Para el empresario colombiano, la ciberseguridad ha dejado de ser una cuestión de «buenas prácticas» para convertirse en un mandato legal ineludible. La vigilancia en 2026 se ha vuelto sofisticada y multisectorial, yendo mucho más allá de la Ley 1581 (Habeas Data), y el cumplimiento normativo se ha extendido a sectores que anteriormente tenían una carga técnica menor, agotando aún más los recursos de TI:
- Superintendencia Financiera (SFC) y Sociedades. La SFC exige resiliencia operativa estricta y gestión de riesgo cibernético. En 2026, la Circular Externa 001 establece el régimen de transición para modelos de Finanzas Abiertas (Open Finance), obligando a las entidades a cumplir con estándares unificados de arquitectura y seguridad tecnológica.
- Superintendencia de Sociedades. Enfatiza el SAGRILAFT y la debida diligencia de socios tecnológicos para las empresas obligadas (aquellas con ingresos o activos superiores a 40,000 SMMLV). Es imperativo que cualquier cambio en la designación del Oficial de Cumplimiento sea reportado en un plazo no mayor a 15 días hábiles mediante el Informe 58, una obligación crítica para los sujetos obligados en 2026.
- Superintendencia de Transporte: Ha implementado el Sistema de Control y Vigilancia de la Operación (SICOV) y el Sistema Inteligente Nacional de Supervisión al Transporte (SINST-VIGIA 2). Las empresas deben adelantar gestiones tecnológicas para asegurar la integración e interoperabilidad de sus sistemas de información con la plataforma de la entidad, bajo riesgo de sanciones por desatención tecnológica.
- Superintendencia de Vigilancia y Seguridad Privada: A través de nuevas disposiciones, obliga a las personas jurídicas vigiladas (incluyendo transportadoras de valores y blindadoras) a implementar un Programa de Transparencia y Ética Empresarial (PTEE). El plazo máximo para el cumplimiento de esta implementación es el 16 de marzo de 2026, incluyendo la debida diligencia de contrapartes y contratistas.
- Superintendencia de Servicios Públicos Domiciliarios: Ha adoptado un Plan de Seguridad y Privacidad de la Información para 2026 que exige la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI). Esto incluye el monitoreo cuatrimestral de controles de riesgos de integridad y seguridad a través del sistema SIGME.
- Superintendencia del Subsidio Familiar: A partir del 1 de enero de 2026, entra en vigor la obligatoriedad del Sistema de Control Interno del Subsidio Familiar (SCISF), conforme a la Circular Externa Única. Las Cajas de Compensación deben haber ajustado sus protocolos de gestión de riesgos y seguridad digital antes del cierre del periodo de transición el 31 de diciembre de 2025.
| Regulador Colombiano | Requisito Crítico 2026 | Enfoque de Supervisión |
| Superfinanciera (SFC) | Open Finance y Resiliencia | Interoperabilidad segura y SIAR |
| Supersociedades | SAGRILAFT e Informe 58 | Debida diligencia de terceros y cumplimiento |
| Supertransporte | SINST-VIGIA 2 | Integración tecnológica y reporte real |
| Supervigilancia | PTEE (Límite Marzo 2026) | Ética empresarial y debida diligencia |
| Superservicios | MSPI y SIGME | Seguridad de información y privacidad |
| Supersubsidio | SCISF (Desde Enero 2026) | Control interno y gestión de riesgos |
El efecto dominó y la responsabilidad personal
Un ciberataque en 2026 no es un evento aislado; activa un efecto dominó de auditorías. Los administradores y juntas directivas deben ser conscientes de que, bajo la legislación colombiana (Ley 222 de 1995 y normativas de la Supersociedades), su responsabilidad es solidaria e ilimitada si se demuestra negligencia en la gestión de riesgos. Obrar con la «diligencia de un buen hombre de negocios» implica hoy asegurar que el gerente de TI no esté operando en un estado de agotamiento que comprometa la seguridad de la compañía.
CISO as a Service: La respuesta estratégica de ISL S.A.
Reconociendo que muchas medianas y grandes empresas en Colombia no pueden cargar toda la responsabilidad de seguridad en un solo individuo exhausto, ISL S.A. ofrece un modelo de resiliencia ejecutiva. Como aliado estratégico de marcas como Fortinet y universidades líderes, nuestra División TIC actúa como el par estratégico que su empresa necesita.
El Cyber-Health Check: Diagnóstico en lenguaje de negocio
En ISL S.A. rompimos el modelo de auditorías lentas e intrusivas. Con nuestro Cyber-Health Check, entregamos una «fotografía» clara de sus brechas en menos de una semana, sin detener su operación y traduciendo vulnerabilidades técnicas en riesgos financieros y legales. Esto permite a la Junta Directiva tomar decisiones informadas sin sobrecargar al equipo de TI, que puede enfocarse en la ejecución operativa mientras nosotros diseñamos la hoja de ruta estratégica.
Conclusiones
El agotamiento de su Gerente de TI es el indicador más claro de que su modelo de seguridad es insostenible frente al «tsunami regulatorio». La responsabilidad de los administradores en Colombia es solidaria e ilimitada; ignorar el estado de sus líderes tecnológicos no solo es un riesgo operativo, es una negligencia jurídica.
Transitar hacia un modelo de ciberseguridad compartida con un CISO as a Service permite recuperar el control, cumplir con las múltiples superintendencias y, sobre todo, asegurar que quienes protegen sus activos digitales lo hagan con la lucidez y el respaldo que el mercado actual exige.
Hablemos: ciso@islsa.com
