Circulares 007 y 008 ¿Reto u Oportunidad de Negocio?
16 de abril de 2020 l Seguridad de Archivos
En el pasado mes de junio de 2018, la Superintendencia Financiera de Colombia, a través de las Circulares externas 007 y 008 del mismo año, informó los ajustes que complementan las normas requeridas para la administración de riesgos operativos y de seguridad de la información.
Estas circulares están dirigidas a las empresas vigiladas y entraron a regir partir de enero de 2019, teniendo varias etapas, cumpliéndose el plazo máximo de cada una de ellas en los seis (6) meses posteriores.
Para dar cumplimiento a estas circulares deben cumplirse varios puntos relacionados con la gestión de la ciberseguridad dentro de la organización, incluyendo aspectos como
- Informar de manera pertinente a los consumidores financieros sobre incidentes cibernéticos ocurridos
- Tomar las medidas necesarias para solucionarlos.
De igual manera, dentro de los requerimientos que deberán cumplir las entidades vigiladas en materia de ciberseguridad también está la conformación de una unidad que gestione los riesgos de seguridad de la información.
Esta normativa tiene un impacto directo en la operación de las organizaciones vigiladas, por lo cual es requerido que se ajusten a estos nuevos requisitos para evitar sanciones como multas por el incumplimiento de estas, así como el impacto negativo sobre la marca que puede generarse en sus clientes finales.
ITAC dentro de su oferta de negocio, apoya a las organizaciones a dar cumplimiento a algunos numerales relacionados con estos requisitos, tanto a nivel de proceso, como a nivel de herramientas que permitan ajustarse a las nuevas necesidades.
¿Cómo ITAC puede ayudar a su Empresa a cumplir la normatividad expresada en las Circulares 007 y 008?
Con el producto de ITAC SecureFile y nuestros Servicios de Fábrica de Software Seguro, Consultoría en DevOps, Lineamientos de Seguridad en Aplicaciones y Revisión de Código podemos apoyarlos a dar cumplimiento a los diferentes numerales.
Si desea conocer más de nuestra oferta para cumplir estos requisitos, lo invitamos a contactarnos.
Con ITAC SecureFile®, automatice y protegee los procesos de transferencia de archivos y dé cumplimiento a los siguientes numerales de la Circular 007 y Circular 008.
CIRCULAR 007
3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD
3.4. Implementar controles para mitigar los riesgos que pudieran afectar la seguridad de información confidencial, en reposo o en tránsito. –> ITAC SecureFile® protege la información sensible de las entidades financieras, incluso cuando está siendo transferida, evitando la manipulación o fuga de datos y apoyando el cumplimiento de regulaciones que tienen relación con la protección de datos financieros. Esto significa que ITAC SecureFile® disminuye el riesgo y previene el fraude en las entidades financieras.
CIRCULAR 008
1.2.2.1.2.4. Transmitir la información acerca de las operaciones realizadas, desde el terminal hasta la plataforma tecnológica de la entidad vigilada, utilizando mecanismos de cifrado fuerte de conformidad con lo señalado en el subnumeral 2.3.4.1.5. del presente Capítulo. -> ITAC SecureFile® Server es la solución de Seguridad y Gestión que permite automatizar y proteger los procesos de transferencia de archivos mediante el uso de estándares de transporte y cifrado sin alterar las aplicaciones que generan o reciben estos archivos
2. SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES
2.3.3.1.3. Disponer que el envío de información confidencial y de los instrumentos para la realización de operaciones a sus clientes, se haga en condiciones de seguridad. Cuando dicha información se envíe como parte de, o adjunta a un correo electrónico, mensajería instantánea o cualquier otra modalidad de comunicación electrónica, esta debe estar cifrada. –> ITAC SecureFile® Server tiene las siguientes funcionalidades:
- Soporta múltiples protocolos de transferencia de archivos.
- Permite la transferencia segura de archivos a través de redes públicas y privadas, usando protocolos cifrados de transferencia de archivos.
- Almacenamiento seguro de archivos usando múltiples métodos de cifrado de datos.
- Procesos automatizados de transferencia de archivos, entre socios comerciales e intercambios, incluyendo la detección y el manejo de las transferencias fallidas de archivos.
- Auténtica usuarios en repositorios de usuarios existentes, tales como RSA Authentication Manager®, LDAP y Active Directory®.
- Posibilidad de integración a las aplicaciones existentes.
- Genera reportes detallados de usuarios y la actividad de transferencia de archivos.
ITAC DevOps es un servicio que implementa un conjunto de prácticas colaborativas, que influencian el desarrollo de IT, el equipo de gestión de servicios y el equipo de pruebas, para que unan esfuerzos y así entregar más frecuente y consistentemente servicios de IT y aplicaciones de alta calidad a los usuarios finales.
Dé cumplimiento con ITAC DevOps a los siguientes numerales de la Circular 007 y Circular 008:
CIRCULAR 007
3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD
3.12. Gestionar la seguridad de la información y la ciberseguridad en los proyectos que impliquen la adopción de nuevas tecnologías. –> Con la iniciativa DevOps, apoyamos a la generación de la innovación a través de nuevas aplicaciones más rápidamente. En el concepto de seguridad, se busca que sean seguras.
CIRCULAR 008
2. SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES
2.3.5 Requerimientos en materia de actualización de Software
2.3.5.1. Mantener tres ambientes independientes: uno para el desarrollo de software, otro para la realización de pruebas y un tercer ambiente para los sistemas en producción. En todo caso, el desempeño y la seguridad de un ambiente no pueden influir en los demás.
2.3.5.2. Implementar procedimientos que permitan verificar que las versiones de los programas del ambiente de producción corresponden a las versiones de programas fuentes catalogadas.
2.3.5.4. Contar con procedimientos y controles para el paso de programas a producción. El software en operación debe estar catalogado.
2.3.5.6. Mantener documentada y actualizada, al menos, la siguiente información: parámetros de los sistemas donde operan las aplicaciones en producción, incluido el ambiente de comunicaciones; versión de los programas y aplicativos en uso; soportes de las pruebas realizadas a los sistemas de información; y procedimientos de instalación del software.
–> Contar con nuestro servicio de Consultoría para implementación de DevOps en su compañía le brinda un cubrimiento global al momento de automatizar y aplicar seguridad a su proceso de administración de software, ya sea si tiene proveedores tanto externos o como si realiza desarrollo interno.
Implementación de iniciativas
Con la implementación de iniciativas brindadas en nuestro servicio ITAC DevOps, garantice la seguridad y calidad de su proceso de desarrollo de software:
- Implementación de esquema de integración continua y construcción automática de instaladores: Permite recibir y generar consistentemente aplicaciones hacia ambientes de QA y producción para evitar errores.
- Automatización de despliegues: Permite eliminar errores en salidas a producción, promueve mayor frecuencia de salidas a producción al encontrarse en un esquema automatizado.
- Generación de Ambientes Dinámicos (dockerización): Dockerización de ambientes para disponer de ambientes paralelos, de pruebas o de producción, así como disponer de crecimiento dinámico.
- Gestión del Ciclo de Vida de Desarrollo (Requerimientos → Release): Brindamos prácticas para gestionar el ciclo de vida de software, permitiéndoles aprender sobre empoderamiento y así, tener el control de su software. Herramientas para controlar y utilizar sus códigos fuente.
- Automatización de Pruebas Continuas: Automatización de casos de prueba, generación de datos de pruebas, virtualización de servicios.
- Seguridad en el Proceso de Desarrollo
- Monitoreo de Negocio (Ops)
- Implementación de infraestructura de nube híbrida para Contenedores
Servicios de acompañamiento y mentoring que incluyen la definición de lineamientos de seguridad y arquitectura para JEE, y SOA, cursos y talleres que permiten actualizarse, adquirir nuevos conocimientos y desarrollar habilidades para diseñar soluciones, así como prevenir y resolver problemas de arquitectura y diseño. Amplia experiencia en el ámbito del desarrollo seguro de aplicaciones, así como en el desarrollo de arquitecturas para aplicaciones empresariales.
Dé cumplimiento a los siguientes numerales de la Circular 007 y Circular 008:
CIRCULAR 007:
3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD
3.1. Establecer una política que contenga los principios, procedimientos y lineamientos para la gestión de la seguridad de la información y riesgo de ciberseguridad en la entidad. Esta política debe tener las siguientes características:
3.1.2. Documentar las responsabilidades, procesos, procedimientos, etapas y la gestión que se realiza frente a la ciberseguridad.
3.1.3. Establecer las funciones de la unidad de seguridad de la información y la ciberseguridad.
3.1.4. Establecer los principios y lineamientos para promover una cultura de ciberseguridad que incluya actividades de difusión, capacitación y concientización tanto al interior de la entidad como frente a usuarios y terceros que esta considere relevantes dentro de la política de ciberseguridad. Estas actividades deben realizarse periódicamente y pueden incluirse, adicionalmente, en los cursos sobre riesgo operativo que realice la entidad.
3.2. Establecer una unidad que gestione los riesgos de seguridad de la información y la ciberseguridad. Esta unidad debe tener, al menos, las siguientes características y responsabilidades:
3.2.4. Debe actualizarse permanentemente y de manera especializada para que esté al tanto de las nuevas modalidades de ciberataques que pudieran llegar a afectar a la entidad, según las políticas que establezca la entidad, de acuerdo con su evaluación de riesgo y atendiendo criterios de razonabilidad.
3.2.5. Debe sugerir las capacitaciones que deben recibir regularmente los funcionarios de la entidad en temas relacionados con ciberseguridad y mantenerlos actualizados sobre las nuevas ciberamenazas.
–> Tenemos para su compañía nuestra Consultoría «Lineamientos de Desarrollo Seguro«, así como la formación «Desarrollo Seguro» con el fin de apoyar a los profesionales en las áreas de Arquitectura de Software, Seguridad de la Información y áreas afines para la toma de decisiones.
Esta consultoría y la formación le permiten al profesional, reflexionar, cuestionar, asimilar o interiorizar los conocimientos a la experiencia personal organizacional.
CIRCULAR 008:
2. SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES
2.3.4. Requerimientos especiales por tipo de canal
2.3.4.9. Internet
2.3.4.9.4. Establecer el tiempo máximo de inactividad, después del cual se debe dar por cancelada la sesión, exigiendo un nuevo proceso de autenticación para realizar otras operaciones.
2.3.4.9.5. Informar al cliente, al inicio de cada sesión, la fecha y hora del último ingreso a este canal.
–> Tenemos para su compañía nuestra Consultoría «Lineamientos de Desarrollo Seguro«.
Ayuda a la adopción de las mejores prácticas en los procesos de aseguramiento de calidad no funcional, evitando costos adicionales derivados del no cumplimiento de requerimientos no funcionales tales como desempeño, escalabilidad o seguridad, los cuales típicamente deben ser asumidos al final de cada producto de software.
Dé cumplimiento a los siguientes numerales de la Circular 007 y Circular 008:
CIRCULAR 007
3. OBLIGACIONES GENERALES EN MATERIA DE CIBERSEGURIDAD
3.2. Establecer una unidad que gestione los riesgos de seguridad de la información y la ciberseguridad. Esta unidad debe tener, al menos, las siguientes características y responsabilidades:
3.8. Incluir dentro del ciclo de vida del desarrollo del software, incluyendo servicios web y apps, que procesan la información confidencial de la entidad o de los consumidores financieros (desde las etapas iniciales, tales como levantamiento de requerimientos hasta las pruebas de seguridad pertinentes y producción), aspectos relativos con la seguridad de la información que permitan mitigar dicho riesgo.
4. ETAPAS
4.2. Protección y detección
4.2.2. Gestionar las vulnerabilidades de aquellas plataformas que soporten activos de información críticos y que estén expuestos en el ciberespacio.
CIRCULAR 008
2. SEGURIDAD Y CALIDAD PARA LA REALIZACIÓN DE OPERACIONES
2.3.4. Requerimientos especiales por tipo de canal
2.3.4.9. Internet
2.3.4.9.2. Realizar como mínimo 2 veces al año una prueba de vulnerabilidad y penetración a los equipos, dispositivos y medios de comunicación usados en la realización de operaciones monetarias por este canal. Sin embargo, cuando se realicen cambios en la plataforma que afecten la seguridad del canal, debe realizarse una prueba adicional.
2.3.4.9.7. Contar con mecanismos para incrementar la seguridad de los portales, protegiéndolos de ataques de negación de servicio, inyección de código malicioso u objetos maliciosos, que afecten la seguridad de la operación o su conclusión exitosa.