Política general de seguridad de la información

1. Introducción

El Banco de la República procura: i) la seguridad de sus activos de información, ii) la ciberseguridad de las Tecnologías de Información y Comunicaciones (TIC) que soportan la infraestructura crítica del sector financiero y la operación de Banco, y iii) la ciberseguridad de los activos tangibles e intangibles que son vulnerables a través de las TIC.

Para el cumplimiento de dicha misión se han adoptado mejores prácticas y se ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI), el cual está conformado por políticas, estándares (técnicos y generales de seguridad de la información), arquitectura computacional, procesos y procedimientos, estructura organizacional y mecanismos de verificación y control; y tiene como propósito garantizar que los riesgos de seguridad de la información y los riesgos de ciberseguridad sean conocidos, asumidos, gestionados y mitigados de forma documentada, sistemática, estructurada, repetible, eficiente y adaptable a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Las Políticas de Seguridad de la Información y Ciberseguridad son elementos fundamentales dentro del SGSI puesto que contienen directrices que enmarcan la actuación de todos los empleados y contratistas del Banco de la República.

2. Objeto

Las Políticas de Seguridad de la Información y Ciberseguridad tienen por objetivo la protección de los activos estratégicos del Banco que dependen o usan las tecnologías de la información y las comunicaciones. Los objetivos específicos de esta política son:

1. Establecer directrices generales relacionadas con seguridad de la información y ciberseguridad.

2. Ser un medio de divulgación para comunicar los lineamientos establecidos por la Administración del Banco de la República respecto a la seguridad de la información y la ciberseguridad, generando cultura y compromiso en todos los niveles de la organización.

3. Establecer y comunicar la responsabilidad y autoridad sobre el manejo de la seguridad de la información y la ciberseguridad del Banco.

4. Orientar el debido cuidado y la debida diligencia en la gestión de la seguridad de la información y la ciberseguridad.

5. Establecer un orden y marco de actuación en temas de seguridad de la información y ciberseguridad, para todas las personas que presten sus servicios al Banco de la República.

6. Garantizar la confiabilidad, imagen y credibilidad del Banco de la República con sus empleados, clientes y con la sociedad en general.

7. Definir un lenguaje común sobre la seguridad de la información y la ciberseguridad dentro de la organización

3. Definiciones/Glosario

Para tales efectos se adoptan las siguientes definiciones:

• Custodio: Persona o el área responsable de proteger la información, de acuerdo con los lineamientos establecidos por el Generador (ver definición más adelante).
• Estándar de Seguridad de la Información: Conjunto de requisitos de obligatorio cumplimiento que especifica tecnologías, métodos y delimita las responsabilidades respecto de la seguridad de la información; así mismo establece pautas de acciones, según lo que les corresponda a las áreas en el ámbito de sus funciones.
• Evidencia Digital: Información con valor probatorio generada, transmitida o almacenada en forma digital (generada por computador o generada por medio diferente y almacenado o transmitido por computador).
• Generador o Responsable: Persona o área que crea la información.
• Incidente de Seguridad de la Información: Cualquier evento adverso que afecte o amenace los fundamentos de seguridad de la información (Confidencialidad, Integridad, Disponibilidad), de tal manera que genere un impacto negativo sobre la información o el Banco.
• Incidente de Ciberseguridad: Es cualquier evento adverso, real o sospechoso, que afecte o amenace con afectar las TIC del Banco que soportan servicios críticos prestados al sistema financiero o la operación del Banco.
• Información Corporativa: Aquella que cumple con al menos una de las siguientes características:
  • (i)      Se produce, envía o recibe en desarrollo de una función, actividad, servicio u operación, asignada al Banco.
  • (ii)     Sirve de sustento o prueba de derechos, obligaciones o responsabilidades a cargo del Banco o de terceros en relación con el mismo.
  • (iii)   Aquella en la que constan las decisiones, normas o políticas tomadas o establecidas por las instancias competentes del Banco.
  • (iv)   Se genera como resultado de la interacción entre el Banco y sus clientes, contratistas, o usuarios, que puede ser de interés para éstos o puede generar efectos jurídicos.
  • (v)     Se requiere con el fin de dar cumplimiento a alguna norma o política, dejar evidencia y prueba de las actuaciones realizadas por los empleados del Banco o por terceros que le prestan servicios.
  • (vi)   Contribuye a la memoria institucional.
• Personas que prestan servicios al Banco: Comprende funcionarios, empleados, contratistas, empleados temporales, estudiantes en práctica y otros terceros que prestan servicios al Banco de la República.
• Usuario: Es aquella persona o área que ha sido autorizada por el Generador para tener acceso a cierta información.
• Resiliencia: Capacidad de continuar prestando sus funciones misionales ante la materialización de eventos adversos críticos contra sus activos de información y plataforma tecnológica.
• Recursos de Tecnología de Información: Recursos o apoyos tecnológicos ofrecidos por el Banco a los empleados para el normal desempeño de sus funciones (ej.: correo, Internet, teléfonos, computadores personales, servidores de archivo, cuentas de acceso, etc.).
• Las Tecnologías de la Información y las Comunicaciones (TIC): Son el conjunto de recursos, herramientas, equipos, programas informáticos, aplicaciones, redes y medios; que permiten la compilación, procesamiento, almacenamiento, transmisión de información como: voz, datos, texto, video e imágenes (Ley 1341 de 2009 Art. 6).
• Infraestructura Crítica: Activos y sistemas, físicos o virtuales, que son tan vitales para la nación que la obstrucción o destrucción de estos activos y sistemas, podría ocasionar impactos adversos en la ciberseguridad nacional, en la seguridad económica y social, en la salud pública, o en una combinación de estos asuntos.

4. Políticas Generales de Seguridad de la Información

1. El Banco cuenta con un Sistema de Gestión de la Seguridad de la Información (SGSI) que apoya una adecuada gestión de riesgos. Dicho Sistema soportará la debida protección de la información a  partir de principios universalmente aceptados de seguridad de la información (Confidencialidad, Integridad, Disponibilidad).
2. El Banco valora la información desde el punto de vista de seguridad y acorde a ello determina los mecanismos de protección adecuados.
3. El Banco desde las etapas iniciales de los proyectos, incluye la evaluación de aspectos relacionados con la arquitectura de seguridad y sigue los lineamientos establecidos al respecto.
4. El Banco atiende los incidentes relacionados con la seguridad de la información y ciberseguridad.
5. El Banco implementa mecanismos para vigilar y promover el buen de los recursos tecnológicos.
6. El Banco implementa mecanismos para vigilar y promover el buen uso de la información.
7. El Banco implementa controles de acceso (físicos y lógicos) para que la información corporativa se encuentre debidamente protegida. Así mismo, tiene mecanismos para seguimiento de actividades no autorizadas sobre la información o recursos de tecnología.
8. El Banco implementa mecanismos y procedimientos para minimizar los riesgos asociados a la gestión de la información en los procesos que soportan la operación del negocio.
9. El Banco implementa mecanismos y procedimientos para minimizar los riesgos asociados a la administración de la plataforma tecnológica que soporta la operación del negocio.
10. El Banco implementa un programa de ciberseguridad alineado con mejores prácticas y la Política Nacional de Ciberseguridad. Dicho programa busca el mejoramiento continuo de su postura de seguridad y aumentar su resiliencia.