Noticias

volver

MODIFICACION DE CIRCULAR CONTABLE Y FINANCIERA TITULO IV SISTEMA DE ADMINISTRACION DE RIESGOS CAPITULO IV SARO

16-mar-2022

En la administración de la seguridad de la información además de definir , implementar , probar y mantener un proceso de administración de seguridad de la información,  se debe aplicarse el nuevo anexo No.2 que muestra de forma detallada cuales son las instrucciones relacionadas con la seguridad y calidad de la información para la prestación de los servicios financieros.

Anexo 2 Instrucciones sobre seguridad y calidad de la información para la prestación de los servicios financieros.

Las organizaciones deben adoptar una política relacionado con seguridad de la información que les ayude a identificar riesgos operativos tecnológicos y su posible materialización.

La aplicación de el anexo va dirigido para cooperativas de ahorro , crédito y multiactivas e integrales que tienen sección de ahorro y crédito teniendo en cuenta el tamaño, características y volumen de operación.

Loe elementos claves de la infraestructura de seguridad de la información son los siguientes : las organizaciones deben definir y poner sistemas de seguridad de la información y que este sea un componente integral en la práctica. Esto les servirá para que puedan aplicar estrategias de actividades de sistemas de seguridad de la información de esta forma llegando a los objetivos y la pertinente gestión del riesgo.

Como estrategia de seguridad se debe tener como objetivo alcanzar los estados deseados por atributos de seguridad de la información en la organización, los planes deben ser formulados sobre los recursos y las limitaciones de igual forma con los requisitos legales y reglamentos pertinentes.

En roles y responsabilidades, el consejo de administración u órgano es él que apruebe las políticas de información y sus respectivas modificaciones.

El consejo de administración u órgano que haga sus veces debe definir y promover estrategias de SGSI; proporcionar los debidos recursos para poder implementarlo y hacer su debido apoyo; debe autorizarse, facilitarse e integrar propuesta para la operación de SGSI; debe velar por que se cumplan con las estrategias creadas anteriormente; deben designar quienes deben implementar el SGSI; hacer seguimientos; aprobar evaluaciones; revisar las estrategias de seguridad y establecer las prioridades de los proyectos relacionados con la seguridad de la información.

El representante legal debe velar por los desarrollos de los objetivos estratégicos, velar por la implementación, facilitar la debida integración en la implementación del modelo de seguridad de la información, debe velar por que los recursos estén correctamente, también debe velar por la correcta aplicación de los controles de seguridad para poder reducir los riesgos y por ultimo presentar un informe periódico mínimo de forma trimestral al consejo de administración con la información pertinente y cuáles serán las acciones preventivas y correctivas que deben implementarse.

En la parte de auditoría interna o el ente de control  debe tener pleno  conocimiento en materia de seguridad de la información, evaluar la efectividad, cumplimiento de las etapas y elementos claves de SGSI. Se debe informar los resultados de la evaluación que se haga de SGSI.

Como estándar base para adaptar el sistema de seguridad de la información se debe adoptar en las organizaciones vigiladas, permitiendo el aseguramiento de los activos de información y estableciendo, implementando, manteniendo y suministrando la mejora continua de forma continua un SGSI.

En riesgo de seguridad de la información debe estar encaminado a minimizar vulnerabilidades y posibles pérdidas de información para que no se materialice, afecten la economía y reputación de la organización. Para esto se debe implementar comprensiones de amenazas y vulnerabilidades; deben tenerse conciencia de la exposición del riesgo y crear conciencia de prioridades en la gestión del riesgo y su pertinente implementación estratégica para poder mitigar los riesgos. Como último es importante conservar toda la información documentada de todos los procesos de riesgos de seguridad de la información.

En lo relacionado con sistema de seguridad de la información las organizaciones deben contar con políticas que ayuden a identificar el contexto y los objetivos propios.

los procesos de descripción deben aplicarse en un lenguaje preciso y comprensible que tenga temas de seguridad, normativas aplicables, información sensible, identificación de la clasificación de la información, responsables y sus debidos niveles de autorización.

Se debe hacer un revisión de actividades de retroalimentación permitiendo la respectiva socialización y verificación de las políticas de seguridad que estén acorde a los objetivos de la organización.

El consejo de administración aprobara las políticas de sistemas de seguridad de la información y dará instrucciones para la puesta en marcha.

después de describir, revisar y aprobar las políticas de seguridad de la información la organización publicara las políticas de seguridad de la información de la organización para cada uno de los integrantes de la organización.

Se deben hacer evaluaciones de conocimiento a todo el personal para verificar que han sido leídas las políticas y que se van a aplicar de forma correcta.

En el desarrollo de la seguridad de la información se deben aplicar los procesos de mejora continua para corregir y actualizar ciertos aspectos dándole la oportunidad a poder hacer cambios tecnológicos al interior de la organización solidaria

La organización debe determinar los recursos necesarios para poder establecer e implementar SGSI.

se deben determinar y proporcionar recursos para poder establecer e implementar SGSI.

Se debe vigilar que los que están encargados en la SGSI tengan las competencias necesarias para poder hacer esta gestión.

Debe haber un medio para comunicar los requisitos exigidos entre los responsables de entrega  de esta información y sus servicios esenciales en la organización

El modelo de seguridad de la información debe estar con información documentada  con la siguiente información:

el consejo de administración aprobara políticas generales de seguridad de la información donde incluya objetivos de seguridad de la información, compromisos a cumplir, compromisos a mejorar, que se encuentre disponible y comunicado dentro de la organización.

Es importante aplicar procedimientos de seguridad, instructivos o guías técnicas.

Cuando se actualiza y crea nueva información la información debe incluir identificación, descripción, medios de soporte, revisión y aprobación con respecto a la idoneidad y adecuación.

Control de la información documentada se debe controlar para que pueda estar disponible  , adecuada y protegida contra la perdida de confidencialidad, uso inadecuado o perdida de integridad.

Responsabilidades y recursos

La organización debe tener clara la definición de los roles y responsabilidades asignadas a los funcionarios acorde a las funciones del cargo.

Se deben tener definido los términos y condiciones  de los cargos que se encuentren asociados a la seguridad e la información entre profesionales de la seguridad. Deben proveer información a los funcionarios sobre la postura, estrategias y políticas de seguridad de la información e implementar procesos disciplinarios si se presentan incidentes de seguridad de la información.

Como requerimientos de medios tecnológicos y seguridad de la información las cooperativas deben por lo menos disponer de hardware, software y equipos de telecomunicaciones que ayuden a mitigar amenazas, crear procedimientos y controles para la prestación de servicios y manejo de la información. Gestionar seguridad de la información bajo modelo de seguridad y privacidad de la información. Gestionar tarjetas hábiles. Gestionar mecanismos de envió de información a los asociados bajo medidas de seguridad. Garantizar registros de direcciones IP     y números telefónicos y las conexiones a aplicaciones de terceros deben estar seguros con conexión de VPN.

Deben llevarse controles criptográficos tanto en sitios web y en comunicación con terceras partes con encriptados fuertes gracias a las herramientas que contraten de algoritmos de encriptación.

En lo relacionado a la protección contra códigos móviles o maliciosos se deben instalar software de antivirus , evitar intercambios de medios removibles de origen desconocido, restringirse el uso de equipos externos y documentos descargados ser revisados por antivirus antes de utilizarse.

No se debe permitir intercambio de información con entidades externas sin autorización , en los correos debe enviarse aplicarse claves en archivos adjuntos, los empleados deben tener un contrato de confidencialidad , información que viaje entre oficinas deben estar cifradas, no debe realizarse copias impresas o físicas.

Deben tenerse respaldos de forma periódica de acuerdo a procedimientos que establezca la organización. Estas copias debes estar enfocadas en datos, sistemas y programas. Se debe garantizar que los medios físicos de respaldos estén asegurados y deben tener implementado procedimientos para probar, regular las copias que se generen.

Los relojes deben estar sincronizados en servidores, switches, equipos, circuitos de cámaras y dispositivos tecnológicos. Garantizando de esta forma el debido seguimiento y cumplimiento correcto del Decreto 4175 de 2011.

Los controles de acceso deben aplicarse a las áreas definidas como áreas criticas debido a los datos confidenciales y de interés asociados. Este control debe ser por algún software de acceso biométrico, los accesos a datacenter y centro de cableado solo pueden acceder a través de autorización correspondiente . se deben tener cámaras de video para supervisar el acceso físico con su debido control.

En Teletrabajo los accesos remoto a los servidores deben estar autorizados por el comité de riesgo y gerencia, estos deben cumplir con las políticas y controles del sistema.

El acceso a las redes WIFI se deben realizar con autenticación de usuario y contraseña y para los visitante debe tener redes independientes.

Aspectos no permitidos deben estar en políticas, principios o procedimientos, manuales en lo relacionado a transmisión de contenido fraudulento u ofensivo. Escanear información , enviar mensajes no solicitados ; accesos a equipos no autorizados, dañar equipos o copiar material que viole la ley.

Si prestan servicio con terceras partes es importante que se firme un documento de confidencialidad, se elaboren contratos que especifiquen condiciones, si se hacen cambios en el servicio deben ser documentados.

En lo relacionado en la gestión de incidentes de seguridad se debe restringir accesos no autorizados, protegerse contra códigos maliciosos, evitar escaneos o intentos de obtención de información de una red por medio de la contratación de sniffers. Si todo lo anterior pasa es deber de la organización reportar el incidente y aplicando los procedimientos definidos para este hecho.

Se debe diseñar procedimientos para dar a conocer a los asociados, usuarios y funcionarios derivados del uso de los diferentes medios y canales

Es importante tener un inventario de los activos y estos deben contar con un proceso y procedimiento detallado para poder mantener el inventario de las condiciones de forma completa, precisa y actualizada si se hacen cambios.

Se deben eliminar de forma segura aquellos equipos que hayan sido retirados o sobrescritos evitando que se revele información que contenía y se pueda hacer un fuerte borrado. Es importante que la organización lleve un control y registro de los medios que eliminan.

 

Si te interesa activar XEO Nube, contáctanos a través de los siguientes medios: