Circular Externa No. 36 de la Supersolidaria

Circular Externa No. 36 de la Supersolidaria

La Superintendencia de la Economía Solidaria de Colombia, mediante la Circular Externa No. 36 del 5 de enero de 2022, ha impartido instrucciones específicas sobre la seguridad y la calidad de la información en la prestación de servicios financieros.

Se identificó que la digitalización y la interconectividad han aumentado la exposición al riesgo de seguridad de la información en las cooperativas de ahorro y crédito. En respuesta, se han emitido instrucciones para mitigar estos riesgos y fortalecer la confianza de los asociados.

Instrucciones Clave

  1. Modificación de SARO: Actualización del numeral 4.3.4 – Administración de la Seguridad de la Información en el Capítulo IV del SARO; la Circular Básica Contable y Financiera, así como el Anexo 2 del Capítulo IV, del Título IV de la misma Circular
  2. Nuevo Anexo: Inclusión del Anexo 2 con directrices sobre seguridad y calidad de la información.
  3. Cronograma de Implementación: Establecimiento de un cronograma para la adopción de las nuevas medidas.

Estas medidas buscan que las cooperativas implementen mecanismos preventivos que protejan la información y respalden la transformación digital.

SISTEMA DE ADMINISTRACIÓN DEL RIESGO OPERATIVO – SARO

Las organizaciones deben adoptar políticas de buenas prácticas en seguridad de la información para identificar y mitigar riesgos tecnológicos operativos y posibles incidentes de seguridad que amenacen la confidencialidad, integridad y disponibilidad de sus activos informativos. Estas políticas, al ser preventivas, fortalecen la confianza en el sector solidario. Las instrucciones deben ser aplicadas por cooperativas de ahorro y crédito, multiactivas e integrales, y pueden ser adoptadas por otras organizaciones solidarias supervisadas, adaptándolas según su tamaño, características y volumen de operaciones.

El sistema de seguridad de la información debe ser un componente integral del buen gobierno de la organización, orientado a alcanzar objetivos estratégicos y gestionar adecuadamente los riesgos relacionados. La estrategia de seguridad debe estar alineada con los requisitos legales y reglamentarios pertinentes, y la alta dirección, junto con el consejo de administración, son responsables de aprobar y supervisar la implementación y actualización de esta política. Es crucial contar con un proceso sistemático para gestionar riesgos, describir, revisar, aprobar y publicar políticas de seguridad, y asegurar que todos los miembros de la organización estén informados y capacitados. Además, se debe proporcionar un presupuesto adecuado, garantizar la competencia de los responsables y mantener una comunicación efectiva sobre los requisitos de seguridad.

Requerimientos de Medios Tecnológicos y Seguridad de la Información

Las entidades del sector cooperativo y solidario deben cumplir con estos requerimientos mínimos para asegurar la información y los servicios:

  1. Medios Tecnológicos y Seguridad de la Información:
    • Utilizar hardware, software y equipos de telecomunicaciones seguros.
    • Gestionar la seguridad de la información bajo un modelo específico.
    • Adoptar estándares de seguridad como PCI-DSS con tarjetahabientes.
    • Enviar información confidencial cifrada por correo electrónico.
    • Registrar y gestionar IPs y números telefónicos seguros.
    • Usar conexiones seguras como VPN para aplicaciones de terceros.
  2. Controles Criptográficos:
    • Utilizar sitios web seguros con certificados digitales.
    • Encriptar comunicaciones con terceros y almacenar información sensible de forma segura.
  3. Protección contra Códigos Maliciosos:
    • Mantener software antivirus actualizado.
    • Restringir el uso de dispositivos removibles no seguros.
    • Controlar el acceso a los equipos de la organización.
  4. Intercambio de Información:
    • No intercambiar información sin acuerdos de confidencialidad.
    • Proteger información sensible enviada por correo electrónico.
    • Utilizar canales seguros para el intercambio de información crítica.
  5. Respaldo de la Información:
    • Realizar copias de seguridad periódicas de datos y sistemas.
    • Proteger físicamente los medios de respaldo.
    • Probar regularmente la integridad de las copias de seguridad.
  6. Sincronización de Relojes:
    • Sincronizar todos los equipos con la hora legal colombiana.
  7. Controles de Acceso:
    • Restringir el acceso a instalaciones y áreas críticas.
    • Utilizar sistemas de control de acceso biométrico o tarjetas.
    • Implementar mecanismos de supervisión como CCTV.
  8. Tele-Trabajo:
    • Autorizar el acceso remoto a servidores solo con aprobación.
    • Cumplir con políticas y controles de seguridad en áreas de trabajo remoto.
  9. Acceso a Redes WiFi:
    • Autenticar el acceso a redes inalámbricas con usuario y contraseña.
    • Separar las redes WiFi corporativas de las usadas por visitantes.
  10. Aspectos No Permitidos:
    • Prohibir la transmisión de contenido inapropiado o fraudulento.
    • Evitar el acceso no autorizado y el envío de spam o malware.
  11. Prestación de Servicios por Terceras Partes:
    • Firmar acuerdos de confidencialidad y especificar condiciones en contratos de servicio.
    • Auditar la seguridad de la información proporcionada por terceros.
  12. Gestión de Incidentes de Seguridad:
    • Categorizar y reportar incidentes de seguridad, incluyendo acceso no autorizado, código malicioso y denegación de servicio.
  13. Divulgación de Información:
    • Informar a asociados y usuarios sobre los riesgos del uso de medios y canales.
  14. Inventario de Activos:
    • Mantener un inventario actualizado de activos de información y su seguridad.
  15. Cajeros Automáticos (ATM):
    • Implementar sistemas de video grabación y cifrado para las transacciones.
    • Proteger físicamente los cajeros automáticos.
  16. POS y PIN Pad:
    • Cumplir con estándares PCI-DSS y asegurar la autenticación de los dispositivos.
  17. Centro de Atención Telefónica (Call Center):
    • Controlar el acceso y uso de equipos en centros de atención, garantizando la protección de datos.
  18. Transacciones por Internet:
    • Implementar controles para comunicaciones seguras y realizar pruebas de vulnerabilidad periódicas.
  19. Análisis de Vulnerabilidades:
    • Utilizar sistemas de análisis de vulnerabilidades actualizados y generar informes regulares.
  20. Seguridad Física y del Entorno:
    • Proteger las instalaciones y equipos contra accesos no autorizados y daños.
  21. Instalaciones y Suministros:
    • Contar con sistemas de respaldo eléctrico y climatización redundante.
  22. Continuidad de la Seguridad de la Información:
    • Establecer planes y procedimientos para la continuidad de la seguridad en situaciones adversas y realizar pruebas regulares.

CIRCULAR BÁSICA CONTABLE Y FINANCIERA

Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros adicionada a la circular básica contable y financiera:

4.3.4. Administración de la seguridad de la información

Se debe establecer un proceso para gestionar la seguridad de la información adaptado a la estructura tecnológica, tamaño y manejo de datos de la organización. Este proceso incluirá:

  • Definir la política de seguridad de la información.
  • Identificar los activos de información.
  • Evaluar los riesgos de seguridad.
  • Implementar y probar un plan de gestión de riesgos de seguridad.

Las instrucciones detalladas sobre seguridad y calidad de la información para servicios financieros se encuentran en el Anexo 2 de este capítulo.

3.1. Monitoreo

La organización debe realizar monitoreos periódicos del perfil de riesgo operativo y de la exposición a pérdidas, al menos semestralmente. Esto implica:

  • Ejecutar las acciones planificadas para administrar el SARO.
  • Evaluar la eficacia de la implementación del SARO para corregir deficiencias rápidamente.
  • Revisar continuamente para garantizar que los controles funcionen efectivamente.
  • Identificar riesgos operativos mediante indicadores descriptivos o prospectivos.
  • Asegurar que el riesgo residual esté dentro de los niveles aceptados por la organización.
  • Actualizar las etapas de identificación, medición y control según los cambios en el entorno operativo.

Revise los documentos técnicos en el sitio web de la Supersolidaria

Related Post