• Estructurar el CSIRT como el centro de atención, gestión y coordinación de los incidentes de ciberseguridad que afecten a una entidad financiera en Colombia.

Objetivos específicos:

• Establecer los lineamientos estratégicos que permitan brindar apoyo a la organización en la prevención, detección, identificación, contención, erradicación y recuperación de los incidentes de seguridad y ciberseguridad.
• Definir y estructurar un portafolio de servicios que entregue valor y confianza a la entidad financiera y los organismos de colaboración.
• Establecer y estructurar los acuerdos de colaboración y cooperación con Equipos de Respuesta a Incidentes a nivel sectorial, nacional e internacional.
• Definir un programa de formación y entrenamiento que permita el desarrollo de las capacidades de gestión y respuesta ante incidentes de seguridad de la información y ciberseguridad en la entidad financiera.
• Desarrollar un plan de pruebas que permita reconocer y fortalecer las capacidades de respuesta y recuperación ante incidentes de origen cibernético.

Es fundamental contar en las organizaciones con Equipos de Respuesta a Incidentes de Seguridad de la Información y Ciberseguridad, con el fin de contar con las capacidades necesarias para gestionarlos adecuadamente y reaccionar de manera oportuna, óptima y eficaz, minimizando los riesgos y el impacto de que puede ocasionar la materialización de los mismos.

En el ámbito de los CSIRTs, se establecen diferentes tipos de Equipos de Respuesta a Incidentes y en el ámbito colombiano, empiezan a sobresalir algunos que interactúan de manera consistente en el sector financiero. Los CSIRTs nacionales como el ColCERT, CCP de la Policía Nacional, CSIRT Gobierno y el Comando Conjunto Cibernético tienen responsabilidades en términos de protección del Estado, la infraestructura crítica cibernética del país y la ciudadanía en general. Esto permite que cualquier sector, incluyendo el financiero, cuente con un apoyo transversal para el manejo deincidentes.

Los CSIRTs sectoriales se establecen con el propósito de colaborar en el ámbito de aplicación de las empresas y organizaciones de negocios similares, Por ejemplo, existen CSIRTs financieros, los cuales se especializan en establecer y estructurar servicios específicos para el sector. Los CSIRTs coordinadores o corporativos surgen como estructuras que permiten utilizar unidades de negocio compartidas y especializadas para grupos económicos y financieros. Este tipo de CSIRTs especializados responden no sólo a las necesidades de una entidad u organización, sino que pueden prestar sus servicios a todas las entidades de un holding o grupo económico y, para nuestro caso, financiero. Finalmente, se encuentran los CSIRTs de las entidades, los cuales son equipos de respuesta específicos y propios para gestionar y atender los incidentes de seguridad propios a su entidad.

La constitución de los equipos de respuesta a incidentes de seguridad de las entidades financieras en Colombia debe considerarse una decisión estratégica para la organización, por lo cual se debe construir un modelo de gobierno y operación que soporte el negocio. El modelo contempla las principales consideraciones para la definición, estructuración, implementación y operación del CSIRT de la entidad, tales como la estructura estratégica y de gobierno del CSIRT, las capacidades del CSIRT (tecnológicas, personas y procesos), los servicios que presta a la entidad, así como las interacciones con los organismos de control y de colaboración.

Producto de la ejecución del proyecto, la entidad estará en capacidad de obtener resultados que den valor al negocio, como los mencionados a continuación:

• Estrategia:  definición estratégica de la postura de la entidad frente a la gestión y respuesta a incidentes de seguridad digital (estrategia de gestión y respuesta a incidentes)

• Desarrollo de Capacidades: desarrollo de las capacidades de la organización para la gestión estratégica y operacional de los incidentes de seguridad cibernéticos (personas, procesos, tecnologías)

• Recursos Tecnológicos: definición e implementación de recursos tecnológicos para la gestión de incidentes de seguridad (implementación tecnología SIR)

• Automatización: automatización y/o parametrización del procedimiento y/o flujos de respuesta a incidentes (parametrización SIR)

Valor para el negocio:

• Proteger al negocio ante los efectos negativos que tienen los incidentes de seguridad digital (impacto reputacional, pérdida de clientes, pérdidas económicas, incumplimientos y sanciones regulatorias, etc.)
• Establecer un equipo de respuesta a incidentes de seguridad digital que apoye a la entidad en el establecimiento de un programa de respuesta a incidentes
• Desarrollar la capacidad de responder ante un incidente de seguridad digital
• Disminución del impacto generado debido a la materialización de los incidentes de seguridad digital
• Evitar sanciones por incumplimiento regulatorio, frente a lo establecido por entes regulatorios locales o internacionales
• Minimizar los riesgos de ciberseguridad, gracias a la implementación de la estructura de CSIRT cuya función principal es prevenir, proteger, contener, mitigar, erradicar y remediar los incidentes de seguridad digital
• Ser un negocio con capacidades en ciber resiliencia