Caso de Estudio – Protección de Datos y Ciberseguridad en la UNAD
María Fernanda, docente consejera del CEAD José Acevedo y Gómez (JAG), apoya la gestión académica de la Maestría en Ciberseguridad.
Como parte de un ejercicio de seguimiento académico, su líder de programa le solicita consolidar un insumo con información actualizada de los estudiantes matriculados. Durante la realización de esta tarea, María recibe un documento elaborado por un compañero de otra dependencia, el cual contiene información sensible que identifica plenamente a los estudiantes y que fue remitido a través de un canal no formal de intercambio de archivos.
En el mismo día, el CSIRT Académico UNAD emite una alerta sobre posibles vulnerabilidades derivadas del uso inadecuado de los medios de comunicación y almacenamiento de datos institucionales. María, al revisar el archivo, evidencia que este tipo de prácticas podría impactar directamente la confidencialidad y el cumplimiento de la normativa vigente, incluyendo la Resolución 7298 de 2023 y la Ley 1581 de 2012 sobre protección de datos personales.
Su responsabilidad es actuar en coherencia con las políticas establecidas por la universidad asegurando que la información sensible solo sea manejada por los canales y mecanismos autorizados, y reportando cualquier posible incidente al Equipo Funcional de Seguridad de la GPIT y CSIRT Académico UNAD.
Reto — Políticas del SGSI (Resolución 7298 de 2023)
0/5 respondidas En progreso
1) En el caso, el envío de un archivo con información personal por un canal no autorizado vulnera principalmente la política que regula:
Retroalimentación: Capítulo V – De la Transferencia e Intercambio de Información, Art. 15 y Art. 16: la transferencia debe usar medios que garanticen disponibilidad, confidencialidad e integridad; evita canales no autorizados y respeta protección de datos personales.
2) La manipulación de datos personales sin garantizar la confidencialidad y el cumplimiento normativo afecta la política que regula:
Retroalimentación: Disposiciones Generales, Art. 3 literal o (Dato sensible/vulnerable) y literal q (Dato personal): el tratamiento de datos personales y sensibles exige medidas de seguridad, confidencialidad y cumplimiento de la Ley 1581 de 2012.
3) Si la información sensible del caso se compartiera con un proveedor externo, sería obligatorio cumplir lo establecido en la política sobre:
Retroalimentación: Capítulo V – De la Transferencia e Intercambio de Información, Art. 16, Parágrafo 3: si se comparte información sensible con un proveedor, debe haber acuerdo de confidencialidad y, tratándose de datos personales, autorización expresa del titular.
4) Para prevenir que se comparta información sin autorización, se debe reforzar la política que establece que las credenciales y accesos son:
Retroalimentación: Capítulo III – Del Control de Acceso Lógico, Art. 12, Parágrafo 1: las credenciales institucionales son de uso exclusivo, único e intransferible. Cada usuario es responsable de su custodia y uso.
5) Ante la sospecha de divulgación no autorizada de información, el procedimiento a seguir está definido en la política sobre:
Retroalimentación: Capítulo XI – De la Gestión de Incidentes de Seguridad de la Información, Art. 48: cualquier usuario debe reportar de inmediato a la GPIT todo evento que afecte disponibilidad, confidencialidad, integridad, trazabilidad o autenticidad de los activos de información.
