En línea con nuestras políticas adoptamos el modelo de Gestión Integral de Riesgos de nuestra casa matriz, el cual brinda un enfoque para la mejora continua y gestión eficaz de los riesgos de manera sistemática y transversal para TGI. Basado en la norma ISO 31000:2018, este modelo establece los marcos de referencia para identificar y evaluar los riesgos relacionados con las actividades de nuestro negocio y poder implementar las acciones necesarias para la mitigación de estos.
Gestión de Riesgos
Matriz de Riesgos
Política y Modelo de Seguridad de la Información y ciberseguridad
En TGI contamos con una Política Corporativa de Seguridad de la Información y Ciberseguridad, aprobada a nivel corporativo, que establece nuestro marco de actuación y los compromisos para proteger la información, los datos —incluidos los datos personales— y los ciberactivos en ambientes de Tecnologías de la Información —TI— y Tecnologías Operacionales —TO—.
Esta política se encuentra publicada en nuestro sitio web corporativo, en la sección de Gobierno Corporativo / Políticas Corporativas, y define compromisos orientados a:
– Mejorar continuamente los sistemas de seguridad de la información.
– Garantizar la integridad y protección de los datos.
– Contar con evidencias y documentos de soporte para la gestión.
– Monitorear y responder a amenazas de seguridad de la información.
– Establecer responsabilidades individuales frente a la protección de la información.
A partir de este marco corporativo, gestionamos nuestro programa de seguridad de la información y ciberseguridad, soportado en la Política Corporativa y en el Modelo de Seguridad y Privacidad de la Información —MSPI—. Este programa opera bajo un enfoque de mejora continua y gestión de riesgos, orientado a proteger la confidencialidad, integridad y disponibilidad de nuestros activos de información.
TGI-DYA4-M-001-Modelo-de-Seguridad-y-Privacidad-de-la-Informacion-MSPI-3
Además, contamos con el respaldo de la Alta Dirección, lo que nos permite asegurar la asignación de recursos, la priorización de iniciativas estratégicas y el seguimiento a los planes de mejora en materia de seguridad de la información y ciberseguridad.
Nuestro programa incluye, entre otros, los siguientes componentes:
Plan de recuperación de desastres —DRP—
Contamos con un Plan de Recuperación de Desastres que incorpora requisitos de seguridad de la información, definición de roles y responsables, estrategias de recuperación y pruebas periódicas. Este plan nos permite fortalecer la continuidad de nuestras operaciones y responder de manera oportuna ante eventos que puedan afectar la disponibilidad de los activos críticos de información.
Análisis de vulnerabilidades de seguridad de la información
Ejecutamos un proceso formal de gestión y análisis de vulnerabilidades para los entornos TI y TO. Este proceso incluye la identificación, clasificación y priorización de vulnerabilidades según su criticidad y nivel de explotabilidad, así como la definición de planes de remediación o mitigación, el seguimiento a cierres y el escalamiento a terceros cuando aplica.
Como parte de este proceso, generamos informes periódicos que facilitan la trazabilidad, el control y la toma de decisiones basada en riesgos.
Auditorías internas a la infraestructura de TI y al sistema de gestión de seguridad de la información
Realizamos auditorías internas y evaluaciones periódicas del MSPI, del Sistema de Gestión de Seguridad de la Información —SGSI— y de los controles de ciberseguridad. Estas evaluaciones se desarrollan bajo un enfoque basado en riesgos e incluyen la revisión de evidencias documentales y técnicas.
Los hallazgos identificados son gestionados mediante planes de acción, con seguimiento hasta su cierre y verificación, como parte de nuestro compromiso con la mejora continua.
Auditorías externas independientes
Soportamos nuestro programa en estándares y marcos reconocidos, principalmente la norma ISO/IEC 27001:2022 y el marco NIST Cybersecurity Framework —CSF— v2.0. Asimismo, contamos con evaluaciones independientes realizadas por terceros y auditores definidos en el marco del gobierno corporativo del Grupo Energía Bogotá.
Durante la vigencia 2024–2025, Grupo Energía Bogotá S.A. ESP y sus filiales (incluida TGI) mantuvo una relación contractual con PricewaterhouseCoopers Asesores Gerenciales, mediante el Contrato No. 551005159, vigente entre el 23 de julio de 2024 y el 22 de julio de 2025. Este contrato tuvo como propósito apoyar la ejecución de auditorías especializadas en ciberseguridad en GEB y sus subsidiarias, incluida TGI.
Estas auditorías contemplaron, entre otras actividades:
– Hacking ético en entornos TI y TO.
– Hacking ético de aplicaciones en la nube.
– Ingeniería social.
– Inteligencia de fuentes abiertas —OSINT—.
– Evaluación de controles generales de TI en sistemas SAP y no SAP.
– La certificación o constancia correspondiente fue emitida el 26 de junio de 2025.
– Ejercicios de Red Team
Durante la vigencia 2025 ejecutamos ejercicios de Red Team orientados a validar y poner a prueba la efectividad de los controles existentes en nuestra infraestructura de TI y TO.
Estos ejercicios nos permiten fortalecer las capacidades de detección, respuesta y mejora continua del programa de ciberseguridad, mediante la simulación de escenarios adversos y la identificación de oportunidades de fortalecimiento en nuestros controles preventivos, detectivos y correctivos.
Proceso de escalamiento y reporte de incidentes
Disponemos de un proceso formal de reporte y escalamiento que permite a nuestros colaboradores notificar oportunamente eventos, incidentes sospechosos, vulnerabilidades o debilidades de seguridad de la información.
A través de los canales definidos, como la mesa de ayuda, la plataforma ITSM, el SOC/CSIRT y los responsables según el nivel de criticidad, activamos los flujos de gestión, análisis, contención y respuesta correspondientes. Esto nos permite atender de manera estructurada los eventos de seguridad y reducir su potencial impacto sobre la operación.
Capacitación y concientización en seguridad de la información
Contamos con un programa de sensibilización y capacitación en seguridad de la información y ciberseguridad, que incluye campañas, actividades formativas y ejercicios prácticos.
Hacemos seguimiento a la cobertura, participación y efectividad de estas acciones, con el fin de fortalecer la cultura organizacional, promover comportamientos seguros y consolidar a las personas como una primera línea de defensa frente a los riesgos de ciberseguridad.
Gestión de Riesgos
Matriz de Riesgos
Política y Modelo de Seguridad de la Información y ciberseguridad
En TGI contamos con una Política Corporativa de Seguridad de la Información y Ciberseguridad, aprobada a nivel corporativo, que establece nuestro marco de actuación y los compromisos para proteger la información, los datos —incluidos los datos personales— y los ciberactivos en ambientes de Tecnologías de la Información —TI— y Tecnologías Operacionales —TO—.
Esta política se encuentra publicada en nuestro sitio web corporativo, en la sección de Gobierno Corporativo / Políticas Corporativas, y define compromisos orientados a:
– Mejorar continuamente los sistemas de seguridad de la información.
– Garantizar la integridad y protección de los datos.
– Contar con evidencias y documentos de soporte para la gestión.
– Monitorear y responder a amenazas de seguridad de la información.
– Establecer responsabilidades individuales frente a la protección de la información.
A partir de este marco corporativo, gestionamos nuestro programa de seguridad de la información y ciberseguridad, soportado en la Política Corporativa y en el Modelo de Seguridad y Privacidad de la Información —MSPI—. Este programa opera bajo un enfoque de mejora continua y gestión de riesgos, orientado a proteger la confidencialidad, integridad y disponibilidad de nuestros activos de información.
TGI-DYA4-M-001 – Information Security and Privacy Model (MSPI)
Además, contamos con el respaldo de la Alta Dirección, lo que nos permite asegurar la asignación de recursos, la priorización de iniciativas estratégicas y el seguimiento a los planes de mejora en materia de seguridad de la información y ciberseguridad.
Nuestro programa incluye, entre otros, los siguientes componentes:
Plan de recuperación de desastres —DRP—
Contamos con un Plan de Recuperación de Desastres que incorpora requisitos de seguridad de la información, definición de roles y responsables, estrategias de recuperación y pruebas periódicas. Este plan nos permite fortalecer la continuidad de nuestras operaciones y responder de manera oportuna ante eventos que puedan afectar la disponibilidad de los activos críticos de información.
Análisis de vulnerabilidades de seguridad de la información
Ejecutamos un proceso formal de gestión y análisis de vulnerabilidades para los entornos TI y TO. Este proceso incluye la identificación, clasificación y priorización de vulnerabilidades según su criticidad y nivel de explotabilidad, así como la definición de planes de remediación o mitigación, el seguimiento a cierres y el escalamiento a terceros cuando aplica.
Como parte de este proceso, generamos informes periódicos que facilitan la trazabilidad, el control y la toma de decisiones basada en riesgos.
Auditorías internas a la infraestructura de TI y al sistema de gestión de seguridad de la información
Realizamos auditorías internas y evaluaciones periódicas del MSPI, del Sistema de Gestión de Seguridad de la Información —SGSI— y de los controles de ciberseguridad. Estas evaluaciones se desarrollan bajo un enfoque basado en riesgos e incluyen la revisión de evidencias documentales y técnicas.
Los hallazgos identificados son gestionados mediante planes de acción, con seguimiento hasta su cierre y verificación, como parte de nuestro compromiso con la mejora continua.
Auditorías externas independientes
Soportamos nuestro programa en estándares y marcos reconocidos, principalmente la norma ISO/IEC 27001:2022 y el marco NIST Cybersecurity Framework —CSF— v2.0. Asimismo, contamos con evaluaciones independientes realizadas por terceros y auditores definidos en el marco del gobierno corporativo del Grupo Energía Bogotá.
Durante la vigencia 2024–2025, Grupo Energía Bogotá S.A. ESP y sus filiales (incluida TGI) mantuvo una relación contractual con PricewaterhouseCoopers Asesores Gerenciales, mediante el Contrato No. 551005159, vigente entre el 23 de julio de 2024 y el 22 de julio de 2025. Este contrato tuvo como propósito apoyar la ejecución de auditorías especializadas en ciberseguridad en GEB y sus subsidiarias, incluida TGI.
Estas auditorías contemplaron, entre otras actividades:
– Hacking ético en entornos TI y TO.
– Hacking ético de aplicaciones en la nube.
– Ingeniería social.
– Inteligencia de fuentes abiertas —OSINT—.
– Evaluación de controles generales de TI en sistemas SAP y no SAP.
– La certificación o constancia correspondiente fue emitida el 26 de junio de 2025.
– Ejercicios de Red Team
Durante la vigencia 2025 ejecutamos ejercicios de Red Team orientados a validar y poner a prueba la efectividad de los controles existentes en nuestra infraestructura de TI y TO.
Estos ejercicios nos permiten fortalecer las capacidades de detección, respuesta y mejora continua del programa de ciberseguridad, mediante la simulación de escenarios adversos y la identificación de oportunidades de fortalecimiento en nuestros controles preventivos, detectivos y correctivos.
Proceso de escalamiento y reporte de incidentes
Disponemos de un proceso formal de reporte y escalamiento que permite a nuestros colaboradores notificar oportunamente eventos, incidentes sospechosos, vulnerabilidades o debilidades de seguridad de la información.
A través de los canales definidos, como la mesa de ayuda, la plataforma ITSM, el SOC/CSIRT y los responsables según el nivel de criticidad, activamos los flujos de gestión, análisis, contención y respuesta correspondientes. Esto nos permite atender de manera estructurada los eventos de seguridad y reducir su potencial impacto sobre la operación.
Capacitación y concientización en seguridad de la información
Contamos con un programa de sensibilización y capacitación en seguridad de la información y ciberseguridad, que incluye campañas, actividades formativas y ejercicios prácticos.
Hacemos seguimiento a la cobertura, participación y efectividad de estas acciones, con el fin de fortalecer la cultura organizacional, promover comportamientos seguros y consolidar a las personas como una primera línea de defensa frente a los riesgos de ciberseguridad.
FORMACIÓN EN SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD: COMPROMISO CON LA CONCIENTIZACIÓN ORGANIZACIONAL
Este programa no solo busca el cumplimiento normativo, sino también generar conciencia frente a los riesgos asociados al uso de tecnologías emergentes y la evolución constante de las amenazas. A través del conocimiento y la participación activa, se espera que los colaboradores comprendan la importancia de su rol en la protección de la confidencialidad, integridad y disponibilidad de la información de TGI S.A.ESP. A continuación, se presentan las estadísticas que evidencian el alcance del programa y el nivel de participación de los colaboradores durante el año 2025.
USO Y DESARROLLO RESPONSABLE DE INTELIGENCIAS ARTIFICIALES
En TGI adoptamos el marco corporativo para el uso de inteligencia artificial, datos y analítica, alineado con estándares internacionales y orientado a la transformación digital del Grupo Energía Bogotá y sus filiales. Este marco define lineamientos claros para asegurar un uso responsable, seguro y ético de estas tecnologías, basados en principios de transparencia, proporcionalidad, supervisión humana y respeto por los derechos fundamentales, con el objetivo de generar valor sostenible y fortalecer la confianza de los grupos de interés.
La política definida en este marco establece compromisos concretos en materia de ética, legalidad, seguridad y gobernanza de la inteligencia artificial. Incluye exigencias sobre calidad, trazabilidad y aplicabilidad de los modelos, protección de datos personales, gestión integral de riesgos —incluida la ciberseguridad— y cumplimiento normativo. Asimismo, impulsa la consolidación de una plataforma corporativa de datos e IA, la interoperabilidad tecnológica y la generación de eficiencias operativas, bajo esquemas de control institucional y supervisión humana.
En este contexto, las capacitaciones realizadas en marzo de 2026 en Copilot Pro y Copilot Chat fueron un componente clave del despliegue controlado de IA en TGI, en coherencia con la política corporativa del GEB. Estas sesiones se enfocaron en fortalecer capacidades internas para el uso responsable, seguro y productivo de herramientas de IA generativa, aplicando buenas prácticas de seguridad de la información y reforzando principios de supervisión humana, protección de datos y uso ético. Como resultado, se avanzó en la habilitación de usuarios, la mitigación de riesgos asociados y la preparación para el escalamiento progresivo de casos de uso.
Adicionalmente, durante 2026 se desarrollaron dos mesas de trabajo corporativas —Mesa de Trabajo No. 1 y Mesa de Trabajo No. 2 de Inteligencia Artificial— con participación del corporativo y las filiales, orientadas a coordinar la implementación de la política de IA en el GEB. Estos espacios permitieron alinear criterios, definir lineamientos de adopción y consolidar un enfoque común para una implementación progresiva, gobernada y articulada en todas las compañías del grupo.
Finalmente, la implementación de la política se apoyará en un modelo de gobernanza que será definido en el transcurso del 2026. Se asignarán responsabilidades a la Alta Dirección, y a las Gerencias según los compromisos definidos, así como a las áreas de Cumplimiento y Comunicaciones y a todos los colaboradores. El modelo de gobernanza contemplará un liderazgo activo, el seguimiento permanente, mecanismos de reporte y control, y procesos de capacitación para asegurar su adopción efectiva. De esta manera avanzaremos de manera ordenada hacia la adopción responsable de la inteligencia artificial y su escalamiento en los procesos del negocio.
FORMACIÓN EN SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD: COMPROMISO CON LA CONCIENTIZACIÓN ORGANIZACIONAL
Este programa no solo busca el cumplimiento normativo, sino también generar conciencia frente a los riesgos asociados al uso de tecnologías emergentes y la evolución constante de las amenazas. A través del conocimiento y la participación activa, se espera que los colaboradores comprendan la importancia de su rol en la protección de la confidencialidad, integridad y disponibilidad de la información de TGI S.A.ESP. A continuación, se presentan las estadísticas que evidencian el alcance del programa y el nivel de participación de los colaboradores durante el año 2025.
USO Y DESARROLLO RESPONSABLE DE INTELIGENCIAS ARTIFICIALES
En TGI adoptamos el marco corporativo para el uso de inteligencia artificial, datos y analítica, alineado con estándares internacionales y orientado a la transformación digital del Grupo Energía Bogotá y sus filiales. Este marco define lineamientos claros para asegurar un uso responsable, seguro y ético de estas tecnologías, basados en principios de transparencia, proporcionalidad, supervisión humana y respeto por los derechos fundamentales, con el objetivo de generar valor sostenible y fortalecer la confianza de los grupos de interés.
La política definida en este marco establece compromisos concretos en materia de ética, legalidad, seguridad y gobernanza de la inteligencia artificial. Incluye exigencias sobre calidad, trazabilidad y aplicabilidad de los modelos, protección de datos personales, gestión integral de riesgos —incluida la ciberseguridad— y cumplimiento normativo. Asimismo, impulsa la consolidación de una plataforma corporativa de datos e IA, la interoperabilidad tecnológica y la generación de eficiencias operativas, bajo esquemas de control institucional y supervisión humana.
En este contexto, las capacitaciones realizadas en marzo de 2026 en Copilot Pro y Copilot Chat fueron un componente clave del despliegue controlado de IA en TGI, en coherencia con la política corporativa del GEB. Estas sesiones se enfocaron en fortalecer capacidades internas para el uso responsable, seguro y productivo de herramientas de IA generativa, aplicando buenas prácticas de seguridad de la información y reforzando principios de supervisión humana, protección de datos y uso ético. Como resultado, se avanzó en la habilitación de usuarios, la mitigación de riesgos asociados y la preparación para el escalamiento progresivo de casos de uso.
Adicionalmente, durante 2026 se desarrollaron dos mesas de trabajo corporativas —Mesa de Trabajo No. 1 y Mesa de Trabajo No. 2 de Inteligencia Artificial— con participación del corporativo y las filiales, orientadas a coordinar la implementación de la política de IA en el GEB. Estos espacios permitieron alinear criterios, definir lineamientos de adopción y consolidar un enfoque común para una implementación progresiva, gobernada y articulada en todas las compañías del grupo.
Finalmente, la implementación de la política se apoyará en un modelo de gobernanza que será definido en el transcurso del 2026. Se asignarán responsabilidades a la Alta Dirección, y a las Gerencias según los compromisos definidos, así como a las áreas de Cumplimiento y Comunicaciones y a todos los colaboradores. El modelo de gobernanza contemplará un liderazgo activo, el seguimiento permanente, mecanismos de reporte y control, y procesos de capacitación para asegurar su adopción efectiva. De esta manera avanzaremos de manera ordenada hacia la adopción responsable de la inteligencia artificial y su escalamiento en los procesos del negocio.
GOBERNANZA DE LA GESTIÓN DE RIESGOS
La supervisión del sistema de gestión de riesgos es liderada por el Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo de la Junta Directiva cuyas funciones principales frente a la gestión de riesgos son:
- Recomendar a la Junta Directiva la matriz de riesgos, así como la Política de Riesgos y la metodología de cálculo del apetito de riesgo.
- Supervisar e informar periódicamente a la Junta Directiva sobre la aplicación efectiva de la matriz de riesgos de la sociedad para que los principales riesgos financieros y no financieros, incluidos los riesgos ambientales, sociales y de gobierno corporativo derivados de la estrategia de sostenibilidad adoptada por la sociedad, en balance y fuera de balance, se identifiquen, gestionen y se den a conocer a la Junta Directiva adecuada y oportunamente.
Los miembros del Comité cuentan con la experiencia y conocimientos para asistir en la gestión de riesgos del Grupo. Cada dos meses, la administración informa al equipo directivo, al Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo y a la Junta Directiva sobre los riesgos estratégicos. Esto con el propósito de hacer seguimiento, ajustar y fortalecer los planes de tratamiento y tomar acciones sobre los riesgos relevantes en toda la organización.
Las funciones dedicadas a la gestión de riesgo operativo se enmarcan en el Modelo de Tres Líneas definido en la Política de Arquitectura de Control.
A través de la aplicación del Modelo Integral de Gestión de Riesgos, TGI identifica y gestiona los riesgos estratégicos y de proceso, llevando a cabo un monitoreo y control periódico en coordinación con los líderes de proceso. El control de riesgos se basa en las tres líneas del modelo de defensa, según la norma de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), que define las responsabilidades hacia el Sistema de Control Interno.
Primera Línea (autocontrol, autorregulación y autogestión): corresponde a las actividades desarrolladas por cada uno de los colaboradores, incluyendo a los responsables de procesos y controles, mediante la definición y ejecución de los controles a través de políticas, procedimientos, marcos metodológicos, entre otros. La primera línea de defensa del Sistema de Control Interno se basa en tres principios clave: autocontrol, autorregulación y autogestión.
Segunda línea: se encuentran entre sí las diferentes funciones de supervisión y monitoreo desarrolladas por las áreas que realizan actividades de control de informes financieros, cumplimiento legal y regulatorio, sistemas de gestión de calidad, seguridad de la información, supervisión e inspección, y gestión de riesgos, cuando se facilita y supervisa la ejecución de las actividades de control para mitigar los riesgos
Tercera línea: corresponde a la garantía independiente a través de las actividades de auditoría interna y externa. Esta línea de defensa proporciona a los órganos de gobierno corporativo y a la alta dirección garantías razonables sobre la eficacia del gobierno corporativo, la gestión y el control de riesgos y la independencia y objetividad de la empresa.
GOBERNANZA DE LA GESTIÓN DE RIESGOS
La supervisión del sistema de gestión de riesgos es liderada por el Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo de la Junta Directiva cuyas funciones principales frente a la gestión de riesgos son:
- Recomendar a la Junta Directiva la matriz de riesgos, así como la Política de Riesgos y la metodología de cálculo del apetito de riesgo.
- Supervisar e informar periódicamente a la Junta Directiva sobre la aplicación efectiva de la matriz de riesgos de la sociedad para que los principales riesgos financieros y no financieros, incluidos los riesgos ambientales, sociales y de gobierno corporativo derivados de la estrategia de sostenibilidad adoptada por la sociedad, en balance y fuera de balance, se identifiquen, gestionen y se den a conocer a la Junta Directiva adecuada y oportunamente.
Los miembros del Comité cuentan con la experiencia y conocimientos para asistir en la gestión de riesgos del Grupo. Cada dos meses, la administración informa al equipo directivo, al Comité de Auditoría, Riesgos, Talento y Gobierno Corporativo y a la Junta Directiva sobre los riesgos estratégicos. Esto con el propósito de hacer seguimiento, ajustar y fortalecer los planes de tratamiento y tomar acciones sobre los riesgos relevantes en toda la organización.
Las funciones dedicadas a la gestión de riesgo operativo se enmarcan en el Modelo de Tres Líneas definido en la Política de Arquitectura de Control.
A través de la aplicación del Modelo Integral de Gestión de Riesgos, TGI identifica y gestiona los riesgos estratégicos y de proceso, llevando a cabo un monitoreo y control periódico en coordinación con los líderes de proceso. El control de riesgos se basa en las tres líneas del modelo de defensa, según la norma de la Confederación Europea de Institutos de Auditoría Interna (ECIIA), que define las responsabilidades hacia el Sistema de Control Interno.
Primera Línea (autocontrol, autorregulación y autogestión): corresponde a las actividades desarrolladas por cada uno de los colaboradores, incluyendo a los responsables de procesos y controles, mediante la definición y ejecución de los controles a través de políticas, procedimientos, marcos metodológicos, entre otros. La primera línea de defensa del Sistema de Control Interno se basa en tres principios clave: autocontrol, autorregulación y autogestión.
Segunda línea: se encuentran entre sí las diferentes funciones de supervisión y monitoreo desarrolladas por las áreas que realizan actividades de control de informes financieros, cumplimiento legal y regulatorio, sistemas de gestión de calidad, seguridad de la información, supervisión e inspección, y gestión de riesgos, cuando se facilita y supervisa la ejecución de las actividades de control para mitigar los riesgos
Tercera línea: corresponde a la garantía independiente a través de las actividades de auditoría interna y externa. Esta línea de defensa proporciona a los órganos de gobierno corporativo y a la alta dirección garantías razonables sobre la eficacia del gobierno corporativo, la gestión y el control de riesgos y la independencia y objetividad de la empresa.
