Saltar al contenido
Logotipo de BOK Financial

Gobierno: Ciberseguridad

BOK Financial se compromete a salvaguardar la información de la empresa y del cliente a través de niveles apropiados de protección integrados en todas las líneas de negocios, funciones de ayuda y relaciones con terceros. El programa de ciberseguridad de la compañía es supervisado por el Comité de riesgo de la Junta, que es responsable de garantizar que el programa cuente con los recursos adecuados y pueda proteger la seguridad y confidencialidad de nuestros datos y los de nuestros clientes. El programa es administrado por el Director de Seguridad de la Información (CISO), quien informa al Director de riesgos y es revisado por los reguladores, así como por auditores internos y externos. El CISO proporciona actualizaciones trimestrales de seguridad de la información al Comité de riesgos, así como al Consejo de riesgos de nivel ejecutivo de la empresa sobre programas, políticas y controles de ciberseguridad; esfuerzos para mejorar la seguridad; y respuestas a eventos de ciberseguridad.

Cada empleado y contratista es responsable de la seguridad y confidencialidad de la información de la empresa y del cliente. Esta expectativa se comunica en el momento de la incorporación y a través de capacitaciones anuales requeridas sobre seguridad y privacidad de datos, publicaciones internas frecuentes, y certificaciones anuales de los empleados sobre las normas de conducta de la empresa.

BOK Financial realiza regularmente evaluaciones de riesgo para evaluar los controles internos implementados para prevenir y detectar violaciones de datos. Estos controles están alineados con la norma ISO (Organización Internacional para la Estandarización) 27001:2013 y el Marco de Ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología) y se monitorean con frecuencia para garantizar su efectividad. Las evaluaciones de vulnerabilidad y penetración también se llevan a cabo al menos una vez al año por un tercero independiente.

Además de un sólido conjunto de controles internos, la empresa ha implementado un sólido proceso de diligencia debida para proveedores externos antes de ejecutar un acuerdo. Las evaluaciones de riesgos incluyen la evaluación de la postura de seguridad del tercero a través de fuentes de inteligencia, informes de controles de organización de servicios (SOC), certificaciones ISO y cuestionarios de autocertificación. Los terceros que procesan los datos de los clientes están obligados por contrato a cumplir con todas las obligaciones legales para protegerse contra las amenazas de seguridad anticipadas a los datos de los clientes, protegerse contra el acceso no autorizado a los datos de los clientes y garantizar la eliminación adecuada de los datos de los clientes. Después de la ejecución del contrato, los terceros son controlados continuamente para garantizar que continúen cumpliendo con sus obligaciones de seguridad.

Se implementaron tecnologías de puntos finales inteligentes para detectar y responder a indicadores de comportamiento malicioso, antes de que ocurra un incidente; sin embargo, en caso de que ocurra un incidente de ciberseguridad, la empresa tiene procedimientos de respuesta a incidentes definidos de forma clara a fin de garantizar que se notifique y se informe adecuadamente a las partes correspondientes. Estos incluyen requisitos de informes legales y reglamentarios, así como notificaciones a los clientes afectados.

La empresa colabora con instituciones financieras similares, universidades locales, organizaciones de inteligencia de amenazas, socios externos, fuerzas del orden público y nuestros clientes para compartir inteligencia de amenazas tácticas y mejores prácticas para protegerse contra amenazas emergentes.

Documentos relacionados

Normas de conducta
El Comité de Auditoría de la Junta Directiva revisa y aprueba anualmente las Normas de Conducta de la empresa sobre las cuales los empleados son capacitados y dan fe anualmente. Cada miembro de la Junta Directiva toma un Juramento de cargo anual prescrito por la Oficina del Contralor de la Moneda (OCC) y está sujeto al Código de Ética de la empresa.


Declaración informativa
La declaración de representación anual de la empresa identifica las responsabilidades de los comités de la junta.


10-K
El 10-K de la compañía revisa una amplia gama de factores de desempeño de la empresa, incluido cualquier procedimiento judicial relacionado con el fraude, el uso indebido de información privilegiada, el antimonopolio, el comportamiento anticompetitivo, la manipulación de mercados, la negligencia y otras leyes o regulaciones relacionadas con la industria financiera.