La Superintendencia Financiera de Colombia emitió una Circular Externa dirigida a las entidades vigiladas y los operadores de información de la PILA, en la que se establecen las instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad.
Es así como en adelante la norma que entra en vigencia el próximo 5 de diciembre obliga a los bancos a informar a los consumidores financieros sobre los incidentes de ciberseguridad que se hayan presentado y en los que se viera afectada la confidencialidad y/o integridad de su información, al igual que las medidas adoptadas para solucionar dichos incidentes.
La Circular define la ciberseguridad como “el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas, con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad”
En este contexto, cuando hablamos de ciberseguridad, es la protección de la información que es procesada, transportada y almacenada durante la operación de la organización.
Por etapas
La aplicabilidad de la Circular involucra diferentes tipos de entidades del sector financiero: empresas vigiladas por la Superintendencia Financiera de Colombia (SFC) y operadores de información de PILA.
En cuanto a su cumplimiento la normativa establece que se deberá realizar en tres etapas: la primera se implementará dentro de los próximos seis meses a la fecha de la publicación la segunda, dentro del año siguiente; y la tercera durante los próximos 18 meses.
La primera etapa que debe ser cumplida por las entidades vigiladas, los operadores de PILA y las entidades exceptuadas, corresponde a una evaluación del riesgo de ciberseguridad y seguridad de la información, que incluya una identificación de las mejoras a implementar en su Sistema de Administración de Riesgo Operativo.
La segunda etapa corresponde el cumplimiento de las obligaciones y medidas establecidas en los contratos con terceros críticos, la adopción y el cumplimiento de políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad.
PREVENCIÓN: corresponde a los controles que se deben desarrollar e implementar para velar por la seguridad de la información y la gestión de la son expedidas por la Superintendencia Financiera en aras de asegurar la información de las entidades y de sus clientes, en respuesta al incremento de los ataques cibernéticos que cada vez toman mayor auge, por ello se hace relevante que el sector financiero siga fortaleciendo sus estrategias de prevención de fraude.
En este sentido, la Superintendencia Financiera ha resaltado el papel activo que deben
asumir los bancos, para que mantengan actualizando de forma “permanente y especializada sobre las nuevas modalidades de ciberataques que pudieran llegar a afectar a la entidad, a través de capacitaciones periódicas para los funcionarios encargados de la ciberseguridad”.
O4IT respalda este trabajo y es aliado para definir, desarrollar e implementar los diferentes controles solicitados y demás circulares emitidas por los entes reguladores del Estado, a través de su unidad de seguridad ShieldNow que integra una solución enfocada en la protección crítica del negocio, en el desarrollo de programas de gestión de riesgo, continuidad y seguridad de la información, por medio del servicio de CISO as a Service, integrado por especialistas dedicados al desarrollo o gestión de un programa integral de seguridad de la
información.
Comments