Web Content Viewer
ActionsCiberseguridad
ActionsCiberseguridad
Banistmo, como parte del grupo Bancolombia, busca de forma continua mejorar su capacidad en el gobierno de la Ciberseguridad y Seguridad de la Información.
Nuestros procesos están referenciados en los estándares internacionales de seguridad de la información, además de la normatividad nacional e internacional más relevante.
Estrategia
Actions
Estrategia del Comité de Ciberseguridad
Nuestra estrategia hace parte del desarrollo de la estrategia competitiva definida por los negocios, así como la estrategia Corporativa del Grupo Bancolombia, a través de la habilitación de capacidades que garanticen la confidencialidad, integridad y disponibilidad de la información, aportando a la confianza de nuestros clientes y mejorando la experiencia del usuario interno, buscando, además, que la ciberseguridad sea parte de la vida cotidiana de todas las personas.
En Banistmo, como parte del grupo Bancolombia, tenemos una estrategia de seguridad integral que cubre:
- La seguridad de la información
- La ciberseguridad
- La protección de datos personales
Contenedor tabs
ActionsEstructura
Modelo de Gestión
Gobierno Ciberseguridad
Dentro del Gobierno de Ciberseguridad de Banistmo se tiene implementado el Sistema de Gestión de Seguridad de la Información (SGSI) para gestionar la seguridad de la información de la Organización, a través de políticas, estándares, líneas base, metodologías, marcos de gobierno y modelos de madurez, que tienen anualmente un ciclo de mejora continua (PHVA) y que son socializados con los empleados y terceros que tienen relación laboral y comercial con la Organización.
El SGSI del Banistmo se gestiona a través de:
Marcos de Gobierno
SO/IEC 27001:2013
NIST CSF (National Institute of Standards and Technology – Cyber Security Framework).
Modelos de Madurez
A través de los modelos CMM e ITIL se mide la madurez de la Seguridad de la Información y la Ciberseguridad respectivamente. Cada modelo tiene unos niveles definidos para evaluar los controles de los marcos de gobierno.
Políticas
Se cuenta con las Políticas de Ciberseguridad y Seguridad de la Información para establecer la intención de la Organización frente al tratamiento de los riesgos asociados a la información. Son revisadas anualmente por las áreas interesadas y aprobadas por parte de la Junta Directiva.
Estándares
Contienen los lineamientos obligatorios que apoyan el cumplimiento de las políticas y garantizan la coherencia de la seguridad en la Organización.
Foro de Ciberseguridad
El Foro de Ciberseguridad y Seguridad de la información en Banistmo tiene como propósito aprobar e impulsar las políticas, estrategias y proyectos más importantes de seguridad, informarse y tomar decisiones sobre los controles asociados a eventos de ciberseguridad y seguridad de la información.
También, evalúa periódicamente el grado de cumplimiento del plan estratégico de ciberseguridad y seguridad de la información definido.
Se reúne trimestralmente y está conformado por los siguientes miembros permanentes:
- Presidente Banistmo
- Vicepresidente Servicios Corporativos (CSO)
- Vicepresidente de Finanzas
- Vicepresidente Corporativo de Riesgos
- Vicepresidente de Gestión de lo Humano
- Director de Ciberseguridad y Seguridad de la Información (CISO)
- Director de Servicios de Tecnología
Pueden participar como invitados permanentes:
- Vicepresidente de Desarrollo, Productos y Canales
- Vicepresidente de Auditoría
- Vicepresidente de Jurídico y Secretaría General
- Director de Seguridad Corporativa
- Gerente de Seguridad de la Información
- Gerente de Servicios de Ciberseguridad
- Líder de Estrategia y Gobierno de Ciberseguridad
- Líder de Entorno de Ciberseguridad Corporativa
- LDC FC Riesgo Operativo, TI y Ciberseguridad (corporativo)
Además, las personas que se inviten para efectos de informar y desarrollar los diferentes planes en pro de una seguridad integral.
Participación de Ciberseguridad y Seguridad de la información en otros comités:
- Comité de Auditoría: conformado por miembros de la Junta Directiva y otros participantes.
- Comité de Riesgo Operacional: conformado por miembros de la Junta Directiva y otros participantes.
En el Código de Buen Gobierno, encuentra más detalles sobre los comités de riesgos y auditoría.
Informe de gestión de Ciberseguridad y Seguridad de la Información
Informe de gestión de Ciberseguridad y Seguridad de la Información
Público: Junta directiva
Periodicidad: semestral, julio – enero
Contenido: avance de la estrategia, logros semestrales, cifras principales, temas relevantes del semestre
Informe de Seguridad
Público: equipos y cargos específicos
Periodicidad: semanal
Contenido: cifras, indicadores estratégicos y temas relevantes
Procesos de Ciberseguridad y Seguridad de la Información
En Banistmo los procesos de Ciberseguridad y Seguridad de la Información son definidos de acuerdo con las buenas prácticas de COBIT 2019 – NIST – ISO27000:
Gobernar la Ciberseguridad y Seguridad de la Información: garantiza la definición, implementación y monitoreo de la estrategia y el gobierno de ciberseguridad y seguridad de la información, para el tratamiento de los riesgos de la Organización, acorde a las regulaciones y buenas prácticas aplicables.
Proteger activos de información: asegura los activos críticos de información identificados y clasificados dentro de los procesos, para minimizar los riesgos de seguridad de la información con base en el modelo de gobierno de protección de la información definido dentro la organización.
Asegurar servicios digitales: protege los activos de información que reposan en los sistemas digitales de la organización, garantizando la cobertura y el nivel de riesgo definido por la misma.
Administrar identidades y accesos: administra las identidades y los accesos en los sistemas, buscando la conformidad de los accesos, el tratamiento de riesgos a accesos no autorizados, dar cumplimiento a las políticas organizacionales y las exigencias normativas.
Monitorear y responder a eventos de seguridad: previene, detecta, responde y recupera ante las amenazas, eventos e incidentes de Ciberseguridad y seguridad de la información que atenten contra la información y disponibilidad de los servicios de Banistmo, de manera oportuna y veraz remediando en el menor tiempo posible.
Cultura de Ciberseguridad y Seguridad de la Información
En Banistmo implementamos para nuestros empleados, proveedores y los diferentes segmentos de clientes y usuarios, la estrategia de Cultura de Ciberseguridad y Seguridad de la Información, la cual busca llevar la seguridad a la cotidianidad de nuestros grupos de relación, a través de una serie de acciones de comunicación, sensibilización y formación.
Las temáticas planteadas son abordadas desde diferentes frentes, definidos para cada público de acuerdo con sus necesidades y la normatividad de nuestros entes regulatorios.