Confidential
PROCEDIMIENTO PARA EL TRATAMIENTO Y DISPOSICIÓN DE LA INFORMACIÓN

INFORMACIóN Y COMUNICACIóN

P-IC-734
Rige a partir de:
2015-03-26

Versión: 1
 
OBJETIVO:
Implementar los mecanismos pertinentes que garanticen el adecuado tratamiento del ciclo de vida de la información, a partir de la optimización del uso y protección de datos, reducción de costos y disminución de riesgos asociados, con el fin de conservar la memoria tecnológica de la Universidad de Caldas y proteger la información suministrada por los usuarios de los servicios institucionales tanto internos como externos.

ALCANCE:
El procedimiento inicia con la planeación del desarrollo tecnológico necesario para suplir las necesidades de protección de la información, la categorización y clasificación de la información, la aplicación de controles de acuerdo a los lineamientos establecidos por la ley, el reporte a los entes de control, hasta la formulación de acciones que permitan mejorar la salvaguarda de la información.

RESPONSABILIDAD:
1. Corresponde a la Secretaria General, adoptar los lineamientos del Gobierno Nacional respecto a la Ley de protección de datos (HABEAS DATA), e incorporarlos en las políticas institucionales. Asimismo, autorizar la distribución de la información según solicitudes de entes internos y externos.
2. Corresponde al Líder del Grupo Interno de Sistemas velar por el cumplimiento de las políticas establecidas por la Institución para el manejo de la información sistematizada, a través de la planeación y ejecución del desarrollo tecnológico de la Institución.
3. Corresponde a los Funcionarios encargados del manejo de la información, el tratamiento, custodia y salvaguarda de los datos personales de los titulares.
4. Corresponde a la Oficina de Control Interno, verificar que los controles establecidos por la Institución y la Ley para el manejo de la información se cumplan a cabalidad.

DEFINICIONES Y TÉRMINOS:
SISTEMAS DE INFORMACIÓN: Sistema operativo, aplicaciones, bases de datos, software de propósito general y de propósito específico.

PORTAL WEB: Un portal de Internet es un sitio web que ofrece al usuario, de forma fácil e integrada el acceso a una serie de recursos y de servicios relacionados a un mismo tema. Incluye: enlaces, buscadores, foros, documentos, aplicaciones, compra electrónica, etc. Principalmente un portal en Internet está dirigido a resolver necesidades de información específica de un tema en particular.

PLATAFORMA: En informática, una plataforma es un sistema que sirve como base para hacer funcionar determinados módulos de hardware o de software con los que es compatible. Dicho sistema está definido por un estándar alrededor del cual se determina una arquitectura de hardware y una plataforma de software (incluyendo entornos de aplicaciones). Al definir plataformas se establecen los tipos de arquitectura, sistema operativo, lenguaje de programación o interfaz de usuario compatibles.

INFRAESTRUCTURA TECNOLOGICA: Se entiende por infraestructura tecnológica al conjunto de todos los elementos tecnológicos hardware y software: servidores, computadores, portátiles, impresoras, switches, routers, firewall, escaners, cableado estructurado, cpu`s, software informático, equipos de comunicación, internet, red lan.

SERVIDOR: En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otros denominados clientes.

DIRECCION IP: Una dirección IP es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (habitualmente una computadora) dentro de una red que utilice el protocolo IP (Internet Protocol), generalmente Internet o Red Local.

PROXY: En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad más habitual es la de servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

POLÍTICA DE SEGURIDAD: (Inglés: Security policy). Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/IEC 27002:2005]: intención y dirección general expresada formalmente por la Dirección.

FIREWALL: Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red

SGSI: (Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)

COPIAS DE SEGURIDAD: El funcionario de soporte técnico de sistemas diariamente en el horario de las 6:00 pm accede a los servidores de base de datos de sistemas, a través de una conexión de red interna para realizar backups de la información neurálgica de la Universidad. Las copias se almacenan en un servidor de almacenamiento ubicado en la Oficina de Sistemas.

DESARROLLO:

Para la Universidad de Caldas la información es considerada como un activo de valor estratégico, por esta razón se deberá preservar la seguridad de la misma dando cumplimiento a los principios de confiabilidad, integridad, calidad, veracidad y disponibilidad de la información institucional. 

La información de la institución deberá mantenerse disponible a las personas autorizadas para ello en el momento en que se requiera. Asimismo los usuarios de la información son responsables, mientras tengan la información bajo su control, de mantener los niveles de protección, clasificación, tratamiento, disposición y conservación, de acuerdo a las características de la misma. 

Para esto, es necesario advertir que para la UNIVERSIDAD DE CALDAS, es de trascendental importancia proteger y conservar la información sensible, evitando que sea conocida por personas diferentes a aquellas que la requieren formalmente o que sea publicada de manera indiscriminada, (Ley Estatutaria 1581 de 2012). Por lo que es responsabilidad de los usuarios identificar riesgos en su puesto de trabajo e iniciar las acciones para mitigarlos.  

La siguiente es considerada información sensible para la Institución: 

El origen racial o étnico

La orientación política

Las convicciones religiosas o filosóficas

La pertenencia a sindicatos

Organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición.

Los datos relativos a la salud

La vida sexual

Los datos biométricos

Otros datos a proteger:

Nombre de Usuario y Passwords

Direcciones IP 

Contratos 

Números de Cuenta 

Listas de Clientes

Propiedad Intelectual

Datos de Funcionarios 

Otra información que se considera sensible son las grabaciones de las cámaras de vigilancia de la Universidad, cuya administración y disposición está descrita en el I-RF-576 Instructivo para la administración del Sistema de Videovigilancia de la Universidad de Caldas, ubicado en el proceso de Recursos Físicos. 

La Universidad de Caldas deberá solicitar a los titulares de la información, su autorización para usar y dar tratamiento a sus datos personales para fines del cumplimiento de la misión institucional. Tanto los encargados de salvaguardar las bases de datos que contienen información personal como los demás funcionarios pueden usarla, única y exclusivamente con fines institucionales. Para suministrar información sobre datos personales de usuarios a terceros, se deberá tramitar una autorización ante Secretaría General con la respectiva justificación del uso y finalidad de su tratamiento. 

Para realizar consultas de información personal, peticiones y/o reclamos sobre información contenida en bases de datos que deba ser corregida, actualizada o eliminada, los titulares deberán considerar: 

CONSULTAS

Los titulares o sus causahabientes podrán consultar la información personal del titular que reposa en la Universidad en cualquier momento. 

La Institución suministrará toda la información contenida en el registro individual y/o aquella que está vinculada con la identificación del titular.

La consulta de la información se realizará a través del correo habeasdata@ucaldas.edu.co.

La consulta será atendida en un término máximo de treinta (30) días hábiles contados a partir de la fecha de recibo de la misma. 

Cuando no es posible atender la consulta, se le informará al interesado los motivos de la demora y se le dará una nueva fecha de respuesta que no supere los cinco (5) días hábiles, posterior a la fecha de vencimiento del primer término (30 días hábiles).

 

PETICIONES 

Los titulares o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, deberán hacer una petición formal a través del correo habeasdata@ucaldas.edu.co indicando el motivo de la solicitud y aportando la documentación que sea necesaria para soportar la petición. 

En el caso de la eliminación de datos personales, el titular puede revocar el consentimiento al tratamiento de sus datos en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual.   

RECLAMOS

El reclamo del titular se formulará mediante solicitud dirigida a la Universidad de Caldas, a través del correo electrónico habeasdata@ucaldas.edu.co con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, dirección y documentación soporte. 

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. 

Las peticiones, consultas y reclamos serán administradas por el Sistema de Atención al Ciudadano SAC.   


FLUJOGRAMA
PASO ACTIVIDAD PRECEDE RESPONSABLE DESCRIPCIÓN
1 INICIO 0    
2 Actualizar lineamientos institucionales 1 Secretaria General Se revisa y ajusta la Política de protección de datos de la Universidad, de acuerdo a las actualizaciones, requerimientos y directrices del Gobierno Nacional que sea necesario adoptar por mandato de Ley.

TIEMPO: De conformidad con la Ley.

Ver Registro(Política de protección de datos)
3 Planear el desarrollo tecnológico necesario para el tratamiento de la información 2 Oficina de Planeación y Sistemas. Se deberá identificar, desarrollar y mantener herramientas tecnológicas de hardware y software, que permitan que los niveles de protección y clasificación de la información de la Institución, tales como: accesibilidad, respaldo, recuperación, transmisión, transformación, calidad y veracidad, sean adecuados y pertinentes, según los lineamientos establecidos por la Universidad y la Ley.

TIEMPO: Anualmente
4 Solicitar a los usuarios autorización para el uso de su información personal 3 Funcionarios responsables de la información De acuerdo al tipo de información requerida para brindar servicios institucionales, se solicitará a los usuarios con los que se relaciona la universidad la autorización para el uso y tratamiento de sus datos personales. Los medios mediante los cuales se solicitará la autorización dependen del tipo de información, tipo de usuario y mecanismos frente a los cuales se registran los datos. (Ver Política de Protección de Datos).

TIEMPO: Permanente
Ver Registro(Formato para autorización, uso y tratamiento de datos personales)
5 Identificar, clasificar y categorizar la información 4 Funcionarios responsables de la información La información contenida en medios fisicos y sistematizados, servidores de almacenamiento, estaciones de trabajo, red institucional, sistemas de información, lenguajes y medios de comunicación: página web, internet, certificados de seguridad, etc, debe ser debidamente identificada, clasificada y categorizada de acuerdo a su nivel de sensibilidad e importancia para la Institución; con lo cual se contará con un inventario actualizado por cada uno de los funcionarios responsables del tratamiento y custodia de la información.

TIEMPO: Permanente

Registro(Inventario bases de datos institucionales)
6 Establecer controles para la información 5 Secretaria General, Oficina de Planeación y Sistemas y Funcionarios responsables de la información De acuerdo a la clasificación de la información, se definen y documentan los controles para el uso, disposición y custodia de la información, de acuerdo a las necesidades de continuidad, toma de decisiones, prospectiva institucional y desarrollo organizacional de cada uno de los procesos, al igual que los niveles de confidencialidad requeridos por tipo de información.

TIEMPO: Permanente
7 Ejecutar plan de desarrollo tecnológico 6 Profesional Especializado Líder del Grupo Interno de Sistemas y Funcionarios Grupo Interno de Sistemas Se articulan las herramientas tecnológicas con los sistemas de información establecidos, como plataforma para desarrollar las actividades de la Institución de manera eficiente. En este marco se ejecutan:
• Adquisición de hardware y software
• Actualizaciones de los Sistemas de información
• Elaboración de contratos
• Tercerización de servicios
Durante la realización de estas actividades, se debe garantizar la seguridad de la información sistematizada, a través del adecuado funcionamiento de los sistemas de información.

TIEMPO: Durante la vigencia
8 Administrar la información 7 Funcionarios responsables de la información A partir de los controles establecidos para cada una de las bases de datos existentes que se encuentran debidamente identificadas y categorizadas en el Inventario institucional, los funcionarios responsables de la información deben administrar los datos personales que recolectan de los titulares, de acuerdo a la política de protección de datos de la Universidad y para fines exclusivamente institucionales.

TIEMPO: Permanente
9 Comunicar el uso adecuado de la información 8 Secretaria General, Webmaster y Oficina de Prensa La institución adelantará campañas masivas dirigidas a todos los usuarios para garantizar que las personas estén informadas sobre los riesgos asociados a los usos indebidos de la información institucional. Asimismo, a partir de los controles establecidos, se realizarán capacitaciones a los responsables de la información, con el fin de sensibilizarlos sobre la importancia del uso correcto de la información.

TIEMPO: Permanente
10 Autorizar uso de la informacion 9 Secretaria General Las entidades o personas naturales de carácter externo que requieran datos personales, deberán tramitar la autorización de uso a través de un oficio dirigido a la Secretaria General, en el que se exprese el uso, tratamiento y disposición de la información solicitada. La Secretaria General, de acuerdo a la política de protección de datos establecida, autorizará o negará la solicitud.

TIEMPO: Cuando sea requerido

Registro(Oficio de autorización de uso de información )
11 Actualizar información 10 Funcionarios responsables de la información Los responsables encargados del manejo de las diferentes bases de datos, deben implementar periódicamente mecanismos para procurar la actualización de los datos personales de los usuarios.

TIEMPO: Anualmente
12 Reportar a los entes de control 11 Oficina de Planeación y Sistemas. Se realizan reportes periódicos a los diferentes entes de control a través de las diferentes plataformas y se responde a solicitudes de informes o requerimientos que exijan a la Institución. Asimismo, se deben presentar ante la Superintendencia de Industria y Comercio quejas por infracciones, relacionadas con inhabilidades en la protección de la información.

TIEMPO: Permanente
13 Monitorear el uso correcto de los servicios tecnológicos 12 Grupo Interno de Sistemas El Grupo Interno de Sistemas programa revisiones específicas a la infraestructura tecnológica y a las respectivas estaciones de trabajo, verificando el buen uso y disposición de la información de acuerdo a las políticas de protección de datos establecida.

TIEMPO: Permanente
14 Verificar el cumplimiento de los controles 13 Oficina de Control Interno Se verifica la realización de auditorías internas a los controles propuestos para la información y los relacionados directamente con los requerimientos de los entes de control y la Ley.

TIEMPO: Semestralmente

Registro(Informe de Control Interno)
15 Tramitar y evaluar consultas, peticiones y reclamos 14 Oficina de atención al ciudadano y Oficina Asesora de Planeación y Sistemas La Oficina de Atención al ciudadano radica, tramita y hace seguimiento a las diferentes consultas, peticiones y reclamos de los usuarios (Ver Procedimiento PQRS) garantizando su respuesta oportuna y a satisfacción del solicitante. Periódicamente, se analizan las estadísticas frente a las solicitudes presentadas por los usuarios con el fin de definir acciones pertinentes encaminadas al cumplimiento normativo que permitan una planeación adecuada de los recursos con el fin de brindar seguridad a la información existente en las bases de datos y sistemas de la Universidad.

TIEMPO: Semestralmente

Registro(Acciones correctivas, preventivas y de mejora implementadas en el SIG)
16 FIN 15    

Registros del Documento:
Nombre del Registro Resp. Almacena. Cod.Registro SIG Serie Archivo
Acciones correctivas, preventivas y de mejora implementadas en el SIG
OFICINA DE PLANEACION
-ASUNTO
Formato para autorización, uso y tratamiento de datos personales
SECRETARIA GENERAL
R-2791-P-IC-734-
Informe de Control Interno
SECRETARIA GENERAL
-F-SEG-003.3
Inventario bases de datos institucionales
SECRETARIA GENERAL
--
Oficio de autorización de uso de información
SECRETARIA GENERAL
--
Política de protección de datos
SECRETARIA GENERAL
R-2447-P-IC-734-

 


Elaborado Por: Encargado Revisión: Encargado Aprobación:
Abelardo RodrÍguez Giraldo

PROFESIONAL ESPECIALIZADO
Yorlady Medina GÓmez

JEFE DE OFICINA
FELIPE CÉSAR LONDOÑO LÓPEZ

RECTOR UNIVERSIDAD

Documento Controlado
Si usted copia o imprime este documento, el Sistema Integrado de Gestión de la Universidad de Caldas lo considerará No Controlado y no se hace responsable por su consulta o uso.
Si desea consultar la versión actualizada y controlada de este documento, consulte siempre la página web http://www.ucaldas.edu.co/, en el enlace SIG