Documentos de Académico
Documentos de Profesional
Documentos de Cultura
V11
INTRODUCCIÓN
Siendo la información uno de los activos más valiosos de nuestras organizaciones y por tanto uno
de los más sensibles a las diferentes amenazas del entorno, sumado a que nuestros proveedores y
terceros son parte vital del ecosistema de Bancolombia, se hace imperativo establecer prácticas y
controles que permitan elevar el nivel de madurez en seguridad de la información y ciberseguridad.
Porque como riesgo sistémico, lo que sucede en alguna parte de nuestra cadena de productos y
servicios, nos afecta a todos.
ALCANCE
El presente documento aplica para los proveedores y terceros que suministran, desarrollan,
integran, implementan o soportan aplicaciones, sistemas de información y/o componentes
tecnológicos para Bancolombia, así como los que acceden, transmiten, procesan o gestionan en
cualquier momento información física o electrónica que es propiedad de Bancolombia.
Las disposiciones aquí presentes aplican para el proveedor como entidad y este deberá garantizar
que sus empleados y los terceros que contrate para la prestación del servicio a Bancolombia deben
dar cumplimiento a las mismas.
La aceptación y firma del presente documento sustituye las versiones anteriores y el mismo se
entiende como parte integral de los contratos suscritos entre las partes.
Por Bancolombia debe entenderse no solo Bancolombia S.A. sino además las filiales y subsidiarias
de este.
PROPIEDAD DE LA INFORMACIÓN
CONTROL DE CAMBIOS
1|Página
Grupo Bancolombia Clasificación – Interna
ÁREAS DE CONTROL
¿Por qué es importante? Un marco de gobierno fuerte establece el tono de seguridad para toda la
organización. En caso de no disponer de uno, Bancolombia o sus proveedores podrían no ser capaces
de demostrar una supervisión adecuada de la seguridad de la información y la ciberseguridad.
El proveedor debe garantizar que todas las personas implicadas en la prestación del servicio a
Bancolombia estén informadas de los requisitos de control de Bancolombia consolidados en este
documento y de su cumplimiento. En lo que respecta a los requisitos de control de Bancolombia,
el proveedor debe garantizar la existencia de personas con las competencias necesarias, con
funciones y responsabilidades definidas en la organización para gestionar y garantizar su eficaz
funcionamiento, que procuren proteger los servicios prestados y la información de Bancolombia.
¿Por qué es importante? Una definición clara de los roles y las responsabilidades en la organización
contribuye a la implantación de un ambiente de control de seguridad de la información y
ciberseguridad.
Grupo Bancolombia Clasificación – Interna
¿Por qué es importante? Los empleados deben conocer los riesgos de la seguridad de la información
y la ciberseguridad, los vectores de ataque y ser capaces de detectarlos y ejecutar acciones para
mitigarlos.
El proveedor debe restringir el acceso a la información, teniendo en cuenta los principios de mínimo
privilegio, divulgación de información solo cuando sea necesario y segregación de funciones. Se
debe demostrar que el acceso a los datos o información de Bancolombia será gestionado de forma
apropiada y se limita solo a aquellas personas que la necesitan acceder para prestar el servicio.
Considerar:
• Todos los sistemas que almacenan o procesan activos de información de Bancolombia y que
deben incluir empleados nuevos, que cambian de puesto, dejan la empresa, o que disponen
de acceso remoto.
• Controles para la autorización, que permitan legitimar que el proceso de
aprovisionamiento, modificación y retiro de los accesos incluye un nivel de autorización
ajustado al nivel de privilegios otorgados.
• Revisión periódica de los accesos, incluyendo los accesos privilegiados.
• Controles sobre la autenticación.
En el caso en que los empleados del proveedor tengan acceso a sistemas administrados
directamente por Bancolombia y se requieran gestionar novedades de creación, modificación y
retiros de usuarios, incluyendo los cambios de función y absentismos en ellos el proveedor debe:
• Reportar de forma inmediata al administrador del servicio todas las novedades de retiro de
sus empleados. Así mismo entregar al administrador de servicio los elementos de acceso
físico o lógico pertenecientes a estos.
Grupo Bancolombia Clasificación – Interna
¿Por qué es importante? Los controles de gestión de la identidad y los accesos ayudan en la mitigación
de riesgos a los activos de información de Bancolombia contra un uso inadecuado. Estos controles
contribuyen a garantizar que solo se puedan acceder a los activos de información los usuarios
autorizados.
Computación en la nube
(Este numeral aplica cuando el servicio que se esté contratando implica modelos de servicios en nube
SaaS, PaaS e IaaS o cuando se vaya a usar modelos de implementación (nube pública, privada,
comunitaria o híbrida).
Esta identificación de aplicabilidad se realiza tomando en cuenta los resultados del FORMATO AUTO-
DIAGNÓSTICO PROVEEDOR DE NUBE – MINTIC y tomando en cuenta el Cubo de Procesos Bancolombia
mediante la cual los usuarios identifican si su necesidad de contratación afecta procesos misionales o
de gestión contable o financiera, caso en el cual deberá darse cumplimiento a lo establecido en LA
Parte I Título I Capítulo VI de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia
para determinar si debe ser registrado el contrato ante la Superfinanciera.
El proveedor debe asegurarse que el servicio en la nube utilizado para la prestación del servicio a
Bancolombia cuente con un marco de controles de seguridad definido para proteger la
disponibilidad, integridad y confidencialidad, así como su funcionamiento eficaz, con el fin de
proteger el servicio o servicios de Bancolombia.
El proveedor del servicio en la nube debe disponer de la certificación ISO/IEC 27001 actualizada y
de observancia a las buenas prácticas de la ISO/IEC 27017 y 27018. Puede certificarse con
estándares o mejores prácticas que reemplacen, sustituyan o modifiquen las anteriores.
El proveedor debe asegurarse de que el proveedor del servicio en la nube disponga de controles
equivalentes a la versión más reciente de la Matriz de Controles de Seguridad en la Nube (CCM) de
la Cloud Security Alliance.
Grupo Bancolombia Clasificación – Interna
El proveedor es responsable de garantizar los controles de seguridad de los datos relacionados con
los activos de información y/o datos de Bancolombia, incluyendo datos personales en la nube, y el
proveedor del servicio en la nube es responsable de la seguridad del servicio en la nube. El
proveedor sigue siendo responsable de la configuración y supervisión de los controles de seguridad
implementados para ofrecer protección frente a incidentes de seguridad, incluyendo violaciones
de la seguridad de los datos.
El proveedor debe implementar medidas de seguridad en todos los aspectos del servicio que se va
a prestar, incluyendo el modelo de responsabilidad compartida en la nube, de forma que se proteja
la confidencialidad, integridad, disponibilidad y accesibilidad, minimizando la oportunidad de que
personas no autorizadas logren acceder a información de Bancolombia y afectar a los servicios
utilizados por Bancolombia. Los controles de seguridad en la nube deben ser acorde a los modelos
de despliegue (IaaS/PaaS/SaaS).
Cuando un proveedor del servicio en la nube vaya a mantener datos confidenciales y/o restringidos,
el proveedor debe facilitar a Bancolombia las ubicaciones, zonas de datos, entre otra información
de valor que permita identificar el almacenamiento de datos.
¿Por qué es importante? La implementación de este control permite asegurar los datos de
Bancolombia que se procesan en nube, evitando que sea vean afectados por alguna situación de riesgo.
¿Por qué es importante? Al gestionar los activos de tecnológicos y de información se asegura que se
apliquen los controles de seguridad necesarios. Los activos tecnológicos y de información utilizados
por el proveedor para prestar servicio a Bancolombia no estarían en peligro, evitando afectaciones
económicas, pérdida de información, daños a la reputación y sanciones.
El proveedor debe asegurar que los activos de información y/o datos de Bancolombia bajo su
custodia estén protegidos a través de una combinación de técnicas de cifrado, medios seguros para
el acceso a los datos, protección de la integridad y técnicas y controles de prevención de la fuga de
información. Se debe limitar el acceso a los activos de información/datos de Bancolombia,
incluyendo datos personales, para que ese acceso sea seguro.
¿Por qué es importante? Al aplicar controles de seguridad sobre la información/datos se logra que la
información de Bancolombia solo esté disponible para personas autorizadas, se evita dejarla expuesta
a modificaciones no autorizadas, filtraciones, acceso no autorizado, daños, pérdidas o destrucción y
se protege contra cambios no autorizados, puede recuperarse y presentarse cuando se requiera. Así
mismo se minimiza la ocurrencia de sanciones o afectaciones a la reputación o interrupción del
negocio.
El proveedor que requiera hacer uso de terceros para la eliminación y/o destrucción de información
o activos tecnológicos debido a la imposibilidad de ejercer esta función por su cuenta, debe
establecer y firmar acuerdos de confidencialidad y no divulgación con la finalidad de proteger la
información. Este acuerdo entre el proveedor y el tercero debe mínimamente especificar la
necesidad de:
¿Por qué es importante? La destrucción segura de los activos tecnológicos y de información ayuda a
mitigar riesgos de fuga de información.
Grupo Bancolombia Clasificación – Interna
Seguridad en la red
El proveedor debe asegurarse de que todos los sistemas y componentes tecnológicos que utilice él
o sus subcontratistas y que se usen para los servicios prestados a Bancolombia se protejan contra
las amenazas entrantes y salientes de la red. Deben considerarse mínimamente:
El proveedor debe garantizar que ningún servidor usado para prestar el servicio a Bancolombia se
despliegue en redes que no sean de confianza, es decir redes fuera del perímetro de seguridad, que
escapen al control administrativo. El proveedor que aloje información de Bancolombia, incluyendo
subcontratistas, en un centro de datos en las premisas o en la nube debe demostrar cumplimiento
de buenas prácticas recomendadas por el sector.
¿Por qué es importante? De no implementar controles y prácticas de seguridad en la red los atacantes
podrían obtener acceso a información incluida la de Bancolombia y/o generar afectaciones a los
servicios prestados.
Si el proveedor aloja una aplicación que está conectada a Internet debe protegerla utilizando
tecnologías apropiadas para esta finalidad en todas las capas.
¿Por qué es importante? Contar con estas capacidades permitirá que Bancolombia y sus proveedores,
podrán ser capaces de evitar que un ataque por denegación de servicio logre su objetivo.
Acceso remoto
El proveedor debe disponer de controles para mitigar los riesgos del acceso remoto orientados a
mitigar la exposición potencial derivada del uso no autorizado.
Grupo Bancolombia Clasificación – Interna
¿Por qué es importante? Los controles de acceso remoto ayudan a garantizar que los dispositivos no
autorizados y no seguros no se conecten a distancia al entorno de Bancolombia.
El proveedor debe recopilar, gestionar y analizar los registros de auditoría de eventos que puedan
ayudar a supervisar, detectar, comprender y recuperarse de un ataque, donde los sistemas,
componentes tecnológicos y procesos clave de su compañía usados para prestar servicios a
Bancolombia, incluyendo aplicaciones, equipos de red, bases de datos, endpoints, dispositivos de
seguridad, infraestructura, servidores y otros elementos útiles en componentes tecnológicos y
sistemas de información que estén configurados para producir los registros/logs necesarios, de
conformidad con estándares y practicas recomendados del sector.
Grupo Bancolombia Clasificación – Interna
Dichos registros deben estar debidamente asegurados, guardados y conservados por el proveedor,
para lo cual se puede considerar el uso de cifrado, MFA, control del acceso y copias de seguridad,
entre otros.
Estos registros podrían ser solicitados por Bancolombia si se identifica un evento que comprometa
procesos e información de la organización siempre que permita apoyar las respectivas
investigaciones.
¿Por qué es importante? Con la implementación de este requisito los proveedores podrán detectar y
neutralizar en un plazo de tiempo razonable un uso inapropiado o malintencionado de un servicio o de
su información y la de Bancolombia.
El proveedor debe disponer de políticas, procesos y controles técnicos, para impedir la ejecución
de software malicioso en el ecosistema tecnológico. El proveedor deberá garantizar que la
protección contra software malicioso se aplique a todos los activos informáticos aplicables en todo
momento para evitar afectaciones de servicio o violaciones de la seguridad.
¿Por qué es importante? Las soluciones contra el software malicioso resultan esenciales para proteger
los activos tecnológicos y de información de Bancolombia y del proveedor.
El proveedor debe disponer de un marco para garantizar que todos los sistemas/equipos de red;
dispositivos de red, sistemas operativos, aplicaciones, servidores y componentes tecnológicos en
general, se configuran de forma segura de acuerdo con los estándares recomendados del sector
como NIST, SANS, CIS. También se debe disponer de procesos de gestión de la configuración que
gobierne los estándares de configuración segura y detecte, alerte y responda de manera efectiva a
Grupo Bancolombia Clasificación – Interna
Se deben disponer de procedimientos para verificar regularmente, al menos una vez al año, que los
incumplimientos de los estándares de seguridad básicos se gestionen.
¿Por qué es importante? Disponer de configuraciones seguras evitan poner en riesgo la información,
incluida la de Bancolombia, y los activos tecnológicos usados para la prestación de su servicio.
• Cifrado de disco.
• Deshabilitación de software/servicios/puertos innecesarios.
• Deshabilitación de administrador local de máquina.
• Evitar que los empleados sin autorización puedan realizar cambios en las configuraciones
básicas de los dispositivos.
• Deshabilitación del uso de puertos USB, para evitar la producción de copias de información
de Bancolombia a soportes externos. Su uso debe habilitarse solamente por razones de
negocio legítimas.
• Actualización con las últimas firmas antivirus y parches de seguridad.
• Aplicación de políticas para la prevención de fuga de información por acciones sobre la
información de Bancolombia.
• Control para acceder a sitios de redes sociales, servicios de correo personal y sitios que
puedan almacenar información en internet como Google Drive, Dropbox, iCloud, entre
otros.
• Control en la transmisión de información de Bancolombia por herramientas de mensajería
instantánea.
• Capacidades para detectar software no autorizado identificado como malicioso y evitar la
instalación de software no autorizado.
• Hacer uso de imágenes o plantillas seguras para todos los sistemas de la empresa basados
en los estándares de configuración y buenas prácticas del sector.
• Para proveedores que acceden desde la red de terceros Bancolombia en una sede física que
la disponga:
Grupo Bancolombia Clasificación – Interna
¿Por qué es importante? Con estos requisitos la red del proveedor, así como sus dispositivos finales de
acceso estarán más seguros ante un ciberataque.
Si el proveedor desarrolla aplicaciones para uso de Bancolombia, o que se utilicen para respaldar el
servicio prestado a Bancolombia, deberá disponer de un marco de desarrollo seguro para prevenir
afectaciones a la seguridad e identificar y corregir las vulnerabilidades en el código durante el
proceso de desarrollo.
Se debe contemplar:
uso de firewalls específicos de las aplicaciones, si estos están disponibles para el tipo de
aplicación. Si el tráfico es cifrado, el dispositivo debe quedar detrás del cifrado o poder
descifrar el tráfico antes del análisis. Si ninguna de estas opciones resulta apropiada, se
debería considerar el despliegue de un firewall de aplicaciones web basado en el host.
¿Por qué es importante? Los controles que protegen el desarrollo de aplicaciones contribuyen a
garantizar que se mantiene la seguridad de estas en su ciclo de vida.
Gestión de Vulnerabilidades
Todos los problemas y vulnerabilidades de seguridad que pudieran afectar de forma importante a
los servicios prestados a Bancolombia o que puedan poner en riesgo información de Bancolombia
suministrada al proveedor y cuyo riesgo el proveedor haya decidido aceptar se comunicarán de
inmediato al administrador del contrato en Bancolombia y se acordarán por escrito con
Bancolombia.
Grupo Bancolombia Clasificación – Interna
¿Por qué es importante? Una gestión de vulnerabilidades efectiva permite que los ciberdelincuentes
no puedan aprovecharse de las vulnerabilidades de los sistemas y componentes tecnológicos para
realizar ciberataques, mitigando riesgos de fuga de información, interrupción de servicio, como
también perjuicios económicos y de reputación.
Gestión de parches
El proveedor debe contar con políticas, procesos y controles implementados para supervisar y
controlar la implementación de parches de seguridad para el entorno tecnológico que lo requiera.
El proveedor debe aplicar a los sistemas, activos, redes, aplicaciones los últimos parches de
seguridad de manera oportuna, y de conformidad con los procedimientos recomendados del
sector. Debe incluir la realización de pruebas antes de su implementación en sistemas en
producción, implementación de controles compensatorios en caso de que un sistema no pueda
parcharse, un proceso de gestión de cambios que registre pruebe y autorice antes de la
implementación todos los cambios a fin de evitar interrupciones del servicio o afectaciones de
seguridad.
¿Por qué es importante? Al implementar este control, los servicios estarán más seguros a problemas
de seguridad que podrían poner en riesgo los datos, entre ellos los de Bancolombia, evitarían provocar
afectaciones de servicio o permitir otras actividades malintencionadas.
Así mismo se deben disponer de planes escritos y probados de respuesta a los incidentes,
adaptados a diferentes categorías de incidentes conocidos.
Todas las pruebas que se realicen a infraestructura del proveedor que esté en instalaciones de
Bancolombia o esté conectada a infraestructura Bancolombia deberán ser informadas y coordinadas
con el equipo de Inteligencia y Reacción de Bancolombia.
El proveedor debe establecer prioridades y planes de acción a los hallazgos encontrados y realizar
seguimientos periódicos. Esta prueba debe ser realizada en conformidad con las buenas prácticas
recomendadas del sector.
Derecho de revisión
El proveedor debe permitir que Bancolombia, previa notificación por escrito, pueda llevar a cabo
una revisión de seguridad de cualquier instalación, tecnología o servicios utilizados por el
proveedor o sus subcontratistas para desarrollar, probar, mejorar, mantener u operar los sistemas
del proveedor utilizados en los servicios, a fin de comprobar que el proveedor cumple con sus
obligaciones. El proveedor también debe permitir a Bancolombia realizar una inspección al menos
cada año o inmediatamente después de producirse un incidente de seguridad.
Todo incumplimiento de controles identificado por Bancolombia durante una revisión debe
someterse a una evaluación por parte de Bancolombia y dependiendo del riesgo se
deberá especificar un plazo para que se corrija. El proveedor se encargará entonces de implementar
cualquier medida correctiva que sea necesaria en el plazo establecido y acordado por ambas partes.
El proveedor debe prestar a Bancolombia toda la asistencia que solicite en relación con cualquier
inspección y documentación presentada durante una inspección que deba completarse y
devolverse a Bancolombia.
EL PROVEEDOR
ANEXO INFORMATIVO
Para conocimiento del proveedor se incluyen en este documento las políticas de Seguridad de la
Información de Bancolombia y Ciberseguridad, vigentes al momento de suscripción del Anexo de
Ciberseguridad y Seguridad de la Información. Sin embargo, las mismas podrán ser actualizadas
por parte de Bancolombia en cualquier momento.
POLÍTICAS GENERALES
Así mismo se dan a conocer las políticas de POLÍTICAS DE PRIVACIDAD Y PROTECCIÓN DE DATOS
PERSONALES, las cuales se encuentran disponibles en el sitio web del Grupo Bancolombia Personas,
Sección Documentos Legales.