BúsquedaBUSCAR
ÍndiceÍNDICE

CIRCULAR 33 DE 2020

(noviembre 17)

Boletín Ministerio de Hacienda, Capítulo Superintendencia Financiera de Colombia, No. 562 de 26 de noviembre de 2020

SUPERINTENDENCIA FINANCIERA

Señores

REPRESENTANTES LEGALES Y REVISORES FISCALES DE LAS ENTIDADES SUJETAS A LA INSPECCIÓN Y VIGILANCIA DE LA SUPERINTENDENCIA FINANCIERA Y OPERADORES DE INFORMACIÓN DE LA PILA.

Referencia: Instrucciones relacionadas con la Taxonomía Única de Incidentes Cibernéticos – TUIC, el formato para el reporte de métricas de seguridad de la información y ciberseguridad y el protocolo de etiquetado para el intercambio de información Traffic Light Protocol (TLP)

Respetados señores:

Con el fin de continuar promoviendo la adopción de mejores prácticas en materia de gestión del riesgo de ciberseguridad y seguridad de la información, y en desarrollo de las instrucciones contenidas en la Circular Externa 007 de 2018, mediante la cual se imparten instrucciones sobre los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad y con el propósito de estandarizar el reporte de métricas e incidentes relacionados con la seguridad de la información y la ciberseguridad; esta Superintendencia, en ejercicio de sus facultades legales, en especial las conferidas en el numeral 5 del artículo 97 de Estatuto Orgánico del Sistema Financiero, literal a del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero y los numerales 4 y 5 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, imparte las siguientes instrucciones:

PRIMERA: Adicionar el numeral 5 al Capítulo V del Título IV de la Parte I de la Circular Básica Jurídica “Requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad”, con el fin de definir la taxonomía única para el reporte de incidentes de Ciberseguridad y adoptar el protocolo Traffic Light Protocol (TLP) para el reporte de incidentes cibernéticos a esta Superintendencia.

SEGUNDA: Crear el Formato 408 (Proforma F.000-164) para el reporte de métricas de Seguridad de la información y Ciberseguridad.

TERCERA: Para asegurar la correcta transmisión de la información del Formato 408, a que se refiere la presente Circular, las entidades destinatarias deben realizar pruebas obligatorias entre el 18 y 22 de enero de 2021, con la información con corte al 31 de diciembre de 2020. Las pruebas deben efectuarse hasta lograr una transmisión exitosa de la información.

CUARTA: La primera transmisión oficial de la información se realizará con corte al 31 de marzo de 2021, de acuerdo con el instructivo correspondiente.

QUINTA: Los incidentes de seguridad de la información y de ciberseguridad se deben seguir reportando desde el buzón riesgooperativosfc@entidadvigilada.com al buzón riesgooperativo@superfinanciera.gov.co, empleando el protocolo de etiquetado de información y la taxonomía definidos en la presente circular.

La información correspondiente a la Taxonomía Única Incidentes Cibernéticos – TUIC y Protocolo de Comunicación e intercambio de información, puede consultarse en la página web de esta Superintendencia (www.superfinanciera.gov.co) en la sección Interés del Vigilado / Reportes / Índice de reportes de información a la Superintendencia Financiera / Guías para el reporte de información / Taxonomía Única Incidentes Cibernéticos – TUIC y Protocolo de Comunicación e intercambio de Información.

SEXTA: La presente circular rige a partir de su publicación.

Cordialmente,

JORGE CASTAÑO GUTIÉRREZ

Superintendente Financiero de Colombia

50000

ANEXO 1.

PARTE I

INSTRUCCIONES GENERALES APLICABLES A LAS ENTIDADES VIGILADAS

TÍTULO IV

DEBERES Y RESPONSABILIDADES

CAPÍTULO V:

REQUERIMIENTOS MÍNIMOS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y LA CIBERSEGURIDAD

CONTENIDO

1. ÁMBITO DE APLICACIÓN

2. DEFINICIONES

3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD

4. ETAPAS

4.1. Prevención

4.2. Protección y Detección

4.3. Respuesta y Comunicación

4.4. Recuperación y Aprendizaje

5. REPORTE DE INFORMACIÓN A LA SFC

4.1.7. Realizar pruebas del plan de continuidad del negocio que simulen la materialización de ataques cibernéticos.

4.1.8. Contar con herramientas o servicios que permitan hacer correlación de eventos que puedan alertar sobre incidentes de seguridad, tal como un SIEM.

4.1.9. De acuerdo con la estructura, canales de atención, volumen transaccional y número de clientes, monitorear diferentes fuentes de información tales como sitios web, blogs y redes sociales, con el propósito de identificar posibles ataques cibernéticos contra la entidad.

4.1.10. Colaborar con las autoridades que hacen parte del modelo nacional de gestión de ciberseguridad en los proyectos que se adelanten con el propósito de fortalecer la gestión de la ciberseguridad en el sector financiero y a nivel nacional.

4.1.11. Informar a los consumidores financieros de la entidad sobre las medidas de seguridad y recomendaciones que deberán adoptar para su ciberseguridad.

4.2. Protección y detección

Las entidades deben desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La función de protección y detección permite el descubrimiento oportuno de eventos e incidentes de ciberseguridad y cómo protegerse ante los mismos. Las entidades deben:

4.2.1. Adoptar procedimientos y mecanismos para identificar y analizar los incidentes de ciberseguridad que se presenten.

4.2.2. Gestionar las vulnerabilidades de aquellas plataformas que soporten activos de información críticos y que estén expuestos en el ciberespacio.

4.2.3. Realizar un monitoreo continuo a su plataforma tecnológica con el propósito de identificar comportamientos inusuales que puedan evidenciar ciberataques contra la entidad.

4.3. Respuesta y comunicación

Aún con las medidas de seguridad adoptadas, las entidades deben desarrollar e implementar actividades para mitigar los incidentes relacionados con ciberseguridad. Para hacerle frente a esta situación las entidades deben:

4.3.1. Establecer procedimientos de respuesta a incidentes cibernéticos tales como: desconexión automática de equipos, cambios de contraseñas, actualizar la base de firmas del antivirus, bloqueo de direcciones IP o cualquier otro que determine la entidad.

4.3.2. Evaluar los elementos de la red para identificar otros dispositivos que pudieran haber resultado afectados.

4.3.3. Establecer los procedimientos para reportar, cuando se considere pertinente, al Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT) o quien haga sus veces, directamente o a través de CSIRT sectoriales, los ataques cibernéticos que requieran de su gestión.

4.3.4. Adoptar los mecanismos necesarios para recuperar los sistemas de información al estado en que se encontraban antes del ataque cibernético.

4.3.5. En la medida de lo posible, preservar las evidencias digitales para que las áreas de seguridad o las autoridades puedan realizar las investigaciones correspondientes.

4.4. Recuperación y aprendizaje

Desarrollar e implementar actividades apropiadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad. Las entidades deben:

4.4.1. Ajustar sus sistemas de gestión de riesgo y de seguridad de la información como consecuencia de los incidentes presentados, adoptando los controles que resulten pertinentes.

4.4.2. Socializar, cuando la entidad lo considere pertinente, las lecciones aprendidas al interior de la organización y con las entidades de su sector.

5. REPORTE DE INFORMACIÓN A LA SFC

El reporte de incidentes a la SFC se debe realizar utilizando la taxonomía única de incidentes cibernéticos (TUIC), que se encuentra definida y publicada en la página web de esta Superintendencia. Con el propósito de consolidar el modelo nacional de seguridad digital, las entidades excluidas del presente capítulo también podrán reportar sus incidentes al ColCERT usando dicha taxonomía.

Así mismo, todas las comunicaciones, reportes de incidentes, alertas tempranas y boletines informativos relacionados con seguridad de la información y ciberseguridad se deben etiquetar usando el protocolo Traffic Light Protocol (TLP), el cual se encuentra publicado en la página web de esta Superintendencia. Dichas comunicaciones se deben remitir desde las cuentas de correo configuradas para este fin. Las entidades también lo podrán usar para el envío de otro tipo de información.

ANEXO 2.

Página 594

TEMA:Seguimiento de la gestión de Seguridad de la Información (SI) y Ciberseguridad (CS)
NOMBRE DE PROFORMA:Reporte de información para el cálculo de métricas e indicadores de SI y CS
NUMERO DE PROFORMA:F.0000-164
NUMERO DE FORMATO:408
OBJETIVO:Recopilar información para el cálculo de métricas e indicadores de SI y CS con el fin de hacer seguimiento a la gestión del riesgo de las entidades vigiladas.
TIPO DE ENTIDAD A LA QUE APLICA:Entidades sometidas a la inspección y vigilancia de la Superintendencia Financiera de Colombia (SFC) a las que les aplique el Capítulo V, Título IV, Parte I de la Circular Básica Jurídica.
PERIODICIDAD:Trimestral
FECHA DE CORTE DE LA INFORMACION:31 de marzo, 30 de junio, 30 de septiembre y 31 de diciembre.
FECHA DE REPORTE:Dentro de los quince (15) días calendario siguientes a la fecha de corte.
DOCUMENTO TECNICO:A-DT-GTI-004
TIPO Y NUMERO DEL INFORME:38 - Área 9Cálculo de métricas e Indicadores de SI y CS.
MEDIO DE ENVÍO:WEB
DEPENDENCIA RESPONSABLE:Delegatura para Riesgo Operacional y Ciberseguridad
DEPENDENCIA USUARIA: Dirección de Investigación, Innovación y Desarrollo
Delegatura Adjunta para Riesgos
Delegatura para el Consumidor Financiero

INSTRUCTIVO

GENERALIDADES

La presente proforma debe ser remitida con la firma digital del Representante Legal.

Los valores numéricos enteros no deben llevar ningún separador.

 Los valores referidos a duración deben expresarse en el formato PYYYY-DDDThh:mm:ss establecido en el estándar ISO 8601:2019.

Las subcuentas que hacen referencia a valores monetarios se deben expresar en pesos con dos (2) decimales.

Las subcuentas o filas que no tengan valor se deben reportar en cero.

La columna 01 aplica para las unidades de captura 01, 03, 04, 05, 06 y 07.

La columna 02 aplica para la unidad de captura 02.

Para la unidad de captura 05 se debe reportar la información, conforme a la siguiente tabla:

Tabla 1. MODELO DE MADUREZ GESTIÓN DE LA SI y CS

CalificaciónCMMCriterio de Evaluación
1InicialControles inexistentes o parciamente desarrollados.
2BásicoControles o planes Documentados y Semiautomatizados.
3InteriorizadoControles o planes de acción estandarizados, medidos y automatizados de acuerdo con la política.
4OptimizadoControles o planes de acción con máximo grado de automatización e institucionalización alcanzado.
5VisionarioControles con máximo grado de automatización, institucionalización y adaptación a cambios en el entorno.

ENCABEZADO

Entidad: Identificación de la entidad sometida a inspección y vigilancia de la SFC de acuerdo con el ámbito de aplicación del Capítulo V, Título IV, Parte I de la Circular Básica Jurídica.

Para este fin, indique el código del tipo de entidad al que pertenece, el código de la entidad asignado por la SFC y el nombre o sigla de la entidad.

Página 595

Fecha de Corte: Registre la fecha de corte de la información reportada, bajo el formato DD (día), MM (mes) y AAAA (año).

CUERPO DEL FORMATO

UNIDAD DE CAPTURA 01 - GESTIÓN DE INCIDENTES

En esta unidad de captura la entidad debe reportar los datos relacionados con la gestión de incidentes de SI y CS, los cuales hacen referencia a la efectividad de contención de los ataques cibernéticos por parte de las entidades, así como los incidentes que han afectado a un tercero con quien se tiene relación contractual y que han impactado a los activos de información o los servicios de la entidad. Sólo aplica para la columna 01.

Subcuenta 005 – Número total de ataques recibidos: Registre la cantidad de ataques recibidos durante el trimestre. Se deben considerar todas las fuentes de información (herramientas de seguridad) para determinar los ataques recibidos bien sea que se hayan contenido o no.

Subcuenta 010 – Número total de incidentes de SI y CS en la entidad: Registre la cantidad total de incidentes de SI y CS presentados en la entidad durante el trimestre.

Subcuenta 015 – Número de incidentes abiertos: Registre la cantidad de incidentes de SI y CS que permanecen abiertos a la fecha de corte.

Subcuenta 020 – Número de incidentes cerrados: Registre la cantidad de incidentes cerrados que ocurrieron durante el trimestre.

Subcuenta 025 – Número de incidentes presentados en los servicios que prestan los terceros a la entidad: Registre la cantidad de incidentes de SI y CS que han afectado, durante el trimestre, a los terceros que tienen relación contractual y que impactan los activos de información o los servicios de la entidad vigilada.

Subcuenta 030 – Número total de incidentes de SI y CS: Registre la cantidad total de incidentes de SI y CS presentados en la entidad durante el trimestre. Se debe incluir la sumatoria de incidentes de SI y CS presentados en la entidad y los incidentes presentados en los servicios prestados por terceros.

UNIDAD DE CAPTURA 02 – TIEMPO PROMEDIO DE INCIDENTES

En esta unidad de captura se debe reportar el tiempo promedio en la detección y respuesta a incidentes cerrados durante el trimestre, los cuales deben expresarse en el formato PYYYY-DDDThh:mm:ss establecido en el estándar ISO 8601:2019. Sólo aplica para la columna 02.

Las letras P y T son utilizadas como delimitadores de los datos numéricos.

YYYY: Hace referencia a número de años transcurridos, no es la consignación de una fecha. PE: Si han transcurrido tres (3) años, el dato sería 0003.

DDD: Hace referencia a un número de días transcurridos. El valor debe ser mayor o igual a cero y menor a 366. PE: Si han transcurrido ciento sesenta y dos (162) días, el dato sería 162.

hh:mm:ss: Hace referencia al formato de horas, minutos y segundos. Las horas deben ser consignadas en formato militar (de 0 a 23), los minutos y segundos deben ser valores enteros (00 a 59).

De esta manera y a modo de ejemplo, si han transcurrido cuatrocientos (400) días, con veintitrés (23) horas, treinta y cuatro (34) minutos y seis (6) segundos; el dato consignado deberá ser P0001-034T23:34:06.

Subcuenta 005 – Tiempo promedio de detección de incidentes de SI y CS: Registre el tiempo promedio entre el momento de inicio del evento hasta su detección por parte de la entidad.

Subcuenta 010 – Tiempo promedio de respuesta a incidentes de SI y CS: Registre el tiempo promedio de respuesta desde la detección hasta la remediación.

Subcuenta 015 – Tiempo total de gestión de incidentes de SI y CS: Registre el tiempo promedio entre el momento de inicio de los incidentes hasta la remediación.

UNIDAD DE CAPTURA 03 - GESTIÓN DE VULNERABILIDADES

En esta unidad de captura la entidad debe reportar los datos relacionados con la gestión de vulnerabilidades. Se debe incluir los datos referidos a vulnerabilidades remediadas y vulnerabilidades altas identificadas; así como la plataforma tecnológica que no ha sido objeto de análisis de vulnerabilidades durante el trimestre y el número de

Página 596

elementos de hardware y software que no cuentan con soporte del fabricante, proveedor o de un representante autorizado. Sólo aplica para la columna 01.

Subcuenta 005 – Vulnerabilidades detectadas: Registre la cantidad total de vulnerabilidades detectadas durante el trimestre para los activos de información (sistemas, equipos, elementos de red, datos, etc.). En términos generales, las vulnerabilidades le permiten a un atacante explotarlas con el fin de afectar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.

Subcuenta 010 – Vulnerabilidades remediadas: Registre la cantidad de vulnerabilidades remediadas durante el trimestre.

Subcuenta 015 – Total vulnerabilidades: Registre la cantidad total de vulnerabilidades que no han sido remediadas en la entidad. Se deben acumular las detectadas durante el trimestre y las de periodos anteriores.

Subcuenta 020 – Vulnerabilidades altas detectadas: Registre la cantidad de vulnerabilidades altas detectadas durante el trimestre para los activos de información (sistemas, equipos, elementos de red, datos, etc.).

Subcuenta 025 – Vulnerabilidades altas remediadas: Registre la cantidad de vulnerabilidades altas remediadas durante el trimestre.

Subcuenta 030 – Total vulnerabilidades altas: Registre el número total de vulnerabilidades altas que no han sido remediadas en la entidad. Se deben acumular las detectadas durante el trimestre y las de periodos anteriores.

Subcuenta 035 – Plataforma tecnológica analizada: Registre la cantidad de elementos que han sido objeto de análisis de vulnerabilidades durante el trimestre.

Subcuenta 040 – Total de elementos de la plataforma tecnológica: Registre el total de elementos de hardware y software. Incluye dispositivos de red, terminales de atención, elementos de seguridad, etc.

Subcuenta 045 – Cantidad de elementos sin soporte: Registre la cantidad de elementos de hardware y software (incluye dispositivos de red, terminales de atención, elementos de seguridad, etc.) que se encuentran sin soporte del fabricante, proveedor o de un representante autorizado.

Subcuenta 050 – Cantidad de aplicaciones con análisis de código: Registre la cantidad de aplicaciones a las cuales se les ha realizado análisis de código estático o dinámico.

Subcuenta 055 – Total de aplicaciones: Registre la cantidad de aplicaciones desarrolladas o soportadas por la entidad.

Subcuenta 060 – Cantidad de componentes que deben ser objeto de pruebas de intrusión: Registre el número de componentes de la plataforma tecnológica que deben ser objeto de pruebas de intrusión.

Subcuenta 065 – Cantidad de componentes objeto de pruebas de intrusión: Registre el número de componentes que ha sido objeto de pruebas de intrusión durante el trimestre.

UNIDAD DE CAPTURA 04 – FORMACIÓN

En esta unidad de captura la entidad debe reportar los datos solicitados de las capacitaciones realizadas en SI y CS. Sólo aplica la columna 01.

Subcuenta 005 – Colaboradores que deben ser capacitados: Registre la cantidad de empleados y contratistas que debían ser capacitados durante el trimestre en SI y CS, considerando las funciones que deben desarrollar.

Subcuenta 010 – Cantidad total de colaboradores capacitados: Registre la cantidad de empleados y contratistas que fueron capacitados en SI y CS, durante el trimestre, considerando las funciones que deben desarrollar.

Subcuenta 015 – Colaboradores que aprueban la evaluación: Registre la cantidad de empleados que realizaron y aprobaron, durante el trimestre, la evaluación de las capacitaciones impartidas sobre SI y CS.

UNIDAD DE CAPTURA 05 – SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

En esta unidad de captura la entidad debe reportar el valor correspondiente al nivel de madurez de la gestión de la SI y CS implementado por ésta. Debe usar como referencia la escala establecida por la SFC en la tabla 1 de este instructivo. Sólo aplica la columna 01.

Subcuenta 005 – Nivel de madurez de la gestión de la SI y CS: Registre el nivel de madurez de la gestión de la SI y CS, según lo indicado en la tabla 1 de este instructivo

Página 597

UNIDAD DE CAPTURA 06 - GESTIÓN DE RIESGOS

En esta unidad de captura la entidad debe reportar los datos relacionados con la gestión del riesgo. Igualmente debe reportar la participación de las perdidas por incidentes de SI y CS en el total de pérdidas por riesgo operativo y las sanciones impuestas por incidentes de Si y CS al interior de la entidad por parte de empleados y contratistas. Sólo aplica a la columna 01.

Subcuenta 005 – Cantidad de riesgos residuales no tolerados de SI y CS: Registre la cantidad de riesgos residuales de SI y CS fuera del perfil de riesgo aprobado por la junta directiva después de haber aplicado los controles, a la fecha de reporte.

Subcuenta 010 – Total de riesgos de SI y CS identificados: Registre la cantidad de riesgos de SI y CS identificados en la matriz de riesgos de la entidad, a la fecha de reporte.

Subcuenta 015 – Valor económico de las pérdidas brutas por incidentes de SI y CS de la entidad: Registre el valor económico de las pérdidas contabilizadas por incidentes de SI y CS sobre los activos de información o sistemas tecnológicos propios de la entidad durante el trimestre.

Subcuenta 020 – Valor económico de las pérdidas brutas por incidentes de SI y CS de sus terceros: Registre el valor económico de las pérdidas contabilizadas por incidentes de SI y CS sobre los activos de información o sistemas tecnológicos de los terceros que prestan servicios a la entidad, durante el trimestre.

Subcuenta 025 – Valor económico de las pérdidas brutas por incidentes de SI y CS de sus clientes: Registre el valor económico de las pérdidas contabilizadas por incidentes de SI y CS sobre los activos de información o sistemas tecnológicos de los clientes o usados por ellos, durante el trimestre.

Subcuenta 030 – Total pérdidas económicas riesgo operativo: Registre el valor económico de las pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, procesos, tecnología, infraestructura, o por ocurrencia de acontecimientos externos durante el trimestre.

Subcuenta 035 – Cantidad de investigaciones por incidentes de SI y CS: Registre todas las investigaciones abiertas por la entidad, durante el trimestre, a sus empleados y contratistas por incidentes de SI y CS.

Subcuenta 040 – Cantidad de sanciones por incidentes de SI y CS: Registre todas las sanciones impuestas por la entidad a sus empleados y contratistas, durante el trimestre, por causa de incidentes de SI y CS.

UNIDAD DE CAPTURA 07 – PRESUPUESTO

En esta unidad de captura la entidad debe reportar el presupuesto asignado para SI y CS en relación con el presupuesto general de la entidad. Debe reportarse una sola vez en el trimestre correspondiente al cálculo. En los demás periodos reporta cero (o). Sólo aplica para la columna 01.

Subcuenta 005 – Presupuesto de SI y CS: Registre el valor aprobado del presupuesto anual asignado a SI y CS.

Subcuenta 010 – Presupuesto total de la entidad: Registre el valor total del presupuesto anual de la entidad.

ANEXO 3.

<Para consultar el anexo F.0000-164 Formato 408 de este documento dirigirse al siguiente link: https://www.avancejuridico.com/docpdf/C_SF_0033_2020_ANEXO_3.xlsx>

×