Grupo Bancolombia Clasificación – Interna

LINEAMIENTOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN Y

CIBERSEGURIDAD APLICABLES A PROVEEDORES

V11

INTRODUCCIÓN

Siendo la información uno de los activos más valiosos de nuestras organizaciones y por tanto uno
de los más sensibles a las diferentes amenazas del entorno, sumado a que nuestros proveedores y
terceros son parte vital del ecosistema de Bancolombia, se hace imperativo establecer prácticas y
controles que permitan elevar el nivel de madurez en seguridad de la información y ciberseguridad.
Porque como riesgo sistémico, lo que sucede en alguna parte de nuestra cadena de productos y
servicios, nos afecta a todos.

ALCANCE

El presente documento aplica para los proveedores y terceros que suministran, desarrollan,
integran, implementan o soportan aplicaciones, sistemas de información y/o componentes
tecnológicos para Bancolombia, así como los que acceden, transmiten, procesan o gestionan en
cualquier momento información física o electrónica que es propiedad de Bancolombia.

Las disposiciones aquí presentes aplican para el proveedor como entidad y este deberá garantizar
que sus empleados y los terceros que contrate para la prestación del servicio a Bancolombia deben
dar cumplimiento a las mismas.

La aceptación y firma del presente documento sustituye las versiones anteriores y el mismo se
entiende como parte integral de los contratos suscritos entre las partes.

Por Bancolombia debe entenderse no solo Bancolombia S.A. sino además las filiales y subsidiarias
de este.

PROPIEDAD DE LA INFORMACIÓN

La información que Bancolombia: revele, dé a conocer, entregue o confíe al proveedor durante la

ejecución o con ocasión de los servicios contratados, es propiedad de Bancolombia y debe ser
tratada y protegida por el proveedor en los términos previstos en el contrato correspondiente, el
Acuerdo de Confidencialidad suscrito entre las Partes y el presente documento.

CONTROL DE CAMBIOS

Versión Fecha Detalle de cambios

10.1 26/10/2021 Revisión del documento, en conformidad con temas regulatorios y reglamentarios de Bancolombia.
Actualización en conformidad con tendencias de mercado, actualización de temas regulatorios y
11 02/09/2022
reglamentarios de Bancolombia.

1|Página
Grupo Bancolombia Clasificación – Interna

ÁREAS DE CONTROL

Gobierno de ciberseguridad y seguridad de la información

El proveedor debe establecer e implementar un marco para el gobierno en materia de seguridad de

la información y ciberseguridad y en conformidad con los modelos recomendados de la industria
como NIST, ISO/IEC 27001, ITIL, COBIT, así como cualquier requisito del sector que sea aplicable,
incluyendo el desarrollo de políticas, procesos/procedimientos y controles. Este gobierno debe
permitir que la disponibilidad, integridad y confidencialidad estén respaldados por controles
diseñados para mitigar o reducir los riesgos de pérdida, interrupción o corrupción de la
información, y el proveedor debe disponer y operar controles, así como asegurar su
funcionamiento eficaz, con el fin de proteger los servicios prestados a Bancolombia.

Si el proveedor presta servicios asociados al almacenamiento, transmisión o procesamiento de

información de tarjetas y tarjetahabientes BANCOLOMBIA, se debe entrar en cumplimiento con la
norma Payment Card Industry Data Security Standard (PCI DSS).

¿Por qué es importante? Un marco de gobierno fuerte establece el tono de seguridad para toda la
organización. En caso de no disponer de uno, Bancolombia o sus proveedores podrían no ser capaces
de demostrar una supervisión adecuada de la seguridad de la información y la ciberseguridad.

Gestión de los riesgos relacionados con la seguridad de la información y la ciberseguridad

El proveedor debe establecer, implementar y operar un programa de gestión de riesgos de

seguridad de la información y ciberseguridad que evalúe, mitigue y controle de manera efectiva la
evolución de los riesgos de seguridad en todo el entorno del proveedor. El proveedor debe notificar
a Bancolombia si tiene dificultades para remediar o reducir cualquier área de riesgo esencial y que
podría afectar la información y/o lo servicios que presta a Bancolombia.

¿Por qué es importante? Evidenciar la operación de este programa demuestra la implementación de

medidas apropiadas para la mitigación de riesgos de seguridad de la información y ciberseguridad.

Organización: Funciones y responsabilidades

El proveedor debe garantizar que todas las personas implicadas en la prestación del servicio a
Bancolombia estén informadas de los requisitos de control de Bancolombia consolidados en este
documento y de su cumplimiento. En lo que respecta a los requisitos de control de Bancolombia,
el proveedor debe garantizar la existencia de personas con las competencias necesarias, con
funciones y responsabilidades definidas en la organización para gestionar y garantizar su eficaz
funcionamiento, que procuren proteger los servicios prestados y la información de Bancolombia.

¿Por qué es importante? Una definición clara de los roles y las responsabilidades en la organización
contribuye a la implantación de un ambiente de control de seguridad de la información y
ciberseguridad.
Grupo Bancolombia Clasificación – Interna

Cultura y Sensibilización en Ciberseguridad y Seguridad de la Información

El proveedor debe establecer, implementar y operar un programa de cultura de seguridad de la

información y ciberseguridad, durante el ciclo de vida de la relación laboral con sus empleados y
sus terceros, para garantizar que comprendan sus responsabilidades, conozcan los riesgos,
apliquen las buenas prácticas y tomen conciencia sobre las medidas de protección de la
información, así mismo debe disponer de actualizaciones regulares a sus empleados sobre las
políticas y procedimientos de su organización y de Bancolombia, que sean pertinentes para los
cargos.

Bancolombia podrá invitar al proveedor a participar en actividades de sensibilización y

concientización en seguridad de la información y ciberseguridad a través del administrador de
contrato o de la Cadena de Abastecimiento.

¿Por qué es importante? Los empleados deben conocer los riesgos de la seguridad de la información
y la ciberseguridad, los vectores de ataque y ser capaces de detectarlos y ejecutar acciones para
mitigarlos.

Gestión de Identidades y Accesos

El proveedor debe restringir el acceso a la información, teniendo en cuenta los principios de mínimo
privilegio, divulgación de información solo cuando sea necesario y segregación de funciones. Se
debe demostrar que el acceso a los datos o información de Bancolombia será gestionado de forma
apropiada y se limita solo a aquellas personas que la necesitan acceder para prestar el servicio.
Considerar:

• Todos los sistemas que almacenan o procesan activos de información de Bancolombia y que
deben incluir empleados nuevos, que cambian de puesto, dejan la empresa, o que disponen
de acceso remoto.
• Controles para la autorización, que permitan legitimar que el proceso de
aprovisionamiento, modificación y retiro de los accesos incluye un nivel de autorización
ajustado al nivel de privilegios otorgados.
• Revisión periódica de los accesos, incluyendo los accesos privilegiados.
• Controles sobre la autenticación.

En el caso en que los empleados del proveedor tengan acceso a sistemas administrados
directamente por Bancolombia y se requieran gestionar novedades de creación, modificación y
retiros de usuarios, incluyendo los cambios de función y absentismos en ellos el proveedor debe:

• Reportar de forma inmediata al administrador del servicio todas las novedades de retiro de
sus empleados. Así mismo entregar al administrador de servicio los elementos de acceso
físico o lógico pertenecientes a estos.
Grupo Bancolombia Clasificación – Interna

• Reportar oportunamente al administrador del servicio en Bancolombia los absentismos

superiores a 3 días de sus empleados, para ser deshabilitados en los sistemas de
información de Bancolombia.
• Reportar de forma inmediata al administrador del servicio todos los cambios de funciones
que presenten sus empleados, con el fin de gestionar las novedades necesarias.
• Proteger y custodiar de forma adecuada los usuarios con accesos privilegiados, asegurando
su confidencialidad, disponibilidad e integridad.

¿Por qué es importante? Los controles de gestión de la identidad y los accesos ayudan en la mitigación
de riesgos a los activos de información de Bancolombia contra un uso inadecuado. Estos controles
contribuyen a garantizar que solo se puedan acceder a los activos de información los usuarios
autorizados.

Computación en la nube

(Este numeral aplica cuando el servicio que se esté contratando implica modelos de servicios en nube
SaaS, PaaS e IaaS o cuando se vaya a usar modelos de implementación (nube pública, privada,
comunitaria o híbrida).

Esta identificación de aplicabilidad se realiza tomando en cuenta los resultados del FORMATO AUTO-
DIAGNÓSTICO PROVEEDOR DE NUBE – MINTIC y tomando en cuenta el Cubo de Procesos Bancolombia
mediante la cual los usuarios identifican si su necesidad de contratación afecta procesos misionales o
de gestión contable o financiera, caso en el cual deberá darse cumplimiento a lo establecido en LA
Parte I Título I Capítulo VI de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia
para determinar si debe ser registrado el contrato ante la Superfinanciera.

El proveedor debe asegurarse que el servicio en la nube utilizado para la prestación del servicio a
Bancolombia cuente con un marco de controles de seguridad definido para proteger la
disponibilidad, integridad y confidencialidad, así como su funcionamiento eficaz, con el fin de
proteger el servicio o servicios de Bancolombia.

El proveedor del servicio en la nube debe disponer de la certificación ISO/IEC 27001 actualizada y
de observancia a las buenas prácticas de la ISO/IEC 27017 y 27018. Puede certificarse con
estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores.

El proveedor tiene que disponer de informes de controles de organización de servicios (SOC1,

SOC2, SOC3). En todo momento se deben implementar medidas para garantizar que todo uso de
tecnología en la nube resulte seguro.

El proveedor debe asegurarse de que el proveedor del servicio en la nube disponga de controles
equivalentes a la versión más reciente de la Matriz de Controles de Seguridad en la Nube (CCM) de
la Cloud Security Alliance.
Grupo Bancolombia Clasificación – Interna

El proveedor es responsable de garantizar los controles de seguridad de los datos relacionados con
los activos de información y/o datos de Bancolombia, incluyendo datos personales en la nube, y el
proveedor del servicio en la nube es responsable de la seguridad del servicio en la nube. El
proveedor sigue siendo responsable de la configuración y supervisión de los controles de seguridad
implementados para ofrecer protección frente a incidentes de seguridad, incluyendo violaciones
de la seguridad de los datos.

El proveedor debe implementar medidas de seguridad en todos los aspectos del servicio que se va
a prestar, incluyendo el modelo de responsabilidad compartida en la nube, de forma que se proteja
la confidencialidad, integridad, disponibilidad y accesibilidad, minimizando la oportunidad de que
personas no autorizadas logren acceder a información de Bancolombia y afectar a los servicios
utilizados por Bancolombia. Los controles de seguridad en la nube deben ser acorde a los modelos
de despliegue (IaaS/PaaS/SaaS).

Cuando un proveedor del servicio en la nube vaya a mantener datos confidenciales y/o restringidos,
el proveedor debe facilitar a Bancolombia las ubicaciones, zonas de datos, entre otra información
de valor que permita identificar el almacenamiento de datos.

¿Por qué es importante? La implementación de este control permite asegurar los datos de
Bancolombia que se procesan en nube, evitando que sea vean afectados por alguna situación de riesgo.

Gestión de activos de información y tecnológicos

El proveedor debe disponer, mantener y gestionar los activos tecnológicos y de información

durante todo su ciclo de vida y en el uso, tránsito y reposo, desde la recepción hasta su
retiro/eliminación, garantizando su confidencialidad, disponibilidad e integridad.

Se debe mantener un inventario, clasificación y etiquetado de los activos tecnológicos y de

información según el nivel de criticidad, y realizar como mínimo una revisión anual para validar que
el inventario está actualizado, completo y es correcto.

El proveedor debe implementar prácticas y controles para mitigar la incorporación de tecnologías

no compatibles u obsoletas, y al final de la vida útil, realizar retiro y destrucción de activos e
información para mitigar el riesgo de compromiso. Así mismo:

• Realizar una revisión constante de la información y/o datos de Bancolombia existentes y

nuevos.
• Una gestión y almacenamiento de la información y/o datos de Bancolombia segura y acorde
con el nivel de clasificación.
• Socialización a todo el personal del proveedor de los requisitos de etiquetado,
almacenamiento y tratamiento de información y cómo aplicar la clasificación de la
información correcta.
Grupo Bancolombia Clasificación – Interna

¿Por qué es importante? Al gestionar los activos de tecnológicos y de información se asegura que se
apliquen los controles de seguridad necesarios. Los activos tecnológicos y de información utilizados
por el proveedor para prestar servicio a Bancolombia no estarían en peligro, evitando afectaciones
económicas, pérdida de información, daños a la reputación y sanciones.

Prevención de fuga de información y/o pérdida de datos

El proveedor debe asegurar que los activos de información y/o datos de Bancolombia bajo su
custodia estén protegidos a través de una combinación de técnicas de cifrado, medios seguros para
el acceso a los datos, protección de la integridad y técnicas y controles de prevención de la fuga de
información. Se debe limitar el acceso a los activos de información/datos de Bancolombia,
incluyendo datos personales, para que ese acceso sea seguro.

El proveedor dispondrá de prácticas y controles para la protección frente a las fugas de

información, considerando mínimamente los principales vectores de fuga: transferencia no
autorizada de información fuera de la red interna o la red del proveedor, correo electrónico,
web/internet, incluyendo almacenamiento online y correo en línea, DNS, pérdida o robo de activos
de información de Bancolombia en medios electrónicos portátiles, como información electrónica
de estaciones de trabajo, dispositivos móviles, discos duros portátiles, transferencia no autorizada
de información, intercambio no segura de información con terceros y/o impresión o copia
inadecuadas de información.

¿Por qué es importante? Al aplicar controles de seguridad sobre la información/datos se logra que la
información de Bancolombia solo esté disponible para personas autorizadas, se evita dejarla expuesta
a modificaciones no autorizadas, filtraciones, acceso no autorizado, daños, pérdidas o destrucción y
se protege contra cambios no autorizados, puede recuperarse y presentarse cuando se requiera. Así
mismo se minimiza la ocurrencia de sanciones o afectaciones a la reputación o interrupción del
negocio.

Eliminación y destrucción de activos de información físicos y electrónicos

El proveedor debe devolver/destruir y/o depurar los activos de información de Bancolombia

almacenados en formato físico o electrónico tanto en la finalización de la relación comercial con
Bancolombia o cuando le sea solicitado. Para esto Bancolombia entregará al proveedor las
instrucciones por escrito y el proveedor procederá en conformidad con las mismas. En caso de no
recibirlas, deberá solicitarlas al administrador del contrato dentro de los cinco (5) días hábiles
siguientes a la terminación de la prestación del servicio o a la notificación de devolución,
destrucción y/o depuración de información

Cuando se eliminen activos de información de Bancolombia que se guarden en formato físico o

electrónico, garantizando que la información/datos de Bancolombia no puedan recuperarse. Para
los activos de información en formato electrónico preferiblemente utilizar técnicas como borrado
seguro, purga, eliminación o destrucción de datos o métodos basados en software para
sobrescribir los datos o utilizar un marco estándar de la industria (P.ej: NIST) para la eliminación de
Grupo Bancolombia Clasificación – Interna

datos. Para la eliminación de información de Bancolombia en formato impreso usar

preferiblemente mediante cortes de tiras o transversales en forma que no sea posible la
reconstrucción de los documentos o la recuperación de cualquier información contenida en ellos o
bien se podría incinerar. Se deben custodiar los documentos y/o medios hasta el último momento
antes de su eliminación y/o destrucción.

El proveedor que requiera hacer uso de terceros para la eliminación y/o destrucción de información
o activos tecnológicos debido a la imposibilidad de ejercer esta función por su cuenta, debe
establecer y firmar acuerdos de confidencialidad y no divulgación con la finalidad de proteger la
información. Este acuerdo entre el proveedor y el tercero debe mínimamente especificar la
necesidad de:

• La protección adecuada de la información para impedir su divulgación.

• La total custodia y trazabilidad de la documentación hasta su total destrucción.
• La eliminación y/o destrucción inmediata de los documentos en cuanto se reciba en las
instalaciones del tercero.
• El medio de transporte para los documentos físicos.
• El método de eliminación y/o destrucción seguro y aceptable.
• La entrega del certificado o evidencia de eliminación y/o destrucción
• El personal que ejecuta el proceso de destrucción y/o eliminación tiene firmados acuerdos
de confidencialidad.
• El personal que ejecuta el proceso de destrucción y/o eliminación pertenece al tercero y no
a otra empresa.

El proveedor debe mantener evidencia de la eliminación y/o destrucción de la información o activos

tecnológicos, que debió efectuarse en el tiempo acordado entre las partes según las instrucciones
recibidas y deberá entregarse un acta al administrador del contrato como representante de
Bancolombia, la cual debe incluir mínimamente:

• Detalle de procedimientos o métodos empleados para la devolución, destrucción y/o

depuración de la información propiedad de Bancolombia.
• Declaración que no persisten copias o respaldos adicionales.
• Responsables del procedimiento, incluidos terceros.
• Registros de auditoría (en caso de que aplique).
• Prueba y certificación de eliminación / destrucción (incluyendo fechas)
• En general un informe de destrucción / eliminación que confirme el éxito o fracaso de
cualquier procedimiento.

¿Por qué es importante? La destrucción segura de los activos tecnológicos y de información ayuda a
mitigar riesgos de fuga de información.
Grupo Bancolombia Clasificación – Interna

Seguridad en la red

El proveedor debe asegurarse de que todos los sistemas y componentes tecnológicos que utilice él
o sus subcontratistas y que se usen para los servicios prestados a Bancolombia se protejan contra
las amenazas entrantes y salientes de la red. Deben considerarse mínimamente:

• Mantener inventarios actualizados de los componentes de la red de la organización, con

arquitecturas/diagramas de red.
• Revisión periódica de potenciales vulnerabilidades en el entorno de red.
• Aplicación de mecanismos y tecnologías de protección como segmentación de red,
firewalls, controles de los accesos físicos a los equipos de red, etc. Así como aquellos que
eviten las intrusiones en la red para detectar y evitar la entrada de tráfico malicioso en la
red.

El proveedor debe garantizar que ningún servidor usado para prestar el servicio a Bancolombia se
despliegue en redes que no sean de confianza, es decir redes fuera del perímetro de seguridad, que
escapen al control administrativo. El proveedor que aloje información de Bancolombia, incluyendo
subcontratistas, en un centro de datos en las premisas o en la nube debe demostrar cumplimiento
de buenas prácticas recomendadas por el sector.

¿Por qué es importante? De no implementar controles y prácticas de seguridad en la red los atacantes
podrían obtener acceso a información incluida la de Bancolombia y/o generar afectaciones a los
servicios prestados.

Detección de denegación de servicio

El proveedor debe disponer de capacidades de detección y protección frente a los ataques de

denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS). Se asegurará de que
los canales externos o conectados a internet que se empleen para prestar servicios a Bancolombia
cuenten con una adecuada protección contra este tipo de ataques, a fin de garantizar la
disponibilidad.

Si el proveedor aloja una aplicación que está conectada a Internet debe protegerla utilizando
tecnologías apropiadas para esta finalidad en todas las capas.

¿Por qué es importante? Contar con estas capacidades permitirá que Bancolombia y sus proveedores,
podrán ser capaces de evitar que un ataque por denegación de servicio logre su objetivo.

Acceso remoto

El proveedor debe disponer de controles para mitigar los riesgos del acceso remoto orientados a
mitigar la exposición potencial derivada del uso no autorizado.
Grupo Bancolombia Clasificación – Interna

El acceso remoto a información de Bancolombia desde redes o entornos administrados por el

proveedor, o si el proveedor o cualquiera de sus subcontratistas permite que la información de
Bancolombia facilitada al proveedor por necesidad de conocimiento, sean consultados,
compartidos o tratados de forma remota, el proveedor debe implementar como mínimo:

• Aseguramiento, control y cifrado mediante el uso de firewalls y redes virtuales seguras

(VPN).
• Aseguramiento de las estaciones desde las cuales se realice el acceso remoto, y de
conformidad con los procedimientos recomendados de la industria como, por ejemplo,
nivel de los parches, estado de las soluciones contra el software malintencionado, solución
EDR de detección y respuesta del punto final inicio de sesión, etc.
• Utilizar siempre autenticación multifactor.

En caso de acceder remotamente a Bancolombia a través de VPN, Escritorios y Aplicaciones

Virtuales de Bancolombia debe tener presente que:

• La autenticación para el acceso remoto a Bancolombia a través de VPN, Escritorios y

Aplicaciones Virtuales se realiza con: usuario de red, contraseña y MFA (Microsoft/RSA o
el que Bancolombia defina).
• El proveedor mantendrá un inventario de todos los usuarios con autenticación MFA
suministrada por Bancolombia, así como un procedimiento para la revisión y
seguimiento y uso.
• El proveedor conciliará los usuarios remotos de forma periódica, para garantizar que
sólo las identidades autorizadas usen servicios de acceso remoto. Así mismo notificará
absentismos o novedades.
• Bancolombia podrá desactivar las credenciales de autenticación si no se han utilizado
durante cierto tiempo.
• Toda conexión que tenga como fin la administración de algún elemento de la red (RDP,
SSH, etc.) deberá cumplir los lineamientos para el acceso a través de los servicios
definidos para tal fin, y los cuales están definidos según el tipo de dispositivo que se
requiera administrar (controles PAM, RDP Gateway, entre otros).

¿Por qué es importante? Los controles de acceso remoto ayudan a garantizar que los dispositivos no
autorizados y no seguros no se conecten a distancia al entorno de Bancolombia.

Gestión de logs de seguridad

El proveedor debe recopilar, gestionar y analizar los registros de auditoría de eventos que puedan
ayudar a supervisar, detectar, comprender y recuperarse de un ataque, donde los sistemas,
componentes tecnológicos y procesos clave de su compañía usados para prestar servicios a
Bancolombia, incluyendo aplicaciones, equipos de red, bases de datos, endpoints, dispositivos de
seguridad, infraestructura, servidores y otros elementos útiles en componentes tecnológicos y
sistemas de información que estén configurados para producir los registros/logs necesarios, de
conformidad con estándares y practicas recomendados del sector.
Grupo Bancolombia Clasificación – Interna

Dichos registros deben estar debidamente asegurados, guardados y conservados por el proveedor,
para lo cual se puede considerar el uso de cifrado, MFA, control del acceso y copias de seguridad,
entre otros.
Estos registros podrían ser solicitados por Bancolombia si se identifica un evento que comprometa
procesos e información de la organización siempre que permita apoyar las respectivas
investigaciones.

El proveedor debe hacer uso de herramientas analíticas de registro o gestión de eventos e

información de seguridad para la correlación y análisis de los registros. Así mismo, el uso de
herramientas para la agregación y correlación en tiempo real de actividades anómalas, alertas de
red, sistemas de inteligencia de ciberamenazas, y eventos vinculados desde múltiples fuentes,
tanto internas como externas, para detectar y prevenir ciberataques.

¿Por qué es importante? Con la implementación de este requisito los proveedores podrán detectar y
neutralizar en un plazo de tiempo razonable un uso inapropiado o malintencionado de un servicio o de
su información y la de Bancolombia.

Controles contra software malicioso

El proveedor debe disponer de políticas, procesos y controles técnicos, para impedir la ejecución
de software malicioso en el ecosistema tecnológico. El proveedor deberá garantizar que la
protección contra software malicioso se aplique a todos los activos informáticos aplicables en todo
momento para evitar afectaciones de servicio o violaciones de la seguridad.

La protección contra software malicioso debería incluir, entre otras cosas:

• Soluciones tecnológicas contra el software malicioso, gestionado centralmente para
controlar y defender continuamente el entorno informático de la organización.
• Actualización regular de motor y base de datos de firmas, de conformidad con los
procedimientos recomendados en el sector.
• Enviar todos los eventos de detección de software malicioso a herramientas de
administración contra software malicioso y servidores de registros de eventos para su
análisis y alerta.

¿Por qué es importante? Las soluciones contra el software malicioso resultan esenciales para proteger
los activos tecnológicos y de información de Bancolombia y del proveedor.

Estándares de configuración segura

El proveedor debe disponer de un marco para garantizar que todos los sistemas/equipos de red;
dispositivos de red, sistemas operativos, aplicaciones, servidores y componentes tecnológicos en
general, se configuran de forma segura de acuerdo con los estándares recomendados del sector
como NIST, SANS, CIS. También se debe disponer de procesos de gestión de la configuración que
gobierne los estándares de configuración segura y detecte, alerte y responda de manera efectiva a
Grupo Bancolombia Clasificación – Interna

los cambios en la configuración o las desviaciones.

La configuración segura debe tener en cuenta principios de seguridad como: controles de

limitación de puertos, protocolos y servicios, software no autorizado, eliminación y desactivación
de cuentas de usuario innecesarias, cambio de contraseñas por defecto en cuentas, eliminación de
software innecesario, etc.

Se deben disponer de procedimientos para verificar regularmente, al menos una vez al año, que los
incumplimientos de los estándares de seguridad básicos se gestionen.

¿Por qué es importante? Disponer de configuraciones seguras evitan poner en riesgo la información,
incluida la de Bancolombia, y los activos tecnológicos usados para la prestación de su servicio.

Seguridad en los endpoints o dispositivos de acceso

El proveedor reforzará la seguridad de los dispositivos utilizados para acceder a la red de

Bancolombia o aquellos que pueden procesar y/o acceder a activos de información de Bancolombia,
a fin de protegerlos contra los ataques y las ciber amenazas. Deberán estar establecidos
procedimientos recomendados del sector para la seguridad de los dispositivos de acceso
considerando:

• Cifrado de disco.
• Deshabilitación de software/servicios/puertos innecesarios.
• Deshabilitación de administrador local de máquina.
• Evitar que los empleados sin autorización puedan realizar cambios en las configuraciones
básicas de los dispositivos.
• Deshabilitación del uso de puertos USB, para evitar la producción de copias de información
de Bancolombia a soportes externos. Su uso debe habilitarse solamente por razones de
negocio legítimas.
• Actualización con las últimas firmas antivirus y parches de seguridad.
• Aplicación de políticas para la prevención de fuga de información por acciones sobre la
información de Bancolombia.
• Control para acceder a sitios de redes sociales, servicios de correo personal y sitios que
puedan almacenar información en internet como Google Drive, Dropbox, iCloud, entre
otros.
• Control en la transmisión de información de Bancolombia por herramientas de mensajería
instantánea.
• Capacidades para detectar software no autorizado identificado como malicioso y evitar la
instalación de software no autorizado.
• Hacer uso de imágenes o plantillas seguras para todos los sistemas de la empresa basados
en los estándares de configuración y buenas prácticas del sector.
• Para proveedores que acceden desde la red de terceros Bancolombia en una sede física que
la disponga:
Grupo Bancolombia Clasificación – Interna

o La estación de trabajo usada deberá tener instalado el plugin de acceso remoto y el

agente de control de acceso a la red vigente de Bancolombia, ambos necesarios para
realizar el proceso de revisión de la seguridad.
o La estación de trabajo usada por el proveedor deberá cumplir los requisitos de línea
base definidos en Bancolombia enunciados en el ANEXO: SEGURIDAD DE LAS
ESTACIONES DE TRABAJO Y EN LA NAVEGACIÓN.
o Si el dispositivo no cumple con las condiciones esperadas se le impedirá el ingreso
a la red de terceros, a través del proceso de postura ejecutado en el ingreso, o
cuando se detecten cambios o comportamientos anómalos luego de estar
conectado a la red, los cuales activarán un aislamiento automático.

Dispositivos móviles empleados para los servicios de Bancolombia

• El proveedor debe disponer de capacidades de gestión de dispositivos móviles para
controlar y gestionar de forma segura los dispositivos móviles que tengan acceso y/o
contengan información confidencial o restringida de Bancolombia, reduciendo el riesgo de
comprometerla.

¿Por qué es importante? Con estos requisitos la red del proveedor, así como sus dispositivos finales de
acceso estarán más seguros ante un ciberataque.

Seguridad en las aplicaciones

Si el proveedor desarrolla aplicaciones para uso de Bancolombia, o que se utilicen para respaldar el
servicio prestado a Bancolombia, deberá disponer de un marco de desarrollo seguro para prevenir
afectaciones a la seguridad e identificar y corregir las vulnerabilidades en el código durante el
proceso de desarrollo.

Para el desarrollo de aplicaciones se debe hacer uso de estándares y entornos de desarrollo

seguros, apropiadas al lenguaje de programación, alineados con las recomendaciones del sector
como OWASP, en aras de minimizar vulnerabilidades e interrupciones del servicio.

Se debe contemplar:

• Mantener entornos separados para los sistemas productivos y no productivos. Controlar

los entornos productivos y realizar segregación de funciones. Se debe tener cuidado en usar
datos de producción en otros ambientes.
• Almacenar y custodiar el código en condiciones apropiadas de seguridad para minimizar
afectaciones de confidencialidad, disponibilidad e integridad.
• Utilizar solo componentes de terceros actualizados y de confianza.
• Aplicar herramientas de análisis estático y dinámico para comprobar que se cumplen las
prácticas de codificación seguras.
• Cuidar el uso de información en entornos que no sean de producción.
• Proteger las aplicaciones web con firewalls de aplicaciones web (WAF), que inspeccionen el
tráfico aplicaciones para evitar ataques. En el caso de aplicaciones no web, considerar el
Grupo Bancolombia Clasificación – Interna

uso de firewalls específicos de las aplicaciones, si estos están disponibles para el tipo de
aplicación. Si el tráfico es cifrado, el dispositivo debe quedar detrás del cifrado o poder
descifrar el tráfico antes del análisis. Si ninguna de estas opciones resulta apropiada, se
debería considerar el despliegue de un firewall de aplicaciones web basado en el host.

¿Por qué es importante? Los controles que protegen el desarrollo de aplicaciones contribuyen a
garantizar que se mantiene la seguridad de estas en su ciclo de vida.

Gestión de Vulnerabilidades

El proveedor debe disponer de políticas, procesos y controles implementados para la supervisión

efectiva, la detección y la remediación de vulnerabilidades de sus aplicaciones o las aplicaciones
administradas que sean propiedad de Bancolombia, infraestructura, y componentes tecnológicos,
con especial cuidado en aquellos que estén en el marco de los servicios prestados o que puedan
contener información de Bancolombia, para garantizar la eficiencia de los controles de seguridad
implementados.

La gestión de vulnerabilidades debe incluir, entre otras cosas:

• Funciones, responsabilidades y obligaciones definidas para la supervisión, presentación

de información y atención.
• Herramientas e infraestructura apropiadas para el análisis de vulnerabilidades.
• Desarrollar análisis de vulnerabilidades de manera rutinaria, que identifiquen de
manera efectiva vulnerabilidades conocidas y desconocidas en todas las clases de
activos del entorno tecnológico.
• Priorizar la remediación de las vulnerabilidades descubiertas en base al riesgo.
• Implementar un proceso de remediación de vulnerabilidades que incluya la verificación
rápida y efectiva de la remediación de estas, en los diferentes activos del entorno
tecnológico.
• Solucionar las vulnerabilidades de manera efectiva a través de actividades de
remediación oportunas y en conformidad con las recomendaciones de la industria, de
forma que se reduzca el riesgo de explotación de las mismas.
• Comparar regularmente los resultados de análisis anteriores de vulnerabilidades para
comprobar que estas se han remediado.
• En el caso de los servicios de proveedor relacionados con la
infraestructura/aplicaciones/afectación a información de Bancolombia, el proveedor
debe notificar al administrador del contrato como representante de Bancolombia de
inmediato si se identifica alguna vulnerabilidad crítica/alta.

Todos los problemas y vulnerabilidades de seguridad que pudieran afectar de forma importante a
los servicios prestados a Bancolombia o que puedan poner en riesgo información de Bancolombia
suministrada al proveedor y cuyo riesgo el proveedor haya decidido aceptar se comunicarán de
inmediato al administrador del contrato en Bancolombia y se acordarán por escrito con
Bancolombia.
Grupo Bancolombia Clasificación – Interna

¿Por qué es importante? Una gestión de vulnerabilidades efectiva permite que los ciberdelincuentes
no puedan aprovecharse de las vulnerabilidades de los sistemas y componentes tecnológicos para
realizar ciberataques, mitigando riesgos de fuga de información, interrupción de servicio, como
también perjuicios económicos y de reputación.

Gestión de parches

El proveedor debe contar con políticas, procesos y controles implementados para supervisar y
controlar la implementación de parches de seguridad para el entorno tecnológico que lo requiera.

El proveedor debe aplicar a los sistemas, activos, redes, aplicaciones los últimos parches de
seguridad de manera oportuna, y de conformidad con los procedimientos recomendados del
sector. Debe incluir la realización de pruebas antes de su implementación en sistemas en
producción, implementación de controles compensatorios en caso de que un sistema no pueda
parcharse, un proceso de gestión de cambios que registre pruebe y autorice antes de la
implementación todos los cambios a fin de evitar interrupciones del servicio o afectaciones de
seguridad.

El proveedor debe asegurarse de que los parches se reflejen en entornos de producción y de

recuperación de desastres.

¿Por qué es importante? Al implementar este control, los servicios estarán más seguros a problemas
de seguridad que podrían poner en riesgo los datos, entre ellos los de Bancolombia, evitarían provocar
afectaciones de servicio o permitir otras actividades malintencionadas.

Gestión de incidentes de ciberseguridad

El proveedor debe disponer y operar un marco para la gestión de eventos e incidentes de

ciberseguridad y seguridad de la información que valide, remita, contenga y repare efectivamente
los incidentes de seguridad del entorno del proveedor y que contenga fases de detección,
investigación y reacción ante la ocurrencia de estos.

Así mismo se deben disponer de planes escritos y probados de respuesta a los incidentes,
adaptados a diferentes categorías de incidentes conocidos.

Debe reportarse de forma oportuna al buzón de Incidentes de Terceros Bancolombia

(incidenteciberter@bancolombia.com.co) y máximo dentro de las 24 horas siguientes a su
identificación, toda situación de ciberseguridad que concluya en la violación a las políticas de
Ciberseguridad y Seguridad de la información y que atente contra la confidencialidad, integridad
o disponibilidad de la información que la organización procesa en sus sistemas de información o
en las de un tercero, y afecte la información o los servicios prestados a Bancolombia, que puede
delimitarse en las siguientes categorías u otras clasificaciones usadas por el proveedor.
Grupo Bancolombia Clasificación – Interna

Las categorías son:

• Código Malicioso: software que se infiltra o inserta intencionalmente en un sistema con un

propósito dañino sin el consentimiento del usuario, pero normalmente necesita su
interacción para activarse.
• Disponibilidad: ataques dirigidos a poner fuera de servicio los sistemas mediante altos
volúmenes de tráfico o peticiones, con el objeto de afectar la productividad o imagen de las
organizaciones. También puede ser causado por Errores Humanos sin que haya malicia o
negligencia.
• Compromiso de Información: incidentes relacionados con la pérdida del Activo de
Información por robo (confidencialidad), eliminación o modificación (Integridad) no
autorizada de Información no pública.
• Obtención de información: ataques dirigidos a personas o dispositivos mediante ingeniería
social o escaneo de vulnerabilidades, con el fin de recolectar información que permita
ejecutar ataques más sofisticados.
• Intrusiones: ataques dirigidos a la explotación de vulnerabilidades de diseño, de operación
o de configuración de los sistemas con el objeto de infiltrarse de forma fraudulenta en ellos.
• Fraude: uso de recursos tecnológicos con ánimo de lucro o estafa mediante la suplantación
de identidad.
• Violación de políticas: infracciones a las Políticas de Seguridad aprobadas por la
Organización.
• Vulnerabilidades: sistemas que carecen de una adecuada configuración, actualización o
mecanismos criptográficos fuertes.

El proveedor es responsable de la contención y solución de la situación presentada, no obstante

Bancolombia podrá contactar las personas responsables de este proceso a fin conocer acciones
preventivas o correctivas que posiblemente también Bancolombia deba aplicar sobre sistemas o
activos de información a fin de protegerlos, por tanto, el proveedor debe disponer una lista de
contactos del equipo a cargo de la gestión de incidentes.

El proveedor deberá informar a Bancolombia los indicadores de compromiso (IoC) detectados en

el suceso, así como las acciones que preventivamente pudieran aplicarse para contener algún
compromiso o acción anómala. Así mismo el proveedor deberá entregar un avance diario de la
situación hasta su contención al buzón de correo mencionado anteriormente, además de un
informe final cuando la situación haya sido resulta.

Si se identifica un evento que comprometa los procesos e información de la organización,

Bancolombia podrá solicitar en cualquier momento al proveedor información que permita apoyar
las respectivas investigaciones, entre ellos: documentación de procesos, logs de acceso a
instalaciones físicas, soportes digitales y/o físicos, logs de aplicaciones y sistemas que soporten la
operación de Bancolombia, información que pueda ser requisito de actividades de computación
forense o análisis continuo para el monitoreo de eventos de seguridad y administración de
incidentes, información relacionada con indicadores de compromiso como direcciones IP, nombres
de dominios, hashes, artefactos de malware, resultados de sus propias herramientas de
Grupo Bancolombia Clasificación – Interna

ciberseguridad u otros documentos o elementos que puedan relacionarse al evento. Esta

información deberá ser entregada de manera oportuna a Bancolombia, en un máximo de 24 horas
a partir de la ocurrencia del evento o de ser solicitada la misma.

¿Por qué es importante? Un proceso de respuesta y gestión en caso de incidentes contribuye a

garantizar que estos se contengan rápidamente y a evitar tener que elevarlos a instancias superiores.

Pruebas de penetración o ethical hacking

El proveedor debe realizar pruebas de penetración o ethical hacking en su infraestructura

tecnológica, incluyendo los centros de contingencia, aplicaciones, sistemas de información y en los
componentes tecnológicos que tengan alcance al servicio contratado y que sean propiedad del
proveedor, al menos una vez al año, con el objetivo de identificar posibles brechas que puedan
poner en riesgo la organización a través de ciberataques y por ende afectar la seguridad del
proveedor y de los servicios prestados a Bancolombia.

Todas las pruebas que se realicen a infraestructura del proveedor que esté en instalaciones de
Bancolombia o esté conectada a infraestructura Bancolombia deberán ser informadas y coordinadas
con el equipo de Inteligencia y Reacción de Bancolombia.

El proveedor debe establecer prioridades y planes de acción a los hallazgos encontrados y realizar
seguimientos periódicos. Esta prueba debe ser realizada en conformidad con las buenas prácticas
recomendadas del sector.

En el caso de los servicios de proveedor relacionados con Bancolombia:

• El proveedor debe informar a Bancolombia las horas/fechas de inicio y finalización, con el

fin de no interferir en actividades de los servicios prestados de Bancolombia.
• Todos los problemas cuyo riesgo se haya decidido aceptar se comunicarán al administrador
del contrato de Bancolombia.
• El proveedor debe compartir al administrador del servicio, certificaciones en la que indique
mínimamente la efectiva realización de las pruebas, la fecha de realización, la empresa de
ciberseguridad que la realizó, el alcance de estas, el marco de referencia utilizado, y de
manera general las acciones y los tiempos de remediación que fueron definidos con ocasión
de los hallazgos identificados.
• El proveedor debe notificar a Bancolombia de inmediato si se identifica alguna
vulnerabilidad o hallazgo y los respectivos planes de remediación.

¿Por qué es importante? Con la realización de evaluaciones de seguridad el proveedor puede

identificar y valorar las ciberamenazas a las que se enfrentan, reconocer si sus defensas son
apropiadas y lo suficientemente sólidas para evitar un ciberataque.
Grupo Bancolombia Clasificación – Interna

Derecho de revisión

El proveedor debe permitir que Bancolombia, previa notificación por escrito, pueda llevar a cabo
una revisión de seguridad de cualquier instalación, tecnología o servicios utilizados por el
proveedor o sus subcontratistas para desarrollar, probar, mejorar, mantener u operar los sistemas
del proveedor utilizados en los servicios, a fin de comprobar que el proveedor cumple con sus
obligaciones. El proveedor también debe permitir a Bancolombia realizar una inspección al menos
cada año o inmediatamente después de producirse un incidente de seguridad.

Todo incumplimiento de controles identificado por Bancolombia durante una revisión debe
someterse a una evaluación por parte de Bancolombia y dependiendo del riesgo se
deberá especificar un plazo para que se corrija. El proveedor se encargará entonces de implementar
cualquier medida correctiva que sea necesaria en el plazo establecido y acordado por ambas partes.

El proveedor debe prestar a Bancolombia toda la asistencia que solicite en relación con cualquier
inspección y documentación presentada durante una inspección que deba completarse y
devolverse a Bancolombia.

En señal de conocimiento y aceptación del presente documento y sus anexos firma:

EL PROVEEDOR

Nombre Representante Legal:

Documento de identificación:
Grupo Bancolombia Clasificación – Interna

ANEXO INFORMATIVO

Para conocimiento del proveedor se incluyen en este documento las políticas de Seguridad de la
Información de Bancolombia y Ciberseguridad, vigentes al momento de suscripción del Anexo de
Ciberseguridad y Seguridad de la Información. Sin embargo, las mismas podrán ser actualizadas
por parte de Bancolombia en cualquier momento.

POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Bancolombia reconoce la información como uno de sus activos fundamentales, por lo tanto, se
compromete a gestionarla a través del desarrollo, implementación, mantenimiento y mejora
continua del Sistema de Gestión de la Ciberseguridad y la Seguridad de la Información; como parte
de la estrategia orientada a identificar y tratar los riesgos a los cuales se exponen los activos de
información, apoyar la reducción de gastos operativos y financieros, establecer una cultura de
seguridad y asegurar el cumplimiento de los requerimientos legales, contractuales, regulatorios y
de la organización; por lo tanto, todo colaborador y tercero de la Organización debe adoptar las
definiciones establecidas para mantener la confidencialidad, la integridad y la disponibilidad de los
activos de información.

POLÍTICAS GENERALES

POLÍTICA PARA LA ORGANIZACIÓN DE LA SEGURIDAD

La Organización ha establecido la estructura de procesos y la asignación de roles y
responsabilidades para gestionar la ciberseguridad y la seguridad de la información, con el
propósito de tratar los riesgos que puedan afectar la confidencialidad, integridad y disponibilidad
de la información, así como de cualquier activo que sea esencial para la operación de la
Organización.

POLÍTICA PARA LA CULTURA DE SEGURIDAD

La Organización ha establecido un programa de cultura de ciberseguridad y seguridad de la
información con alcance a clientes, terceros y colaboradores, el cual es ejecutado durante el ciclo
de vida de la relación comercial o laboral con la Organización, para garantizar que comprendan
sus responsabilidades, conozcan los riesgos, apliquen las buenas prácticas y tomen conciencia
sobre los comportamientos seguros para proteger la información personal y financiera.

POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE ACTIVOS DE INFORMACIÓN

La Organización ha establecido el proceso para asegurar que la información se usa adecuadamente
y se protege según los riesgos, la sensibilidad, la criticidad e importancia para la Organización, a
través del establecimiento de la metodología que permite identificar y clasificar los activos de
información, y establecer los roles y responsabilidades frente a su protección.
POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE SERVICIOS EN LA NUBE
La Organización ha establecido los roles y responsabilidades para definir e implementar los
mecanismos de seguridad para operación de las soluciones en la nube, con el propósito de asegurar
que la información que se procesa, se almacena o se transmite entre la Organización y los
Grupo Bancolombia Clasificación – Interna

proveedores de servicios de nube, esté protegida y se mantenga la confidencialidad, integridad y

disponibilidad.

POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE IDENTIDADES Y ACCESOS

La Organización ha definido e implementado un modelo para gestionar las identidades y accesos
en los sistemas de información con base en el principio de mínimo privilegio, en la clasificación de
la información, en el rol y en la responsabilidad de los colaboradores y terceros, para asegurar que
solo las identidades autorizadas tengan los accesos explícitos a la información que requieren para
el desarrollo de sus funciones y que los accesos se revisan periódicamente para certificar su
vigencia o eliminarlos.

POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE SISTEMAS DE INFORMACIÓN

La Organización ha establecido los roles y responsabilidades para definir e implementar los
mecanismos de seguridad que se deben aplicar durante el ciclo de vida de los sistemas de
información; desde la adquisición, el desarrollo, control de cambios, revisiones técnicas y pruebas,
hasta la implementación y puesta en producción, con el propósito de que los componentes
tecnológicos (aplicaciones, bases de datos, plataformas y dispositivos) tengan el nivel de
protección adecuado de acuerdo con su criticidad.

POLÍTICA DE SEGURIDAD PARA LA OPERACIÓN DE LA TECNOLOGÍA

La Organización ha establecido los roles y responsabilidades para definir e implementar los
mecanismos de seguridad para proteger la infraestructura tecnológica y asegurar el tratamiento
de los riesgos relacionados con ataques cibernéticos, por lo cual ha implementado revisiones
técnicas, pruebas de seguridad, protección de registros de trazabilidad y correlación de eventos
con el fin de analizar las alertas y eventos en los componentes tecnológicos para garantizar que los
controles operen como se espera y se gestionan las vulnerabilidades de acuerdo con su criticidad.

POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE LAS COMUNICACIONES

La Organización ha establecido los mecanismos de seguridad para mantener la disponibilidad de
la infraestructura de telecomunicaciones para que la Organización continúe sus operaciones
comerciales, así mismo ha establecido los controles de seguridad para proteger la integridad y
confidencialidad de la información que se intercambia al interior y exterior a través de los
diferentes canales de comunicación.

POLÍTICA DE SEGURIDAD EN LA RELACION CON EL TALENTO HUMANO

La Organización ha establecido los controles de seguridad que se deben aplicar mientras esté
vigente la relación laboral entre los colaboradores y Bancolombia, de tal forma que se verifiquen
los antecedentes de acuerdo con las leyes y reglamentos internos vigentes y se garantice que los
colaboradores: (i) comprenden sus responsabilidades, (ii) son idóneos en los roles que
desempeñan, (iii) son confiables en la administración de la información a la que tienen acceso en
el cumplimiento de sus funciones, (iv) son competentes para desempeñar las funciones de
ciberseguridad y seguridad de la información, (v) se mantienen en el ciclo de formación y conciencia
en seguridad y, (vi) se garantiza que al finalizar su relación laboral, se mantiene la confidencialidad
de la información y los procesos de la Organización, que tengan esta naturaleza.
Grupo Bancolombia Clasificación – Interna

POLÍTICA DE SEGURIDAD EN LA RELACION CON TERCEROS

La Organización ha establecido los roles y responsabilidades para gestionar los requisitos de
seguridad que operarán en el marco de gestión y administración de los contratos con proveedores,
para establecer un nivel adecuado de seguridad sobre los activos información de la Organización a
los que tienen acceso en función de la prestación de los servicios contratados y para mitigar los
riesgos asociados a la ciberseguridad, seguridad de la información y protección de datos
personales, durante el ciclo de vida de la contratación.

POLÍTICA DE SEGURIDAD EN LA INFRAESTRUCTURA FÍSICA

La Organización ha establecido los protocolos y controles de seguridad en las instalaciones físicas
para prevenir el acceso no autorizado a las instalaciones físicas y áreas de procesamiento de
información con el fin de mitigar el riesgo interrupción de las operaciones debido a la pérdida,
daño, robo o compromiso de los activos de información que son requeridos para la continuidad de
las operaciones de la Organización.

POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD

La Organización ha establecido el proceso y los protocolos para asegurar que los requisitos de
seguridad se definan, implementen y ejecuten dentro de los planes de continuidad y recuperación
para garantizar el restablecimiento de los servicios TI soportados en la infraestructura tecnológica
(Hardware, Software y Redes) y la disponibilidad de los activos de información ante la ocurrencia
de un evento que interrumpa la normal operación, de manera que Bancolombia pueda continuar
prestando los servicios a Clientes, Usuarios y áreas internas de una manera adecuada y oportuna.

POLÍTICA PARA GESTIONAR INCIDENTES DE SEGURIDAD

La Organización ha establecido el proceso para asegurar un enfoque coherente, eficaz y oportuno
en la detección, contención, respuesta y erradicación de las causas de los incidentes de
ciberseguridad y seguridad de la información, a través de la implementación de la metodología que
describe las responsabilidades y los procedimientos para asegurar el restablecimiento de la
operación de los sistemas de información y los servicios de la Organización en los tiempos
establecidos, al igual que la implementación de procedimientos para comunicar a las áreas
interesadas, administrar las evidencias y gestionar el conocimiento adquirido en la atención de
alertas, eventos e incidentes.

POLÍTICA PARA GOBIERNO Y REVELACIÓN

La Organización ha establecido un modelo de gobierno y revelación que incluye medidas y canales
de comunicación efectivos para informar a los organismos de control a cerca de la administración,
control y monitoreo en materia de ciberseguridad y seguridad de la información para facilitar la
toma de decisiones.

POLÍTICA PARA EL CUMPLIMIENTO DE LA SEGURIDAD

La Organización ha establecido el proceso, los procedimientos, los roles y las responsabilidades
para gestionar las respuestas a los requerimientos nacionales e internacionales, de carácter legal,
contractual, regulatorio o del negocio, que estén relacionados con la ciberseguridad y la seguridad
Grupo Bancolombia Clasificación – Interna

de la información; y para evaluar la implementación de los controles de seguridad en los procesos,

de acuerdo con las definiciones contenidas en las políticas, los estándares y demás componentes
de seguridad que hacen parte del SGSI (Sistema de Gestión de Seguridad de la Información).

Así mismo se dan a conocer las políticas de POLÍTICAS DE PRIVACIDAD Y PROTECCIÓN DE DATOS
PERSONALES, las cuales se encuentran disponibles en el sitio web del Grupo Bancolombia Personas,
Sección Documentos Legales.