Circular Externa 007 de 2018: Cuenta regresiva para su entrada en vigencia.

El pasado 5 de junio de 2018, la Superintendencia Financiera de Colombia emitió la Circular Externa 007 de 2018 dirigida a las entidades vigiladas y los operadores de información de la PILA, en la que se establecen las instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad.}

 

Es así como en adelante la norma que entra en vigencia el 5 de diciembre de 2018 obliga a los bancos a informar a los consumidores financieros sobre los incidentes de ciberseguridad que se hayan presentado y en los que se viera afectada la confidencialidad y/o integridad de su información, al igual que las medidas adoptadas para solucionar dichos incidentes.

 

¿Qué se entiende por ciberseguridad?, y ¿qué nos solicita la Circular?

 

La Circular define la ciberseguridad como “el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas, con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad”. En este contexto, cuando hablamos de ciberseguridad, definimos que es la protección de la información que es procesada, transportada y almacenada durante la operación de la organización.

 

La aplicabilidad de la Circular involucra diferentes tipos de entidades del sector financiero: empresas vigiladas por la Superintendencia Financiera de Colombia (SFC) y operadores de información de PILA.

 

En cuanto a su cumplimiento la normativa establece que se deberá realizar en tres etapas: la primera se implementará dentro de los próximos seis meses a la fecha de la publicación (05/12/2018); la segunda, dentro del año siguiente (05/06/2019); y la tercera durante los próximos 18 meses (05/12/2019).

 

La primera etapa que debe ser cumplida por las entidades vigiladas, los operadores de PILA y las entidades exceptuadas, corresponde a una evaluación del riesgo de ciberseguridad y seguridad de la información, que incluya una identificación de las mejoras a implementar en su Sistema de Administración de Riesgo Operativo.

 

La segunda etapa corresponde a la aplicación de los numerales 3.10., 4.1., 4.2., 4.3. y 4.4., que corresponden respectivamente:

 

  • 3.10. El cumplimiento de las obligaciones y medidas establecidas en los contratos con terceros críticos, la adopción y el cumplimiento de políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad.

 

  • 4.1. PREVENCIÓN: corresponde a los controles que se deben desarrollar e implementar para velar por la seguridad de la información y la gestión de la ciberseguridad. Con la prevención se adquiere la capacidad de limitar o contener el impacto de un posible incidente de ciberseguridad.

 

  • 4.2. PROTECCIÓN Y DETECCIÓN: incluye las actividades que se deben desarrollar e implementar para identificar la ocurrencia de un evento de ciberseguridad. Con protección y detección se permite el descubrimiento oportuno de eventos e incidentes de ciberseguridad y cómo protegerse ante los mismos.

 

  • 4.3. RESPUESTA Y COMUNICACIÓN: incluye las actividades que se deben desarrollar e implementar para mitigar los incidentes relacionados con ciberseguridad.

 

  • 4.4. RECUPERACIÓN Y APRENDIZAJE: incluye las actividades que se deben desarrollar e implementar para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad.

La última etapa corresponde a la aplicación de los numerales 3.2.8. 4.1.6. y 4.1.7., que corresponden respectivamente:

 

  • 3.2.8. Hace referencia al análisis de riesgo necesario para determinar la necesidad de contratar o implementar el servicio de SOC (Security Operation Center).

 

  • 4.1.6. Solicita la inclusión en el plan de continuidad de negocio. La respuesta, recuperación, reanudación de la operación en contingencia y restauración ante la materialización de ataques cibernéticos.

 

  • 4.1.7. Incluye en el plan de continuidad del negocio, la simulación de la materialización                                                                                                                                                                                                                                                      de ataques cibernéticos.

 

O4IT una solución de prevención, protección y detección.

 

La Circular Externa 007 y sus predecesoras (C.E. 029 de 2014) son expedidas por la Superintendencia Financiera en aras de asegurar la información de las entidades y de sus clientes, en respuesta al incremento de los ataques cibernéticos que cada vez toman mayor auge, por ello se hace relevante que el sector financiero siga fortaleciendo sus estrategias de prevención de fraude.

 

En este sentido, la Superintendencia Financiera ha resaltado el papel activo que deben asumir los bancos, para que mantengan actualizando de forma “permanente y especializada sobre las nuevas modalidades de ciberataques que pudieran llegar a afectar a la entidad, a través de capacitaciones periódicas para los funcionarios encargados de la ciberseguridad”.

 

O4IT respalda este trabajo y es aliado para definir, desarrollar e implementar los diferentes controles solicitados y demás circulares emitidas por los entes reguladores del Estado, a través de su unidad de seguridad ShieldNow que integra una solución enfocada en la protección crítica del negocio, en el desarrollo de programas de gestión de riesgo, continuidad y seguridad de la información, por medio del servicio de CISO as a Service, integrado por especialistas dedicados al desarrollo o gestión de un programa integral de seguridad de la información.                                                                                                                                                                                                                                                                                                                                                                                                                                                                        

 

 

 

 

EcoTecnológico.com - Derechos reservados 2016  email: Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.
Las opiniones expresadas en este sitio son responsabilidad de sus autores