Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
COM 504 Actividad del módulo 1 1 Actividad Módulo 1 Luis Fernando Vera Jaimes 1227709 Saint Leo University Cómputo legal en ciberseguridad COM-504ES-AVOL1 Dr. Rodrigo Cadena Martínez 09 de Julio de 2023 Declaración de honestidad académica de la maestría en Ciberseguridad Incluyo mi firma a continuación como compromiso de que el contenido de esta actividad es mío, excepto las partes que tengan las debidas citas y referencias. Entiendo y acepto la siguiente definición de plagio: 1. El plagio incluye la repetición literal sin reconocimiento de las palabras de otros autores. Todas las frases, oraciones o pasajes de este trabajo son tomadas directamente de una fuente si indican con citas y reconocimiento dentro del texto, además de que se incluyen en la página de referencias. 2. El plagio incluye tomar las ideas ajenas y presentarlas como propias. 3. Parafrasear el trabajo de otro escritor sin reconocerlo implica incurrir en plagio. 4. El plagio también incluye parafrasear de forma incorrecta. Los pasajes parafraseados (expresados en mis propias palabras) incluyen un reconocimiento adecuado de autoría dentro del texto y en las referencias. 5. El plagio incluye usar a otra persona u organización para preparar este trabajo y entregarlo como propio. 6. El plagio incluye reenviar trabajos previos, total o parcialmente, para una actividad actual sin tener un permiso escrito del instructor actual antes de hacerlo. Es necesario que los estudiantes se comprometan a ser honestos, justos y congruentes en sus palabras y actos, de acuerdo con el Firma del estudiante: Luis Fernando Vera Jaimes COM 504 Actividad del módulo 1 2 Abstract El presente documento pretende responder las actividades planteadas en el módulo 1 del curso de computo legal en ciberseguridad perteneciente a la maestría en ciberseguridad de Saint Leo University, en el se busca abordar las normativas y regulaciones en materia de privacidad de la información en nuestros países de origen que para mi caso puntual es Colombia. Se tratarán las leyes y sus principales restricciones al momento de recolectar información personal y como debe ser tratada y protegida por parte de las diferentes organizaciones. COM 504 Actividad del módulo 1 3 Actividad Módulo 1 En Colombia contamos con la ley estatutaria 1581 de 2012 mediante la cual el gobierno nacional busca brindar protección a la información personal de los ciudadanos y delegar un ente de control que, ejerza la vigilancia y sancione las acciones indebidas en busca de garantizar que los datos personales de los ciudadanos sean tratados legalmente, para esto e genera el registro nacional de bases de datos donde todas las empresas e instituciones que recopilen y almacenen información personal de los ciudadanos registren sus bases de datos y cumplan con todas las normativas vigentes en el país. Cuestionario planteado. 1. Investigue las leyes de privacidad de la información de su país y genere una línea de tiempo de las iniciativas más importantes hasta la ley vigente y sus modificaciones más recientes. CONSTITUCIÓN POLÍTICA DE COLOMBIA El 1 de enero de 1991 se promulga la constitución política de Colombia que en su artículo 15 establece "Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas." (Asamblea Nacional Constituyente, 1991) 2008. LEY DE HABEAS DATAS. El 31 de diciembre de 2008 se promulga la ley 1266 por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones (Congreso de la República de Colombia, 2008) 2009. LEY 1288 DE 2009 por medio del cual se expiden normas para fortalecer el marco legal que permite a los organismos, que llevan a cabo actividades de inteligencia y contrainteligencia, cumplir con su misión constitucional y legal, y se dictan otras disposiciones. (Congreso de la república de Colombia, 2009) 2010. SENTENCIA C-913 CCdeCO Declara inexequible la ley 1288 de 2009 por ir en contra a lo dispuesto en la Constitución política de Colombia "Las labores de inteligencia y contrainteligencia causan afectaciones ciertas, aunque de diversa intensidad, a la intimidad de las personas y que siendo ésta un derecho fundamental, calidad que se extiende a todas sus distintas facetas, entre ellas el hábeas data, el desarrollo legislativo de esos temas está, al menos en principio, sujeto a la reserva de ley estatutaria." (Corte Constitucional de Colombia, 2010) 2012 LEY ESTATUTUARIA 1581 La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. (Congreso de la república de Colombia, 2012) 2013 LEY ESTATUTARIA 1621 Por medio de la cual se expiden normas para fortalecer el Marco Jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir con su misión constitucional y legal, y se dictan otras disposiciones” (Congreso de la Republica de Colombia, 2013) 1991 2008 2009 2013 2012 2010 COM 504 Actividad del módulo 1 4 2. Basado en la ley de privacidad de información actual, explique cuáles son las clasificaciones de información sugeridas por ley y a qué tipo de entidades aplica. La clasificación de datos personales en Colombia se hizo en la ley 1266 de 2008 y el decreto 1377 de 2013, dentro de esta clasificación encontramos los siguientes tipos de datos. (Congreso de la República de Colombia, 2008), (Presidencia de la República de Colombia, 2013) ➢ Datos públicos: Datos que no son semiprivados, privados o sensibles (Ej. datos relativos al estado civil de las personas, su profesión u oficio, su calidad de comerciante o servidor público y aquellos que pueden obtenerse sin reserva alguna). ➢ Datos Semiprivados: Datos que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento interesa al titular y a cierto sector o grupo de personas o a la sociedad en general (Ej. datos financieros y crediticios, dirección, teléfono, correo electrónico, etc.). ➢ Datos Privados: Datos que solo son relevantes para su titular (Ej. fotografías, videos, datos relacionados con su estilo de vida.) ➢ Datos Sensibles: Aquellos que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación. (Origen racial, convicciones religiosas, datos de salud, vida sexual, entre otros). ➢ Datos Personales de Menores: Toda la información de menores de 18 años puede ser tratada, siempre y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales y la información sea de naturaleza pública. 3. ¿Qué mecanismos reglamenta la ley para la recolección, autorización y supresión del tratamiento de datos? De acuerdo con la ley 1581 de 2012 La autorización para la recolección y tratamiento de datos personales debeser dada por el titular de los datos previamente informada a este y realizada antes de la recolección de los datos y debe ser obtenida por cualquier medio que pueda ser consultado posteriormente, salvo casos de urgencia médica o sanitaria, que sean datos de naturaleza pública, tratamiento de información con fines históricos estadísticos o científicos o los relacionados con registro civil de las personas. Puntualmente en los siguientes artículos de la ley 1581 se reglamenta la recolección, autorización y supresión de los datos: ARTÍCULO 11. SUMINISTRO DE LA INFORMACIÓN. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos. El Gobierno Nacional establecerá la forma en la cual los responsables del tratamiento y encargados del tratamiento deberán suministrar la información del Titular, atendiendo a la naturaleza del dato personal, Esta reglamentación deberá darse a más tardar dentro del año siguiente a la promulgación de la presente ley. (Congreso de la república de Colombia, 2012) ARTÍCULO 12. DEBER DE INFORMAR AL TITULAR. El Responsable del Tratamiento, al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente: a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este; b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; c) Los derechos que le asisten como Titular; COM 504 Actividad del módulo 1 5 d) La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento. PARÁGRAFO. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta. (Congreso de la república de Colombia, 2012) ARTÍCULO 13. PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas: a) A los Titulares, sus causahabientes o sus representantes legales; b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; Concordancias c) A los terceros autorizados por el Titular o por la ley. (Congreso de la república de Colombia, 2012) ARTÍCULO 14. CONSULTAS. Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. PARÁGRAFO. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal. (Congreso de la república de Colombia, 2012) ARTÍCULO 15. RECLAMOS. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. 2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. 3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los javascript:insRow31() COM 504 Actividad del módulo 1 6 motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. (Congreso de la república de Colombia, 2012) ARTÍCULO 16. REQUISITO DE PROCEDIBILIDAD. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. (Congreso de la república de Colombia, 2012) 4. ¿Tiene contemplada la ley algún tipo de restricción para la transferencia de datos entre países?, si es así explique qué restricciones son. En el título VIII de la ley 1581 de 2012 encontramos la reglamentación de traslado de información a terceros países con los siguientes artículos que lo reglamentan. ARTÍCULO 26. PROHIBICIÓN. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuando se trate de: a) Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia; b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública; c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable; CONCORDANCIAS d) Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad; e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular; f) <Ver en Jurisprudencia Vigencia, el análisis de la Corte a este literal> Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.PARÁGRAFO 1o. En los casos no contemplados como excepción en el presente artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación. PARÁGRAFO 2o. Las disposiciones contenidas en el presente artículo serán aplicables para todos los datos personales, incluyendo aquellos contemplados en la Ley 1266 de 2008. (Congreso de la república de Colombia, 2012) 5. ¿Cuáles son los responsables y los cargos asociados que deben contemplar en una organización para poder cumplir con lo requerido por la ley? En general todos los empleados de una empresa que tengan dentro de sus funciones contacto con clientes (Internos o Externos), proveedores y en general que para el desarrollo de sus funciones requieran solicitar y tratar datos son https://www.cancilleria.gov.co/sites/default/files/Normograma/docs/ley_1266_2008.htm#Inicio COM 504 Actividad del módulo 1 7 responsables del trato adecuado de los mismos, la empresa deberá exigir a sus colaboradores el cumplimiento de lo dispuesto en los artículos 17 y 18 de la ley 1581 de 2012. ARTÍCULO 17. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular; c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada; d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; Concordancias MINRELACIONES e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada; g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento; h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley; i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular; j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley; k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos; Concordancias l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; m) Informar a solicitud del Titular sobre el uso dado a sus datos; n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. (Congreso de la república de Colombia, 2012) javascript:insRow37() javascript:insRow38() COM 504 Actividad del módulo 1 8 ARTÍCULO 18. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley; d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo; e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley; f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares; g) Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la presente ley; h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal; i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio; j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. PARÁGRAFO. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno. (Congreso de la república de Colombia, 2012) 6. ¿Cuáles controles de seguridad se deberían implementar para poder garantizar la seguridad de la información de acuerdo con la clasificación requerida por la ley? Presente algunos ejemplos. Primero las empresas deben garantizar lo contenido en el artículo 4 de la ley 1581 de 2012 que exige lo siguiente: ➢ Legalidad: En todo el proceso de tratamiento de los datos personales, desde el momento de su captura, almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los datos para fines que estén bajo la ley y a las disposiciones reglamentarias que la desarrollen. ➢ Finalidad: Todos los datos personales que sean capturados en el desarrollo del ejercicio de las funciones educativas y administrativas que tiene la Universidad, deben atender a finalidades específicas de acuerdo con el tratamiento que se le dará al dato. Las finalidades del tratamiento deben ser informadas a los titulares con el propósito que éstos conozcan las actividades que desarrollará la Universidad con los datos personales que está entregando. ➢ Libertad: La recolección, almacenamiento y tratamiento de los datos personales sólo puede realizarse con la autorización previa y expresa del titular, quien debe ser informado sobre el tratamiento que se les dará a sus COM 504 Actividad del módulo 1 9 datos personales. La divulgación o socialización de los datos personales sin la previa autorización, o sin una disposición legal que lo habilite, está prohibido. ➢ Veracidad o calidad: La Universidad debe promover que los datos personales que estarán sujetos a tratamiento deben ser veraces, exactos, completos y actualizados, puesde lo contrario pueden llevar a inducir a errores en la ejecución de tratamiento para el cual fueron capturados. ➢ Transparencia: Cualquier titular de información podrá tener acceso, en cualquier momento, a la información sobre sus datos personales tratados por la Universidad. ➢ Acceso y circulación restringida: El tratamiento de los datos personales sólo podrá ser realizado por aquellos que el titular haya efectivamente autorizado, o por las personas habilitadas por las disposiciones legales vigentes. ➢ Seguridad: Toda la información asociada a los datos personales objeto de tratamiento por parte de la Universidad, deberán protegerse bajo estándares de seguridad adecuados, implementando medidas operativas, técnicas y humanas que eviten su pérdida, adulteración o acceso no autorizado. ➢ Confidencialidad: La Universidad deberá garantizar la reserva de la información y datos personales que no estén bajo la categoría de datos públicos, por lo cual, todas las personas que tengan acceso al tratamiento de los datos personales deberán promover prácticas de manejo de datos que eviten su exposición o suministro a terceros no autorizados. (Congreso de la república de Colombia, 2012) Además de esto las organizaciones deben implementar medidas de seguridad que le permitan asegurar la información de estas tales como: ➢ Controles de acceso más estrictos: Las empresas deben generar controles de acceso a la información de tal forma que solo quienes requieran tratar dicha información puedan tener acceso a ella, entre menos personas puedan acceder a la información más segura va a estar, en este aspecto me parece fundamental que desde las áreas de TI se establezcan niveles de acceso donde solo los funcionarios tengan acceso a la información que requieran para el desarrollo de sus funciones, por ejemplo en el área de gestión humana son necesarios los datos de los empleados tales como nombres, documentos, números de cuentas bancarias, dirección, teléfono, entre otros, pero esta información no es necesaria para el área de producción por lo que en producción no necesitan tener acceso a dicha información. ➢ Políticas de copias de seguridad: Las empresas deben definir políticas claras para la realización de las copias de seguridad, total, incremental y diferencial de acuerdo con sus necesidades, no existe un estándar referente a la información que deban respaldar ni a la periodicidad de la realización de las copias de seguridad, pero si el tener una adecuado planteamiento de la política de copias de seguridad permitirá a la empresa recuperar sus datos ante el acontecimiento de un evento catastrófico de tal forma que se impida o por lo menos se minimice la pérdida de información, pero que también le permita recuperarla y continuar con su operación en el menor tiempo posible. Por ejemplo, en mi caso particular tenemos políticas de copias de seguridad Total cuando yo me vinculé al departamento pues no se manejaba ningún tipo de copia que respaldara la información de estudiantes y funcionarios del departamento, incremental durante el semestre para respaldar todos aquellos datos que se hayan modificado a lo largo del semestre y diferencial para cargar todos los nuevos datos que no se encontraban respalda en los backups anteriores, esta última copia la realizamos al final de cada semestre. ➢ Contraseñas seguras: El acceso a las distintas plataformas que utiliza la empresa (correo electrónico, servidor de copias de seguridad NAS, etc.) debe realizarse utilizando claves de seguridad (contraseñas) seguras, que impidan que puedan ser fácilmente descubiertas por piratas informáticos. El uso de contraseñas seguras es una de las medidas de seguridad informática más importantes en una empresa. Como ejemplo se deben exigir contraseñas con un mínimo de caracteres, combinando mayúsculas y minúsculas, números y caracteres especiales, en el caso de las copias de seguridad de los profesores, en mi caso lo manejamos con una doble autenticación donde los profesores ponen una contraseña que solo ellos conocen y la otra contraseña la pongo yo de acuerdo con las políticas de gobierno de TI de la universidad y solo la tengo yo, al momento de una eventual recuperación de datos la copia de seguridad solo se podrá desencriptar usando las dos contraseñas, en caso contrario no se puede recuperar. ➢ Protección de los correos electrónicos: Siendo el e-mail una de las principales herramientas de comunicación de las organizaciones actualmente, es fundamental implementar medidas de protección de los correos electrónicos para lo cual las empresas deben implementar autenticación en dos pasos, tiempo https://www.datos101.com/copia-de-seguridad-backup-nas/ COM 504 Actividad del módulo 1 10 de caducidad de las contraseñas obligando a sus colaboradores a cambiar la contraseña periódicamente, otra medida de protección de los e-mail puede ser la autenticación en dos pasos en donde no solo se pida la contraseña sino que a través de una aplicación en sus móviles se genere un código aleatorio que caducará y cambiará cada 30 segundos. ➢ Utilizar un software integral de seguridad: utilizar un paquete de software integral que contenga antivirus, antimalware, antispiware, firewall que permita a la empresa monitorear alertas en tiempo real y poder reaccionar ante estas de manera adecuada. Por ejemplo, el uso de paquetes end point que permitan al área de TI monitorear y controlar alertas y amenazas a la información de la empresa. ➢ Utilizar software DLP: Este tipo de software permite a las organizaciones supervisar que no se extraiga o se comparta información de manera indebida. ➢ Trabajar en la nube: Desde mi punto de vista es una herramienta vital, el tener la información contenida en la nube permite a la empresa tener de su lado los sistemas de prevención y recuperación del proveedor cloud que elija, por ejemplo, si se contrata Office365, se tiene la seguridad de los servidores de Office 365 a disposición de la organización respaldando su información en todo momento. ➢ Involucrar a todos los empleados en la seguridad: la única manera que todas las medidas que la empresa pueda implementar es fundamental que sus colaboradores estén comprometidos con la aplicación de las mismas, el desconocimiento de las políticas de seguridad en las empresas pueden generar que si bien la empresa tiene diseñados e implementados los controles adecuados al mismo tiempo están generando una brecha de seguridad enorme pues quienes pueden dar acceso a la información no aplican los controles adecuados por desconocimiento, por eso me parece supremamente importante que todos y cada uno de los colaboradores esté inmerso en la aplicación de las políticas de seguridad informática que la organización pueda implementar. 7. Investigue cuáles eventos relevantes de infracción a esta ley se han dado y cuáles han sido las penalizaciones impuestas por los organismos de control. De acuerdo con los informes y resoluciones de la Superintendencia de Industria y Comercio SIC desde el año 2010 hasta 2017 se habían interpuesto cerca de 619 multas por un valor aproximado de $21.000 millones de pesos, y los incumplimientos que más se han cometido son generados por el habeas data financiero contenido en la ley 1266 de 2008, teniendo como principales tipologías las siguientes: ➢ Reporte a centrales de riesgo informaciones que no corresponden con la realidad, es decir reporte de personas que no son deudoras o por un tiempo mayor al de la mora en la obligación. ➢ No actualizar oportunamente la información financiera relacionada con el cumplimiento de las obligaciones por parte de los deudores, por ejemplo, la no actualización adecuada de los pagos del deudor o la no actualización de información referente a suplantación de identidad. ➢ No informar previa y debidamente al deudor que va a ser reportado por presentar moraen su obligación, impidiéndole al usuario controvertir la deuda a incluso generar el pago de la deuda antes del reporte. Dos ejemplos de sanción por la violación de la ley 1581 de 2012 son: ➢ RESOLUCIÓN 3303 DEL 3 DE FEBRERO DE 2023, por medio de la cual le imponen a la sociedad INFRAESTRUCTURA NACIONAL LTDA. Una sanción pecuniaria por un monto de $30´403.200. puesto que la entidad no registró de manera adecuada sus bases de datos en el Registro Nacional de Bases de Datos incumpliendo con lo exigido en la ley, si bien la empresa solicitó la revocatoria de la sanción alegando un error en el RNBD, la SIC constató que no fue tal y que la empresa había incumplido con su registro adecuado. (Superintendencia de Industria y Comercio, 2023) ➢ RESOLUCIÓN 18050 DEL 12 DE ABRIL DE 2023, por medio de la cual se sanciona a la entidad COM 504 Actividad del módulo 1 11 CREDIVALORES - CREDISERVICIOS S.A. por la no entrega de información en una denuncia de violación de la ley de protección de datos personales contenida en la resolución 38534 de 23 de junio de 2021, la SIC considera que vencidos los términos legales para la presentación de información la entidad CREDIVALORES no respondió adecuadamente en tiempo y forma y por ende le impuso una sanción pecuniaria por valor de $89´065.200. por el incumplimiento de los literales a, b, j y o del artículo 17 de la ley 1581 de 2012. (Superintendencia de Industria y Comercio, 2023) 8. ¿Cómo contempla esta ley la relación con las grandes tecnológicas y/o proveedores de servicios en Cloud (Google, Microsoft, Oracle, Amazon) que gestionan este tipo de información para sus clientes? Como ya se ha expuesto en los literales anteriores en Colombia existen regulaciones en materia de protección de datos y en esta se contempla de manera general los deberes y obligaciones de todas las entidades públicas y privadas a cerca del manejo de datos personales de la misma manera que el derecho que tienen os titulares de los datos sobre su información. En ese orden de ideas exige a las empresas que se debe conservar la autorización de recolección de datos a manera de prueba, de la misma manera deben crear una política clara de protección de datos personales que sea de conocimiento público y documentar los procedimientos que manejan para la protección de datos, aplicados incluso a empresas de comercio electrónico y los terceros que de estos dependan, en 2019 se articuló el CONPES 3975 denominado “Política Nacional para la Transformación digital e Inteligencia Artificial” que busca introducir las nociones del comercio digital pero no se centra como tal en algún tipo de regulación en materia de comercio electrónico, en general la Ley colombiana actual es un buen punto de partida para continuar hacia una regulación adecuada puesto que aún tienen muchos vacíos jurídicos y este tipo de empresas se rigen por la legislación de sus países de origen mas no por el nuestro. COM 504 Actividad del módulo 1 12 Referencias Asamblea Nacional Constituyente. (01 de Enero de 1991). Constitución política de Colombia. Obtenido de Función publica: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4125 Congreso de la República de Colombia. (31 de Diciembre de 2008). Función pública. Obtenido de Función pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488#1266 Congreso de la república de Colombia. (5 de Marzo de 2009). Función pública. Obtenido de Función pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=35366#1288 Congreso de la república de Colombia. (17 de Octubre de 2012). Función pública. Obtenido de Función pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981#1581 Congreso de la Republica de Colombia. (17 de Abril de 2013). Función pública. Obtenido de Función pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=52706#1621 Corte Constitucional de Colombia. (16 de Noviembre de 2010). Corte Constitucional. Obtenido de Corte Constitucional: https://www.corteconstitucional.gov.co/RELATORIA/2010/C-913-10.htm Presidencia de la República de Colombia. (27 de junio de 2013). Función pública. Obtenido de Función pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646 Superintendencia de Industria y Comercio. (3 de febrero de 2023). sic.gov.co. Obtenido de sic.gov.co: https://www.sic.gov.co/sites/default/files/files/2023/RESOLUCIO%CC%81N%203303%20DEL%203%20DE%2 0FEBRERO%20DE%202023.pdf Superintendencia de Industria y Comercio. (12 de abril de 2023). sic.gov.co. Obtenido de sic.gov.co: https://www.sic.gov.co/sites/default/files/files/2023/RE18050-2023.pdf
Compartir