1. Art. 168 Bis 16
1.1. En caso de que se presente un incidente de seguridad de la información la institución deberá
1.1.1. Enviar un correo electrónico a la comisión proporcionando fecha y hora del inicio del incidente a la dirección [email protected] dentro de los siguientes 5 días hábiles a la identificación
1.1.2. Los incidentes de seguridad d ela información deberán reportase de manera inmediata
1.1.2.1. Genere pérdida económica, de información o interrupción en los servicios de la institucación
1.1.2.2. Su modo de operación incluyendo las vulnerabilidades explotadas
1.1.2.3. Representa una afectación a los clientes de la institución, a la estabilidad del sistema financiero o de pago, o los sistemas centrales de pagos.
1.1.2.4. Cualquier otro que se considere grave a juicio de la institución.
1.1.3. Conservar y mantener los registros de los incidentes de seguridad .
1.1.4. Llevar a cabo una investigación inmediato sobre las causas que generaron el incidente.
1.1.5. En caso de que el incidente se trate de la información sensible, el DG deberán notificar a los clientes dentro de las siguientes 48 hrs.
1.1.5.1. Extraída
1.1.5.2. Extraviada
1.1.5.3. Eliminada
1.1.5.4. Alterada
2. Art. 168 Bis 14
2.1. El CISO deberá:
2.1.1. Participar en la definición, verificar la implementación y continuo cumplimiento de las políticas y procedimientos de seguridad.
2.1.2. Elaborar el Plan Director de Seguridad el cual por cada proyecto deberá contener:
2.1.2.1. Nombre de proyecto
2.1.2.2. Objetivo
2.1.2.3. Alcance
2.1.2.4. Fecha de inicio y fin
2.1.2.5. Áreas involucradas
2.1.2.6. Inversión proyectada
2.1.3. Verificar al menos anualmente, la definición de los perfiles de acceso a la infraestructura.
2.1.4. Asegurarse de la correcta asignación e los perfiles de acceso a los usuarios de la infraestructura tecnológica.
2.1.4.1. Será responsable de la autorización temporal de los accesos por excepción.
2.1.4.1.1. usuarios de ambientes de desarrollo con accesos ambientes de producción.
2.1.4.1.2. Accesos por eventos de contingencia
2.1.4.1.3. Deberá contar con un registro que contenga:
2.1.5. Aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas.
2.1.6. Gestionar las alertas e incidentes de seguridad de la información comunicadas por el Comisión u otros medios.
2.1.6.1. Identificación
2.1.6.2. Protección
2.1.6.3. Detección
2.1.6.4. Respuesta
2.1.6.5. Recuperación
2.1.7. Coordinar y presidir de la institución el equipo para la detección y respuesta de incidentes de seguridad de a información.
2.1.8. Informar Auditoria y comités designados la verificación del incidente y las decisiones tomadas para resolverlo.
2.1.9. Validar la definición de los mecanismos se seguridad
2.1.10. Proponer y coordinar los programas de capacitación y concientización en materia de seguridad de la información.
2.1.11. Presentar mensualmente al DG el informa de gestión en materia de seguridad de la información.
2.1.12. Informar el resultado de la evaluación de los indicadores al consejo, al comité de auditoría y comité de riesgos.
3. Art. 168 Bis 15
3.1. El oficial en jefe de seguridad de la información podrá apoyarse de las diferentes unidades de negocio denominados oficiales operativos
3.1.1. Los oficiales deberán mantenerse actualizados respecto a la normatividad, teniendo a cargo las siguientes funciones
3.1.1.1. Verificar la aplicación de las políticas y procedimientos en su unidad de negocio
3.1.1.2. Reportar al oficial en jefe cualquier riesgo o eventualidad que pudiera impactar la seguridad de la información.
3.1.1.3. Proponer al oficial en jefe la adopción de controles adicionales para la seguridad de la información.
4. Art. 168 Bis 17
4.1. Las instituciones deberán llevar un registro en bases de datos de los incidentes, fallas o vulnerabilidades detectadas en la infraestructura. Que incluya la información relacionada con la detección de :
4.1.1. Fallas
4.1.2. Errores operativos
4.1.3. Intentos de ataques informáticos
4.1.4. Aquellos efectivamente llevados a cabo
5. Art. 168 Bis 11
5.1. El DG de la institución será responsable de la implementación del Sistema de Control Interno en materia de seguridad de la información que produce:
5.1.1. Confidencialidad
5.1.2. Disponibilidad
5.1.3. Integridad
6. Art. 168 Bis 12
6.1. El DG de la institución será responsable del cumplimiento de las siguientes obligaciones
6.1.1. Aprobación Plan Director de Seguridad.
6.1.1.1. Alineación con la estrategia de negocio de la institución
6.1.1.2. Definir y priorizar los proyectos en materia de Seguridad de la información
6.1.1.3. Verificar las iniciativas dirigidas a mejorar los métodos de trabajo existentes.
6.1.1.4. Informar al Consejo el contenido del plan, contar con evidencia de la implementación.
6.1.2. Revisiones de seguridad, enfocadas a verificar la suficiencia en los controles a la infraestructura tecnológica (como mínimo una vez al año)
6.1.2.1. Mecanismos de Autenticación de los usuarios
6.1.2.2. Configuración y controles de acceso a la infraestructura.
6.1.2.3. Actualizaciones requeridas para los SO y SW, previo a la implementación
6.1.2.4. Identificación de posibles modificaciones no autorizadas al SW original.
6.1.2.5. Verificar que no existan vulnerabilidades, herramientas o procedimientos que permitan conocer las credenciales de autenticación de los usuarios de la infraestructura tecnológica.
6.1.3. Elaborar un calendario anual para la realización de las pruebas de escaneo de vulnerabilidades.
6.1.4. Contratación de un tercero para detectar errores, vulnerabiliades, funcionalidad no autorizada
6.1.5. Clasificar las vulnerabilidades detectadas
6.1.6. Elaborar planes de remediación respecto a los hallazgos
6.1.7. Implementar procesos de seguimiento al cumplimiento de los planes de remediación
6.1.8. Implementar programas anuales de capacitación
6.1.9. Realizar de manera proactiva e iterativa la búsqueda de alertas de fraude
7. Art. 168 Bis 13
7.1. Las instituciones deberán contratar a un oficial en jefe de seguridad de la información (CISO)
7.1.1. Designado por el DG, deberá reportar de manera directa al mismo.
7.1.2. No tener conflictos de intereses respecto a las áreas de tecnologías de la información.