Privacidad, protección de datos y ciberseguridad

La mayoría de nuestras actividades se llevan a cabo de manera online: redes sociales, trabajo, compras, estudio, entre otras cosas y sin duda, las herramientas digitales son un gran aliado. Sin embargo, estamos expuestos a diversos riesgos, y por ello es necesario hacer un uso responsable del mundo digital.

En Santander México no solo contamos con una serie de políticas en este sentido; también sensibilizamos constantemente a nuestros colaboradores para que sepan salvaguardar los datos e información de nuestra Institución. Estas políticas están basadas en estándares de la industria y son resultado del cumplimiento normativo, así como de buenas prácticas del sector.

El Consejo de Administración revisa y aprueba el Marco Corporativo de Ciberseguridad y sus actualizaciones según sea el caso, que establecen los procesos clave y definen los elementos esenciales de su gobierno, así como los roles y responsabilidades que se alinean con los principios de las tres líneas de defensa. Dentro de la política Requisitos de Ciberseguridad para Usuarios Técnicos, se incluye la sección de requisitos de ciberseguridad para proteger los datos.

Esta política proporciona a las gerencias de Grupo Financiero Santander México los requisitos obligatorios mínimos para desarrollar, implementar y mantener las salvaguardas y controles que protejan los datos y la información de terceros, y proteger los datos e información interna del Banco. Además, nuestro programa de prevención de pérdida de dato, descrito en la política de Requisitos de Ciberseguridad para Usuarios Técnicos nos permite detectar la exfiltración de datos.

Por su parte, nuestra política Requisitos de Ciberseguridad para Usuarios Técnicos dicta las buenas prácticas en la protección de la información que deriva del marco normativo de ciberseguridad y riesgo tecnológico. Estas buenas prácticas se basan en los objetivos de seguridad de la información y riesgo tecnológico establecidos en el Banco para mantener la confidencialidad, integridad, disponibilidad y trazabilidad de la información. Su función es ofrecer orientación de cómo se pueden evitar, mitigar o gestionar los riesgos reputacionales o comerciales a través de las normas clave de ciberseguridad de Santander.

Nuestro Marco Corporativo de Ciberseguridad tiene por objetivo establecer normas y responsabilidades para la gestión del riesgo de ciberseguridad, incluida la protección de datos personales, en toda la organización. Identificar las vulnerabilidades de los sistemas de información que planteen un riesgo para la seguridad de los datos y está basado en estándares de la industria como NIST/ISO/IEC 27001/ ISO/IEC 27002.

El objetivo de este Marco Corporativo, y su desarrollo, es convertir a Santander en una organización cibernéticamente resistente mediante la gestión proactiva y holística del riesgo, lo que permite que el Banco y sus clientes sigan prosperando y se beneficien de las enormes oportunidades que brinda la tecnología digital. A este efecto, una gestión efectiva del riesgo creciente exige un planteamiento global de la ciberseguridad en todas las áreas geográficas y de negocio.

En México, las autoridades locales como la Comisión Nacional Bancaria y de Valores (CNBV) a través de la Circular Única de Bancos y Banco de México mediante sus diferentes circulares que norman los medios de pago, establecen el reporte de incidentes relevantes de ciberseguridad en los plazos y términos que se indican en la propia regulación, a lo cual se alinea nuestra política Requisitos de Ciberseguridad para Usuarios Técnicos en su sección de “gestión de ciber incidentes”. Así como los manuales de operación y circulares del Banco de México (BANXICO) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (INAI).

Asimismo, nuestra política Requisitos de Ciberseguridad para Usuarios Técnicos en su sección de “gestión de ciber incidentes” proporciona a la administración del Grupo en México los requisitos mínimos obligatorios para la conducta y capacidades que dan soporte a la gestión de incidentes de ciberseguridad. Esto incluye las tendencias, frecuencia y origen de los ataques a los sistemas, datos e información. La comunicación y escalamiento de los incidentes se realiza en línea con lo establecido en esta política y con la regulación aplicable.

Las ciber amenazas nuevas y emergentes, y los vectores de ataque asociados a los riesgos de ciberseguridad, para Santander se compone de tres elementos clave:

Acceso no autorizado o uso indebido de la información o los sistemas (robo de información personal, planes de fusiones y adquisiciones o propiedad intelectual).
Fraude electrónico (desvío de pagos por medios electrónicos, extracción de fondos de cuentas de clientes y fraude en canales, fraude de tarjetas de crédito, robo de identidad, etc.).
Alteración de la actividad de negocio por un ciber incidente (ciber sabotaje, ciber extorsión, denegación de servicio, ransomware).
Determinar de qué manera debe gestionarse un conflicto de interés inevitable y de qué manera deberá informarse debidamente al individuo o entidad afectado.

Estos riesgos tienen su origen tanto fuera como dentro de la corporación. El impacto del riesgo de ciberseguridad puede suponer pérdidas financieras, daños en la reputación, multas regulatorias, pérdida de ventajas estratégicas e interrupción de operaciones.

Nuestra política Requisitos de Ciberseguridad para Usuarios Técnicos en su sección de “ciber inteligencia” proporciona los requisitos mínimos obligatorios para la recopilación, procesamiento, análisis, difusión e integración de la inteligencia de ciber amenazas que incluye medios de pago y los vectores de ataque, entre otros de ransomware.

La ciberseguridad es una responsabilidad que comparten todos nuestros colaboradores y para garantizarla dentro del Banco actuamos en conjunto guiándonos de las buenas prácticas en el uso de las tecnologías y la protección de la información. Para ello, contamos con la política corporativa de “Normas de Ciberseguridad para la protección de Santander” que establece los requisitos mínimos obligatorios en el desarrollo, implementación y mantenimiento de las salvaguardas y controles.

Trabajamos constantemente en el desarrollo de estrategias y en un plan de capacitación y concientización en seguridad de la información que incluye campañas de comunicación interna, formación, cursos normativos y otras actividades como jornadas de seguridad de la información y riesgo tecnológico; todo esto dirigido a nuestro personal.

Durante 2022 se llevaron a cabo las siguientes actividades:

Nombre	Descripción
Hacktober	Octubre es nuestro mes de concienciación en Ciberseguridad. El objetivo es que todos los colaboradores tengan oportunidad de desarrollar sus conocimientos sobre cómo defenderse de las amenazas cibernéticas.
Ethical Phishing (corporativos)	Ejercicios trimestrales de ethical phishing a todos los colaboradores del banco. El objetivo es medir el comportamiento de los colaboradores antes una amenaza real de phishing.