Superfinanciera imparte instrucciones relacionadas con la Taxonomía Única de Incidentes Cibernéticos – TUIC

Superintendencia Financiera De Colombia. Circular Externa Número 033 de noviembre 17 de 2020

Con el fin de continuar promoviendo la adopción de mejores prácticas en materia de gestión del riesgo de ciberseguridad y seguridad de la información, y en desarrollo de las instrucciones contenidas en la Circular Externa 007 de 2018, mediante la cual se imparten instrucciones sobre los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad y con el propósito de estandarizar el reporte de métricas e incidentes relacionados con la seguridad de la información y la ciberseguridad; la Superintendencia Financiera de Colombia, en ejercicio de sus facultades legales, en especial las conferidas en el numeral 5 del artículo 97 de Estatuto Orgánico del Sistema Financiero, literal a del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero y los numerales 4 y 5 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, imparte las siguientes instrucciones:

1. Definir la taxonomía única para el reporte de incidentes de Ciberseguridad y adoptar el protocolo Traffic Light Protocol (TLP) para el reporte de incidentes cibernéticos a la Superintendencia Financiera de Colombia.
2. Crear el Formato 408 (Proforma F.000-164) para el reporte de métricas de Seguridad de la información y Ciberseguridad.
3. Para asegurar la correcta transmisión de la información del Formato 408, a que se refiere la Circular, las entidades destinatarias deben realizar pruebas obligatorias entre el 18 y 22 de enero de 2021, con la información con corte al 31 de diciembre de 2020. Las pruebas deben efectuarse hasta lograr una transmisión exitosa de la información.
4. La primera transmisión oficial de la información se realizará con corte al 31 de marzo de 2021, de acuerdo con el instructivo correspondiente.
5. incidentes de seguridad de la información y de ciberseguridad se deben seguir reportando desde el buzón riesgooperativosfc@entidadvigilada.com al buzón riesgooperativo@superfinanciera.gov.co, empleando el protocolo de etiquetado de información y  la taxonomía definidos en la presente circular.Con el fin de continuar promoviendo la adopción de mejores prácticas en materia de gestión del riesgo de ciberseguridad y seguridad de la información, y en desarrollo de las instrucciones contenidas en la Circular Externa 007 de 2018, mediante la cual se imparten instrucciones sobre los requerimientos mínimos para la gestión de la seguridad de la información y la ciberseguridad y con el propósito de estandarizar el reporte de métricas e incidentes relacionados con la seguridad de la información y la ciberseguridad; la Superintendencia Financiera de Colombia, en ejercicio de sus facultades legales, en especial las conferidas en el numeral 5 del artículo 97 de Estatuto Orgánico del Sistema Financiero, literal a del numeral 3 del artículo 326 del Estatuto Orgánico del Sistema Financiero y los numerales 4 y 5 del artículo 11.2.1.4.2. del Decreto 2555 de 2010, imparte las siguientes instrucciones:
   1. Definir la taxonomía única para el reporte de incidentes de Ciberseguridad y adoptar el protocolo Traffic Light Protocol (TLP) para el reporte de incidentes cibernéticos a la Superintendencia Financiera de Colombia.
   2. Crear el Formato 408 (Proforma F.000-164) para el reporte de métricas de Seguridad de la información y Ciberseguridad.
   3. Para asegurar la correcta transmisión de la información del Formato 408, a que se refiere la Circular, las entidades destinatarias deben realizar pruebas obligatorias entre el 18 y 22 de enero de 2021, con la información con corte al 31 de diciembre de 2020. Las pruebas deben efectuarse hasta lograr una transmisión exitosa de la información.
   4. La primera transmisión oficial de la información se realizará con corte al 31 de marzo de 2021, de acuerdo con el instructivo correspondiente.
   5. incidentes de seguridad de la información y de ciberseguridad se deben seguir reportando desde el buzón riesgooperativosfc@entidadvigilada.com al buzón riesgooperativo@superfinanciera.gov.co, empleando el protocolo de etiquetado de información y  la taxonomía definidos en la presente circular.