Ciberseguridad

Modelo de Gestión

Gobierno Ciberseguridad

Dentro del Gobierno de Ciberseguridad de Banistmo se tiene implementado el Sistema de Gestión de Seguridad de la Información (SGSI) para gestionar la seguridad de la información de la Organización, a través de políticas, estándares, líneas base, metodologías, marcos de gobierno y modelos de madurez, que tienen anualmente un ciclo de mejora continua (PHVA) y que son socializados con los empleados y terceros que tienen relación laboral y comercial con la Organización.

El SGSI del Banistmo se gestiona a través de:

Marcos de Gobierno

SO/IEC 27001:2013

NIST CSF (National Institute of Standards and Technology – Cyber Security Framework).

Modelos de Madurez

A través de los modelos CMM e ITIL se mide la madurez de la Seguridad de la Información y la Ciberseguridad respectivamente. Cada modelo tiene unos niveles definidos para evaluar los controles de los marcos de gobierno.

Políticas

Se cuenta con las Políticas de Ciberseguridad y Seguridad de la Información para establecer la intención de la Organización frente al tratamiento de los riesgos asociados a la información. Son revisadas anualmente por las áreas interesadas y aprobadas por parte de la Junta Directiva.

Estándares

Contienen los lineamientos obligatorios que apoyan el cumplimiento de las políticas y garantizan la coherencia de la seguridad en la Organización.

Foro de Ciberseguridad

El Foro de Ciberseguridad y Seguridad de la información en Banistmo tiene como propósito aprobar e impulsar las políticas, estrategias y proyectos más importantes de seguridad, informarse y tomar decisiones sobre los controles asociados a eventos de ciberseguridad y seguridad de la información.

También, evalúa periódicamente el grado de cumplimiento del plan estratégico de ciberseguridad y seguridad de la información definido.

Se reúne trimestralmente y está conformado por los siguientes miembros permanentes:

• Presidente Banistmo
• Vicepresidente Servicios Corporativos (CSO)
• Vicepresidente de Finanzas
• Vicepresidente Corporativo de Riesgos
• Vicepresidente de Gestión de lo Humano
• Director de Ciberseguridad y Seguridad de la Información (CISO)
• Director de Servicios de Tecnología

Pueden participar como invitados permanentes:

• Vicepresidente de Desarrollo, Productos y Canales
• Vicepresidente de Auditoría
• Vicepresidente de Jurídico y Secretaría General
• Director de Seguridad Corporativa
• Gerente de Seguridad de la Información
• Gerente de Servicios de Ciberseguridad
• Líder de Estrategia y Gobierno de Ciberseguridad
• Líder de Entorno de Ciberseguridad Corporativa
• LDC FC Riesgo Operativo, TI y Ciberseguridad (corporativo)

Además, las personas que se inviten para efectos de informar y desarrollar los diferentes planes en pro de una seguridad integral.

Participación de Ciberseguridad y Seguridad de la información en otros comités:

• Comité de Auditoría: conformado por miembros de la Junta Directiva y otros participantes.
• Comité de Riesgo Operacional: conformado por miembros de la Junta Directiva y otros participantes.

En el Código de Buen Gobierno, encuentra más detalles sobre los comités de riesgos y auditoría.

Informe de gestión de Ciberseguridad y Seguridad de la Información

Informe de gestión de Ciberseguridad y Seguridad de la Información

Público: Junta directiva

Periodicidad: semestral, julio – enero

Contenido: avance de la estrategia, logros semestrales, cifras principales, temas relevantes del semestre

Informe de Seguridad

Público: equipos y cargos específicos

Periodicidad: semanal

Contenido: cifras, indicadores estratégicos y temas relevantes

Procesos de Ciberseguridad y Seguridad de la Información

En Banistmo los procesos de Ciberseguridad y Seguridad de la Información son definidos de acuerdo con las buenas prácticas de COBIT 2019 – NIST – ISO27000:

Gobernar la Ciberseguridad y Seguridad de la Información: garantiza la definición, implementación y monitoreo de la estrategia y el gobierno de ciberseguridad y seguridad de la información, para el tratamiento de los riesgos de la Organización, acorde a las regulaciones y buenas prácticas aplicables.

Proteger activos de información: asegura los activos críticos de información identificados y clasificados dentro de los procesos, para minimizar los riesgos de seguridad de la información con base en el modelo de gobierno de protección de la información definido dentro la organización.

Asegurar servicios digitales: protege los activos de información que reposan en los sistemas digitales de la organización, garantizando la cobertura y el nivel de riesgo definido por la misma.

Administrar identidades y accesos: administra las identidades y los accesos en los sistemas, buscando la conformidad de los accesos, el tratamiento de riesgos a accesos no autorizados, dar cumplimiento a las políticas organizacionales y las exigencias normativas.

Monitorear y responder a eventos de seguridad: previene, detecta, responde y recupera ante las amenazas, eventos e incidentes de Ciberseguridad y seguridad de la información que atenten contra la información y disponibilidad de los servicios de Banistmo, de manera oportuna y veraz remediando en el menor tiempo posible.

Cultura de Ciberseguridad y Seguridad de la Información

En Banistmo implementamos para nuestros empleados, proveedores y los diferentes segmentos de clientes y usuarios, la estrategia de Cultura de Ciberseguridad y Seguridad de la Información, la cual busca llevar la seguridad a la cotidianidad de nuestros grupos de relación, a través de una serie de acciones de comunicación, sensibilización y formación.

Las temáticas planteadas son abordadas desde diferentes frentes, definidos para cada público de acuerdo con sus necesidades y la normatividad de nuestros entes regulatorios.