Conoce más sobre los requisitos de seguridad que exige este país
Aunque no sea tan interesante como las aventuras de James Bond, conocer lo que te pide la Circular 007 de Colombia llevará a tu empresa a otro nivel.
En este artículo hablamos de todo lo que necesitas para cumplir con esta circular. Después de todo, si quieres operar en este país, tienes que estar al tanto de esta información.
¡No te preocupes! No es nada complicado. A continuación te contamos todo lo que necesitas saber.
¿Cuál es su propósito?
La Circular 007 de 2018 se expidió gracias al auge de la digitalización de los servicios financieros.
La interconectividad de las empresas y el aumento de canales electrónicos han creado nuevos riesgos y con ellos, nuevas reglas para mitigarlos y proteger tu información. Es aquí donde entran diferentes regulaciones como la Ley Fintech Mexicana y la RAN 20-10 de Chile.
Al igual que estas leyes latinoamericanas, la Circular 007 de 2018, pide que las empresas diseñen políticas y procedimientos de ciberseguridad para gestionar efectivamente el riesgo en sus sistemas.
¿A quién le aplica?
Esta norma aplica para bancos y empresas que estén en el sector de medios de pago, enfocadas al uso y cobro de créditos. En otras palabras, empresas del giro financiero que gestionan créditos.
La Circular aplica para diferentes tipos de entidades del sector financiero: empresas vigiladas por la Superintendencia Financiera de Colombia (SFC) y operadores de información de PILA.
Si tu empresa cuenta con los siguientes créditos, tienes que cumplir con esta ley:
- Tarjetas de crédito
- Créditos Rotativos
- Microcréditos
- Créditos de Libre Inversión
- Créditos Hipotecarios
- Créditos Comerciales
Hackmetrix Insight: Los operadores PILA en Colombia son los que se encargan de tramitar los pagos de seguridad social como, Seguridad Social Integral Salud, Pensión, Riesgos Laborales y parafiscales.
Un pequeño resúmen de la Circular 007 de 2018
La circular cuenta con 4 secciones:
Sección 1 | Ámbito de aplicación
Menciona a qué empresas les aplica esta circular. Tal cual como lo mencionamos en la sección: ¿A quién le aplica?
Sección 2 | Definiciones
Aquí se enlistan los términos relevantes para entender el contenido de la circular. Básicamente es un glosario. Estos son tan solo algunos de los términos que podrás encontrar en esta sección:
- 2.1. Activo de información: Conocimiento o datos que tienen valor para la entidad o el individuo.
- 2.2. Ciberamenaza o amenaza cibernética: Aparición de una situación potencial o actual que pudiera convertirse en un ciberataque.
- 2.3. Ciberataque o ataque cibernético: Acción criminal organizada o premeditada de uno o más agentes que usan los servicios o aplicaciones del ciberespacio o son el objetivo de la misma o donde el ciberespacio es fuente o herramienta de comisión de un crimen.
Esta sección es importante porque te permite familiarizarte con el vocabulario que maneja esta circular. Ya que comprendimos un poco la terminología, podemos pasar a conocer cuáles son las obligaciones que tienen las empresas para cumplir con la circular.
Sección 3 | Obligaciones generales en materia de ciberseguridad
Esta sección dice que las empresas deben contar con las políticas, procedimientos, recursos técnicos y humanos necesarios para gestionar los riesgos de ciberseguridad.
Para lograrlo, deben adoptar medidas en materia de ciberseguridad, las cuales están descritas en 13 subtemas. Los subtemas van del 3.1 al 3.13., y cada subtema, tiene distintos lineamientos de cumplimiento. Para que te des una idea, aquí puede ver el subtema 3.1:
Subtema: 3.1. Establecer una política que contenga los principios, procedimientos y lineamientos para la gestión de la seguridad de la información y riesgo de ciberseguridad en la entidad. Esta política debe tener las siguientes características:
- Lineamiento: 3.1.1. Ser aprobada por la junta directiva.
- Lineamiento: 3.1.2. Documentar las responsabilidades, procesos, procedimientos, etapas y la gestión que se realiza frente a la ciberseguridad.
- Lineamiento: 3.1.3. Establecer las funciones de la unidad de seguridad de la información y la ciberseguridad.
- Lineamiento: 3.1.4. Establecer los principios y lineamientos para promover una cultura de ciberseguridad que incluya actividades de difusión, capacitación y concientización tanto dentro de la empresa, como frente a usuarios y terceros. Estas son actividades que deben realizarse periódicamente y, que pueden incluirse, en los cursos sobre riesgo operativo que realice la organización.
Como puedes ver, el título del subtema describe de manera general de que se trata, y luego, describe los requisitos necesarios para cumplir con él.
Sección 4 | Etapas
De acuerdo con la circular 007 de 2018, las empresas deben considerar las siguientes etapas para la gestión de la seguridad de la información y la ciberseguridad:
- 4.1 Prevención.
Las empresas deben desarrollar e implementar controles adecuados para velar por la seguridad de la información y la gestión de la ciberseguridad.
- 4.2 Protección y detección.
Las organizaciones deben crear e implementar actividades apropiadas para identificar eventos de ciberseguridad.
- 4.3 Respuesta y comunicación.
Las empresas tienen que desarrollar e implementar actividades para mitigar los incidentes relacionados con ciberseguridad.
- 4.4 Recuperación y aprendizaje.
Las organizaciones deben crear e implementar las actividades para restaurar cualquier producto o servicio después de un incidente de ciberseguridad.
Conclusión
En pocas palabras, la Circular 007 de 2018 está enfocada a empresas en el sector de medios de pago y que manejan créditos. Si tu empresa tiene operaciones en Colombia, o planea expandirse al país, es algo con lo que tendrás que cumplir.
Que cada país cree sus propias regulaciones para proteger la integridad de la información de los usuarios, es cada vez más común. Por eso, en tus planes de expansión internacional, la seguridad de la información debe ser una prioridad.
¡Estamos aquí para ayudarte! No dudes en contactarnos para asesorarte sobre el tema.