Política general de seguridad de la información


1.  Introducción

El Banco de la República procura la seguridad de la información en cada una de sus plataformas informáticas existentes. Para el cumplimiento de dicha misión se han adoptado mejores prácticas y se ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI),  el cual está conformado por políticas, estándares (técnicos y generales de seguridad de la información), arquitectura computacional, procesos, procedimientos, estructura organizacional y mecanismos de verificación y control; y tiene como propósito que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados de forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Las Políticas de Seguridad de la Información son elementos fundamentales dentro del SGSI puesto que contienen directrices que enmarcan la actuación de todos los empleados y contratistas del Banco de la República.


2. Objeto


Las Políticas de Seguridad de la Información tienen como objeto la protección de la información corporativa del Banco, considerada corno activo estratégico, así:

a. Establecer directrices generales relacionadas con seguridad de la información.
b. Comunicar los lineamientos establecidos por el Banco respecto a la seguridad de la información y generar cultura y compromiso a todo nivel.
c. Establecer y comunicar la responsabilidad y autoridad sobre el manejo de la seguridad de la información.
d. Mostrar el debido cuidado y diligencia en la gestión de la seguridad de la información.
e. Establecer un orden y marco de actuación para todas las personas que presten servicios al Banco de la República.
f. Brindar mayor confiabilidad, imagen y credibilidad del Banco de la República para con terceros.
g. Definir un lenguaje común sobre la seguridad de la información dentro de la Entidad.



3. Definiciones/Glosario


Para tales efectos se adoptan las siguientes definiciones:

a. Custodio: Persona o el área responsable de proteger la información, de acuerdo con los lineamientos establecidos por el Generador (ver definición más adelante).

b. Estándar de Seguridad de la Información:
Conjunto de requisitos de obligatorio cumplimiento que especifica tecnologías, métodos y delimita las responsabilidades respecto de la seguridad de la información; así mismo establece pautas de acciones, según lo que les corresponda a las áreas en el ámbito de sus funciones.

c. Evidencia Digital: Información con valor probatorio generada, transmitida o almacenada en forma digital (generada por computador o generada por medio diferente y almacenado o transmitido por computador).

d. Generador o Responsable: Persona o área que crea la información.

e. Incidente de Seguridad de la Información: Cualquier evento adverso que afecte o amenace los fundamentos de seguridad de la información (Confidencialidad, Integridad, Disponibilidad), de tal manera que genere un impacto negativo sobre la información o el Banco.

f. Información Corporativa: Aquella que cumple con al menos una de las siguientes características:

(i)      Se produce, envía o recibe en desarrollo de una función, actividad, servicio u operación, asignada al Banco.

(ii)     Sirve de sustento o prueba de derechos, obligaciones o responsabilidades a cargo del Banco o de terceros en relación con el mismo.

(iii)   Aquella en la que constan las decisiones, normas o políticas tomadas o establecidas por las instancias competentes del Banco.

(iv)   Se genera como resultado de la interacción entre el Banco y sus clientes, contratistas, o usuarios, que puede ser de interés para éstos o puede generar efectos jurídicos.

(v)     Se requiere con el fin de dar cumplimiento a alguna norma o política, dejar evidencia y prueba de las actuaciones realizadas por los empleados del Banco o por terceros que le prestan servicios.

(vi)   Contribuye a la memoria institucional.

g. Usuario: Persona o área que ha sido autorizada por el Generador para tener acceso a cierta información.

 

h. Recursos de Tecnología de Información: Recursos o apoyos tecnológicos dispuestos por el Banco para el normal desempeño de sus funciones (ej.: correo, Internet, teléfonos, computadores personales, servidores de archivo, cuentas de acceso, etc.).

 


4. Políticas Generales de Seguridad de la Información

DSI-P1.      El Banco cuenta con un Sistema de Gestión de la Seguridad de la Información (SGSI) que apoye una adecuada gestión de riesgos. Dicho Sistema soportará la debida protección de la información a partir de principios universalmente aceptados de seguridad de la información (Confidencialidad, Integridad, Disponibilidad).

DSI-P2.      El Banco valora la información desde el punto de vista de seguridad y acorde a ello determina los mecanismos de protección adecuados.

DSI-P3.      El Banco garantiza el cumplimiento de las leyes y regulaciones externas e internas aplicables a la seguridad de la información.

DSI-P4.
     El Banco desde las etapas iniciales de los proyectos, incluye la evaluación de aspectos relacionados con la arquitectura de seguridad y sigue los lineamientos establecidos al respecto.

DSI-P5.      El Banco atiende los incidentes relacionados con la seguridad de la información.

DSI-P6.      El Banco implementa los mecanismos para vigilar y promover el buen uso de la información y de los recursos asociados a su manejo.

DSI-P7.      El Banco implementa controles de acceso (físicos y lógicos) para que la información corporativa se encuentre debidamente protegida. Así mismo, tiene mecanismos para seguimiento de actividades no autorizadas sobre la información o recursos de tecnología.

DSI-P8.      El Banco implementa mecanismos y procedimientos para minimizar los riesgos asociados al uso que de la información hacen los procesos que soportan la operación de sus funciones y servicios.

DSI-P9.      El Banco cuenta con condiciones ambientales adecuadas para proteger su información corporativa.

DSI-P10.    El Banco implementa mecanismos y procedimientos para minimizar los riesgos asociados a la administración de la plataforma tecnológica que soportan la operación de sus funciones y servicios. 

Contenido disponible en / Available in:

  • Español
  • English