SUPERINTENDENCIA FINANCIERA DE COLOMBIA

GUÍA DE CONCEPTOS FORMATO 408

MÉTRICAS E INDICADORES DE SI Y CS – CE033-20

DELEGATURA PARA RIESGO OPERACIONAL Y CIBERSEGURIDAD

5 de octubre de 2022

1
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

GUÍA DE CONCEPTOS
FORMATO 408
INTRODUCCIÓN
En esta guía se precisan algunos términos relacionados con las métricas de
seguridad de información y ciberseguridad que deben ser transmitidas a esta
Superintendencia de acuerdo con la circular externa 033 de 2020, la cual impartió
instrucciones relacionadas con la Taxonomía Única de Incidentes Cibernéticos –
TUIC, el formato para el reporte de métricas de seguridad de la información y
ciberseguridad y el protocolo de etiquetado para el intercambio de información
Traffic Light Protocol (TLP)
NOTA ACLARATORIA: Para el caso de las entidades que tengan filiales y que el
proceso de SI y CS dependen de la casa matriz, deben reportar la información de
forma segregada por cada una de las filiales.
GLOSARIO
Análisis de código estático: se refiere a la ejecución de herramientas de análisis
de código estático que pueden identificar vulnerabilidades dentro del código fuente
"estático" (no en ejecución). 1
Análisis de código dinámico: (también conocido como tecnología de pruebas
dinámicas de seguridad de aplicaciones (DAST)) están diseñadas para detectar
condiciones que indican vulnerabilidades de seguridad en una aplicación en estado
de ejecución.2
Ataque: cualquier tipo de actividad maliciosa que intente obtener acceso no
autorizado a los servicios, recursos o información del sistema; comprometer la
seguridad de la información o interrumpir, denegar o degradar los recursos del
sistema de información. (Definición CE-033/20-TUIC)
Incidente: ocurrencia de una situación que pone en peligro la confidencialidad,
integridad o disponibilidad de un sistema de información o la información que el
sistema procesa, almacena o transmite; o que constituye una violación a las
políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable.
(Definición CE-033/20-TUIC)

1
https://owasp.org
2
https://www.gartner.com

2
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

MÉTRICAS
UNIDAD DE CAPTURA 01 - GESTIÓN DE INCIDENTES Subcuenta 005 –
Número total de ataques recibidos
Se deben considerar todas las fuentes de información de las herramientas de
seguridad con que cuente la entidad, por ejemplo, honeypot, análisis de tráfico,
SIEM, firewall, IPS, WAF, antivirus o endpoint security, herramientas de para la
detección de amenazas persistentes avanzadas (APT), entre otros.
Se debe tener en cuenta que una entidad puede recibir cientos de ataques a diario,
sin que necesariamente se materialicen, con esta métrica y el número total de
incidentes se puede verificar que tan efectivos son sus sistemas de seguridad
perimetral.
Subcuenta 010 – Número total de incidentes de SI y CS en la entidad
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
ocurridos durante el trimestre, que han generado un impacto en las operaciones de
la entidad, poniendo en peligro la confidencialidad, integridad o disponibilidad de un
sistema de información o la información que el sistema procesa, almacena o
transmite.
Las operaciones no autorizadas de tarjetas de crédito o débito que afectan al
consumidor financiero y que están categorizadas como fraude3 no se deben
reportar, en próximas actualizaciones de esta circular se habilitarán los campos
correspondientes para su registro.
Subcuenta 015 – Número de incidentes abiertos
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
que permanecen abiertos de periodos anteriores y los abiertos durante el trimestre.
Subcuenta 020 – Número de incidentes cerrados
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
cerrados, que ocurrieron durante el trimestre.

3
De acuerdo con las categorías establecidas en la Taxonomía Única de Incidentes Cibernéticos (TUIC)
“FRAUDE: Uso de tecnologías de la información con el fin de distorsionar los datos e inducir a la víctima a
hacer alguna actividad o tarea, provocando con ello afectación a la confidencialidad, integridad o
disponibilidad de la información. Una forma de fraude involucra la intercepción de una transmisión electrónica,
ocasionando el robo de credenciales, los datos de la tarjeta de crédito u otra información confidencial sobre la
identidad de una persona.
Se considera fraude el uso no autorizado de recursos, violación a la propiedad intelectual y derechos de autor
(Copyright), enmascaramiento, phishing y spear phishing, spoofing (Suplantación) o alteración y/o
eliminación de datos almacenados, entre otros.”

3
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Subcuenta 025 – Número de incidentes presentados en los servicios que

prestan los terceros a la entidad
Registre la cantidad de incidentes de seguridad de la información y ciberseguridad
que han afectado, durante el trimestre, a los terceros con los que tienen relación
contractual y que impactan los activos de información o los servicios de la entidad
vigilada.
Con el número de incidentes presentados en los servicios que prestan los
terceros se podrá analizar el porcentaje de incidentes que ocurren en la entidad y
el porcentaje de incidentes que ocurren en la infraestructura tecnológica de los
terceros que apoyan los procesos de la entidad.
Subcuenta 030 – Número total de incidentes de SI y CS
Registre la cantidad total de incidentes de seguridad de la información y
ciberseguridad presentados en la entidad durante el trimestre. Se debe incluir la
sumatoria de incidentes de seguridad de la información y ciberseguridad
presentados en la entidad y los incidentes presentados en los servicios prestados
por terceros.
Ejemplo 1: el 1 de enero de 2021 el banco ACME recibió 1.000 correos electrónicos
con archivos adjuntos sospechosos detectados por los sistemas de seguridad
perimetral, el usuario Pedro Pérez, omitiendo las alertas del antivirus, le dio apertura
a un correo electrónico y abrió el archivo adjunto ejecutando un malware que
capturó la información del usuario permitiendo la elevación privilegios y cifrado de
archivos del equipo, una vez finalizada su jornada el usuario procedió a apagar el
equipo. Al día siguiente el usuario lo enciende y sale un mensaje en la pantalla
diciendo que su computador ha sido comprometido.
La primera parte del ejemplo, donde se reciben los 1.000 correos electrónicos, se
debe considerar como ataque y se deben registrar 1.000 eventos en la unidad de
captura 01 subcuenta 005. Luego, el usuario accede al correo electrónico malicioso
y ejecuta el archivo adjunto convirtiéndose en un incidente el cual deberá ser
registrado en la unidad de captura 01 subcuenta 010.
Ejemplo 2: en el monitoreo de seguridad perimetral se detectó un escaneo de
puertos con 10.000 solicitudes al portal transaccional del banco ACME, esta
contención inicial se debe reportar como ataque y la cantidad que se debe reportar
en la unidad de captura 01 subcuenta 005 es 10.000.
Este mismo escaneo de puertos empezó a incrementarse de manera exponencial
causando intermitencia en el equipo de seguridad perimetral lo que genera una
indisponibilidad del portal transaccional de la entidad, por lo tanto, en la unidad de
captura 01 subcuenta 010 se debe reportar este evento como un incidente.

4
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Ejemplo 3: desde una página web con características similares a las del banco
ACME se están ofreciendo productos de crédito sin estudio y con desembolso
inmediato. Para esto le solicitan al consumidor financiero que consigne $200.000=
en alguna plataforma de depósito de dinero electrónico o billetera digital para agilizar
este proceso. El consumidor financiero accede a pagar este dinero para que le
otorguen el crédito confiando en la imagen de la entidad. Después de una semana
el consumidor aún no ha recibido el desembolso del dinero y no le responden en los
números de teléfono asociados a la página web por lo tanto decide instaurar una
queja ante la entidad vigilada, la cual, después de analizar el caso, identifica que la
página por la cual fue ofrecido el crédito es falsa. La entidad vigilada falla a favor
del consumidor y le realiza la devolución del dinero.
Este caso no se debe reportar como un incidente en la unidad de captura 01
subcuenta 010, sin embargo, se debe reportar en la unidad de captura 06 subcuenta
025 como “valor económico de las pérdidas brutas de la entidad vigilada por
incidentes de SI y CS de sus clientes”.
Ejemplo 4: realizando el monitoreoen la deep y dark web el banco ACME identificó
datos confidenciales que corresponden a juntas directivas de los últimos cinco años,
los cuales se encuentran en venta en un blog de hackers. Luego de analizar el caso
se evidenció que esta información se extravió en una USB propiedad del secretario
general.
Este caso se debe reportar como un incidente en la unidad de captura 01 subcuenta
010 “número total de incidentes de SI y CS”
UNIDAD DE CAPTURA 02 – TIEMPO PROMEDIO DE INCIDENTES
En esta unidad de captura se debe reportar el tiempo promedio en la detección,
respuesta y gestión de incidentes cerrados durante el trimestre, los cuales deben
expresarse en el formato PYYYY-DDDThh:mm:ss establecido en el estándar ISO
8601:2019.
Las letras P y T son utilizadas como delimitadores de los datos numéricos.
YYYY: hace referencia al número de años transcurridos, no es para registrar una
fecha. Por ejemplo, si han transcurrido tres años el dato a reportar es 0003.
DDD: hace referencia al número de días transcurridos. El valor debe ser mayor o
igual a cero y menor a 366. Por ejemplo: si han transcurrido ciento sesenta y dos
(162) días el dato a reportar es 162.
hh:mm:ss : hace referencia al formato de horas, minutos y segundos. Las horas
deben ser registradas en formato militar (de 0 a 23), los minutos y segundos deben
ser valores enteros entre 00 y 59.

5
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

De esta manera, y a modo de ejemplo, si han transcurrido cuatrocientos (400) días,

con veintitrés (23) horas, treinta y cuatro (34) minutos y seis (6) segundos, el dato
que deberá reportar debe ser P0001-034T23:34:06.
En el caso de no haber cerrado incidentes dentro del trimestre, el valor reportado
para la subcuenta 010 y 015 de esta unidad de captura debe ser cero.
Subcuenta 005 – Tiempo promedio de detección de incidentes de SI y CS
Corresponde al tiempo promedio transcurrido desde el inicio hasta la detección de
los incidentes de seguridad de la información y ciberseguridad descubiertos durante
el trimestre. Los incidentes pueden haber iniciado en trimestres anteriores. En esta
subcuenta no se debe considerar el tiempo dedicado a la respuesta y remediación.
Subcuenta 010 – Tiempo promedio de respuesta a incidentes de SI y CS
Corresponde al tiempo promedio transcurrido desde la detección hasta la
remediación de los incidentes de seguridad de la información y ciberseguridad
durante el trimestre. Los incidentes pueden haber sido detectados en trimestres
anteriores.
Subcuenta 015 – Tiempo total de gestión de incidentes de SI y CS
Corresponde al tiempo transcurrido desde el inicio hasta la remediación de los
incidentes de seguridad de la información y ciberseguridad durante el trimestre. Los
incidentes pueden haber iniciado en trimestres anteriores.
Ejemplo 1: continuando con el ejemplo anterior del banco ACME, el correo que
abrió el señor Pérez llegó el 1 de enero de 2021 a las 10:24:00, le dio apertura al
archivo adjunto ejecutando el malware el mismo día a las 10:25:00 y fue detectado
por los sistemas de seguridad perimetral a las 13:00:12. El equipo de TI remedió el
incidente el 2 de enero a las 07:00:00.
1T
Enero Febrero Marzo
Incidente 1
Inicio 1/01/2021 - 10:25:00
Detección 1/01/2021 - 13:00:12
Remediación 2/01/2021 - 7:00:00
Total tiempo 20:35:00

Asumiendo que es el único incidente que ha afectado al banco ACME los datos que
se deben reportar en la unidad de captura 02 son:

6
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Subcuenta 005: P0000-000T02:35:12

Subcuenta 010: P0000-000T17:59:48
Subcuenta: 015: P0000-000T20:35:00
Ejemplo 2: al banco ACME llegó un correo el 1 de enero de 2021 a las 10:24:00, el
malware fue ejecutado el mismo día a las 10:25:00 y fue detectado por los sistemas
de seguridad perimetral el 5 de agosto de 2021 a las 13:00:12. El equipo de TI
remedió la falla el 31 de diciembre a las 07:00:00.
1T 2T 3T 4T
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
Incidente 1
Inicio 1/01/2021 - 10:25:00
Detección 5/08/2021 - 13:00:12
Remediación 31/12/2021 - 7:00:00
Total tiempo 363:20:35:00

Este incidente en particular se debe reportar en el trimestre en el cual fue detectado

así haya iniciado en el primer trimestre de 2021.
Los datos que se deben reportar en la unidad de captura 02 son:

Subcuenta 005: P0000-216T02:35:12

Subcuenta 010: P0000-147T17:59:48
Subcuenta: 015: P0000-363T20:35:00
Ejemplo 3: Realización del cálculo con la materialización de dos incidentes en el
mismo trimestre.
Incidente 1: al banco ACME llegó un correo el 1 de enero de 2021 a las 10:24:00, el
malware fue ejecutado el mismo día a las 10:25:00 y fue detectado por los sistemas
de seguridad perimetral el 1 de marzo de 2021 a las 13:00:00. El equipo de TI
remedió la falla el 30 de junio a las 07:00:00.

7
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Incidente 2: al banco ACME llegó un correo el 1 de febrero de 2021 a las 13:00:00,

el malware fue ejecutado el mismo día a las 14:00:15 y fue detectado por los
sistemas de seguridad perimetral el 1 de febrero de 2021 a las 14:01:00. El equipo
de TI remedió la falla el 31 de mayo a las 05:00:00.

Subcuenta 005: P0000-029T13:17:52

Subcuenta 010: P0000-119T16:59:30
Subcuenta: 015: P0000-149T05:47:22

UNIDAD DE CAPTURA 03 - GESTIÓN DE VULNERABILIDADES

Subcuenta 005 – Vulnerabilidades detectadas
Registre la cantidad total de vulnerabilidades detectadas durante el trimestre para
los activos de información (sistemas, equipos, elementos de red, datos, etc.).
Por ejemplo, si se detecta una vulnerabilidad que aplica a 20 activos de información,
solo se debe registrar una vulnerabilidad.
Subcuenta 010 – Vulnerabilidades remediadas
Registre la cantidad de vulnerabilidades remediadas durante el trimestre.
Subcuenta 015 – Total vulnerabilidades no remediadas
Registre la cantidad total de vulnerabilidades que no han sido remediadas en la
entidad. Se deben acumular las del trimestre y periodos anteriores.
Subcuenta 020 – Vulnerabilidades altas detectadas
Registre la cantidad de vulnerabilidades altas detectadas durante el trimestre para
los activos de información (sistemas, equipos, elementos de red, datos, etc.).
El valor reportado para esta subcuenta debe ser menor o igual al reportado en la
subcuenta 005 de esta unidad de captura.

8
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Se debe tener en cuenta el ejemplo registrado en la subcuenta 005 de esta unidad

de captura.
Subcuenta 025 – Vulnerabilidades altas remediadas
Registre la cantidad de vulnerabilidades altas remediadas durante el trimestre.
Subcuenta 030 – Total vulnerabilidades altas no remediadas
Registre el número total de vulnerabilidades altas que no han sido remediadas en
la entidad. Se deben acumular las del trimestre y periodos anteriores.
Subcuenta 035 – Plataforma tecnológica analizada
Registre la cantidad de elementos de la plataforma tecnológica que han sido objeto
de análisis de vulnerabilidades durante el trimestre.
Con esta información se determinará el porcentaje de la plataforma tecnológica a la
que se le ha hecho análisis de vulnerabilidades en relación con el total de elementos
de la misma, incluyendo dispositivos de red, terminales de atención, elementos de
seguridad, entre otros.
Subcuenta 040 – Total de elementos de la plataforma tecnológica
Registre el número total de elementos de hardware y software de la entidad,
incluyendo dispositivos de red (impresoras, teléfonos, entre otros), equipos de
cómputo, dispositivos de seguridad, ATM, etc.
Subcuenta 045 – Cantidad de elementos sin soporte
De la cantidad reportada en la subcuenta 040 “total de elementos de la plataforma
tecnológica” de esta misma unidad de captura, se debe registrar el número de
elementos de la plataforma tecnológica que se encuentra sin soporte del fabricante,
proveedor o de un representante autorizado.
Subcuenta 050 – Cantidad de aplicaciones con análisis de código
Registre la cantidad de aplicaciones a las cuales se les ha realizado análisis de
código estático o dinámico durante el trimestre.
Subcuenta 055 – Total de aplicaciones
Registre la cantidad de aplicaciones desarrolladas o soportadas por la entidad.
Subcuenta 060 – Cantidad de componentes que deben ser objeto de pruebas
de intrusión
De la cantidad reportada en la subcuenta 040 de esta misma unidad de captura, se
debe registrar el número de elementos de la plataforma tecnológica que deben ser
objeto de pruebas de intrusión.

9
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Subcuenta 065 – Cantidad de componentes objeto de pruebas de intrusión

De la cantidad reportada en la subcuenta 060 de esta misma unidad de captura, se
debe registrar el número de componentes que han sido objeto de pruebas de
intrusión durante el trimestre.

UNIDAD DE CAPTURA 04 – FORMACIÓN

Subcuenta 005 – Colaboradores que deben ser capacitados
Registre la cantidad de empleados y contratistas que debían ser capacitados
durante el trimestre en seguridad de la información y ciberseguridad, considerando
las funciones que deben desarrollar.
Subcuenta 010 – Cantidad total de colaboradores capacitados
Registre la cantidad de empleados y contratistas que fueron capacitados en
seguridad de la información y ciberseguridad, durante el trimestre, considerando las
funciones que deben desarrollar.
Subcuenta 015 – Colaboradores que aprueban la evaluación
Registre la cantidad de empleados que realizaron y aprobaron, durante el trimestre,
la evaluación de las capacitaciones impartidas sobre seguridad de la información y
ciberseguridad.
Aplica solo para capacitaciones que requieren una evaluación para para ser
aprobada.
UNIDAD DE CAPTURA 05 – SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN Y CIBERSEGURIDAD
Subcuenta 005 – Nivel de madurez de la gestión de la SI y CS
La metodología de calificación del nivel de madurez de CS diseñada por la SFC se
basa en diferentes modelos como COBIT, NIST CSEAT, SSE-CMM (Basada en
CMM), C2M2 (Ciberseguridad), CERT/CSO, MBIS, CMMC, Community Cyber
Security Maturity Model, entre otros.
Registre el valor correspondiente al nivel de madurez (GAP) de la gestión de la
seguridad de la información y ciberseguridad implementado por la entidad, según lo
indicado en la siguiente tabla:

10
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Calificación CMM4 Criterio de Evaluación

1 Inicial Controles inexistentes o parciamente desarrollados.

2 Básico Controles o planes documentados y semiautomatizados.

Controles o planes de acción estandarizados, medidos y

3 Interiorizado
automatizados de acuerdo con la política.

Controles o planes de acción con máximo grado de automatización

4 Optimizado
e institucionalización alcanzado.

Controles con máximo grado de automatización, institucionalización

5 Visionario
y adaptación a cambios en el entorno.

Entendiendo que:
El máximo grado de automatización se refiere a la no intervención humana en los
procesos tecnológicos que maneja la entidad.
El máximo grado de institucionalización consiste en la implementación de los
controles de SI y CS los cuales deben ser medidos y sus resultados deben ser
usados para la toma de decisiones Adicionalmente, la entidad debe estar en
capacidad de adaptarse a los cambios en el entorno (regulación, tecnología,
servicios, entre otros) y estos proyectarlos a largo plazo.
UNIDAD DE CAPTURA 06 - GESTIÓN DE RIESGOS
Subcuenta 005 – Cantidad de riesgos residuales no tolerados de SI y CS
Registre la cantidad de riesgos residuales de seguridad de la información y
ciberseguridad fuera del perfil de riesgo aprobado por la junta directiva, después de
haber aplicado los controles, a la fecha de reporte.
Subcuenta 010 – Total de riesgos de SI y CS identificados
Registre la cantidad de riesgos de seguridad de la información y ciberseguridad
identificados en la matriz de riesgos de la entidad, a la fecha de reporte.
Subcuenta 015 – Valor económico de las pérdidas brutas por incidentes de SI
y CS de la entidad
Registre el valor económico de las pérdidas contabilizadas por incidentes de
seguridad de la información y ciberseguridad sobre los activos de información o
sistemas tecnológicos propios de la entidad durante el trimestre.

4
CMM: Capacity Maturity Model, Capacidad del Modelo de Madurez.

11
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

En esta subcuenta no se deben incluir los valores informados en la subcuenta 025

de esta unidad de captura.
Ejemplo: el banco ACME tuvo un incidente de denegación de servicio que afectó
dos discos del servidor principal donde se almacena el sistema de información
bancario. La entidad tuvo que incurrir en los siguientes costos: contratación empresa
de investigación forense para saber las causas del incidente por valor de
$200.000.000, compra de los discos de reemplazo $10.000.000, por lo tanto, en la
subcuenta 015 de esta unidad de captura se debe reportar $210.000.000.
Subcuenta 020 – Valor económico de las pérdidas brutas por incidentes de SI
y CS de sus terceros
Registre el valor económico de las pérdidas contabilizadas por la entidad, por
incidentes de seguridad de la información y ciberseguridad sobre los activos de
información o sistemas tecnológicos de los terceros que prestan servicios a la
entidad, durante el trimestre.
Ejemplo: el proveedor de servicios de digitalización del banco ACME tuvo un
incidente cibernético que afectó el sistema de la fábrica de crédito de la entidad lo
cual ocasionó demoras en el proceso de aprobación y afectación reputacional, lo
que generó pérdidas por $1.500 millones, por lo tanto, se debe reportar en la
subcuenta 020 de esta unidad de captura este valor económico que representó para
la entidad esta situación.
Subcuenta 025 – Valor económico de las pérdidas brutas por incidentes de SI
y CS de sus clientes
Registre el valor económico de las pérdidas contabilizadas por incidentes de
seguridad de la información y ciberseguridad sobre los activos de información o
sistemas tecnológicos de los clientes o usados por ellos, durante el trimestre.
Nota: se debe tener en cuenta que, para los eventos de phishing, vishing,
suplantación de marca, entre otros, no se debe reportar como un incidente en la
unidad de captura 01 subcuenta 010, sin embargo, se debe reportar en la unidad de
captura 06 subcuenta 025 siempre y cuando haya afectado al consumidor
financiero.
Ejemplo 1: el consumidor financiero Pedro Pérez, cliente del banco ACME, fue
víctima de un caso de phishing y con su información se realizaron compras
fraudulentas por $1.000.000. Después de presentar la respectiva queja el banco
decide asumir dicho valor, por lo tanto, se debe reportar en la subcuenta 025 de
esta unidad dicho valor.
Ejemplo 2: Juan Gómez, cliente del banco ACME, se acercó a un cajero electrónico
de la entidad para hacer un retiro en efectivo. Al final de la transacción no fue posible
retirar la tarjeta de la ranura del cajero y el delincuente que se encuentra en la fila

12
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

se ofreció a ayudarle cambiando ágilmente su tarjeta, mientras que otro se

encontraba observando con atención desde el inicio para conseguir la clave de la
tarjeta que su compañero ya tiene en su poder. Minutos más tarde el consumidor
financiero se percata que su cuenta con un saldo de $2.000.000 había sido vaciada
y realizó la reclamación ante la entidad para la devolución de su dinero. La entidad
realizó la investigación pertinente y falló a favor del consumidor financiero, por lo
tanto, el valor que se debe reportar en la subcuenta 025 de esta unidad de captura
es de $2.000.000.
Ejemplo 3: el cliente del banco ACME Bruno Díaz recibió una llamada
presuntamente de su entidad, indicándole que debe comunicarse a una línea
nacional sin costo para actualizar sus datos, Bruno realizó la llamada y mediante
engaño ingresa a su banca móvil sin saber que al ingresar estaban capturando sus
datos de usuarios y clave, adicionalmente el delincuente le solicita el código OTP
que le llegó vía SMS para confirmar la actualización de sus datos, de inmediato este
toma control sobre la app. Segundos después recibe un mensaje de texto indicando
una transferencia por $2.800.000 a otra cuenta, Bruno, al percatarse de esta
información, se comunica con la entidad para de inmediato bloquear los productos
y realiza la reclamación para la devolución de su dinero. La entidad realizó la
investigación pertinente y falló a favor del consumidor financiero, por lo tanto, el
valor que se debe reportar en la subcuenta 025 de esta unidad de captura es de
$2.800.000.
Subcuenta 030 – Total pérdidas económicas riesgo operativo
Registre el valor económico de las pérdidas por deficiencias, fallas o inadecuaciones
en el recurso humano, procesos, tecnología, infraestructura, o por la ocurrencia de
acontecimientos externos durante el trimestre.
Subcuenta 035 – Cantidad de investigaciones por incidentes de SI y CS
Registre todas las investigaciones abiertas por la entidad, durante el trimestre, a sus
empleados y contratistas por incidentes de seguridad de la información y
ciberseguridad.
Subcuenta 040 – Cantidad de sanciones por incidentes de SI y CS
Registre todas las sanciones impuestas por la entidad a sus empleados y
contratistas, durante el trimestre, por causa de incidentes de seguridad de la
información y ciberseguridad.

UNIDAD DE CAPTURA 07 – PRESUPUESTO

Los valores reportados para esta unidad de captura se deben remitir una sola vez,
en el primer trimestre. Este valor corresponde al presupuesto que se va a ejecutar
durante el año, los demás periodos se deben reportar en cero.

13
 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Nota: en el caso que se presente algún cambio en el presupuesto (aumento o

disminución) se debe reportar el nuevo valor aprobado en el trimestre
correspondiente.
Subcuenta 005 – Presupuesto de SI y CS
Registre el valor aprobado del presupuesto anual asignado a seguridad de la
información y ciberseguridad.
Subcuenta 010 – Presupuesto total de la entidad
Registre el valor total del presupuesto anual de la entidad.

14