De tener controles a demostrar que funcionan: el nuevo estándar de ciberseguridad para las aseguradoras en Colombia

En el último Congreso Internacional de Seguros de Fasecolda quedó una idea rondando entre los asistentes: la ciberseguridad dejó de ser un asunto exclusivo del área de TI y pasó a ser un pilar de la sostenibilidad, la resiliencia y la confianza del negocio asegurador. Ya no se habla solo de firewalls; se habla de gobernanza tecnológica, de incorporar el riesgo cibernético en la estrategia ASG y de construir una cultura de prevención que atraviese toda la organización.

No es únicamente un cambio de discurso. Es, sobre todo, lo que ya está exigiendo el regulador. Y para las aseguradoras vigiladas por la Superintendencia Financiera de Colombia (SFC), ese cambio tiene nombre y fecha.

Por qué el sector asegurador quedó en el centro del mapa

Los números explican la presión. Según el MinTIC y el equipo de respuesta ColCert, Colombia enfrentó cerca de 36.000 millones de intentos de ciberataque durante 2024, alrededor de 98 millones por día, cifra que ubicó al país como el segundo más atacado de Latinoamérica, con foco en los sectores financiero, de salud y energético.

Dentro de ese panorama, el sector financiero y de seguros no es un objetivo cualquiera. El análisis de amenazas de IBM lo situó como el segundo sector más golpeado de la economía, con cerca del 23% de los ataques dirigidos, solo por detrás de manufactura. Para dimensionar el ritmo: gremios como Asobancaria han reportado un promedio cercano a 94 ciberataques por segundo sobre el sistema financiero colombiano.

Las aseguradoras están especialmente expuestas por una razón de fondo: custodian algunos de los datos más sensibles del mercado, como historia clínica, patrimonio, beneficiarios y condiciones de salud. Y cuando ese dato se ve comprometido, el costo no es menor. El Cost of a Data Breach Report de IBM ubica el costo promedio de una brecha por encima de 1,1 millones de dólares, sin contar el daño reputacional ni la pérdida de confianza del asegurado, que en este negocio es el activo más difícil de reconstruir.

El giro regulatorio: de la CE-007 a la CE-029

Durante años, la referencia obligada fue la Circular Externa 007 de 2018 de la SFC, la norma fundacional de ciberseguridad para el sector financiero colombiano. Su lógica era clara: tener una política aprobada por la Junta Directiva, una unidad de seguridad independiente, capacidades de monitoreo, pruebas periódicas y planes de respuesta. En una palabra: tener los controles.

La Circular Externa 029 de 2024 elevó el estándar y cambió el verbo. Ya no basta con tener controles: la aseguradora debe demostrar que esos controles funcionan, exigiendo pruebas periódicas de ciberresiliencia. Es una diferencia sutil en el papel y enorme en la práctica, porque traslada la conversación del “¿lo tenemos implementado?” al “¿podemos probar, con evidencia, que resistiría un ataque real?”.

Ese cambio es el que este año está reordenando prioridades en los comités directivos de las aseguradoras. Y es también el que conviene entender bien, porque abre no una, sino cuatro conversaciones al mismo tiempo.

Las cuatro conversaciones que abre el nuevo estándar

  • Gobernanza y resiliencia probada. Los ejercicios de ciberresiliencia, como simulaciones, pruebas y evaluaciones periódicas, dejan de ser una buena práctica opcional para convertirse en una obligación que hay que planear, ejecutar y sustentar ante el regulador, con roles definidos y respaldo de la Junta.
  • Monitoreo con evidencia trazable. El regulador ya no se conforma con saber que existe una herramienta instalada. Necesita registros, trazabilidad y reportes que puedan sostenerse en una visita de inspección. Documentar lo que se monitorea es tan importante como la detección misma.
  • La cadena de proveedores tecnológicos. El core de seguros, la nube, las plataformas de pago: la postura de seguridad de los terceros críticos ahora también responde ante el marco regulatorio. Gestionar su acceso y validar su seguridad es parte del perímetro que la aseguradora debe controlar.
  • Continuidad integrada con la respuesta a incidentes. Tener la continuidad del negocio en un documento y la respuesta a incidentes en otro ya no alcanza. El estándar apunta a que ambos operen como uno solo, de modo que un ataque no detenga la operación ni la atención al asegurado. 

La mayoría de las aseguradoras que hemos escuchado en el mercado tienen varias de estas piezas. El desafío rara vez es la falta de tecnología; es conectarlas en un modelo coherente que llegue preparado al momento en que el regulador, o un atacante, toque la puerta.

Qué significa esto para cada decisor

El nuevo estándar habla, con el mismo mensaje, a perfiles distintos de la organización:

Te puede interesar: Cómo simplificar tu arquitectura de ciberseguridad sin perder control y mejorar la gobernabilidad empresarial 
  • Para el CISO y el director de seguridad: cómo cumplir sin duplicar esfuerzos y cómo generar evidencia lista para la SFC.
  • Para el CTO o director de tecnología: cómo asegurar la infraestructura sin frenar la operación, y con qué retorno.
  • Para la Junta y el CEO: cuál es la exposición real del negocio y cómo se traduce el riesgo técnico en impacto financiero y reputacional.
  • Para el oficial de cumplimiento: si la entidad tiene la trazabilidad documental suficiente para responder una inspección.

No es casualidad que el tema haya subido de nivel. Aunque cerca del 83% de las juntas directivas en Latinoamérica ya considera la ciberseguridad una prioridad, según cifras recientes, menos de la mitad afirma comprender del todo los riesgos que introducen tecnologías como la inteligencia artificial. El estándar cambió más rápido que la conversación de negocio, y ese desfase es justamente donde se abre la oportunidad de anticiparse.

Soluciones Empresariales

¿Necesitas fortalecer la seguridad y continuidad de tu negocio?

Nuestro equipo puede ayudarte a proteger tu información, gestionar riesgos, fortalecer tu infraestructura y garantizar la continuidad operativa de tu organización.

Hacia dónde se está moviendo el sector

La lectura de fondo es que la ciberseguridad del sector asegurador está migrando de un enfoque de cumplimiento estático, en el que bastaba con tener los controles listos para una foto, hacia un modelo de ciberresiliencia continua, donde lo que importa es la capacidad demostrable de resistir, detectar y recuperarse. Es la misma dirección que marcan la Estrategia Nacional de Seguridad Digital y los marcos internacionales de referencia, aterrizada al lenguaje muy concreto de la regulación colombiana.

Para las aseguradoras, prepararse para esto no es un proyecto de una sola compra ni de una sola área. Es un ejercicio de articulación: gobernanza, monitoreo, terceros y continuidad trabajando como un sistema, con la evidencia como hilo conductor. 

En NewNet acompañamos a organizaciones del sector financiero y de seguros en Colombia en exactamente ese punto: traducir lo que exige el regulador a un modelo operativo que la Junta entienda y que el equipo técnico pueda sostener con evidencia. Llevamos más de 30 años en tecnología e infraestructura y somos partner estratégico de empresas como Cloudflare y HAProxy en Latinoamérica.

Preguntas frecuentes

¿Qué exige la Circular Externa 029 de 2024 de la SFC en ciberseguridad?

Actualiza y eleva las exigencias de ciberseguridad para las entidades vigiladas, incorporando pruebas periódicas de ciberresiliencia. En términos prácticos, ya no basta con tener controles implementados: la entidad debe demostrar, con evidencia, que esos controles funcionan.

¿En qué se diferencia de la Circular Externa 007 de 2018?

La CE-007 de 2018 estableció las bases: política aprobada por la Junta, unidad de seguridad independiente, monitoreo, pruebas y respuesta a incidentes. La CE-029 de 2024 sube el estándar y pone el foco en probar la resiliencia, no solo en tenerla documentada.

¿Por qué las aseguradoras son un objetivo tan atractivo para los ciberataques?

Porque manejan datos altamente sensibles (salud, patrimonio, beneficiarios) y hacen parte del sector financiero, uno de los más atacados del país. Análisis del sector ubican a finanzas y seguros como el segundo objetivo con mayor concentración de ataques dirigidos en la economía.

¿Por dónde debería empezar una aseguradora que quiere prepararse?

Por un diagnóstico honesto de las cuatro dimensiones del nuevo estándar: gobernanza y ejercicios de resiliencia, monitoreo con evidencia trazable, gestión de proveedores tecnológicos y continuidad integrada con la respuesta a incidentes.

Compartir:

LinkedIn
Facebook
WhatsApp

Más publicaciones

Otras categorías