Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
GUÍA DE CONCEPTOS
FORMATO 408
INTRODUCCIÓN
En esta guía se precisan algunos términos relacionados con las métricas de
seguridad de información y ciberseguridad que deben ser transmitidas a esta
Superintendencia de acuerdo con la circular externa 033 de 2020, la cual impartió
instrucciones relacionadas con la Taxonomía Única de Incidentes Cibernéticos –
TUIC, el formato para el reporte de métricas de seguridad de la información y
ciberseguridad y el protocolo de etiquetado para el intercambio de información
Traffic Light Protocol (TLP)
NOTA ACLARATORIA: Para el caso de las entidades que tengan filiales y que el
proceso de SI y CS dependen de la casa matriz, deben reportar la información de
forma segregada por cada una de las filiales.
GLOSARIO
Análisis de código estático: se refiere a la ejecución de herramientas de análisis
de código estático que pueden identificar vulnerabilidades dentro del código fuente
"estático" (no en ejecución). 1
Análisis de código dinámico: (también conocido como tecnología de pruebas
dinámicas de seguridad de aplicaciones (DAST)) están diseñadas para detectar
condiciones que indican vulnerabilidades de seguridad en una aplicación en estado
de ejecución.2
Ataque: cualquier tipo de actividad maliciosa que intente obtener acceso no
autorizado a los servicios, recursos o información del sistema; comprometer la
seguridad de la información o interrumpir, denegar o degradar los recursos del
sistema de información. (Definición CE-033/20-TUIC)
Incidente: ocurrencia de una situación que pone en peligro la confidencialidad,
integridad o disponibilidad de un sistema de información o la información que el
sistema procesa, almacena o transmite; o que constituye una violación a las
políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable.
(Definición CE-033/20-TUIC)
1
https://owasp.org
2
https://www.gartner.com
2
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
MÉTRICAS
UNIDAD DE CAPTURA 01 - GESTIÓN DE INCIDENTES Subcuenta 005 –
Número total de ataques recibidos
Se deben considerar todas las fuentes de información de las herramientas de
seguridad con que cuente la entidad, por ejemplo, honeypot, análisis de tráfico,
SIEM, firewall, IPS, WAF, antivirus o endpoint security, herramientas de para la
detección de amenazas persistentes avanzadas (APT), entre otros.
Se debe tener en cuenta que una entidad puede recibir cientos de ataques a diario,
sin que necesariamente se materialicen, con esta métrica y el número total de
incidentes se puede verificar que tan efectivos son sus sistemas de seguridad
perimetral.
Subcuenta 010 – Número total de incidentes de SI y CS en la entidad
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
ocurridos durante el trimestre, que han generado un impacto en las operaciones de
la entidad, poniendo en peligro la confidencialidad, integridad o disponibilidad de un
sistema de información o la información que el sistema procesa, almacena o
transmite.
Las operaciones no autorizadas de tarjetas de crédito o débito que afectan al
consumidor financiero y que están categorizadas como fraude3 no se deben
reportar, en próximas actualizaciones de esta circular se habilitarán los campos
correspondientes para su registro.
Subcuenta 015 – Número de incidentes abiertos
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
que permanecen abiertos de periodos anteriores y los abiertos durante el trimestre.
Subcuenta 020 – Número de incidentes cerrados
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
cerrados, que ocurrieron durante el trimestre.
3
De acuerdo con las categorías establecidas en la Taxonomía Única de Incidentes Cibernéticos (TUIC)
“FRAUDE: Uso de tecnologías de la información con el fin de distorsionar los datos e inducir a la víctima a
hacer alguna actividad o tarea, provocando con ello afectación a la confidencialidad, integridad o
disponibilidad de la información. Una forma de fraude involucra la intercepción de una transmisión electrónica,
ocasionando el robo de credenciales, los datos de la tarjeta de crédito u otra información confidencial sobre la
identidad de una persona.
Se considera fraude el uso no autorizado de recursos, violación a la propiedad intelectual y derechos de autor
(Copyright), enmascaramiento, phishing y spear phishing, spoofing (Suplantación) o alteración y/o
eliminación de datos almacenados, entre otros.”
3
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
4
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Ejemplo 3: desde una página web con características similares a las del banco
ACME se están ofreciendo productos de crédito sin estudio y con desembolso
inmediato. Para esto le solicitan al consumidor financiero que consigne $200.000=
en alguna plataforma de depósito de dinero electrónico o billetera digital para agilizar
este proceso. El consumidor financiero accede a pagar este dinero para que le
otorguen el crédito confiando en la imagen de la entidad. Después de una semana
el consumidor aún no ha recibido el desembolso del dinero y no le responden en los
números de teléfono asociados a la página web por lo tanto decide instaurar una
queja ante la entidad vigilada, la cual, después de analizar el caso, identifica que la
página por la cual fue ofrecido el crédito es falsa. La entidad vigilada falla a favor
del consumidor y le realiza la devolución del dinero.
Este caso no se debe reportar como un incidente en la unidad de captura 01
subcuenta 010, sin embargo, se debe reportar en la unidad de captura 06 subcuenta
025 como “valor económico de las pérdidas brutas de la entidad vigilada por
incidentes de SI y CS de sus clientes”.
Ejemplo 4: realizando el monitoreoen la deep y dark web el banco ACME identificó
datos confidenciales que corresponden a juntas directivas de los últimos cinco años,
los cuales se encuentran en venta en un blog de hackers. Luego de analizar el caso
se evidenció que esta información se extravió en una USB propiedad del secretario
general.
Este caso se debe reportar como un incidente en la unidad de captura 01 subcuenta
010 “número total de incidentes de SI y CS”
UNIDAD DE CAPTURA 02 – TIEMPO PROMEDIO DE INCIDENTES
En esta unidad de captura se debe reportar el tiempo promedio en la detección,
respuesta y gestión de incidentes cerrados durante el trimestre, los cuales deben
expresarse en el formato PYYYY-DDDThh:mm:ss establecido en el estándar ISO
8601:2019.
Las letras P y T son utilizadas como delimitadores de los datos numéricos.
YYYY: hace referencia al número de años transcurridos, no es para registrar una
fecha. Por ejemplo, si han transcurrido tres años el dato a reportar es 0003.
DDD: hace referencia al número de días transcurridos. El valor debe ser mayor o
igual a cero y menor a 366. Por ejemplo: si han transcurrido ciento sesenta y dos
(162) días el dato a reportar es 162.
hh:mm:ss : hace referencia al formato de horas, minutos y segundos. Las horas
deben ser registradas en formato militar (de 0 a 23), los minutos y segundos deben
ser valores enteros entre 00 y 59.
5
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Asumiendo que es el único incidente que ha afectado al banco ACME los datos que
se deben reportar en la unidad de captura 02 son:
6
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
7
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
8
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
9
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
10
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
Entendiendo que:
El máximo grado de automatización se refiere a la no intervención humana en los
procesos tecnológicos que maneja la entidad.
El máximo grado de institucionalización consiste en la implementación de los
controles de SI y CS los cuales deben ser medidos y sus resultados deben ser
usados para la toma de decisiones Adicionalmente, la entidad debe estar en
capacidad de adaptarse a los cambios en el entorno (regulación, tecnología,
servicios, entre otros) y estos proyectarlos a largo plazo.
UNIDAD DE CAPTURA 06 - GESTIÓN DE RIESGOS
Subcuenta 005 – Cantidad de riesgos residuales no tolerados de SI y CS
Registre la cantidad de riesgos residuales de seguridad de la información y
ciberseguridad fuera del perfil de riesgo aprobado por la junta directiva, después de
haber aplicado los controles, a la fecha de reporte.
Subcuenta 010 – Total de riesgos de SI y CS identificados
Registre la cantidad de riesgos de seguridad de la información y ciberseguridad
identificados en la matriz de riesgos de la entidad, a la fecha de reporte.
Subcuenta 015 – Valor económico de las pérdidas brutas por incidentes de SI
y CS de la entidad
Registre el valor económico de las pérdidas contabilizadas por incidentes de
seguridad de la información y ciberseguridad sobre los activos de información o
sistemas tecnológicos propios de la entidad durante el trimestre.
4
CMM: Capacity Maturity Model, Capacidad del Modelo de Madurez.
11
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
12
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
13
SUPERINTENDENCIA FINANCIERA DE COLOMBIA
14