anualmente y nos responsabiliza del cumplimiento de los requisitos establecidos en el Manual de Examen de TI del Consejo Federal de Instituciones Financieras y en la GLBA. Alerus también contrata a proveedores externos para que realicen auditorías de nuestro programa de seguridad de la información a lo largo del año. Los resultados de la auditoría de la OCC, las auditorías de terceros, las pruebas de penetración y las evaluaciones de vulnerabilidad se presentan al Comité de Gestión de Riesgos Empresariales. Las excepciones, si las hay, son seguidas hasta su finalización por el departamento de auditoría interna. Además, contratamos a un socio auditor para que elabore un informe anual de control de la organización de servicios, denominado informe SOC, que compartimos con nuestros clientes.
Funciones y responsabilidades de seguridad de la información claramente definidas y asignadas
La estrategia y el programa de ciberseguridad están dirigidos por nuestro director de seguridad de la información, que lleva 15 años ocupando puestos de liderazgo en este ámbito. El equipo de seguridad de la información asiste a cursos de formación durante todo el año y mantiene certificaciones de seguridad de la información de organizaciones como el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información ((ISC)2) y la Certificación Global de Garantía de la Información (GIAC) de SysAdmin, Auditoría, Red y Seguridad (SANS). Todos los empleados reciben una formación anual sobre nuestro programa de seguridad de la información y se someten a una comprobación de antecedentes.
Procedimientos sólidos de control de acceso
El equipo de TI es responsable de establecer nuevos usuarios con acceso a las aplicaciones y sistemas específicos de su departamento y/o puesto. Cuando un empleado cambia de departamento o se recibe una solicitud para cambiar el acceso de un empleado, el equipo de TI procesa el cambio basándose en la solicitud. Cuando un empleado se da de baja, el equipo de TI desactiva el acceso en la fecha del cese, lo que mitiga el riesgo de que un empleado tenga acceso a información de propiedad después del cese. Se realiza un informe semanal para identificar a los usuarios antiguos. Este informe se utiliza para garantizar que no hay excepciones en el proceso de baja de los empleados y para asegurar que las nuevas cuentas de usuario se utilizan activamente.
La autenticación multifactorial es necesaria para el acceso remoto a la red. Se han establecido cuentas separadas para que los informáticos realicen acciones administrativas. Estas cuentas administrativas no permiten el acceso al correo electrónico ni a Internet.
Alerus lleva a cabo anualmente una revisión en profundidad de los permisos en tres fases de las aplicaciones críticas para el negocio. El supervisor del empleado, el propietario de la aplicación empresarial y el propietario de la aplicación de TI revisan los permisos para asegurarse:
- Se concede el menor número de privilegios para realizar el trabajo,
- No hay cuentas compartidas en uso, y
- No se conceden excesivos privilegios administrativos para una aplicación.
Los activos o datos almacenados en una nube o gestionados por un proveedor de servicios externo están sujetos a las revisiones de seguridad adecuadas y a las evaluaciones de seguridad independientes
El programa de gestión de riesgos de proveedores de Alerus evalúa los riesgos asociados a terceros e incluye una revisión de los controles de seguridad de la información, los planes de continuidad y reanudación del negocio, la salud financiera y la cobertura del seguro de ciberseguridad, según corresponda en función del riesgo.
La formación sobre ciberseguridad se imparte al menos una vez al año para todo el personal y se actualiza para reflejar los riesgos identificados por la evaluación de riesgos más reciente
La formación en materia de ciberseguridad se actualiza anualmente en función de la actividad experimentada durante el año. Todos los empleados están obligados a completar la formación anualmente. La formación sobre robo de identidad y técnicas de fraude es continua a lo largo del año.
Programa de ciclo de vida de desarrollo de sistemas seguros (SDLC)
Nuestros controles en este tema giran en torno a tres áreas clave:
Gestión del cambio
Los cambios en las aplicaciones críticas siguen nuestro proceso de gestión de cambios en las aplicaciones. La reelaboración de procesos empresariales significativos o la implantación de nuevas tecnologías requiere su presentación a través de la base de datos de gestión de cambios de aplicaciones de Alerus, lo que desencadena una revisión de seguridad y diligencia debida interfuncional. La base de datos de gestión de cambios de la aplicación se utiliza para hacer un seguimiento del desarrollo, las pruebas y las aprobaciones hasta la implantación.
El proceso de gestión de los cambios en las aplicaciones se utiliza para hacer un seguimiento de las aplicaciones existentes que requieren modificaciones, o de la implantación de nuevas tecnologías para satisfacer requisitos empresariales nuevos o cambiantes. Este proceso garantiza que se apliquen la visibilidad, las aprobaciones y los recursos adecuados.
- La dirección tiene un proceso documentado y sigue el protocolo de «gestión del cambio» establecido.
- Los cambios en el sistema y en las aplicaciones se rastrean y se aplican de manera oportuna.
- Los empleados dedicados a realizar cambios en el sistema y las aplicaciones tienen conocimientos sobre dichos sistemas y aplicaciones.
Supervisión
Alerus cuenta con una práctica de gestión de proyectos estratégicos. Los informáticos participan siempre que se investigan nuevos sistemas o aplicaciones. Se toman en consideración el tipo de datos almacenados en el nuevo sistema, quién tendrá acceso, los niveles de acceso disponibles, la capacidad de modificar la lógica del sistema y dónde se aloja el sistema (en red o en la web), así como otras consideraciones de seguridad.
La aprobación e implantación de nuevas tecnologías sigue nuestro flujo de trabajo estructurado de gestión de proyectos para garantizar la participación de la unidad de negocio y el equipo de TI, y requiere la aprobación de la alta dirección.
La fase de validación de cada proyecto consiste en que los equipos colaboren para revisar los requisitos del sistema con el objetivo de seleccionar la mejor solución posible y más rentable. La fase de implantación se produce cuando se identifican y resuelven las necesidades de documentación y apoyo.
Mantenimiento de paquetes de software
Los propietarios de las unidades de negocio funcionales de Alerus mantienen sólidas relaciones con los proveedores de aplicaciones básicas y de productos auxiliares para hacer un seguimiento de las versiones programadas del sistema y comprender plenamente cómo afectan estas versiones del sistema al producto final y/o al flujo de trabajo de procesamiento.
Alerus cuenta con una estrategia definida que empareja a los propietarios de las aplicaciones empresariales con los propietarios de las aplicaciones tecnológicas para coordinar las pruebas de cada versión del proveedor, utilizando los recursos internos adecuados para pasar la versión a producción.
Parte de la fase de implementación de cualquier proceso de cambio de software, incluidas las versiones, es una colaboración entre el propietario de la aplicación empresarial y el propietario de la tecnología para garantizar que la documentación esté actualizada. En el caso de los productos apoyados principalmente por vendedores externos, la interfaz con sus equipos de apoyo se lleva a cabo según sea necesario. En los casos en los que una versión impulsada por un proveedor afecte negativamente a nuestras operaciones empresariales, el propietario de la unidad de negocio funcional y/o el propietario de la aplicación tecnológica trabajarán con el proveedor para determinar los siguientes pasos apropiados, que van desde la reversión completa de una versión hasta una revisión o un parche.
Un programa de resiliencia empresarial que aborda eficazmente la continuidad del negocio, la recuperación de desastres y la respuesta a incidentes
El plan de recuperación de desastres de Alerus incluye pasos para identificar un incidente, notificar a las partes apropiadas e iniciar el proceso de recuperación. Anualmente, se celebran sesiones de análisis del impacto empresarial con cada departamento para garantizar que se dispone de la documentación adecuada para la recuperación de desastres, incluidos los objetivos de punto y tiempo de recuperación para los procesos empresariales clave, la tecnología necesaria, el personal esencial y cualquier dependencia basada en la ubicación. Las pruebas de los componentes individuales del sistema se programan y prueban a lo largo del año. Cada año se realiza una prueba integrada que incluye tanto la recuperación de los procesos de negocio como la recuperación y la conmutación por error de la tecnología. Los resultados de las pruebas del programa de continuidad de la actividad y las actualizaciones del programa se presentan anualmente al Comité de Gestión de Riesgos de la Empresa.
Cifrado de datos sensibles almacenados y en tránsito
Todos los datos alojados en Alerus están cifrados en tránsito y en reposo.
Controles técnicos sólidos que aplican las mejores prácticas de seguridad
Alerus realiza escaneos de vulnerabilidad diarios y semanales contra todos los ordenadores, servidores y dispositivos remotos y locales de nuestra red. Buscamos parches faltantes, vulnerabilidades de software y firmware, y debilidades de configuración. Hemos programado el despliegue semanal de parches para mantener todos los sistemas actualizados. Los informes de gestión de la vulnerabilidad son revisados por el Comité de Gestión de Riesgos de la Empresa como parte de cada evaluación de los riesgos informáticos. Las configuraciones seguras del sistema se gestionan de forma centralizada. Todos los cortafuegos, los sistemas de detección de intrusos, los dispositivos de red, los servidores y los ordenadores tienen un ciclo de vida de sustitución para mantenerse dentro del soporte del fabricante. Existe una autenticación de red basada en 802.1x, que restringe el acceso a la red sólo a los dispositivos propiedad de Alerus.
La protección contra el malware está en una versión actual y compatible y se actualiza con frecuencia. Las copias de seguridad nocturnas de los datos se complementan con la replicación asíncrona de los sistemas clave a lo largo del día.
Capacidad de respuesta a los incidentes de ciberseguridad o a las infracciones
Nuestro plan de respuesta a incidentes describe las responsabilidades de informar a las fuerzas de seguridad, a nuestra aseguradora de ciberseguridad y las notificaciones contractuales y reglamentarias a las partes implicadas. Los incidentes se investigan para identificar la causa raíz, el alcance del problema, los pasos para remediarlo y las lecciones aprendidas.
Esta información refleja las prácticas en un momento dado y está sujeta a cambios sin previo aviso, ya que respondemos a leyes y reglamentos nuevos y/o cambiantes que pueden afectar al cumplimiento en esta área.