Circular Externa No. 36 de la Supersolidaria

  • Home
  • /
  • General
  • /
  • Circular Externa No. 36 de la Supersolidaria

Circular Externa No. 36 de la Supersolidaria

julio 6, 2024
General

La Superintendencia de la Economía Solidaria de Colombia, mediante la Circular Externa No. 36 del 5 de enero de 2022, ha impartido instrucciones específicas sobre la seguridad y la calidad de la información en la prestación de servicios financieros.

Se identificó que la digitalización y la interconectividad han aumentado la exposición al riesgo de seguridad de la información en las cooperativas de ahorro y crédito. En respuesta, se han emitido instrucciones para mitigar estos riesgos y fortalecer la confianza de los asociados.

Instrucciones Clave

  1. Modificación de SARO: Actualización del numeral 4.3.4 – Administración de la Seguridad de la Información en el Capítulo IV del SARO; la Circular Básica Contable y Financiera, así como el Anexo 2 del Capítulo IV, del Título IV de la misma Circular
  2. Nuevo Anexo: Inclusión del Anexo 2 con directrices sobre seguridad y calidad de la información.
  3. Cronograma de Implementación: Establecimiento de un cronograma para la adopción de las nuevas medidas.

Estas medidas buscan que las cooperativas implementen mecanismos preventivos que protejan la información y respalden la transformación digital.

SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO – SARO

Las organizaciones deben adoptar políticas de buenas prácticas en seguridad de la información para identificar y mitigar riesgos tecnológicos operativos y posibles incidentes de seguridad que amenacen la confidencialidad, integridad y disponibilidad de sus activos informativos. Estas políticas, al ser preventivas, fortalecen la confianza en el sector solidario. Las instrucciones deben ser aplicadas por cooperativas de ahorro y crédito, multiactivas e integrales, y pueden ser adoptadas por otras organizaciones solidarias supervisadas, adaptándolas según su tamaño, características y volumen de operaciones.

El sistema de seguridad de la información debe ser un componente integral del buen gobierno de la organización, orientado a alcanzar objetivos estratégicos y gestionar adecuadamente los riesgos relacionados. La estrategia de seguridad debe estar alineada con los requisitos legales y reglamentarios pertinentes, y la alta dirección, junto con el consejo de administración, son responsables de aprobar y supervisar la implementación y actualización de esta política. Es crucial contar con un proceso sistemático para gestionar riesgos, describir, revisar, aprobar y publicar políticas de seguridad, y asegurar que todos los miembros de la organización estén informados y capacitados. Además, se debe proporcionar un presupuesto adecuado, garantizar la competencia de los responsables y mantener una comunicación efectiva sobre los requisitos de seguridad.

Requerimientos de Medios Tecnológicos y Seguridad de la Información

Las entidades del sector cooperativo y solidario deben cumplir con estos requerimientos mínimos para asegurar la información y los servicios:

  1. Medios Tecnológicos y Seguridad de la Información:
    • Utilizar hardware, software y equipos de telecomunicaciones seguros.
    • Gestionar la seguridad de la información bajo un modelo específico.
    • Adoptar estándares de seguridad como PCI-DSS con tarjetahabientes.
    • Enviar información confidencial cifrada por correo electrónico.
    • Registrar y gestionar IPs y números telefónicos seguros.
    • Usar conexiones seguras como VPN para aplicaciones de terceros.
  2. Controles Criptográficos:
    • Utilizar sitios web seguros con certificados digitales.
    • Encriptar comunicaciones con terceros y almacenar información sensible de forma segura.
  3. Protección contra Códigos Maliciosos:
    • Mantener software antivirus actualizado.
    • Restringir el uso de dispositivos removibles no seguros.
    • Controlar el acceso a los equipos de la organización.
  4. Intercambio de Información:
    • No intercambiar información sin acuerdos de confidencialidad.
    • Proteger información sensible enviada por correo electrónico.
    • Utilizar canales seguros para el intercambio de información crítica.
  5. Respaldo de la Información:
    • Realizar copias de seguridad periódicas de datos y sistemas.
    • Proteger físicamente los medios de respaldo.
    • Probar regularmente la integridad de las copias de seguridad.
  6. Sincronización de Relojes:
    • Sincronizar todos los equipos con la hora legal colombiana.
  7. Controles de Acceso:
    • Restringir el acceso a instalaciones y áreas críticas.
    • Utilizar sistemas de control de acceso biométrico o tarjetas.
    • Implementar mecanismos de supervisión como CCTV.
  8. Tele-Trabajo:
    • Autorizar el acceso remoto a servidores solo con aprobación.
    • Cumplir con políticas y controles de seguridad en áreas de trabajo remoto.
  9. Acceso a Redes WiFi:
    • Autenticar el acceso a redes inalámbricas con usuario y contraseña.
    • Separar las redes WiFi corporativas de las usadas por visitantes.
  10. Aspectos No Permitidos:
    • Prohibir la transmisión de contenido inapropiado o fraudulento.
    • Evitar el acceso no autorizado y el envío de spam o malware.
  11. Prestación de Servicios por Terceras Partes:
    • Firmar acuerdos de confidencialidad y especificar condiciones en contratos de servicio.
    • Auditar la seguridad de la información proporcionada por terceros.
  12. Gestión de Incidentes de Seguridad:
    • Categorizar y reportar incidentes de seguridad, incluyendo acceso no autorizado, código malicioso y denegación de servicio.
  13. Divulgación de Información:
    • Informar a asociados y usuarios sobre los riesgos del uso de medios y canales.
  14. Inventario de Activos:
    • Mantener un inventario actualizado de activos de información y su seguridad.
  15. Cajeros Automáticos (ATM):
    • Implementar sistemas de video grabación y cifrado para las transacciones.
    • Proteger físicamente los cajeros automáticos.
  16. POS y PIN Pad:
    • Cumplir con estándares PCI-DSS y asegurar la autenticación de los dispositivos.
  17. Centro de Atención Telefónica (Call Center):
    • Controlar el acceso y uso de equipos en centros de atención, garantizando la protección de datos.
  18. Transacciones por Internet:
    • Implementar controles para comunicaciones seguras y realizar pruebas de vulnerabilidad periódicas.
  19. Análisis de Vulnerabilidades:
    • Utilizar sistemas de análisis de vulnerabilidades actualizados y generar informes regulares.
  20. Seguridad Física y del Entorno:
    • Proteger las instalaciones y equipos contra accesos no autorizados y daños.
  21. Instalaciones y Suministros:
    • Contar con sistemas de respaldo eléctrico y climatización redundante.
  22. Continuidad de la Seguridad de la Información:
    • Establecer planes y procedimientos para la continuidad de la seguridad en situaciones adversas y realizar pruebas regulares.

CIRCULAR BÁSICA CONTABLE Y FINANCIERA

Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros adicionada a la circular básica contable y financiera:

4.3.4. Administración de la seguridad de la información

Se debe establecer un proceso para gestionar la seguridad de la información adaptado a la estructura tecnológica, tamaño y manejo de datos de la organización. Este proceso incluirá:

  • Definir la política de seguridad de la información.
  • Identificar los activos de información.
  • Evaluar los riesgos de seguridad.
  • Implementar y probar un plan de gestión de riesgos de seguridad.

Las instrucciones detalladas sobre seguridad y calidad de la información para servicios financieros se encuentran en el Anexo 2 de este capítulo.

3.1. Monitoreo

La organización debe realizar monitoreos periódicos del perfil de riesgo operativo y de la exposición a pérdidas, al menos semestralmente. Esto implica:

  • Ejecutar las acciones planificadas para administrar el SARO.
  • Evaluar la eficacia de la implementación del SARO para corregir deficiencias rápidamente.
  • Revisar continuamente para garantizar que los controles funcionen efectivamente.
  • Identificar riesgos operativos mediante indicadores descriptivos o prospectivos.
  • Asegurar que el riesgo residual esté dentro de los niveles aceptados por la organización.
  • Actualizar las etapas de identificación, medición y control según los cambios en el entorno operativo.

Revise los documentos técnicos en el sitio web de la Supersolidaria

Related Post
Copyright 2022 © RedExpertos.