La Superintendencia Financiera emitió el pasado 5 de junio de 2018 las circulares externas 007 y 008 de 2018, en las que aborda los requerimientos para la gestión de los riesgos de ciberseguridad y calidad para la realización de operaciones a través de plataformas de pago en línea.

Las entidades vigiladas por la Superintendencia Financiera deben atender los lineamientos incluidos en las circulares externas 007 y 008 emitidas el 5 de junio de 2018, las cuales incluyen nuevas instrucciones para realizar una adecuada administración de riesgo de ciberseguridad y proteger la información de los consumidores del sistema financiero. A continuación, presentamos algunas de las obligaciones que deben asumir las entidades vigiladas.

Seguridad de la información

Tomando como referencia la Circular 008 de 2018, los principios de la seguridad de la información son los siguientes:

  • Confidencialidad: hace referencia a que la información de los usuarios y de la entidad no puede ser divulgada, y solo debe ser conocida por sus colaboradores (cabe anotar que, ante la solicitud de un órgano de control y vigilancia, se deben rendir cuentas de dicha información).
  • Integridad: no se permite modificar o alterar la información; esta debe ser precisa y coherente desde su recepción hasta su destrucción.
  • Disponibilidad: la información debe estar disponible en el momento en que se requiera; de igual forma, los recursos financieros de los usuarios deben estar disponibles para su retiro en cualquier momento.
Gestión de riesgo de ciberseguridad

“Establecer una unidad de seguridad y ciberseguridad encargada de realizar una gestión efectiva de la seguridad de la información y reportar al máximo órgano societario los resultados de su gestión”

De acuerdo con la Circular 007 de 2018, las entidades deben diseñar políticas y procedimientos para gestionar de forma efectiva el riesgo de ciberseguridad; este riesgo es el posible resultado negativo derivado de fallas o ineficiencias en los sistemas tecnológicos de una entidad, relacionados directamente con acciones criminales que buscan vulnerar la información de los usuarios del sistema financiero. A continuación, mencionamos algunas de las obligaciones que tienen las entidades frente a este riesgo:

  • Establecer una unidad de seguridad y ciberseguridad encargada de realizar una gestión efectiva de la seguridad de la información y reportar al máximo órgano societario los resultados de su gestión.
  • Diseñar una política que permita realizar una adecuada gestión de la seguridad de la información y el riesgo de ciberseguridad. Esta política debe ser aprobada por los directivos, y debe contener las responsabilidades, procesos y etapas de la gestión de ciberseguridad, así como los lineamientos que promuevan una cultura de ciberseguridad que incluya la capacitación a usuarios y colaboradores.
  • Implementar un sistema de gestión para la ciberseguridad, el cual puede estar basado en normas como la ISO 27032, NIST SP800 y SP1800, Cobit 5, entre otras, que incluyen lineamientos para la correcta observancia de la seguridad de la información.
  • Implementar controles para mitigar los riesgos que afecten la seguridad de la información.
  • Emplear mecanismos de autentificación, tanto para usuarios como para colaboradores.
  • Realizar procesos rigurosos de retención y destrucción final de información, atendiendo los lineamientos del artículo 96 del Estatuto Orgánico del Sistema Financiero (modificado por el artículo 22 de la Ley 795 de 2003), que expone el tiempo durante el cual la entidad debe salvaguardar su información y cuándo debe enviarla al Archivo General de la Nación.
  • Generar una estrategia de comunicación sobre la información que debe ser reportada a la Superfinanciera, consumidores financieros y autoridades, sobre incidentes de ciberseguridad.
  • Incluir en las aplicaciones y software los aspectos relativos a la seguridad de la información en todas las etapas del procesamiento de los datos.
  • Realizar una evaluación de indicadores financieros que midan la eficacia y eficiencia de la gestión de la seguridad de la información.
  • Adquirir un seguro que cubra los costos asociados a los posibles ataques cibernéticos.

“las entidades deben desarrollar todos los controles necesarios para mitigar el riesgo de ciberseguridad, tales como la gestión y fortalecimiento de su plataforma tecnológica”

Finalmente, para apoyar la gestión de riesgo mencionada en los anteriores ítems, las entidades deben implementar las siguientes etapas:

  • Prevención: en esta primera etapa, las entidades deben desarrollar todos los controles necesarios para mitigar el riesgo de ciberseguridad, tales como la gestión y fortalecimiento de su plataforma tecnológica, la capacitación de sus empleados y usuarios, y la adopción de políticas y mecanismos que eviten la pérdida o fuga de información.
  • Protección y detección: en esta etapa, las entidades deben implementar actividades que les permitan identificar los eventos asociados a la ciberseguridad, gestionar las falencias o vulnerabilidades que encuentren en los procesos y programas, y realizar un monitoreo continuo de la plataforma tecnológica.
  • Respuesta y comunicación: ante los posibles eventos de ataques cibernéticos que puedan presentarse, las entidades deben desarrollar actividades para enfrentarlos, tales como actualizar el antivirus, bloquear direcciones IP, desconectar equipos, cambiar contraseñas, examinar dispositivos que puedan estar afectados, y preservar la evidencia digital para comunicar a las autoridades correspondientes, con el fin de que se realice una investigación al respecto.

Recuperación y aprendizaje: ante los diferentes eventos que no se hayan podido evitar, o las experiencias que se generen en el sector, las entidades deben desarrollar planes de restauración de los servicios deteriorados, ajustar sus sistemas de gestión de riesgo, socializar los incidentes y generar mejoras.

 

Fuente: actualicese.com