La Circular Externa sobre medidas mínimas para la administración del riesgo de ciberseguridad complementa las medidas sobre administración de riesgo operativo y de seguridad de la información, para la administración de los riesgos de las entidades vigiladas por la Superintendencia Financiera de Colombia.

Dentro de los aspectos más relevantes se encuentran los siguientes:

• Se establece la definición de Seguridad de la Información, Ciberseguridad, Ciberespacio, Ciberamenaza o amenaza cibernética, Ciberataque o ataque cibernético, Ciberiesgo o riesgo cibernético, Evento de ciberseguridad, Security Information and Event Management (SIEM), Security Operation Center (SOC), Vulnerabilidad, entre otros.
• Obligación para las Entidades de contar con políticas, procedimientos y recursos técnicos y humanos necesarios para gestionar efectivamente el riesgo de ciberseguridad.
• Adopción, por parte de las entidades vigiladas, de medidas mínimas sobre ciberseguridad como:
• • Políticas y procedimientos
  • Unidad especializada que gestione los riesgos
  • Sistema de Gestión para el riesgo de ciberseguridad
  • Empleo de mecanismos fuertes de autenticación
  • Establecimiento de estrategias de comunicación sobre ciberseguridad y reportes oportunos a autoridades y clientes
  • Evaluaciones periódicas sobre gestión de ciberseguridad y establecimiento de indicadores que midan la eficiencia y eficacia de la gestión de seguridad dela información y ciberseguridad
• Etapas mínimas de gestión del riesgo de ciberseguridad (Prevención, Protección y Detección, Respuesta y Comunicación, y Recuperación y Aprendizaje).