Circular externa número 36 de 2022
| Emisor | Superintendencias - Superintendencia de la Economía Solidaria |
| Número de Boletín | 51916 |
Para: Representantes Legales, Miembros de los Órganos de
Administración, de Control Social y Revisores Fiscales de las Cooperativas de Ahorro y Crédito, Multiactivas e Integrales con Sección de Ahorro y Crédito
De: Vivian Carolina Barliza Illidge - Superintendente de la Economía
Solidaria
Asunto: Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros
Fecha: Bogotá, D. C., 5 de enero de 2022
En desarrollo del proceso de supervisión se ha evidenciado que el auge de la digitalización de los servicios financieros, la mayor interconectividad de los agentes y la masificación en el uso de canales electrónicos, entre otros aspectos, han derivado un incremento en la exposición al riesgo de seguridad de la información, por lo cual, se hace necesario impartir algunas instrucciones, para que de manera preventiva las cooperativas de ahorro y crédito, multiactivas e integrales con sección de ahorro y crédito, adopten mecanismos que minimicen el impacto de este riesgo, coadyuven en el proceso de transformación digital y fortalezcan la confianza de los asociados en estas organizaciones.
Por lo anterior, esta Superintendencia en ejercicio de las facultades otorgadas en el numeral 22 del artículo 36 de la Ley 454 de 1998, imparte las siguientes instrucciones:
Primera. Modificar el numeral 4.3.4 - Administración de la Seguridad de la Información, del Capítulo IV - Sistema de Administración del Riesgo Operativo- SARO, del Título IV de la Circular Básica Contable y Financiera.
Segunda. Adicionar el Anexo 2 "Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros", al Capítulo IV, del Título IV de la Circular Básica Contable y Financiera.
Tercera. Establecer un cronograma para implementar las instrucciones contenidas en el Anexo 2 del Capítulo IV, del Título IV de la Circular Básica Contable y Financiera, como se detalla en el siguiente cuadro:
Cuarta. Conforme con lo previsto en el inciso primero del artículo 65 de la Ley 1437 de 2011, la presente Circular rige a partir de la fecha de su publicación en el Diario Oficial.
Cordialmente,
Vivian Carolina Barliza Illidge Superintendente de la Economía Solidaria
Anexos:
- Hoja modificada del Título IV, Capítulo IV SARO
- Anexo 2 SARO, "Instrucciones sobre seguridad y calidad de la Información para la prestación de los servicios financieros".
Circular básica contable y financiera,
4.3.4.Administración de la seguridad de la información
De acuerdo con su estructura tecnológica, tamaño y manejo de información, se debe definir, implementar, probar y mantener un proceso para administrar la seguridad de la información del negocio que incluya elementos como:
-
Definir la política de seguridad de la información.
-
Identificar los activos de información.
-
Identificar los riesgos de seguridad de la información.
-
Definir, implementar y probar un plan de gestión de riesgos de seguridad de la información.
En el Anexo 2 del presente Capítulo se detallan las Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros.
3.1. MONITOREO
La organización debe realizar un monitoreo periódico, mínimo en forma semestral, del perfil de riesgo operativo y de la exposición a pérdidas. Para tal efecto, se deben cumplir, como mínimo, con los siguientes requisitos:
-
Asegurar que las acciones planeadas para administrar el SARO se ejecuten.
-
Evaluar la eficiencia de la implementación del SARO, que facilite la rápida detección y corrección de sus deficiencias.
-
Hacer revisiones sobre la marcha para asegurar que los controles estén funcionando en forma efectiva.
-
Identificar los riesgos operativos que puedan surgir, o que no fueron detectados antes, mediante la definición de indicadores descriptivos o prospectivos.
-
Asegurar que el riesgo residual de cada riesgo operativo se encuentre en los niveles de aceptación establecidos por la organización.
-
La actualización de las etapas de identificación, medición y control, definidas en este Capítulo, deben tener una periodicidad acorde con los riesgos operativos potenciales y ocurridos, así como con la frecuencia y naturaleza de los cambios en el entorno operativo de la organización.
4. ELEMENTOS DEL SARO 4.1. POLÍTICAS
Cada una de las etapas y elementos del SARO deben contar con unas políticas claras
y...
TÍTULO IV
SISTEMA DE ADMINISTRACIÓN DE RIESGOS
CAPÍTULO IV
SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO - SARO
ANEXO 2
INSTRUCCIONES SOBRE SEGURIDAD Y CALIDAD DE LA INFORMACIÓN PARA LA PRESTACIÓN DE LOS SERVICIOS FINANCIEROS
ÍNDICE
-
CONSIDERACIONES GENERALES
-
ÁMBITO DE APLICACIÓN
-
DEFINICIONES
-
ELEMENTOS CLAVES DE LA INFRAESTRUCTURA DE SEGURIDAD DE LA INFORMACIÓN
4.1. Gobierno de seguridad de la información 4.1.1.Estrategia de seguridad
4.1.2.Roles y responsabilidades
4.1.2.1. Consejo de administración
4.1.2.2. Representante legal
4.1.2.3. Auditoría interna o quien ejerza control interno
4.1 3.Estándar base para adaptar el Sistema de Seguridad de la Información
4.2. Riesgos de seguridad de la información
4.3. Sistema de Seguridad de la información 4.3.1.Descripción
4.3.2.Revisión
4.3.3.Aprobación
4.3.4.Publicación
4.3.5.Evaluación
4.3.6.Actualización
4.4. Recursos 4.4.1.Presupuesto 4.4.2.Competencia 4.4.3.Comunicación
4.5. Información documentada 4.5.1.Principios de seguridad de la información 4.5.2.Otra información documentada
4.5.3.Creación y actualización de la información documentada 4.5.4.Control de la información documentada
-
RESPONSABILIDADES Y RECURSOS
5.1. Roles y responsabilidades
5.2. Recursos humanos
-
REQUERIMIENTOS DE MEDIOS TECNOLÓGICOS Y SEGURIDAD DE LA INFORMACIÓN
6.1. Controles criptográficos
6.2. Protección contra códigos móviles o maliciosos
6.3. Intercambio de información
6.4. Respaldo de la información
6.5. Sincronización de Relojes
6.6. Controles de acceso
6.7. Teletrabajo
6.8. Acceso a las redes WIFI
6.9. Aspectos no permitidos
6.10. Prestación de servicios por terceras partes
6.11. Gestión de Incidentes de Seguridad
6.12. Divulgación de información
6.13. Inventario de activos
6.14. Cajeros Automáticos (ATM)
6.15. POS (incluye PIN Pad)
6.16. Centro de Atención Telefónica (Call Center, Contact Center)
6.17. Transacciones por Internet
6.18. Análisis de vulnerabilidades
6.19. Seguridad física y del entorno.
6.20. Instalaciones y suministros
6.21. Planificación e implementación de la continuidad de la seguridad de la información
6.22. Reutilización o eliminación segura de equipos
TÍTULO IV
SISTEMA DE ADMINISTRACIÓN DE RIESGOS CAPÍTULO IV
SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO - SARO
ANEXO 2
INSTRUCCIONES SOBRE SEGURIDAD Y CALIDAD DE LA INFORMACIÓN PARA LA PRESTACIÓN DE LOS SERVICIOS FINANCIEROS
1. CONSIDERACIONES GENERALES
Las organizaciones deben adoptar una política de buenas prácticas en materia de seguridad de la información, que les permita identificar los riesgos operativos tecnológicos, así como la posible materialización de incidentes de seguridad que pongan en riesgo la confidencialidad, integridad y disponibilidad de los activos de información, y se adopten, de manera preventiva, los mecanismos que minimicen su impacto, como un elemento que fortalezca la confianza de las organizaciones que conforman el sector solidario actual.
2. ÁMBITO DE APLICACIÓN
Las instrucciones de que trata el presente documento, deben ser aplicadas por las cooperativas especializadas en ahorro y crédito y multiactivas e integrales con sección de ahorro y crédito vigiladas y podrá ser adoptado por las demás organizaciones solidarias supervisadas, teniendo en cuenta su tamaño, características y volumen de operaciones, como una práctica adecuada en busca de la seguridad de la información que manejan.
3. DEFINICIONES
Para efectos de la presente norma, se establecen las siguientes definiciones:
3.1. Acción resolutiva: Acción tomada para evitar la repetición de un incumplimiento mediante la identificación y tratamiento de las causas que la provocaron.
3.2. Activo de información: Conocimiento o datos que tienen valor para la organización o el individuo.
3.3. Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
3.4. Confidencialidad: Considera que la información no se pone a disposición ni se revela a personal o a entidades no autorizadas.
3.5. Control: Medida o acción que modifica un riesgo para prevenir su materialización.
3.6. Disponibilidad: Posibilidad de que la información debe estar accesible en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
3.7. Gobierno de seguridad de la información: Sistema por el cual las actividades de seguridad de la información de una organización son dirigidas y controladas.
3.8. Incidente de Seguridad: se define como un evento que atenta contra la confidencialidad, integridad y/o disponibilidad de la información y los recursos tecnológicos de la organización.
3.9. Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción, debe ser inalterada ante accidentes o intentos maliciosos, siempre se deben prevenir modificaciones no autorizadas de la información.
3.10. Nivel de riesgo: Evaluación del riesgo identificando su posible materialización frente al impacto y probabilidad de ocurrencia.
3.11. Probabilidad: Posibilidad de que el riesgo se pueda materializar frente a un incidente de seguridad de la información.
3.12. Políticas de seguridad: Conjunto de directrices, lineamientos y reglas que permiten velar porque se resguarden los activos de información, aprobados por el consejo de administración.
3.13. Riesgo residual: Es el riesgo que queda después de aplicar los controles al riesgo identificado.
3.14. Seguridad de la información: Es el conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar...
-
Para continuar leyendo
Solicita tu prueba