Legislación y proyectos normativos - Colombia

Instrucciones para entidades vigiladas sobre ciberseguridad

Circular Externa 007 Superintendencia Financiera de Colombia

La Circular Externa sobre medidas mínimas para la administración del riesgo de ciberseguridad complementa las medidas sobre administración de riesgo operativo y de seguridad de la información, para la administración de los riesgos de las entidades vigiladas por la Superintendencia Financiera de Colombia.

Dentro de los aspectos más relevantes se encuentran los siguientes:

  • Se establece la definición de Seguridad de la Información, Ciberseguridad, Ciberespacio, Ciberamenaza o amenaza cibernética, Ciberataque o ataque cibernético, Ciberiesgo o riesgo cibernético, Evento de ciberseguridad, Security Information and Event Management (SIEM), Security Operation Center (SOC), Vulnerabilidad, entre otros.
  • Obligación para las Entidades de contar con políticas, procedimientos y recursos técnicos y humanos necesarios para gestionar efectivamente el riesgo de ciberseguridad.
  • Adopción, por parte de las entidades vigiladas, de medidas mínimas sobre ciberseguridad como:
    • Políticas y procedimientos
    • Unidad especializada que gestione los riesgos
    • Sistema de Gestión para el riesgo de ciberseguridad
    • Empleo de mecanismos fuertes de autenticación
    • Establecimiento de estrategias de comunicación sobre ciberseguridad y reportes oportunos a autoridades y clientes
    • Evaluaciones periódicas sobre gestión de ciberseguridad y establecimiento de indicadores que midan la eficiencia y eficacia de la gestión de seguridad dela información y ciberseguridad
  • Etapas mínimas de gestión del riesgo de ciberseguridad (Prevención, Protección y Detección, Respuesta y Comunicación, y Recuperación y Aprendizaje).