Estudio de medidas de seguridad en el tratamiento de Datos Personales by Superintendencia de Industria y Comercio

ESTUDIO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES A marzo 31 de 2023 Delegatura para la Protección de Datos Personales Dirección de Investigaciones de Protección de Datos Personales Grupo de Investigaciones Administrativas

ESTUDIO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES A marzo 31 de 2023

Delegatura para la Protección de Datos Personales Dirección de Investigaciones de Protección de Datos Personales Grupo de Investigaciones Administrativas Fuente de datos: Registro Nacional de Bases de Datos (RNBD) - SIC Elaboró: Aída Lucía Hurtado Bejarano Carolina Gutiérrez Granados Beatriz Joanna Jojoa Bolaños Gráﬁcas: José Alexander González Tamayo. Revisó: Aída Lucía Hurtado Bejarano y Alejandro Londoño Congote Aprobó: Cielo Ángela Peña Rodríguez

TABLA DE CONTENIDO Pág. INTRODUCCIÓN .....................................................................................................................................................................1 RESUMEN Y PRINCIPALES RESULTADOS .....................................................................................................................2 I. ESTUDIO DE SEGURIDAD A PARTIR DE LA INFORMACIÓN REPORTADA AL RNBD CON CORTE A 31 DE MARZO DE 2023......................................................................................................................8 RESPUESTAS POR PREGUNTA .........................................................................................................................................8 1.1 TODAS LAS PREGUNTAS.............................................................................................................................................8 1.2 SEGURIDAD DE LA INFORMACIÓN PERSONAL ...............................................................................................9 1.2.1 ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? .................................................................................................................................................................. 10 1.2.2 ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal?........................................................................................................ 11 1.2.3 ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal....................................................................................................................... 11 1.2.4 ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal?................................................................................................................................. 12 1.2.5 ¿Tiene un documento de seguridad de la información personal o general aprobado? ..................13 1.3 SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO ................13 1.4 CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL .........................................................................14 1.4.1 ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?......................................................................................................................................................................15 1.4.2 ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible? ...................................................................................15 1.4.3 ¿Tiene una política implementada de copia de respaldo de la información personal? ...................16 1.4.4 ¿Ha implementado una política de protección para el acceso remoto a la información personal?......................................................................................................................................................................16 1.4.5 ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?..............................................................................................17 1.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL ..........................................................18 1.5.1 ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal?...............................19 1.5.2 ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? .....................................................................................................................19 1.5.3 ¿Las bases de datos con información personal poseen Monitoreo de consulta? .............................20 1.5.4 ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información pernsonal.......................................................20

1.6 PROCESAMIENTO DE INFORMACIÓN PERSONAL .......................................................................................21 1.6.1 ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad,uso, etc.?............................................................................................................................22 1.6.2 ¿Cuenta con un control de seguridad de información para la validación de datos de salida?..........................................................................................................................................................................22 1.6.3 ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal? ...................................................23 1.6.4 ¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)? ..........................................................................................23 1.6.5 ¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?.....................................................................................................................................................24 1.7 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL .............................24 1.7.1 ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados? .......................................................................................25 1.7.2 ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguri dad de la información personal?.........................................................................................................................26 1.8 AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL ........................................................26 1.8.1 ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base dedatos?.......................................................................................................................................................................27 1.8.2 ¿Tiene una política de auditorías de seguridad de la información personal? .....................................27 1.9 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 28 1.9.1 ¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personles?....................................................................................................................................................................29 1.9.2 ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?.........................................................................................................29 1.10 RESUMEN POR ÍTEM.................................................................................................................................................30 1.11 NIVEL DE IMPLEMENTACIÓN (% DE RESPUESTAS AFIRMATIVAS) ...................................................31 1.12 RESPUESTAS POSITIVAS .......................................................................................................................................32 2 COMPORTAMIENTO POR REGIONES ...................................................................................................................33 2.1 REGIÓN ANDINA ........................................................................................................................................................34 2.2 REGIÓN ORINOQUÍA Y AMAZONÍA ....................................................................................................................35 2.3 REGIÓN PACÍFICA ......................................................................................................................................................36 2.4 REGIÓN CARIBE E INSULAR ..................................................................................................................................36 CONCLUSIONES ..................................................................................................................................................................37

INTRODUCCIÓN De acuerdo con lo que establece la Ley colombiana, frente a la protección de los datos personales, todas las empresas y entidades públicas están obligadas a implementar las “medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” y a “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” . Adicionalmente, “deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” . Así las cosas, la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023, fecha en que venció el plazo para la actualización de las mismas, la cual se debe realizar anualmente, sirve de insumo para realizar un análisis frente al cumplimiento de este deber de proteger los datos personales con la seguridad necesaria, dependiendo del nivel de riesgo identificado, de acuerdo con el tipo de Tratamiento, la criticidad de los datos, la cantidad de datos tratados, medios tecnológicos, entre otros. El objetivo de este estudio es entregar un panorama general de las medidas de seguridad implementadas por las entidades públicas y las empresas cuyos activos superan las 100.000 Unidades de Valor Tributario. Lo anterior, conforme al ámbito de aplicación del Registro Nacional de Bases de Datos (en adelante RNBD), con el propósito de concientizar y sensibilizar, tanto a Responsables como a Encargados e incluso a los mismos titulares, para que, mediante el conocimiento de las debilidades en la implementación de medidas de seguridad en el Tratamiento de datos personales, apropiadas y efectivas, haya una reflexión sobre su propia responsabilidad, desde su papel en el proceso del Tratamiento, en el cuidado, no solo por cumplimiento, sino por el respeto, el compromiso y la confianza que se generan a partir de una protección adecuada de los datos personales.

1 Cfr. Literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012 2 Cfr. Literal d) del artículo 17 de la Ley Estatutaria 1581 de 2012 3 Cfr. Artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015) 4 Cabe anotar que sólo se tomó la información de los registros de bases de datos de los Responsables obligados a realizar la inscripción en el RNBD, de acuerdo con el Decreto 090 de 2018, ya que existen varios Responsables registrados con anterioridad que luego del Decreto no están obligados a realizar dicho reporte y otros, que a pesar de que se registraron en el sistema, no registraron bases de datos, por lo tanto no se cuenta con la información relacionada con la seguridad de la información de estos Responsables.

RESUMEN Y PRINCIPALES RESULTADOS La Superintendencia de Industria y Comercio (en adelante SIC) preparó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización Responsable del Tratamiento (empresa o entidad pública), dependiendo del tipo de base de datos y Tratamiento realizado, solo debía manifestar SI o No a las realizadas, según si cuenta o no con la medida implementada. Esta SIC ha venido generando el estudio de esta información sobre las medidas de seguridad que los responsables han manifestado haber implementado desde el año 2019, 2020, 2021 y en este estudio se reﬂeja el análisis comparativo de esos años anteriores hasta la actualización que debían hacer los Responsables a 31 de marzo de 2023 para tener información actualizada de las últimas medidas implementadas durante la vigencia 2022 y hasta la fecha de corte indicada. Para este estudio, se tomó la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%). A continuación, se presenta un análisis comparativo de los resultados del estudio de cada año:

Número evaluadas

organizaciones

No tienen una política de protección para acceso remoto a la información personal No cuenta con mecanismos de monitoreo de consulta de las bases de datos No ha implementado un procedimiento de auditoría de los sistemas de información No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos

2019

2020

2021

Marzo 20235

32.763

33.596

33.169

34.402

88%

72.7%

69.6%

66.5%

84%

69.3%

66.2%

63.6%

83%

71.3%

68.4%

64.9%

82%

67.5%

64.3%

61.0%

5 En el presente estudio se evidencia el trabajo realizado por las entidades públicas y empresas en el 2022 pero reportado con cohorte de marzo del 2023. 2

No ha implementado medidas especiales para proteger datos sensibles No ha implementado una política de seguridad para el intercambio físico o electrónico de datos No tiene política de auditoría de seguridad de la información

2019

2020

2021

Marzo 20235

79%

61.3%

58.0%

54.6%

76%

66.1%

62.7%

58.9%

72%

63.6%

60.5%

56.3%

No tiene controles de seguridad en la tercerización de servicios para el Tratamiento de datos No implementa medidas apropiadas y efectivas de seguridad

71%

61%

57.5%

54.0%

66%

50.7%

49.4%

No cuenta con herramientas de gestión de riesgos

63%

49.9%

46.6%

42,3%

62%

52.6%

49.0%

44.3%

75.09%

62.36%

59.41%

55,98%

No tiene políticas y procedimientos de gestión de incidentes de seguridad Promedio de incumplimiento respecto de los ítems evaluados

Tabla No. 1. Análisis comparativo de las debilidades en medidas de seguridad.

En términos generales, de 2019 a 2020 mejoró en un 16,95% el nivel promedio de implementación de medidas de seguridad, de 2020 a 2021 mejoró en un 4,73% el nivel promedio de implementación de medidas de seguridad, de 2021 a marzo de 2023 mejoró un 5,74%. No obstante, persiste un alto nivel de incumplimiento (56%) respecto de los ítems comparados en la tabla No. 1. En todo caso, se destacan los siguientes aspectos en los que incrementó signiﬁcativamente el porcentaje de implementación de 2020 frente a 2019. • Incorporación de medidas apropiadas y efectivas de seguridad: +23,18% • Adopción de medidas especiales para proteger datos sensibles: +22,41% • Implementación de herramientas de gestión de datos: +20,79% • Implementación de un sistema de gestión de seguridad o un programa integral de ges tión de datos: +17,68% Los siguientes fueron los aspectos, a pesar de que mejoraron, fueron de menor cumplimiento durante 2020: • No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: +13,03% 3

• No tiene política de auditoría de seguridad de la información: +11,67% Casi todos los aspectos incrementaron el nivel de implementación de 2021 frente a 2020. • Creación de políticas y procedimientos de gestión de incidentes de seguridad: +6,84% • Uso de herramientas de gestión de datos: +6,61% • Implementación de controles de seguridad en la tercerización de servicios para el Tratamiento de datos: +5,74% • Implementación de medidas especiales para proteger datos sensibles: +5,38% • Implementación de una política de seguridad para el intercambio físico o electrónico de datos: +5,14% • Creación de una política de auditoría de seguridad de la información: +4,87% • Implementación de un sistema de gestión de seguridad o un programa integral de gestión de datos: +4,74% • Uso de mecanismos de monitoreo de consulta de las bases de datos: +4,47% • Creación de una política de protección para acceso remoto a la información personal: +4,26% • Implementación de un procedimiento de auditoría de los sistemas de información: +4,07% • En el uso de medidas apropiadas y efectivas de seguridad, se mantuvo en el mismo porcentaje de cumplimiento. Para todas las medidas de seguridad, hubo un aumento en la implementación conforme a la información reportada con corte a marzo de 2023 frente a 2021 en el siguiente orden: • No tiene políticas y procedimientos de gestión de incidentes de seguridad: +9,59% • No cuenta con herramientas de gestión de riesgos: +9,23% • No tiene política de auditoría de seguridad de la información: +6,94% • No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: +6,06% • No ha implementado un procedimiento de auditoría de los sistemas de información: +5,12% • No tiene controles de seguridad en la tercerización de servicios para el Tratamiento de datos: +6,09% • No ha implementado medidas especiales para proteger datos sensibles: +5,86% • No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos: +5,13% • No tienen una política de protección para acceso remoto a la información personal: +4,45% • No cuenta con mecanismos de monitoreo de consulta de las bases de datos: +3,93% • No implementa medidas apropiadas y efectivas de seguridad: +2,56% • Promedio de incumplimiento respecto de los ítems evaluados: +5,77% Respecto de los datos suministrados hasta el 31 de marzo de 2023, se concluye lo siguiente de las respuestas de las 34.402 empresas y entidades públicas.

PRIMERO: En promedio, tan solo el 36,35% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 63,65% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. 33.564 (97,52%) de las organizaciones manifestaron haber adoptado al menos parte de los requerimientos de seguridad de la SIC, mientras que 854 (2,48%) afirmaron no haber hecho nada respecto de lo preguntado por la SIC. SEGUNDO: El 54,6% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible. TERCERO: El 66,5% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 64,9% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales. CUARTO: El 61% de los Responsables del Tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 42,3% no usa herramientas de gestión de riesgos en el Tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. QUINTO: El 54% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal. Se destaca que de ese 54%, tanto en el sector público como el privado, el 46,9% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales. A continuación, se presentan las preguntas formuladas por bloques temáticos y se muestran los resultados positivos, es decir, el promedio de empresas u organizaciones que manifestaron SI frente a cada pregunta. I.

SEGURIDAD DE LA INFORMACIÓN PERSONAL: 65,14% SI ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal? ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal? ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal? ¿Tiene un documento de seguridad de la información personal o general aprobado?

59,3% 68,6% 74,8% 45,9% 77,1%

II.

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO: 75,4% SI ¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez ﬁnalizado el contrato laboral?

III.

75,4%

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL: 57,5% SI ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal? ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible? ¿Tiene una política implementada de copia de respaldo de la información personal? ¿Ha implementado una política de protección para el acceso remoto a la información personal? ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?

IV.

61,2% 45,2% 70,1% 33,4% 77,6%

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL: 41,7% SI ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal? ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? ¿Las bases de datos con información personal poseen Monitoreo de consulta? ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información personal?

58,9% 34,9% 36,4% 36,6%

PROCESAMIENTO DE INFORMACIÓN PERSONAL: 48,3% SI ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?

49,4%

SI ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?

49,4%

¿Cuenta con un control de seguridad de información para la validación de datos de salida?

43%

¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?

40,6%

¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)?

56,2%

¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?

67,1%

VI.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL: 48,3% SI ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados? ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?

VII.

41,5% 55,1%

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL: 40,5% SI

¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?

37,7%

¿Tiene una política de auditorías de seguridad de la información personal?

55,1%

VIII.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: 48,3% SI

¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personales?

57,5%

¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?

39% 7

ESTUDIO DE SEGURIDAD A PARTIR DE LA INFORMACIÓN REPORTADA AL RNBD CON CORTE A 31 DE MARZO DE 2023

A continuación, se detallan los resultados sobre cada pregunta y se comparan teniendo en cuenta si se trata de entidades privadas o del sector público: Se reitera que el presente estudio está basado en las respuestas entregadas por cada uno de los Responsables del Tratamiento de datos personales inscritos en el Registro Nacional de Bases de Datos RNBD, desde su inicio en el año 2015 al 31 de marzo de 2023. Las conclusiones surgen de la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%).Cabe anotar que sólo se tomó la información de los registros de bases de datos de los Responsables obligados a realizar la inscripción en el RNBD, de acuerdo con el Decreto 090 de 2018, ya que existen varios Responsables registrados con anterioridad que luego del Decreto no están obligados a realizar dicho reporte, y otros, que a pesar de que se registraron en el sistema, no registraron bases de datos, por lo tanto no se cuenta con la información relacionada con la seguridad de la información implementada por estos Responsables. Se realizaron diferentes ﬁltros de acuerdo con las respuestas aﬁrmativas o negativas según el ítem en estudio, separando los universos de Entidades Públicas y las demás que incluyen: Privadas, ESAL (Entidades Sin Ánimo de Lucro) y Mixtas.

RESPUESTAS POR PREGUNTA

1.1

TODAS LAS PREGUNTAS

En este ítem se analiza la totalidad de las respuestas al cuestionario de seguridad presentado en el RNBD que los Sujetos obligados del sector público y del privado, manifestaron, bien con todas las respuestas positivas o con todas ellas sin ninguna respuesta. Universo

34.402

Universo

34.402

Universo

34.402

PREGUNTA

TOTAL SI

TOTAL NO

Cant.

TODAS LAS PREGUNTAS

4.150

12,1%

854

2,5%

209

11,3%

4,7%

3.941

12,1%

768

2,4%

Se puede observar que tan solo el 11,3% de las Entidades Públicas y el 12,1% de las Sociedades Privadas, ESALES y Mixtas contestaron al 100% de las preguntas de manera afirmativa. 8

Así mismo, se observa que el 4,7% de las organizaciones públicas registradas correspondiente a 86 entidades, no respondieron de manera positiva a ninguna de las preguntas del cuestionario de seguridad, de la misma forma el 2,4% de las sociedades privadas, ESALES y Mixtas que corresponde a 768 registrados no lo hicieron, el resto han implementado algunos de los controles expuestos en las preguntas de seguridad presentadas por el RNBD.

1.2

SEGURIDAD DE LA INFORMACIÓN PERSONAL

Las preguntas de este ítem hacen referencia a los controles básicos relacionados directamente con la seguridad que requiere el Tratamiento de la información personal. 34.402

Universo

1.843

Públicas

1.843

Privadas

PREGUNTA

TOTAL SI

TOTAL NO

Cant.

SEGURIDAD DE LA INFORMACION PERSONAL

11.779

34,3%

1.892

5,5%

543

29,5%

219

11,9%

11.330

34,8%

1.660

5,1%

¿Ha realizado la documentación de procesos en torno a laseguridad de la información personal?

20.400 59,3%

10.002

40,7%

1.002

54,4%

841

45,6%

19.372

59,5%

13.187

40,5%

¿Tiene procedimientos de asignación de responsabilidades y aurorizacionesen el tratamiento de la información personal?

23.634

68,7%

10.768

31,4%

1.039

56,4%

804

43,6%

22.563

69,3%

9.996

30,7%

¿Ha implementado acuerdos de la confidencialidad con las personas que tienen acceso la información personal?

25.732

74,8%

8.670

25,2%

1.065

57,8

778

42,2%

24.679

75,8%

7.880

24,3%

¿Tiene controles de seguridaden la tercerización de servicios para el tratamiento de la información personal?

15.859

46,1%

18.543

54,0%

803

43,6%

1.040

56,4%

14.977

46,0%

17.582

54,0%

¿Tiene documento de seguridad de la información personal o general aprobado?

26.523

77,1%

7.879

22,9%

1.354

73,5%

489

26,5%

25.168

77,3%

7.391

22,7%

Los resultados se presentan por cada pregunta de manera independiente, sin embargo, en el ítem principal se encuentran aquellos Responsables que tienen o no implementados la totalidad de los controles planteados en las preguntas relacionadas con este ítem, evidenciando que tan solo el 29,5% del sector público y el 34,8% del privado respondieron haber implementado todos los controles. 9

De forma similar el 11,9% de las entidades públicas y el 5,1% de las sociedades privadas, ESAL y Mixtas, manifestaron no haber implementado ningún control al respecto de seguridad en el Tratamiento de la información personal. El resto lo ha hecho de manera parcial, es decir que han efectuado al menos uno de los controles deﬁnidos en las preguntas de este ítem.

1.2.1 ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? Universo

34.402

Públicas

1.843

Públicas

32.559

TOTAL SI

TOTAL NO

Cant.

11.799

34,3%

1.892

5,5%

543

29,5%

219

11,9%

11.330

34,8%

1.660

5,1%

¿Ha realizado documentación de procesos en torno a la seguridad de la información personal?

20.400 59,3%

14.002

41,7%

1.002

54,4%

841

45,6%

19.372

59,5%

13.187

40,5%

¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información personal ?

23.634

68,7%

10.768

31,4%

1.039

56,4%

804

43,6%

22.563

69,3%

9.996

30,7%

¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal ?

25.732

74,8%

8.670

25,2%

1.065

57,8%

778

42,2%

24.679

75,8%

7.880

24,3%

¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal ?

15.859

46,1%

18.543

54,0%

803

43,6%

1.1.040

56,4%

14.977

46,0%

17.582

54,0%

¿Tiene un documento de seguridad de la información personal o general aprobado?

26.523

77,1%

7.879

22,9%

1.354

73,5%

489

26,5%

25.168

77,3%

7.391

22,7%

PREGUNTA SEGURIDAD DE LA INFORMACIÓN PERSONAL

Se observa que de manera general un 59,3% de todos los sujetos obligados tienen un documento relacionado con la seguridad en los procesos que involucran datos personales. 10

1.2.2 ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

23.634

68,7%

10.768

31,4%

1.039

56,4%

804

43,6%

22.563

69,3%

9.996

30,7%

Esta pregunta reﬂeja cómo el 56,4% de las Entidades públicas y el 69,3% de las organizaciones privadas han documentado de alguna manera, quién tiene la responsabilidad en cuanto al Tratamiento de datos personales en cada uno de los pasos de los procesos y/o procedimientos relacionados con dicho Tratamiento, mientras el 31,4% de manera general no han implementado este control.

1.2.3 ¿Ha implementado acuerdos de conﬁdencialidad con las personas que tienen acceso a la información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

25.732

74,8%

8.670

25,2%

1.065

57,8%

778

42,2%

24.679

75,8%

7.880

24,3%

Se puede observar cómo el 57,8% y 75,8% de las Entidades del sector público y privados respectivamente, han implementado un control relacionado con el principio de Conﬁdencialidad contemplado por la Ley 1581 de 2012, que indica que todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de ﬁnalizada su relación con alguna de las labores que comprende el Tratamiento.

1.2.4 ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

15.859

46,1%

18.543

54,0%

803

43,6%

1.040

56,4%

14.977

46,0%

17.582

54,0%

Se observa que tan solo en promedio el 43,6% y 46% de los Responsables del Tratamiento de datos personales, tanto del sector público como privado maniﬁestan haber implementado controles de seguridad en los procesos o Tratamiento de datos que se realizan a través de terceros ajenos a la organización, que corresponden a Encargados del Tratamiento de datos personales. Del 54% que no han implementado algún control al respecto de la tercerización, tanto en el sector público como el privado, llama la atención que el 45.7% frente al universo de las entidades públicas que corresponde a 843 entidades, corresponde al 81,1% de quienes no tienen ninguna medida respecto de tercerización y del 54% del total de privados, el 86,8% es decir 15.259 sociedades privadas (ESAL, sociedades o Mixtas) que corresponde al de quienes no tienen ningún control para terceros, manifestaron tener Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.

Públicas sin control encargados de Tratamiento

TOTAL

Vs Sin Control

Vs Públicas

Vs Universo

TOTAL

Vs Sin Control

Vs Públicas

Vs Universo

843

81,1%

45,7%

2,4%

15.259

86,8%

46,8%

44,3%

1.2.5 ¿Tiene un documento de seguridad de la información personal o general aprobado? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

26.523

71,1%

7.879

22,9%

1.354

73,5%

489

26,5%

25.168

77,3%

7.391

22,7%

Se observa que el 73,5% y el 77,3% de los Responsables del Tratamiento de datos personales, tanto del sector público como del privado, manifestaron tener un documento de seguridad de la información personal que busca tener claridad en los lineamientos y/o políticas administrativas, humanas y técnicas que se deben adoptar por todas las áreas de la organización y cada uno de sus integrantes en el cuidado de los datos personales, con el objeto de cumplir el principio de seguridad a que se reﬁere la Ley 1581 de 2012 que en su Artículo 4, literal g), a saber:

“Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se reﬁere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”

1.3

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO

¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez ﬁnalizado el contrato laboral? En cuanto a controles de seguridad en torno al recurso humano se encuentra que el 35,6% y 24% de las Entidades Públicas y privadas respectivamente no han implementado ningún tipo de seguridad antes y después de ﬁnalizado el vínculo laboral. 13

Universo

34.402

Públicas

1.843

PREGUNTA

TOTAL SI

TOTAL NO

Cant.

SEGURIDAD DE LA INFORMACION PERSONAL EN TORNO AL RECURSO HUMANO

25.939

75,4%

8.463

24,6%

1.186

64,4%

657

35,6%

24.744

76,0%

7.815

24,0%

25.939

75,4%

8.463

24,6%

1.186

64,4%

657

35,6%

24.744

76,0%

7.815

24,0%

¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizadoel contrato laboral?

1.4

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

En este ítem se observa que mientras el 19,5% de las entidades públicas no ha implementado ningún control para evitar el acceso no autorizado a la información personal y garantizar la disponibilidad de la misma, el 10,8% de las sociedades privadas (ESAL, sociedades o Mixtas) tampoco lo ha tenido en cuenta. 34.402

Universo

1.843

Públicas

32.559

Públicas

TOTAL SI

TOTAL NO

Cant.

9.185

26,7%

3.887

11,3%

462

25,1%

359

19,5%

8.725

26,8%

3.516

10,8%

¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?

21.054

61,2%

13.348

38,8%

1.009

54,8%

834

45,2%

20.023

61,5%

12.536

38,5%

¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible?

15.549

45,2%

18.853

54,8%

781

42,4%

1.062

57,6%

14.781

45,4%

17.778

54,6%

¿Tiene una política implementada de copia de resultado de la información personal?

24.115

70,1%

10.287

29,9%

1.124

61,0%

719

39,0%

22.986

70,6%

9.573

29,4%

¿Ha impementado una política de protección para el acceso remoto a la información personal?

11.490

33,4%

22.912

66,6%

580

31,5%

1.263

68,5%

10.907

33,5%

21.652

66,5%

¿Tiene una política de control de acceso a la información peronal, tanto en las instalaciónes fisicas como a nivel tecnológico?

26.695

77,6%

7.707

22,4%

1.308

71,0%

535

29,1%

25.363

77,9%

7.196

22,1%

PREGUNTA CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

Por otra parte, se puede observar que tan solo el 25,1% de las Entidades públicas manifestaron haber implementado la totalidad de los controles de este ítem y de la misma manera el 26,8% de las sociedades privadas contestaron aﬁrmativamente a todas las preguntas de este numeral. 14

1.4.1 ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal? De acuerdo con el resultado de la encuesta de seguridad, apenas el 54,8% de las entidades públicas y el 61,5% de las sociedades privadas han implementado un procedimiento para el control de los usuarios que tienen acceso a los datos personales. Esto es definir quién es el responsable de crear los usuarios, autorizaciones, seguridad en cuanto a claves, notificaciones, eliminación, perfiles de acceso, permisos, entre otros. Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

21.054

61,2%

13.348

38,8%

1.009

54,8%

834

45,2%

20.023

61,5%

12.536

38,5%

1.4.2 ¿Ha implementado una política especíﬁca para el acceso a la información personal de las bases de datos con información personal sensible? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

21.054

45,2%

18.853

54,8%

781

42,4%

1.062

57,6%

14.781

45,4%

17.778

54,6%

De acuerdo con la información reportada por los responsables del Tratamiento en el país, apenas el 42,4% de las entidades públicas y 45,4% de las sociedades privadas (Sociedades ESAL- Mixtas) han implementado una política para regular el acceso a la información personal, donde se haga alusión especíﬁcamente al Tratamiento de los datos sensibles. No obstante, para el control relacionado con seguridad en el acceso a las bases de datos con información sensible se encuentra que el 57,6% de las entidades públicas registradas no han implementado ninguna medida de seguridad al respecto y de este porcentaje el 80,7% realiza Tratamiento de datos sensibles. En cuanto a las personas jurídicas de naturaleza privada (ESAL, sociedades o mixtas) el 54,6% no registra ningún tipo de control de seguridad relacionado con el Tratamiento de información sensible y de este resultado el 94,4% realiza Tratamiento de datos sensibles.

1.4.3 ¿Tiene una política implementada de copia de respaldo de la información personal? El 61% de las entidades públicas y el 70,6% de las privadas tiene una política que indique a qué datos se les realiza una copia de seguridad. Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

24.115

70,1%

10.287

29,9%

1.124

61,0%

719

39,0%

22.986

70,6%

9.573

29,4%

1.4.4 ¿Ha implementado una política de protección para el acceso remoto a la información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

11.490

33,4%

22.912

66,6%

580

31,5%

1.263

68,5%

10.907

33,5%

21.652

66,5%

Se observa una mínima implementación, tanto en Personas Jurídicas de naturaleza pública como sociedades privadas, en un 31,5% y 33,5% respectivamente, de medidas de seguridad para garantizar una forma conﬁable de consulta, uso o extracción de la información de manera remota, es decir desde dispositivos que no se encuentren al interior de la organización.

1.4.5 ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?

Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

26.695

77,6%

7.707

22,4%

1.308

71,0%

535

29,1%

25.363

77,9%

7.196

22,1%

Las medidas o controles para regular el acceso a la información personal, tanto en la parte física (a las instalaciones, archivos, datacenter, etc.) como en la parte lógica (software, aplicaciones, usuarios, IP´s, claves, etc.), han sido implementadas en un 71% por entidades públicas y un 77,9% por las sociedades privadas.

1.5

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL 34.402

Universo

1.843

Públicas

32.559

Públicas

TOTAL SI

TOTAL NO

Cant.

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL

7.362

21,4%

11.146

32,4%

352

19,1%

704

38,2%

7.000

21,5%

10.451

32,1%

¿Tiene implementados controles de seguridad de la información durante el mantenimiento (control de cambios) de los sistemas de información personal?

20.228

58,8%

14.174

41.2%

934

50,7%

909

40,3%

19.307

59,3%

13.252

40,7%

¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?

12.006

34,9%

22.396

65,1%

563

30,6%

1.280

69,4%

11.428

35,1%

21.131

64,9%

12.522

36,4%

21.880

63,6%

665

63,1%

1.178

63,9%

11.851

36,4%

20.708

63,6%

12.591

36,6%

21.811

63,4%

610

33,1%

1.233

66,9%

11.981

36,8%

20.578

63,2%

PREGUNTA

¿Las bases de datos con información personal poseen Monitoreo de consulta?

¿Tiene implementado un procedimiento que contemple la definición de especificaciones y registros de seguridad de los sistemas de información personal?

En resumen, el 38,2% y el 32,1% de las entidades públicas y privadas no cuentan con controles para garantizar la seguridad en los sistemas de información. De manera independiente por cada pregunta se visualizan como de mayor inobservancia controles relacionados con: 1) La auditoría de los sistemas de información con el 65,1%, 2) el monitoreo de consultas a la base de datos con el 63,6%, 3) La deﬁnición de las especiﬁcaciones y requisitos de seguridad de los sistemas de información personal con el 63,4%. A continuación, se analizan los resultados por cada pregunta:

1.5.1 ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

20.228

58,8%

14.174

41,2%

934

50,7%

909

49,3%

19.307

59,3%

13.252

40,7%

Los controles sobre la documentación que debe hacerse acerca de los cambios o modiﬁcaciones que requieran los sistemas de información en general o especíﬁcamente aquellos que incluyen el Tratamiento de datos personales, apenas se han implementado por el 50,7% de las entidades públicas y el 59,3% de las sociedades privadas.

1.5.2 ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

12.006

34,9%

22.396

65,1%

563

30,6%

1.280

69,4%

11.428

35,1%

21.131

64,9%

Únicamente, el 34,9% de todos los Responsables que inscribieron sus bases de datos indicaron tener procedimientos que permitan evaluar la eficiencia y suficiencia de los controles implementados a un sistema de información mediante el cual se traten datos personales para evitar su pérdida, uso o acceso no autorizado o fraudulento, de manera que se garantice la disponibilidad, integridad y confidencialidad de los datos personales.

1.5.3 ¿Las bases de datos con información personal poseen Monitoreo de consulta? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

12.522

36,4%

21.880

63,6%

665

36,1%

1.178

36,9%

11.851

36,4%

20.708

63,6%

Se observa que tan solo el 36,1% de las entidades públicas y el 36,4% de las sociedades privadas ha implementado un control que les permita efectuar trazabilidad o seguimiento de cualquier consulta que se realice sobre la base de datos con información personal. Lo cual depende del riesgo a que esté expuesta esta información y la naturaleza de los datos que se estén tratando.

1.5.4 ¿Tiene implementado un procedimiento que contemple la deﬁnición de especiﬁcaciones y requisitos de seguridad de los sistemas de información personal? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

12.591

36,6%

21.811

63,4%

610

33,1%

1.233

66,9%

11.981

36,8%

20.578

% 63,2%

En un porcentaje de 33,1% para entidades públicas y 36,8% de las sociedades privadas, manifestaron haber documentado los pasos y metodología utilizada en la deﬁnición de las necesidades identiﬁcadas antes, durante y posterior al desarrollo de sistemas de información relacionados con el Tratamiento de datos personales, en todo lo concerniente a seguridad de la información en cada una de las etapas del ciclo del dato en el que apoye el sistema de información.

1.6

PROCESAMIENTO DE INFORMACIÓN PERSONAL

Los controles presentados en este ítem permiten proteger la calidad y veracidad de la información personal tratada por los Responsables y/o Encargados del Tratamiento de los mismos. 34.402

Universo

1.843

Públicas

32.559

Públicas

TOTAL SI

TOTAL NO

Cant.

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

9.047

26,3%

6.639

19,3%

372

20,2%

528

28,7%

8.693

26,7%

6.121

18,8%

¿Cuenta con un procedimiento implementadopara la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean concretos y apropiados, como confirmación de típos, formatos, longitudes, pertenencia , calidad, uso, etc ?

14.792

40,6%

15.069

43,8

575

31,2%

1.268

68,8%

13.065

41,1%

19.178

58,9%

¿Cuenta con un control de seguridad de la información para la validación de datos de salida?

14.792

43,0%

19.610

50,6%

729

43,4%

1.044

60,4%

14.065

43,2%

18.494

56,8%

14.792

40,6%

19.610

59,4%

575

31,2%

1.268

68,8%

13.381

41,1%

19.178

58,9%

¿Tiene un procedimiento o control implementado para la disposición final de la información persinal (supresión, archivo destrucción, etc?

19.333

56,2%

15.069

43,8%

812

44,1%

1.031

55,8%

18.526

56,9%

14.033

66,5%

¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?

26.695

77,6%

7.707

22,4%

1.308

71,0%

535

29,1%

25.363

77,9%

7.196

22,1%

PREGUNTA

¿Cuenta con una política implementada para el intercambio fisico o electrónico de datos (como por el ejemplo durante el comercio electronico para la compra y venta de productos o servicios), transporte y/o almacenamento de información personal?

En este caso se observa de manera general que el 19,3% del universo tanto de las entidades públicas y privadas no han implementado ningún tipo de control para garantizar el correcto y adecuado procesamiento de los datos personales. 21

1.6.1 ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como conﬁrmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.? Universo

34.402

SI TOTAL SI 16.994

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

49,4%

17.408

50,6%

799

43,4%

1.044

56,6%

16.181

49,7%

16.378

50,3%

El 43,4% y 49,7% de los responsables públicos y privados respectivamente, manifestaron haber implementado un control relacionado con la veracidad del dato, el cual se debe garantizar desde su recolección, minimizando el riesgo de error o ataques por inyección de código, utilizando técnicas de validación de los datos de entrada y procesamiento, al conﬁrmar tipos, formatos, longitudes, pertinencia, cantidad, uso, entre otros. De manera general el 50,6% de los Responsables no han implementado ninguna medida de seguridad al respecto.

1.6.2 ¿Cuenta con un control de seguridad de información para la validación de datos de salida? Universo

34.402

SI TOTAL SI 14.792

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

43,0%

19.610

57,0%

729

39,6%

1.114

60,4%

14.065

43,2%

18.494

56,8%

El 43% de los Responsables del Tratamiento han implementado un control relacionado con la validación de los datos de salida para garantizar que sean los datos esperados, la pertinencia de la información reportada de acuerdo con la ﬁnalidad, como una manera de controlar la veracidad, calidad, integridad y acceso no autorizado a la información.

1.6.3 ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal? Universo

34.402

SI TOTAL SI 13.967

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

40,6%

20.435

59,4%

575

31,2%

1.268

68,8%

13.381

41,1%

119.178

58,9%

Tan solo el 31,2% y 41,1% de las entidades públicas y de las sociedades privadas, manifestaron haber implementado medidas de seguridad para minimizar los riesgos asociados al intercambio de datos personales bien sea de manera física o electrónica. El 68,8% para las entidades públicas y el 58,9% de las sociedades privadas son uno de los índices más altos de inobservancia reﬂejado en los resultados del estudio.

1.6.4 ¿Tiene un procedimiento o control implementado para la disposición ﬁnal de la información personal (supresión, archivo, destrucción, etc.)? Universo

34.402

SI TOTAL SI 19.333

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

56,2%

15.069

43,8%

812

44,1%

1.031

55,8%

18.526

56,9%

14.033

43,1%

Tan solo el 44,1% de las Entidades Públicas y el 56,9% de las sociedades privadas manifestaron que han implementado controles para garantizar una disposición ﬁnal de la información personal, garantizando que la destrucción o conservación, se haga de manera que nunca se expongan los datos a un uso no autorizado o fraudulento que conlleve a la materialización de un riesgo tanto para el titular como para el Responsable del Tratamiento. Se observa de manera general que el 43,8% de los Responsables no han implementado los controles asociados a una disposición ﬁnal segura de la información personal.

1.6.5 ¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición ﬁnal)? Universo

34.402

SI TOTAL SI 23.049

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

67,0%

11.353

30,0%

1.024

55,6%

819

44,4%

22.042

67,7%

10.517

32,3%

El 55,6% de las entidades públicas y el 67,7% de las privadas han implementado una política de seguridad relacionada con la identiﬁcación de cada uno de los pasos en el proceso del Tratamiento, identiﬁcando el ciclo del dato y en cada etapa, los riesgos asociados.

1.7

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL Universo

34.402

Públicas

1.843

Privadas

1.843

TOTAL SI

TOTAL NO

Cant.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACION PERSONAL

12.625

36,7%

14.421

41,9%

586

31,8%

945

51,3%

12.632

38,8%

13.446

41,3%

¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?

14.242

41,4%

20.160

58,6%

657

35,7%

1.186

64,3%

13.609

41,8%

18.950

58,2%

¿Cuenta con una politíca y procedimientos implementados de gestión de incidentes de seguridad de la información personal ?

18.955

55,1%

15.447

44,9%

825

44,8%

1.018

55,2%

18.135

55,7%

14.424

44,3%

PREGUNTA

En cuanto a los controles para la gestión de incidentes de seguridad de la información personal, que permiten y facilitan detectar, corregir y gestionar las vulnerabilidades, posibles eventos y el impacto por la materialización de los mismos, así como el reporte de los incidentes a autoridades competentes y titulares de la información, se observa que el 51,3% de entidades públicas no han implementado ningún tipo de control relacionado con este ítem y el 41,3% de las personas jurídicas privadas mixtas o ESALES tampoco han implementado medidas al respecto. De manera individual, cada pregunta presenta el siguiente comportamiento:

1.7.1 ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?? 34.402

Universo SI TOTAL SI 14.242

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

41,4%

20.160

58,6%

657

35,7%

1.186

64,3%

13.609

41,8%

18.950

58,2%

Se observa que el 35,7% de las Entidades públicas y el 41,8% de las sociedades privadas, han implementado controles para identiﬁcar oportunidades de mejora que redunden en la prevención de la ocurrencia de otros hechos relacionados con las vulnerabilidades detectadas y los incidentes presentados.

1.7.2 ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal? 34.402

Universo SI TOTAL SI 18.955

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

55,1%

15.447

44,9%

825

44,8%

1.018

55,2%

18.135

55,7%

14.424

44,3%

Tan solo el 44,8% de las entidades públicas y el 55,7% de las sociedades privadas, han implementado políticas y procedimientos que contengan el paso a paso a seguir, una vez se detecte la ocurrencia del incidente, tanto a nivel correctivo como preventivo, determinando tiempos, roles y responsabilidades.

1.8

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 34.402

Universo

1.843

Públicas

1.843

Privadas

TOTAL SI

TOTAL NO

Cant.

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓNPERSONAL

11.696

30,0%

18.267

53,1%

490

26,6%

1.100

59,7%

11.200

34,4%

17.158

52,7%

¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que especificamente le apliquen a la base de datos?

12.969

37,7%

21.433

62,3%

567

30,8%

1.276

69,2%

12.372

38,0%

20.187

62,0%

¿Tiene una política de auditorías de seguridad de la información personal ?

14.861

43,3%

19.541

56,7%

663

36,0%

1.018

34,0%

14.228

43,7%

18.331

56,3%

PREGUNTA

Los resultados muestran una débil cultura en auditoría que existe entre dichos actores tanto en el sector público (26,6%) como en el privado (34,4%).

El comportamiento individual de cada pregunta es el siguiente:

1.8.1 ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que especíﬁcamente le apliquen a la base de datos? 34.402

Universo SI

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

12.969

37,7%

21.433

62,3%

567

30,8%

1.276

69,2%

12.372

38,0%

20.187

62,0%

Se puede observar que tan solo el 30,8% de las entidades públicas y el 38% de las sociedades privadas, mixtas y Esales, indicaron tener implementada una política de auditoría de seguridad de la información personal o en general (de toda la información), que les permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, sobre Tratamiento de datos personales, con el fin de facilitar la verificación de requisitos, políticas y normas que específicamente le apliquen a la base de datos con información personal que trata.

1.8.2 ¿Tiene una política de auditorías de seguridad de la información personal? 34.402

Universo SI TOTAL SI 14.861

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

43,3%

19.541

56,7%

663

36,0%

1.180

64,0%

14.228

43,7%

18.331

56,3%

Se observa también un índice bajo en la implementación de una política de auditoría de seguridad de la información personal o en general (de toda la información), que permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, relacionadas con el Tratamiento de datos personales con el 36% para entidades públicas y 43,7% para las sociedades privadas, Esales y mixtas.

1.9

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Universo

34.402

Públicas

1.843

Privadas

1.843

TOTAL SI

TOTAL NO

Cant.

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

11.731

34,1%

12.935

37,6%

635

34,5%

735

39,9%

11.037

33,9%

12.177

37,4%

¿Tiene implementadas herramientas de gestión de riesgos en el tratamiento de datos personales?

19.781

57,5%

14.621

42,5%

1.011

54,9%

832

45,1%

18.786

57,7%

13.773

42,3%

¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales ?

13.416

39,0%

20.986

61,0%

729

39,6%

1.114

60,0%

12.698

39,0%

19.861

61,0%

PREGUNTA

En este ítem se presentan los controles que permiten mediante cualquier metodología, la combinación de sistemas, controles, instrumentos, para facilitar los procesos de prevención, mitigación y preparación de las capacidades de la organización para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno, durante cada una de las etapas del ciclo del dato y la naturaleza de los mismos, de acuerdo con las necesidades y capacidades organizacionales del Responsable. En términos generales para este ítem, se presenta casualmente el mismo resultado aproximado en la falta de estos controles, tanto a nivel general como al discriminar los sectores, con el 39,9% para el sector público y del 37,4% para el sector privado. 28

En términos particulares, cada pregunta presenta los siguientes resultados:

1.9.1 ¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personales? Universo

34.402

SI TOTAL SI 19.781

Públicas

1.843

Privadas

32.559

TOTAL NO

Cant.

57,5%

14.621

42,5%

1.011

54,9%

832

45,1%

18.786

57,7%

13.773

42,3%

El 54,9% de las entidades públicas (1.011) y el 57,7% de las sociedades privadas (18.786) manifestaron haber implementado herramientas de gestión de riesgo, es decir combinación de sistemas, controles, instrumentos, metodologías, etc., para facilitar los procesos de prevención, mitigación y preparación de las capacidades de la organización para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno durante cada una de las etapas del ciclo del dato personal y la naturaleza de los mismos, las demás, 832 de las entidades públicas registradas y 13.773 de las sociedades, privadas, Esales y mixtas no han implementado ningún control relacionado con la gestión de riesgos.

1.9.2 ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales? Universo

34.402

Públicas

1.843

Privadas

32.559

TOTAL SI

TOTAL NO

Cant.

13.416

39,0%

20.986

61,0%

729

39,6%

1.114

60,4%

12.698

39,0%

19.861

61,0%

729 (39,6%) entidades públicas y 12.698 sociedades privadas (39,0%) manifestaron tener implementado un Sistema de Gestión de Seguridad de la Información o SGSI, como un conjunto de lineamientos y/o políticas administrativas, humanas y técnicas de administración de la información o un Programa Integral de Gestión de Datos Personales PIGDP, implementando las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.

1.10 RESUMEN POR ÍTEM Como se explicó, el resumen por ítem es la respuesta absoluta a todas las preguntas de manera positiva o negativa, es decir, los que respondieron aﬁrmativamente a todas las preguntas del ítem no de manera parcial. Públicas

1.843

PREGUNTA

PARCIAL

Cant. 209

% 41,4%

Cant. 86

% 4,7%

Cant. 1.548

% 84,1%

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

544 490

29,5% 26,6%

220 1.102

11,9% 59,7%

1.081 253

58,6% 13,7%

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

463

25,1%

360

19,5%

1.022

55,4%

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

636

34,5%

737

39,9%

472

25,6%

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL

1189

64,4%

656

35,6%

373

20,2%

529

28,7%

943

51,1%

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL

353

19,1%

704

38,2%

788

42,7%

TODAS LAS PREGUNTAS

SEGURIDAD DE LA INFORMACIÓN PERSONAL

Privadas

32.559

PREGUNTA

PARCIAL

Cant. 3.941

% 12,1%

Cant. 768

% 2,4%

Cant. 27.850

% 85,5%

AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

11.329 11.197

34,8% 34,4%

1.665 17.157

5,1% 52,7%

19.743 4.383

60,1% 12,9%

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

8.736

26,8%

3.529

10,8%

20.472

62,4%

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

11.104

33,9%

12.189

37,4%

9.444

28,7%

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL

24.768

76,0%

7.804

24,0%

8.685

26,7%

6.127

18,8%

17.760

54,5%

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL

7.016

21,5%

10.453

32,1%

15.103

46,4%

TODAS LAS PREGUNTAS

SEGURIDAD DE LA INFORMACIÓN PERSONAL

Universo

34.402

SI Cant. 4.150

% 12,0%

Cant. 854

% 2,5%

PARCIAL Cant. % 29.398 85,5%

11.873 11687

34,3% 34,0%

1.885 18.259

5,5% 53,1%

20.659 4.471

60,2% 12,9%

CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL

9.199

26,7%

3.899

11,3%

21.139

62,0%

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

11.740

34,1%

12.926

37,6%

10.021

28,3%

SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL

25.957

75,4%

8.460

24,6%

26,3%

6.656

19,3%

18.703

54,4%

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL

9.058 7.369

21,4

11.157

32,4%

15.891

46,2%

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

12.638

36,7

14.405

41,9%

7.374

21,4%

PREGUNTA TODAS LAS PREGUNTAS

SEGURIDAD DE LA INFORMACIÓN PERSONAL AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL

En términos generales los controles menos implementados de acuerdo con las respuestas negativas entregadas por los Responsables del Tratamiento de los datos personales en el país, están relacionados con aquellos que proporcionan el autocontrol como 1) Auditorías de Seguridad de la Información Personal con un 59,7% en Entidades Públicas y un 52,7% en el sector privado y 2) Implementar sistemas de gestión que permitan el control y mejora continua en todos los procesos, procedimientos del ciclo de vida del dato con un 39,9% en el sector público y 37,4 en el sector privado. 30

1.11

NIVEL DE IMPLEMENTACIÓN (% DE RESPUESTAS AFIRMATIVAS)

Respuestas positivas, frente a las 26 preguntas en total Total

0 - 25% 26 - 50% 51 - 75% 75 - 100% TOTALES

Públicas

Privadas,ESAL,Mixtas

Universo

34.402

Universo

1.843

Universo

32.559

Cant.

8.958 8.826 5.154 11.464 34.402

26,0% 25,7% 15,0% 33,3% 100,0%

586 504 217 536 1.843

31,8% 27,4% 11,8% 29,0% 100,0%

8.372 8.322 4.937 10.928 32.559

25,7% 25,6% 15,2% 33,5% 100,0%

Es importante observar que la mayoría de Responsables: 536 (29,0%) entidades públicas y 10.928 (33,5%) sociedades privadas, ESAL y Mixtas, respondieron aﬁrmativamente entre 76% y 100% de las preguntas; en contraste, el porcentaje más bajo 11,8% (217) para entidades públicas y 15,2% (4.937) para sociedades privadas entre 51% y 75%. NIVEL DE IMPLEMENTACIÓN

1.12 RESPUESTAS POSITIVAS Se puede observar un comportamiento similar con tan solo el 11,2% y 12,1% tanto en Entidades públicas como en sociedades Privadas, ESALES y Mixtas frente a la implementación total de los controles presentados en el RNBD.

TOTAL Universo

34.402

Públicas

Total respuestas posi�vas

4.150 12,0% 2

Universo

1.843

Total respuestas posi�vas

Privadas - ESAL - Mixtas %

Universo

209 11,2 % 32.559

Total respuestas posi�vas

3.941 12,1%

COMPORTAMIENTO POR REGIONES

De acuerdo con el análisis de la información sobre la seguridad con la que los responsables clasiﬁcados por regiones en el país, tratan los datos, se pueden observar los siguientes resultados

Al organizar la información desde el ítem con menor índice de implementación o mayor debilidad en la adopción de medidas para el adecuado Tratamiento de los datos personales, es posible concluir que la mayoría de las categorías concuerdan con la posición que ocupan a nivel país, así, no contar con una Política de protección para acceso remoto a la información personal se mantiene en el primer lugar en todas las regiones y no contar con un procedimiento de auditoría de los sistemas de información en el segundo. Por otra parte, el ítem de mayor implementación es contar con herramientas de gestión de riesgos compartido muy de cerca por contar con políticas y procedimientos de gestión de incidentes de seguridad para todas las regiones. 33

NO CUENTAN CON

Gráﬁca comparativa de fallas en la implementación de medidas de seguridad por cada región en Colombia A continuación, se presenta gráﬁcamente y de manera individual el comportamiento de cada una de las regiones: 2.1

REGIÓN ANDINA

NO CUENTAN CON

2.2

REGIÓN ORINOQUÍA Y AMAZONÍA

NO CUENTAN CON

2.3

REGIÓN PACÍFICA

NO CUENTAN CON

2.4

REGIÓN ORINOQUÍA Y AMAZONÍA

NO CUENTAN CON

CONCLUSIONES Para este estudio, se tomó la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en el Registro Nacional de Bases de Datos RNBD de esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%). En el análisis comparativo se puede evidenciar a través de los diferentes estudios realizados que de 2019 a 2020 mejoró en un 16,95% el nivel promedio de implementación de medidas de seguridad, de 2020 a 2021 mejoró en un 4,73% y de 2021 a Marzo de 2023 ese mismo nivel promedio de implementación, mejoró un 5,74%. No obstante, persiste un alto nivel de no implementación (56%) respecto de los ítems comparados. Para todas las medidas de seguridad, hubo un aumento en la implementación de las medidas de seguridad, con corte a marzo de 2023 frente a 2021. Respecto de los datos suministrados hasta el 31 de marzo de 2023, se concluye lo siguiente de las respuestas de las 34.402 empresas y entidades públicas estudiadas: En promedio, tan solo el 36,35% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello signiﬁca, que 63,65% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. 33.564 (97,52%) de las organizaciones manifestaron haber adoptado al menos parte de los requerimientos de seguridad de la SIC, mientras que 854 (2,48%) aﬁrmaron no haber hecho nada respecto de lo preguntado por la SIC. El 54,6% de las organizaciones no han implementado una política específica que 37

regule el acceso a la información personal de las bases de datos con información sensible. El 66,5% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 64,9% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales. El 61% de los Responsables del Tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 42,3% no usa herramientas de gestión de riesgos en el Tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. El 54% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal. Se destaca que de ese 54%, tanto en el sector público como el privado, el 46,9% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales. Frente al análisis por regiones, se puede observar que se conserva en cada una el mismo comportamiento, frente a los controles y medidas de seguridad no implementadas, siendo así el “No contar con una Política de protección para acceso remoto a la información personal” la de menor implementación en todas las regiones, seguido de “No contar con un procedimiento de auditoría de los sistemas de información”. Por otra parte, el ítem de mayor implementación en las regiones es “Contar con herramientas de gestión de riesgos” junto con “Contar con políticas y procedimientos de gestión de incidentes de seguridad” en segundo lugar para todas las regiones.

WWW.SIC.GOV.CO @sicsuper Superintendencia de Industria y Comercio de Colombia Superintendencia de Industria y Comercio

Conmutador: (601) 5870 000 - Contact Center: (061) 5 920400 Línea gratuita nacional desde teléfonos ﬁjos: 01 8000 910 165