Seguridad de la

Información

Riesgo Corporativo y
Cumplimiento

Abril de 2024
 Protección de Datos Personales
¿Qué es un Dato Personal?
Un dato personal Cualquier información vinculada o Francisco Perez
que pueda asociarse a una o varias personas naturales pachito.perez@kmail.com
determinadas o determinables.
Tratamiento: Cualquier operación o conjunto de
operaciones sobre datos personales, tales como la
recolección, almacenamiento, uso, circulación o
supresión.

Titular Responsable Encargado

Persona natural cuyos
datos personales son
objeto del tratamiento.
Persona Natural o jurídica, que por
sí misma o en asocio con otros,
decida sobre la base de datos y/o
Tratamiento de los datos.
Persona natural, jurídica, pública o
privada que realice el tratamiento
de datos personales por cuenta del
Responsable.
El tratamiento de los datos personales de
niños, niñas y adolescentes tienen
requisitos especiales, de acuerdo con el
Artículo 12 del decreto 1377 de 2013.

La ley 1581 de 2012 de Protección de Datos Personales.

 Protección de Datos Personales

¿Cuál es el origen de la Ley 1581 de 2012?

Artículo 15 CPC:
“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen
nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho
a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
los bancos de datos y en archivos de entidades públicas y privadas…”
Artículo 20 CPC:
“Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y
opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios
masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza
el derecho a la rectificación en condiciones de equidad. No habrá censura.”
 Derechos y Deberes

Deberes del Responsable del Tratamiento
✓ Autorización del titular.
✓ Calidad de la información.
✓ Seguridad de la información.
✓ Informar el tratamiento que se da a los datos
personales y su respectiva finalidad.
✓ Garantizar al titular, en todo tiempo, el pleno y efectivo
ejercicio de su derecho de habeas data y tramitar las
consultas y reclamos presentados en los términos
señalados en la ley.
Deberes de los Encargados del Tratamiento
✓ Calidad de la información.
✓ Seguridad de la información
✓ Confidencialidad
✓ Debe garantizar al titular, en todo tiempo, el
pleno y efectivo ejercicio de su derecho de
habeas data y tramitar las consultas y reclamos
presentados, en los términos señalados en la
ley.

El Titular del dato tiene derecho a:

✓ Conocer, actualizar y rectificar sus datos personales.
✓ Solicitar prueba de la autorización al responsable.
✓ Presentar quejas ante la SIC.
✓ Ser informado respecto del uso de los datos.
✓ Acceder en forma gratuita a sus datos personales.
✓ Revocar la autorización y/o solicitar la supresión del dato.
 Clasificación de los Datos Personales

Privados
✓ Datos de ubicación personal: domicilio, teléfono,
Semiprivado correo electrónico.
✓ Datos financieros y ✓ Datos de acceso a sistemas: claves, usuarios,
crediticios perfiles.
✓ Socioeconómicos-Estrato ✓ Datos sobre gustos: deportivos, ocio,
✓ Bienes muebles e inmueble,
gastronómicos, turismo, moda, etc.
etc.

Sensibles
Públicos
✓ 03 ✓ Datos biométricos: huella, ADN, iris,
✓
Nombres, Apellidos
Tipo de identificación 02 ✓
geometría facial.
Datos morfológicos: color de ojos, piel,
✓ Estado civil
señas particulares.
✓ Nivel educativo
✓ ✓ Datos de salud.
Historia laboral, etc.
04 ✓ Pertenencia a sindicatos, organizaciones
01 DATOS
✓
sociales, religiosas o políticas.
Origen étnico-racial
PERSONALES ✓ Antecedentes judiciales y/o
disciplinarios, etc.
 Protección de Datos Personales
¿Cuáles son los principios de esta Ley?
a) Principio de legalidad: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse
a lo establecido en ella y en las demás disposiciones que la desarrollen.
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la
Ley, la cual debe ser informada al Titular.
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado
del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia
de mandato legal o judicial que releve el consentimiento.
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta,
actualizada, comprobable y comprensible.
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable
del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la
existencia de datos que le conciernan.
f) Principio de acceso y circulación restringida: …el Tratamiento sólo podrá hacerse por personas autorizadas por
el Titular y/o por las personas previstas en la presente ley.
g) Principio de seguridad: …se deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no
tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de
finalizada su relación con alguna de las labores que comprende el Tratamiento
 Protección de Datos Personales

¿Cómo se autoriza el tratamiento?

“El Responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el
momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos
e informarle los datos personales que serán recolectados así como todas las finalidades específicas
del Tratamiento para las cuales se obtiene el consentimiento”

La autorización podrá recolectarse de tres formas:

1. Por escrito
2. De forma oral
3. Mediante conductas inequívocas

*Siempre se deberá conservar evidencia de la autorización

 Riesgos por incumplimiento

✓ Recolectar datos sin cumplir con la NORMA.

✓ No dejar las pruebas de esa autorización.
✓ Compartir los datos que hemos recolectado – WhatsApp .
✓ Recolectar los datos con una finalidad y utilizarlas para otras que no tienen
autorización.
✓ Descargar las bases de datos al computador personal.

Régimen sancionatorio
Las multas pueden ser de carácter personal e institucional hasta de 2.000 SMLMV.
Personas Jurídicas y
Suspensión de las actividades relacionadas con el tratamiento de datos hasta por seis
meses. Personas Naturales
Cierre temporal de las operaciones si no se adoptan los correctivos.
Cierre inmediato y definitivo de la operación que involucre el tratamiento de datos
sensibles.
 ¿Cuáles son los riesgos más comunes?

1. Error humano: En toda actividad en la que intervienen las personas existe el riesgo de cometer
errores, por ejemplo, en la digitación de datos de contacto, el simple cambio en un dígito de un
celular o una letra de un correo hace la diferencia entre contactar a la persona adecuada.
2. Uso de datos personales sin autorización del titular: Solo se deben tratar datos de los cuales
el titular ha autorizado su tratamiento.
3. Contacto con clientes sin autorización o incumpliendo la Ley: Recuerden que existen
diferentes leyes, entre ellas la Ley 2300 de 2023 “Ley dejen de fregar”
4. Alteración o robo intencional de la información: En muchas ocasiones, personas
malintencionadas alteran o roban datos personales para afectar a una persona o a una
organización.
5. Ingeniería Social: Es una técnica muy utilizada por los ciberdelincuentes para obtener
información sensible como daos médicos, datos de contacto o credenciales de acceso.
6. Ransomware: Es un tipo de malware con la capacidad de afectar un gran volumen de datos
intentando obtener dinero para devolver la información y en algunos casos, como soborno para no
publicar los datos obtenidos.
 Responsabilidades

Todas las personas, independientemente de su función (incluso a nivel personal), administra datos
personales, por eso es importante:

• Identifica las actividades en las que utilizas datos personales de clientes, afiliados e incluso familiares o amigos y
trátalos acorde con la Ley. Por ejemplo, no debes compartir información con otras personas sin autorización. En
el entorno laboral, tratar datos personales sin autorización, compartirlos o facilitar un fraude es un delito (Artículo
269F, Ley de delitos informáticos1273 de 2009)

• Asegurar la calidad de los datos en cada operación que realices. Un simple error de digitación puede hacer la
diferencia al momento de contactar a la persona adecuada.

• Tratar los datos solo para las finalidades autorizadas por el titular. En un entorno laboral ten presente cumplir los
protocolos y procedimientos establecidos, así aseguras estar haciendo lo correcto. En lo personal, recuerda que
la información que has recolectado debe ser protegida y solo compartirla con la autorización del titular.

• Reporta a los responsables las actividades las que identificas fallas en el manejo de los datos personales,
especialmente cuando se trata de información de niños, niñas y adolescentes, datos privados o datos sensibles.
Ejemplos
Ejemplos
Ejemplos
Ejemplos
 Seguridad de la Información Vs. Ciberseguridad

Seguridad de la Información Ciberseguridad

Conjunto de políticas, estrategias, Se enfoca en proteger los activos de
metodologías, recursos, soluciones información Digital que viajan través del
informáticas, prácticas y competencias para Ciberespacio o sistemas interconectados.
proteger, asegurar y preservar la Todos aquellos que tengan una dirección IP.
confidencialidad, integridad y disponibilidad de
la información que se almacene, reproduzca o
procese en los sistemas informáticos de la
entidad.

- Información (Física o digital)

- Software
- Hardware
- Personas
 Principios y riesgos de la seguridad de la información

Principios Escenarios de riesgos

Confidencialidad Divulgación de información no
Mantener la información y recursos sensibles
autorizada.
en secreto o con acceso restringido, para que Modificación de de datos o de
solos las personas y personas autorizadas
puedan consultarla. información, por una persona no
autorizada.
Phishing y ataques de ingeniería
Integridad
social: Uso de las cuentas para
Mantener los datos y recursos
confiables, sin modificaciones intentar engañar a los destinatarios.
no autorizadas.
Información completa y veraz. Bloqueo de cuentas por envío masivo
de mensajes
Falta de acceso al repositorio
corporativo
Cumplimiento normativo
Disponibilidad
Mantener los datos y recursos disponibles para
ser usados con los usuarios con permisos de
acceso requieran consultarlos.
Malware más comunes
Ejemplos reales

48% 9915 52%

Ejemplos reales

48% 9915 52%

Ejemplos
 Cifras

“85% De las empresas que

utilizan escritorio remoto
son vulnerables a
ciberataques”
 Cifras

“En 2023, los pagos realizados

por Ransomware superaron la
marca de los mil millones de
dólares, la cifra más alta
jamás observada”
Cifras
 La llave de entrada son las contraseñas…

Cuando los de Seguridad de la

Información me dicen que la
contraseña…

• Debe tener mayúsculas

• Debe tener minúsculas
• Debe tener números
• Debe tener caracteres especiales
• Mínimo 12 caracteres
• No utilizar la misma en todas mis cuentas
• No compartirla con nadie
• No dejarla escrita en un lugar visible
• La debo cambiar con regularidad
 La llave de entrada son las contraseñas…

Lo que recordamos…

… Se escriben con inicial

mayúscula los nombres propios
(o específicos) y las palabras que
siguen a un punto…

Lo que escribimos…

Empresa2024* Febrero2024#
Colombia24/ Bogota2024+
Mimascota02* Mihij@1993.

 Los ciberdelincuentes……..
 Crea contraseñas robustas
❖ Los usuarios y contraseñas son de uso personal e intransferible.
❖ El correcto manejo de estas credenciales son responsabilidad del colaborador a quien le fueron asignadas.
❖ Crea contraseñas robustas, que incluyan letras mayúsculas y minúsculas, números y caracteres especiales.
❖ No compartas las contraseñas con nadie (amigos, compañeros de trabajo, pareja, familiares).
❖ No utilices la misma contraseña en diferentes servicios (redes sociales, entidades bancarias, correos).
❖ Cambie sus contraseñas de manera periódica.

Utiliza alguna regla mnemotécnica para recordarlas. Por ejemplo, a

partir de una frase:
Frase: Día de oportunidad
Contraseña: d1@SdeS0p0rtun1d@d

Usando el nombre de un libro o película

Libro: La rebelión de las ratas Contraseña: lAr3veL!oN
Película: La vida es bella Contraseña: veLLa+ES+14+Bid@