Logo Gov co
personería rionegro

Política de Seguridad Digital y de Seguridad de la Información

(Conforme al Art. 6 y al Anexo 3 de la Resolución MinTIC 1591 de 2020)

1. Objetivo

Establecer los principios, lineamientos y responsabilidades que garanticen la protección, gestión, disponibilidad, integridad, confidencialidad, trazabilidad y preservación de la información y los activos digitales de la entidad, en cumplimiento del artículo 6 y el Anexo 3 de la Resolución 1591 de 2020 emitida por el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), que define los componentes mínimos del Modelo de Seguridad y Privacidad de la Información del Estado colombiano.

2. Alcance

Esta política aplica a:

  • Toda la información generada, administrada, custodiada o tratada por la entidad.

  • Funcionarios, contratistas, proveedores, pasantes y terceros con acceso a sistemas o información institucional.

  • Infraestructura tecnológica, servicios digitales, sistemas de información, aplicaciones, redes, dispositivos móviles, servicios en la nube y cualquier otro activo relacionado con el ciclo de vida de la información.

3. Marco Normativo Aplicable

  • Resolución MinTIC 1591 de 2020 (Art. 6 y Anexo 3 – Lineamientos de seguridad y privacidad).

  • Ley 1581 de 2012 y Decreto 1377 de 2013 – Protección de datos personales.

  • Ley 1273 de 2009 – Protección de la información y los datos.

  • CONPES 3995 de 2020 – Política de Seguridad Digital.

  • Decreto 1078 de 2015 – Decreto Único Reglamentario del Sector TIC.

  • Normas de Gobierno Digital vigentes.

  • Buenas prácticas internacionales (ISO 27001, NIST, ENS, entre otras).

4. Principios de Seguridad Digital y Seguridad de la Información

En concordancia con el Anexo 3 de la Resolución 1591 de 2020, se adoptan los siguientes principios:

  1. Disponibilidad: la información y los servicios deben estar accesibles cuando se requieran.

  2. Integridad: la información debe mantenerse completa, exacta y libre de alteraciones no autorizadas.

  3. Confidencialidad: el acceso a la información se hará únicamente por personal o sistemas autorizados.

  4. Trazabilidad: toda actividad relacionada con los activos de información debe poder ser auditada y evidenciada.

  5. Autenticidad: se debe garantizar la identidad de usuarios y sistemas participantes en los procesos.

  6. No repudio: las acciones realizadas dentro de los sistemas deben quedar registradas de manera verificable.

  7. Gestión del riesgo: el tratamiento de la información debe considerar la identificación, análisis y mitigación de riesgos.

  8. Privacidad por diseño y por defecto.

  9. Protección integral de los activos digitales.

5. Lineamientos Institucionales

De acuerdo con los requisitos del Anexo 3, la entidad adopta los siguientes lineamientos:

5.1. Gestión y Gobierno

  • La entidad implementará un Modelo de Seguridad y Privacidad de la Información (MSPI) articulado con el Modelo de Gobierno Digital.

  • Se designará un Responsable de Seguridad de la Información y un Comité Institucional de Seguridad Digital.

  • Se desarrollarán y mantendrán políticas, procedimientos, estándares y controles orientados al ciclo de vida de la información.

5.2. Gestión de Activos

  • Se mantendrá un inventario de activos de información y se asignarán responsables por cada activo.

  • Los activos se clasificarán según su nivel de sensibilidad y criticidad (confidencial, reservado, público).

5.3. Gestión del Riesgo

  • La entidad implementará un proceso continuo para identificar, analizar, evaluar y mitigar los riesgos asociados a la seguridad digital.

  • Los riesgos se registrarán y gestionarán según el apetito de riesgo institucional.

5.4. Seguridad en Infraestructura Tecnológica

  • Se establecerán controles para proteger redes, servidores, bases de datos, aplicaciones y dispositivos.

  • Se implementarán medidas de endurecimiento, monitoreo, control de accesos, cifrado, firewalls y sistemas de detección de intrusiones.

  • Se aplicará el principio de mínimo privilegio en accesos.

5.5. Seguridad del Talento Humano

  • Se realizarán capacitaciones recurrentes sobre seguridad digital, protección de datos y buenas prácticas.

  • Todo funcionario o contratista deberá firmar acuerdos de confidencialidad.

5.6. Seguridad de la Información en Proveedores y Terceros

  • Los contratos deberán incluir cláusulas de seguridad digital, confidencialidad y protección de datos.

  • Se evaluará el cumplimiento de los proveedores en materia de seguridad y se supervisará el tratamiento de la información.

5.7. Gestión de Incidentes de Seguridad Digital

  • La entidad contará con un Proceso de Gestión de Incidentes alineado a la Guía de CSIRT GOV.CO.

  • Los incidentes deberán ser reportados, analizados, gestionados, documentados y comunicados según su criticidad.

5.8. Continuidad del Negocio

  • La entidad implementará un Plan de Continuidad y un Plan de Recuperación ante Desastres (DRP).

  • Se realizarán pruebas periódicas para garantizar su eficacia.

5.9. Protección de Datos Personales

  • El tratamiento de datos se realizará conforme a los principios de privacidad del MSPI y la Ley 1581 de 2012.

  • Se incorporará la privacidad desde el diseño en la creación de sistemas y servicios digitales.

5.10. Seguridad en Servicios en la Nube y Servicios Digitales

  • Se garantizará que todo servicio en la nube cumpla con estándares de seguridad y con las regulaciones colombianas.

  • Se verificará la localización y protección de datos antes de contratar proveedores cloud.

6. Responsabilidades

De la Alta Dirección

  • Aprobar, promover y garantizar el cumplimiento de esta política.

  • Proveer recursos necesarios para implementar los controles del MSPI.

Del Responsable de Seguridad de la Información

  • Coordinar la ejecución de los lineamientos del Anexo 3 del MinTIC.

  • Liderar la gestión de riesgos, controles y tratamiento de incidentes.

De los Funcionarios y Contratistas

  • Cumplir las políticas, normas, procedimientos y buenas prácticas de seguridad.

  • Reportar de inmediato cualquier incidente o anomalía identificada.

7. Divulgación y Actualización

Esta política será divulgada a todos los funcionarios, contratistas y terceros relacionados.
Será revisada y actualizada al menos una vez al año o cuando ocurran cambios normativos, tecnológicos o de riesgo que lo ameriten.

8. Vigencia

La presente política entra en vigencia a partir de su aprobación por la alta dirección y permanecerá vigente hasta su actualización formal.

personería rionegro

Contáctanos

  • Dirección: Calle 61 B # 44 - 21
  • Rionegro, Antioquia
  • Línea de atención gratuita: (57) 204 03 60 Ext. 4136 y 4128
  • Teléfono conmutador: (57) 204 03 60
  • Línea anticorrupción: (57) 204 03 60

Horarios

Lunes a Jueves
  • 8:00 a.m. a 12:00 m
  • 1:00 p.m. a 5:00 p.m
Viernes
  • 8:00 a.m. a 12:00 p.m.
  • 1:00 p.m. a 4:00 p.m.

Navega

Facebook Twitter Youtube Instagram
gov.co colombia
Ir al contenido