ESTUDIO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES A marzo 31 de 2023 Delegatura para la Protección de Datos Personales Dirección de Investigaciones de Protección de Datos Personales Grupo de Investigaciones Administrativas
ESTUDIO DE MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES A marzo 31 de 2023
Delegatura para la Protección de Datos Personales Dirección de Investigaciones de Protección de Datos Personales Grupo de Investigaciones Administrativas Fuente de datos: Registro Nacional de Bases de Datos (RNBD) - SIC Elaboró: Aída Lucía Hurtado Bejarano Carolina Gutiérrez Granados Beatriz Joanna Jojoa Bolaños Gráficas: José Alexander González Tamayo. Revisó: Aída Lucía Hurtado Bejarano y Alejandro Londoño Congote Aprobó: Cielo Ángela Peña Rodríguez
TABLA DE CONTENIDO Pág. INTRODUCCIÓN .....................................................................................................................................................................1 RESUMEN Y PRINCIPALES RESULTADOS .....................................................................................................................2 I. ESTUDIO DE SEGURIDAD A PARTIR DE LA INFORMACIÓN REPORTADA AL RNBD CON CORTE A 31 DE MARZO DE 2023......................................................................................................................8 RESPUESTAS POR PREGUNTA .........................................................................................................................................8 1.1 TODAS LAS PREGUNTAS.............................................................................................................................................8 1.2 SEGURIDAD DE LA INFORMACIÓN PERSONAL ...............................................................................................9 1.2.1 ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? .................................................................................................................................................................. 10 1.2.2 ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal?........................................................................................................ 11 1.2.3 ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal....................................................................................................................... 11 1.2.4 ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal?................................................................................................................................. 12 1.2.5 ¿Tiene un documento de seguridad de la información personal o general aprobado? ..................13 1.3 SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO ................13 1.4 CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL .........................................................................14 1.4.1 ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?......................................................................................................................................................................15 1.4.2 ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible? ...................................................................................15 1.4.3 ¿Tiene una política implementada de copia de respaldo de la información personal? ...................16 1.4.4 ¿Ha implementado una política de protección para el acceso remoto a la información personal?......................................................................................................................................................................16 1.4.5 ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?..............................................................................................17 1.5 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL ..........................................................18 1.5.1 ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal?...............................19 1.5.2 ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? .....................................................................................................................19 1.5.3 ¿Las bases de datos con información personal poseen Monitoreo de consulta? .............................20 1.5.4 ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información pernsonal.......................................................20
1.6 PROCESAMIENTO DE INFORMACIÓN PERSONAL .......................................................................................21 1.6.1 ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad,uso, etc.?............................................................................................................................22 1.6.2 ¿Cuenta con un control de seguridad de información para la validación de datos de salida?..........................................................................................................................................................................22 1.6.3 ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal? ...................................................23 1.6.4 ¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)? ..........................................................................................23 1.6.5 ¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?.....................................................................................................................................................24 1.7 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL .............................24 1.7.1 ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados? .......................................................................................25 1.7.2 ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguri dad de la información personal?.........................................................................................................................26 1.8 AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL ........................................................26 1.8.1 ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base dedatos?.......................................................................................................................................................................27 1.8.2 ¿Tiene una política de auditorías de seguridad de la información personal? .....................................27 1.9 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 28 1.9.1 ¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personles?....................................................................................................................................................................29 1.9.2 ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?.........................................................................................................29 1.10 RESUMEN POR ÍTEM.................................................................................................................................................30 1.11 NIVEL DE IMPLEMENTACIÓN (% DE RESPUESTAS AFIRMATIVAS) ...................................................31 1.12 RESPUESTAS POSITIVAS .......................................................................................................................................32 2 COMPORTAMIENTO POR REGIONES ...................................................................................................................33 2.1 REGIÓN ANDINA ........................................................................................................................................................34 2.2 REGIÓN ORINOQUÍA Y AMAZONÍA ....................................................................................................................35 2.3 REGIÓN PACÍFICA ......................................................................................................................................................36 2.4 REGIÓN CARIBE E INSULAR ..................................................................................................................................36 CONCLUSIONES ..................................................................................................................................................................37
INTRODUCCIÓN De acuerdo con lo que establece la Ley colombiana, frente a la protección de los datos personales, todas las empresas y entidades públicas están obligadas a implementar las “medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” y a “conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento” . Adicionalmente, “deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012” . Así las cosas, la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023, fecha en que venció el plazo para la actualización de las mismas, la cual se debe realizar anualmente, sirve de insumo para realizar un análisis frente al cumplimiento de este deber de proteger los datos personales con la seguridad necesaria, dependiendo del nivel de riesgo identificado, de acuerdo con el tipo de Tratamiento, la criticidad de los datos, la cantidad de datos tratados, medios tecnológicos, entre otros. El objetivo de este estudio es entregar un panorama general de las medidas de seguridad implementadas por las entidades públicas y las empresas cuyos activos superan las 100.000 Unidades de Valor Tributario. Lo anterior, conforme al ámbito de aplicación del Registro Nacional de Bases de Datos (en adelante RNBD), con el propósito de concientizar y sensibilizar, tanto a Responsables como a Encargados e incluso a los mismos titulares, para que, mediante el conocimiento de las debilidades en la implementación de medidas de seguridad en el Tratamiento de datos personales, apropiadas y efectivas, haya una reflexión sobre su propia responsabilidad, desde su papel en el proceso del Tratamiento, en el cuidado, no solo por cumplimiento, sino por el respeto, el compromiso y la confianza que se generan a partir de una protección adecuada de los datos personales.
1 Cfr. Literal g) del artículo 4 de la Ley Estatutaria 1581 de 2012 2 Cfr. Literal d) del artículo 17 de la Ley Estatutaria 1581 de 2012 3 Cfr. Artículo 26 del decreto 1377 de 2013 (incorporado en el Decreto 1074 de 2015) 4 Cabe anotar que sólo se tomó la información de los registros de bases de datos de los Responsables obligados a realizar la inscripción en el RNBD, de acuerdo con el Decreto 090 de 2018, ya que existen varios Responsables registrados con anterioridad que luego del Decreto no están obligados a realizar dicho reporte y otros, que a pesar de que se registraron en el sistema, no registraron bases de datos, por lo tanto no se cuenta con la información relacionada con la seguridad de la información de estos Responsables.
1
RESUMEN Y PRINCIPALES RESULTADOS La Superintendencia de Industria y Comercio (en adelante SIC) preparó 26 preguntas sobre seguridad en el formulario electrónico del RNBD, respecto de las cuales cada organización Responsable del Tratamiento (empresa o entidad pública), dependiendo del tipo de base de datos y Tratamiento realizado, solo debía manifestar SI o No a las realizadas, según si cuenta o no con la medida implementada. Esta SIC ha venido generando el estudio de esta información sobre las medidas de seguridad que los responsables han manifestado haber implementado desde el año 2019, 2020, 2021 y en este estudio se refleja el análisis comparativo de esos años anteriores hasta la actualización que debían hacer los Responsables a 31 de marzo de 2023 para tener información actualizada de las últimas medidas implementadas durante la vigencia 2022 y hasta la fecha de corte indicada. Para este estudio, se tomó la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%). A continuación, se presenta un análisis comparativo de los resultados del estudio de cada año:
Número evaluadas
de
organizaciones
No tienen una política de protección para acceso remoto a la información personal No cuenta con mecanismos de monitoreo de consulta de las bases de datos No ha implementado un procedimiento de auditoría de los sistemas de información No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos
2019
2020
2021
Marzo 20235
32.763
33.596
33.169
34.402
88%
72.7%
69.6%
66.5%
84%
69.3%
66.2%
63.6%
83%
71.3%
68.4%
64.9%
82%
67.5%
64.3%
61.0%
5 En el presente estudio se evidencia el trabajo realizado por las entidades públicas y empresas en el 2022 pero reportado con cohorte de marzo del 2023. 2
No ha implementado medidas especiales para proteger datos sensibles No ha implementado una política de seguridad para el intercambio físico o electrónico de datos No tiene política de auditoría de seguridad de la información
2019
2020
2021
Marzo 20235
79%
61.3%
58.0%
54.6%
76%
66.1%
62.7%
58.9%
72%
63.6%
60.5%
56.3%
No tiene controles de seguridad en la tercerización de servicios para el Tratamiento de datos No implementa medidas apropiadas y efectivas de seguridad
71%
61%
57.5%
54.0%
66%
50.7%
50.7%
49.4%
No cuenta con herramientas de gestión de riesgos
63%
49.9%
46.6%
42,3%
62%
52.6%
49.0%
44.3%
75.09%
62.36%
59.41%
55,98%
No tiene políticas y procedimientos de gestión de incidentes de seguridad Promedio de incumplimiento respecto de los ítems evaluados
Tabla No. 1. Análisis comparativo de las debilidades en medidas de seguridad.
En términos generales, de 2019 a 2020 mejoró en un 16,95% el nivel promedio de implementación de medidas de seguridad, de 2020 a 2021 mejoró en un 4,73% el nivel promedio de implementación de medidas de seguridad, de 2021 a marzo de 2023 mejoró un 5,74%. No obstante, persiste un alto nivel de incumplimiento (56%) respecto de los ítems comparados en la tabla No. 1. En todo caso, se destacan los siguientes aspectos en los que incrementó significativamente el porcentaje de implementación de 2020 frente a 2019. • Incorporación de medidas apropiadas y efectivas de seguridad: +23,18% • Adopción de medidas especiales para proteger datos sensibles: +22,41% • Implementación de herramientas de gestión de datos: +20,79% • Implementación de un sistema de gestión de seguridad o un programa integral de ges tión de datos: +17,68% Los siguientes fueron los aspectos, a pesar de que mejoraron, fueron de menor cumplimiento durante 2020: • No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: +13,03% 3
• No tiene política de auditoría de seguridad de la información: +11,67% Casi todos los aspectos incrementaron el nivel de implementación de 2021 frente a 2020. • Creación de políticas y procedimientos de gestión de incidentes de seguridad: +6,84% • Uso de herramientas de gestión de datos: +6,61% • Implementación de controles de seguridad en la tercerización de servicios para el Tratamiento de datos: +5,74% • Implementación de medidas especiales para proteger datos sensibles: +5,38% • Implementación de una política de seguridad para el intercambio físico o electrónico de datos: +5,14% • Creación de una política de auditoría de seguridad de la información: +4,87% • Implementación de un sistema de gestión de seguridad o un programa integral de gestión de datos: +4,74% • Uso de mecanismos de monitoreo de consulta de las bases de datos: +4,47% • Creación de una política de protección para acceso remoto a la información personal: +4,26% • Implementación de un procedimiento de auditoría de los sistemas de información: +4,07% • En el uso de medidas apropiadas y efectivas de seguridad, se mantuvo en el mismo porcentaje de cumplimiento. Para todas las medidas de seguridad, hubo un aumento en la implementación conforme a la información reportada con corte a marzo de 2023 frente a 2021 en el siguiente orden: • No tiene políticas y procedimientos de gestión de incidentes de seguridad: +9,59% • No cuenta con herramientas de gestión de riesgos: +9,23% • No tiene política de auditoría de seguridad de la información: +6,94% • No ha implementado una política de seguridad para el intercambio físico o electrónico de datos: +6,06% • No ha implementado un procedimiento de auditoría de los sistemas de información: +5,12% • No tiene controles de seguridad en la tercerización de servicios para el Tratamiento de datos: +6,09% • No ha implementado medidas especiales para proteger datos sensibles: +5,86% • No tiene implementado un sistema de gestión de seguridad o un programa integral de gestión de datos: +5,13% • No tienen una política de protección para acceso remoto a la información personal: +4,45% • No cuenta con mecanismos de monitoreo de consulta de las bases de datos: +3,93% • No implementa medidas apropiadas y efectivas de seguridad: +2,56% • Promedio de incumplimiento respecto de los ítems evaluados: +5,77% Respecto de los datos suministrados hasta el 31 de marzo de 2023, se concluye lo siguiente de las respuestas de las 34.402 empresas y entidades públicas.
4
PRIMERO: En promedio, tan solo el 36,35% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 63,65% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. 33.564 (97,52%) de las organizaciones manifestaron haber adoptado al menos parte de los requerimientos de seguridad de la SIC, mientras que 854 (2,48%) afirmaron no haber hecho nada respecto de lo preguntado por la SIC. SEGUNDO: El 54,6% de las organizaciones no han implementado una política específica que regule el acceso a la información personal de las bases de datos con información sensible. TERCERO: El 66,5% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 64,9% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales. CUARTO: El 61% de los Responsables del Tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 42,3% no usa herramientas de gestión de riesgos en el Tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. QUINTO: El 54% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal. Se destaca que de ese 54%, tanto en el sector público como el privado, el 46,9% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales. A continuación, se presentan las preguntas formuladas por bloques temáticos y se muestran los resultados positivos, es decir, el promedio de empresas u organizaciones que manifestaron SI frente a cada pregunta. I.
SEGURIDAD DE LA INFORMACIÓN PERSONAL: 65,14% SI ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal? ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal? ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal? ¿Tiene un documento de seguridad de la información personal o general aprobado?
59,3% 68,6% 74,8% 45,9% 77,1%
5
II.
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO: 75,4% SI ¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral?
III.
75,4%
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL: 57,5% SI ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal? ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible? ¿Tiene una política implementada de copia de respaldo de la información personal? ¿Ha implementado una política de protección para el acceso remoto a la información personal? ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?
IV.
61,2% 45,2% 70,1% 33,4% 77,6%
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL: 41,7% SI ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal? ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? ¿Las bases de datos con información personal poseen Monitoreo de consulta? ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información personal?
V.
58,9% 34,9% 36,4% 36,6%
PROCESAMIENTO DE INFORMACIÓN PERSONAL: 48,3% SI ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?
49,4%
6
SI ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.?
49,4%
¿Cuenta con un control de seguridad de información para la validación de datos de salida?
43%
¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal?
40,6%
¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)?
56,2%
¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?
67,1%
VI.
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL: 48,3% SI ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados? ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?
VII.
41,5% 55,1%
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL: 40,5% SI
¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos?
37,7%
¿Tiene una política de auditorías de seguridad de la información personal?
55,1%
VIII.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: 48,3% SI
¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personales?
57,5%
¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales?
39% 7
I.
ESTUDIO DE SEGURIDAD A PARTIR DE LA INFORMACIÓN REPORTADA AL RNBD CON CORTE A 31 DE MARZO DE 2023
A continuación, se detallan los resultados sobre cada pregunta y se comparan teniendo en cuenta si se trata de entidades privadas o del sector público: Se reitera que el presente estudio está basado en las respuestas entregadas por cada uno de los Responsables del Tratamiento de datos personales inscritos en el Registro Nacional de Bases de Datos RNBD, desde su inicio en el año 2015 al 31 de marzo de 2023. Las conclusiones surgen de la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en esta Entidad. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%).Cabe anotar que sólo se tomó la información de los registros de bases de datos de los Responsables obligados a realizar la inscripción en el RNBD, de acuerdo con el Decreto 090 de 2018, ya que existen varios Responsables registrados con anterioridad que luego del Decreto no están obligados a realizar dicho reporte, y otros, que a pesar de que se registraron en el sistema, no registraron bases de datos, por lo tanto no se cuenta con la información relacionada con la seguridad de la información implementada por estos Responsables. Se realizaron diferentes filtros de acuerdo con las respuestas afirmativas o negativas según el ítem en estudio, separando los universos de Entidades Públicas y las demás que incluyen: Privadas, ESAL (Entidades Sin Ánimo de Lucro) y Mixtas.
RESPUESTAS POR PREGUNTA
1.1
TODAS LAS PREGUNTAS
En este ítem se analiza la totalidad de las respuestas al cuestionario de seguridad presentado en el RNBD que los Sujetos obligados del sector público y del privado, manifestaron, bien con todas las respuestas positivas o con todas ellas sin ninguna respuesta. Universo
34.402
SI
Universo
NO
34.402
SI
Universo
34.402
SI
NO
NO
PREGUNTA
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
TODAS LAS PREGUNTAS
4.150
12,1%
854
2,5%
209
11,3%
86
4,7%
3.941
12,1%
768
2,4%
Se puede observar que tan solo el 11,3% de las Entidades Públicas y el 12,1% de las Sociedades Privadas, ESALES y Mixtas contestaron al 100% de las preguntas de manera afirmativa. 8
Así mismo, se observa que el 4,7% de las organizaciones públicas registradas correspondiente a 86 entidades, no respondieron de manera positiva a ninguna de las preguntas del cuestionario de seguridad, de la misma forma el 2,4% de las sociedades privadas, ESALES y Mixtas que corresponde a 768 registrados no lo hicieron, el resto han implementado algunos de los controles expuestos en las preguntas de seguridad presentadas por el RNBD.
1.2
SEGURIDAD DE LA INFORMACIÓN PERSONAL
Las preguntas de este ítem hacen referencia a los controles básicos relacionados directamente con la seguridad que requiere el Tratamiento de la información personal. 34.402
Universo
1.843
Públicas
NO
SI
1.843
Privadas
NO
SI
NO
SI
PREGUNTA
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
SEGURIDAD DE LA INFORMACION PERSONAL
11.779
34,3%
1.892
5,5%
543
29,5%
219
11,9%
11.330
34,8%
1.660
5,1%
¿Ha realizado la documentación de procesos en torno a laseguridad de la información personal?
20.400 59,3%
10.002
40,7%
1.002
54,4%
841
45,6%
19.372
59,5%
13.187
40,5%
¿Tiene procedimientos de asignación de responsabilidades y aurorizacionesen el tratamiento de la información personal?
23.634
68,7%
10.768
31,4%
1.039
56,4%
804
43,6%
22.563
69,3%
9.996
30,7%
¿Ha implementado acuerdos de la confidencialidad con las personas que tienen acceso la información personal?
25.732
74,8%
8.670
25,2%
1.065
57,8
778
42,2%
24.679
75,8%
7.880
24,3%
¿Tiene controles de seguridaden la tercerización de servicios para el tratamiento de la información personal?
15.859
46,1%
18.543
54,0%
803
43,6%
1.040
56,4%
14.977
46,0%
17.582
54,0%
¿Tiene documento de seguridad de la información personal o general aprobado?
26.523
77,1%
7.879
22,9%
1.354
73,5%
489
26,5%
25.168
77,3%
7.391
22,7%
Los resultados se presentan por cada pregunta de manera independiente, sin embargo, en el ítem principal se encuentran aquellos Responsables que tienen o no implementados la totalidad de los controles planteados en las preguntas relacionadas con este ítem, evidenciando que tan solo el 29,5% del sector público y el 34,8% del privado respondieron haber implementado todos los controles. 9
De forma similar el 11,9% de las entidades públicas y el 5,1% de las sociedades privadas, ESAL y Mixtas, manifestaron no haber implementado ningún control al respecto de seguridad en el Tratamiento de la información personal. El resto lo ha hecho de manera parcial, es decir que han efectuado al menos uno de los controles definidos en las preguntas de este ítem.
1.2.1 ¿Ha realizado documentación de procesos en torno a la seguridad de la información personal? Universo
34.402
SI
Públicas
1.843
SI
NO
Públicas
32.559
SI
NO
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
11.799
34,3%
1.892
5,5%
543
29,5%
219
11,9%
11.330
34,8%
1.660
5,1%
¿Ha realizado documentación de procesos en torno a la seguridad de la información personal?
20.400 59,3%
14.002
41,7%
1.002
54,4%
841
45,6%
19.372
59,5%
13.187
40,5%
¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el tratamiento de la información personal ?
23.634
68,7%
10.768
31,4%
1.039
56,4%
804
43,6%
22.563
69,3%
9.996
30,7%
¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal ?
25.732
74,8%
8.670
25,2%
1.065
57,8%
778
42,2%
24.679
75,8%
7.880
24,3%
¿Tiene controles de seguridad en la tercerización de servicios para el tratamiento de la información personal ?
15.859
46,1%
18.543
54,0%
803
43,6%
1.1.040
56,4%
14.977
46,0%
17.582
54,0%
¿Tiene un documento de seguridad de la información personal o general aprobado?
26.523
77,1%
7.879
22,9%
1.354
73,5%
489
26,5%
25.168
77,3%
7.391
22,7%
PREGUNTA SEGURIDAD DE LA INFORMACIÓN PERSONAL
Se observa que de manera general un 59,3% de todos los sujetos obligados tienen un documento relacionado con la seguridad en los procesos que involucran datos personales. 10
1.2.2 ¿Tiene procedimientos de asignación de responsabilidades y autorizaciones en el Tratamiento de la información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
23.634
68,7%
10.768
31,4%
1.039
56,4%
804
43,6%
22.563
69,3%
9.996
30,7%
Esta pregunta refleja cómo el 56,4% de las Entidades públicas y el 69,3% de las organizaciones privadas han documentado de alguna manera, quién tiene la responsabilidad en cuanto al Tratamiento de datos personales en cada uno de los pasos de los procesos y/o procedimientos relacionados con dicho Tratamiento, mientras el 31,4% de manera general no han implementado este control.
1.2.3 ¿Ha implementado acuerdos de confidencialidad con las personas que tienen acceso a la información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
25.732
74,8%
8.670
25,2%
1.065
57,8%
778
42,2%
24.679
75,8%
7.880
24,3%
11
Se puede observar cómo el 57,8% y 75,8% de las Entidades del sector público y privados respectivamente, han implementado un control relacionado con el principio de Confidencialidad contemplado por la Ley 1581 de 2012, que indica que todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
1.2.4 ¿Tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
15.859
46,1%
18.543
54,0%
803
43,6%
1.040
56,4%
14.977
46,0%
17.582
54,0%
Se observa que tan solo en promedio el 43,6% y 46% de los Responsables del Tratamiento de datos personales, tanto del sector público como privado manifiestan haber implementado controles de seguridad en los procesos o Tratamiento de datos que se realizan a través de terceros ajenos a la organización, que corresponden a Encargados del Tratamiento de datos personales. Del 54% que no han implementado algún control al respecto de la tercerización, tanto en el sector público como el privado, llama la atención que el 45.7% frente al universo de las entidades públicas que corresponde a 843 entidades, corresponde al 81,1% de quienes no tienen ninguna medida respecto de tercerización y del 54% del total de privados, el 86,8% es decir 15.259 sociedades privadas (ESAL, sociedades o Mixtas) que corresponde al de quienes no tienen ningún control para terceros, manifestaron tener Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales.
Públicas sin control encargados de Tratamiento
Públicas sin control encargados de Tratamiento
TOTAL
Vs Sin Control
Vs Públicas
Vs Universo
TOTAL
Vs Sin Control
Vs Públicas
Vs Universo
843
81,1%
45,7%
2,4%
15.259
86,8%
46,8%
44,3%
12
1.2.5 ¿Tiene un documento de seguridad de la información personal o general aprobado? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
26.523
71,1%
7.879
22,9%
1.354
73,5%
489
26,5%
25.168
77,3%
7.391
22,7%
Se observa que el 73,5% y el 77,3% de los Responsables del Tratamiento de datos personales, tanto del sector público como del privado, manifestaron tener un documento de seguridad de la información personal que busca tener claridad en los lineamientos y/o políticas administrativas, humanas y técnicas que se deben adoptar por todas las áreas de la organización y cada uno de sus integrantes en el cuidado de los datos personales, con el objeto de cumplir el principio de seguridad a que se refiere la Ley 1581 de 2012 que en su Artículo 4, literal g), a saber:
“Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”
1.3
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO
¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizado el contrato laboral? En cuanto a controles de seguridad en torno al recurso humano se encuentra que el 35,6% y 24% de las Entidades Públicas y privadas respectivamente no han implementado ningún tipo de seguridad antes y después de finalizado el vínculo laboral. 13
Universo
34.402
SI
Públicas
Públicas
1.843
SI
NO
1.843
SI
NO
NO
PREGUNTA
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
SEGURIDAD DE LA INFORMACION PERSONAL EN TORNO AL RECURSO HUMANO
25.939
75,4%
8.463
24,6%
1.186
64,4%
657
35,6%
24.744
76,0%
7.815
24,0%
25.939
75,4%
8.463
24,6%
1.186
64,4%
657
35,6%
24.744
76,0%
7.815
24,0%
¿Tiene implementados controles de seguridad de la información personal para el Recurso Humano antes de la vinculación y una vez finalizadoel contrato laboral?
1.4
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
En este ítem se observa que mientras el 19,5% de las entidades públicas no ha implementado ningún control para evitar el acceso no autorizado a la información personal y garantizar la disponibilidad de la misma, el 10,8% de las sociedades privadas (ESAL, sociedades o Mixtas) tampoco lo ha tenido en cuenta. 34.402
Universo
1.843
Públicas
NO
SI
32.559
Públicas
NO
SI
NO
SI
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
9.185
26,7%
3.887
11,3%
462
25,1%
359
19,5%
8.725
26,8%
3.516
10,8%
¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal?
21.054
61,2%
13.348
38,8%
1.009
54,8%
834
45,2%
20.023
61,5%
12.536
38,5%
¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible?
15.549
45,2%
18.853
54,8%
781
42,4%
1.062
57,6%
14.781
45,4%
17.778
54,6%
¿Tiene una política implementada de copia de resultado de la información personal?
24.115
70,1%
10.287
29,9%
1.124
61,0%
719
39,0%
22.986
70,6%
9.573
29,4%
¿Ha impementado una política de protección para el acceso remoto a la información personal?
11.490
33,4%
22.912
66,6%
580
31,5%
1.263
68,5%
10.907
33,5%
21.652
66,5%
¿Tiene una política de control de acceso a la información peronal, tanto en las instalaciónes fisicas como a nivel tecnológico?
26.695
77,6%
7.707
22,4%
1.308
71,0%
535
29,1%
25.363
77,9%
7.196
22,1%
PREGUNTA CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
Por otra parte, se puede observar que tan solo el 25,1% de las Entidades públicas manifestaron haber implementado la totalidad de los controles de este ítem y de la misma manera el 26,8% de las sociedades privadas contestaron afirmativamente a todas las preguntas de este numeral. 14
1.4.1 ¿Cuenta con un procedimiento para la Gestión de usuarios con acceso a la información personal? De acuerdo con el resultado de la encuesta de seguridad, apenas el 54,8% de las entidades públicas y el 61,5% de las sociedades privadas han implementado un procedimiento para el control de los usuarios que tienen acceso a los datos personales. Esto es definir quién es el responsable de crear los usuarios, autorizaciones, seguridad en cuanto a claves, notificaciones, eliminación, perfiles de acceso, permisos, entre otros. Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
21.054
61,2%
13.348
38,8%
1.009
54,8%
834
45,2%
20.023
61,5%
12.536
38,5%
1.4.2 ¿Ha implementado una política específica para el acceso a la información personal de las bases de datos con información personal sensible? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
21.054
45,2%
18.853
54,8%
781
42,4%
1.062
57,6%
14.781
45,4%
17.778
54,6%
15
De acuerdo con la información reportada por los responsables del Tratamiento en el país, apenas el 42,4% de las entidades públicas y 45,4% de las sociedades privadas (Sociedades ESAL- Mixtas) han implementado una política para regular el acceso a la información personal, donde se haga alusión específicamente al Tratamiento de los datos sensibles. No obstante, para el control relacionado con seguridad en el acceso a las bases de datos con información sensible se encuentra que el 57,6% de las entidades públicas registradas no han implementado ninguna medida de seguridad al respecto y de este porcentaje el 80,7% realiza Tratamiento de datos sensibles. En cuanto a las personas jurídicas de naturaleza privada (ESAL, sociedades o mixtas) el 54,6% no registra ningún tipo de control de seguridad relacionado con el Tratamiento de información sensible y de este resultado el 94,4% realiza Tratamiento de datos sensibles.
1.4.3 ¿Tiene una política implementada de copia de respaldo de la información personal? El 61% de las entidades públicas y el 70,6% de las privadas tiene una política que indique a qué datos se les realiza una copia de seguridad. Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
24.115
70,1%
10.287
29,9%
1.124
61,0%
719
39,0%
22.986
70,6%
9.573
29,4%
1.4.4 ¿Ha implementado una política de protección para el acceso remoto a la información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
11.490
33,4%
22.912
66,6%
580
31,5%
1.263
68,5%
10.907
33,5%
21.652
66,5%
16
Se observa una mínima implementación, tanto en Personas Jurídicas de naturaleza pública como sociedades privadas, en un 31,5% y 33,5% respectivamente, de medidas de seguridad para garantizar una forma confiable de consulta, uso o extracción de la información de manera remota, es decir desde dispositivos que no se encuentren al interior de la organización.
1.4.5 ¿Tiene una política de control de acceso a la información personal, tanto en las instalaciones físicas como a nivel tecnológico?
Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
26.695
77,6%
7.707
22,4%
1.308
71,0%
535
29,1%
25.363
77,9%
7.196
22,1%
Las medidas o controles para regular el acceso a la información personal, tanto en la parte física (a las instalaciones, archivos, datacenter, etc.) como en la parte lógica (software, aplicaciones, usuarios, IP´s, claves, etc.), han sido implementadas en un 71% por entidades públicas y un 77,9% por las sociedades privadas.
17
1.5
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL 34.402
Universo
1.843
Públicas
NO
SI
32.559
Públicas
NO
SI
NO
SI
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL
7.362
21,4%
11.146
32,4%
352
19,1%
704
38,2%
7.000
21,5%
10.451
32,1%
¿Tiene implementados controles de seguridad de la información durante el mantenimiento (control de cambios) de los sistemas de información personal?
20.228
58,8%
14.174
41.2%
934
50,7%
909
40,3%
19.307
59,3%
13.252
40,7%
¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales?
12.006
34,9%
22.396
65,1%
563
30,6%
1.280
69,4%
11.428
35,1%
21.131
64,9%
12.522
36,4%
21.880
63,6%
665
63,1%
1.178
63,9%
11.851
36,4%
20.708
63,6%
12.591
36,6%
21.811
63,4%
610
33,1%
1.233
66,9%
11.981
36,8%
20.578
63,2%
PREGUNTA
¿Las bases de datos con información personal poseen Monitoreo de consulta?
¿Tiene implementado un procedimiento que contemple la definición de especificaciones y registros de seguridad de los sistemas de información personal?
En resumen, el 38,2% y el 32,1% de las entidades públicas y privadas no cuentan con controles para garantizar la seguridad en los sistemas de información. De manera independiente por cada pregunta se visualizan como de mayor inobservancia controles relacionados con: 1) La auditoría de los sistemas de información con el 65,1%, 2) el monitoreo de consultas a la base de datos con el 63,6%, 3) La definición de las especificaciones y requisitos de seguridad de los sistemas de información personal con el 63,4%. A continuación, se analizan los resultados por cada pregunta:
18
1.5.1 ¿Tiene implementados controles de seguridad de la información durante el mantenimiento (Control de cambios) de los sistemas de información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
20.228
58,8%
14.174
41,2%
934
50,7%
909
49,3%
19.307
59,3%
13.252
40,7%
Los controles sobre la documentación que debe hacerse acerca de los cambios o modificaciones que requieran los sistemas de información en general o específicamente aquellos que incluyen el Tratamiento de datos personales, apenas se han implementado por el 50,7% de las entidades públicas y el 59,3% de las sociedades privadas.
1.5.2 ¿Tiene un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
12.006
34,9%
22.396
65,1%
563
30,6%
1.280
69,4%
11.428
35,1%
21.131
64,9%
19
Únicamente, el 34,9% de todos los Responsables que inscribieron sus bases de datos indicaron tener procedimientos que permitan evaluar la eficiencia y suficiencia de los controles implementados a un sistema de información mediante el cual se traten datos personales para evitar su pérdida, uso o acceso no autorizado o fraudulento, de manera que se garantice la disponibilidad, integridad y confidencialidad de los datos personales.
1.5.3 ¿Las bases de datos con información personal poseen Monitoreo de consulta? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
12.522
36,4%
21.880
63,6%
665
36,1%
1.178
36,9%
11.851
36,4%
20.708
63,6%
Se observa que tan solo el 36,1% de las entidades públicas y el 36,4% de las sociedades privadas ha implementado un control que les permita efectuar trazabilidad o seguimiento de cualquier consulta que se realice sobre la base de datos con información personal. Lo cual depende del riesgo a que esté expuesta esta información y la naturaleza de los datos que se estén tratando.
1.5.4 ¿Tiene implementado un procedimiento que contemple la definición de especificaciones y requisitos de seguridad de los sistemas de información personal? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
12.591
36,6%
21.811
63,4%
610
33,1%
1.233
66,9%
11.981
36,8%
20.578
% 63,2%
20
En un porcentaje de 33,1% para entidades públicas y 36,8% de las sociedades privadas, manifestaron haber documentado los pasos y metodología utilizada en la definición de las necesidades identificadas antes, durante y posterior al desarrollo de sistemas de información relacionados con el Tratamiento de datos personales, en todo lo concerniente a seguridad de la información en cada una de las etapas del ciclo del dato en el que apoye el sistema de información.
1.6
PROCESAMIENTO DE INFORMACIÓN PERSONAL
Los controles presentados en este ítem permiten proteger la calidad y veracidad de la información personal tratada por los Responsables y/o Encargados del Tratamiento de los mismos. 34.402
Universo
1.843
Públicas
NO
SI
32.559
Públicas
NO
SI
NO
SI
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
9.047
26,3%
6.639
19,3%
372
20,2%
528
28,7%
8.693
26,7%
6.121
18,8%
¿Cuenta con un procedimiento implementadopara la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean concretos y apropiados, como confirmación de típos, formatos, longitudes, pertenencia , calidad, uso, etc ?
14.792
40,6%
15.069
43,8
575
31,2%
1.268
68,8%
13.065
41,1%
19.178
58,9%
¿Cuenta con un control de seguridad de la información para la validación de datos de salida?
14.792
43,0%
19.610
50,6%
729
43,4%
1.044
60,4%
14.065
43,2%
18.494
56,8%
14.792
40,6%
19.610
59,4%
575
31,2%
1.268
68,8%
13.381
41,1%
19.178
58,9%
¿Tiene un procedimiento o control implementado para la disposición final de la información persinal (supresión, archivo destrucción, etc?
19.333
56,2%
15.069
43,8%
812
44,1%
1.031
55,8%
18.526
56,9%
14.033
66,5%
¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)?
26.695
77,6%
7.707
22,4%
1.308
71,0%
535
29,1%
25.363
77,9%
7.196
22,1%
PREGUNTA
¿Cuenta con una política implementada para el intercambio fisico o electrónico de datos (como por el ejemplo durante el comercio electronico para la compra y venta de productos o servicios), transporte y/o almacenamento de información personal?
En este caso se observa de manera general que el 19,3% del universo tanto de las entidades públicas y privadas no han implementado ningún tipo de control para garantizar el correcto y adecuado procesamiento de los datos personales. 21
1.6.1 ¿Cuenta con un procedimiento implementado para la validación de datos de entrada y procesamiento de la información personal, para garantizar que los datos recolectados y procesados sean correctos y apropiados, como confirmación de tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.? Universo
34.402
SI TOTAL SI 16.994
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
49,4%
17.408
50,6%
799
43,4%
1.044
56,6%
16.181
49,7%
16.378
50,3%
El 43,4% y 49,7% de los responsables públicos y privados respectivamente, manifestaron haber implementado un control relacionado con la veracidad del dato, el cual se debe garantizar desde su recolección, minimizando el riesgo de error o ataques por inyección de código, utilizando técnicas de validación de los datos de entrada y procesamiento, al confirmar tipos, formatos, longitudes, pertinencia, cantidad, uso, entre otros. De manera general el 50,6% de los Responsables no han implementado ninguna medida de seguridad al respecto.
1.6.2 ¿Cuenta con un control de seguridad de información para la validación de datos de salida? Universo
34.402
SI TOTAL SI 14.792
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
43,0%
19.610
57,0%
729
39,6%
1.114
60,4%
14.065
43,2%
18.494
56,8%
22
El 43% de los Responsables del Tratamiento han implementado un control relacionado con la validación de los datos de salida para garantizar que sean los datos esperados, la pertinencia de la información reportada de acuerdo con la finalidad, como una manera de controlar la veracidad, calidad, integridad y acceso no autorizado a la información.
1.6.3 ¿Cuenta con una política implementada para el Intercambio físico o electrónico de datos (como por ejemplo durante el comercio electrónico para la compra y venta de productos o servicios), transporte y/o almacenamiento de información personal? Universo
34.402
SI TOTAL SI 13.967
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
40,6%
20.435
59,4%
575
31,2%
1.268
68,8%
13.381
41,1%
119.178
58,9%
Tan solo el 31,2% y 41,1% de las entidades públicas y de las sociedades privadas, manifestaron haber implementado medidas de seguridad para minimizar los riesgos asociados al intercambio de datos personales bien sea de manera física o electrónica. El 68,8% para las entidades públicas y el 58,9% de las sociedades privadas son uno de los índices más altos de inobservancia reflejado en los resultados del estudio.
1.6.4 ¿Tiene un procedimiento o control implementado para la disposición final de la información personal (supresión, archivo, destrucción, etc.)? Universo
34.402
SI TOTAL SI 19.333
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
56,2%
15.069
43,8%
812
44,1%
1.031
55,8%
18.526
56,9%
14.033
43,1%
23
Tan solo el 44,1% de las Entidades Públicas y el 56,9% de las sociedades privadas manifestaron que han implementado controles para garantizar una disposición final de la información personal, garantizando que la destrucción o conservación, se haga de manera que nunca se expongan los datos a un uso no autorizado o fraudulento que conlleve a la materialización de un riesgo tanto para el titular como para el Responsable del Tratamiento. Se observa de manera general que el 43,8% de los Responsables no han implementado los controles asociados a una disposición final segura de la información personal.
1.6.5 ¿Cuenta con una política implementada para el correcto Tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato (recolección, circulación y disposición final)? Universo
34.402
SI TOTAL SI 23.049
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
67,0%
11.353
30,0%
1.024
55,6%
819
44,4%
22.042
67,7%
10.517
32,3%
El 55,6% de las entidades públicas y el 67,7% de las privadas han implementado una política de seguridad relacionada con la identificación de cada uno de los pasos en el proceso del Tratamiento, identificando el ciclo del dato y en cada etapa, los riesgos asociados.
1.7
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
1.843
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACION PERSONAL
12.625
36,7%
14.421
41,9%
586
31,8%
945
51,3%
12.632
38,8%
13.446
41,3%
¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?
14.242
41,4%
20.160
58,6%
657
35,7%
1.186
64,3%
13.609
41,8%
18.950
58,2%
¿Cuenta con una politíca y procedimientos implementados de gestión de incidentes de seguridad de la información personal ?
18.955
55,1%
15.447
44,9%
825
44,8%
1.018
55,2%
18.135
55,7%
14.424
44,3%
PREGUNTA
24
En cuanto a los controles para la gestión de incidentes de seguridad de la información personal, que permiten y facilitan detectar, corregir y gestionar las vulnerabilidades, posibles eventos y el impacto por la materialización de los mismos, así como el reporte de los incidentes a autoridades competentes y titulares de la información, se observa que el 51,3% de entidades públicas no han implementado ningún tipo de control relacionado con este ítem y el 41,3% de las personas jurídicas privadas mixtas o ESALES tampoco han implementado medidas al respecto. De manera individual, cada pregunta presenta el siguiente comportamiento:
1.7.1 ¿Tiene implementada una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?? 34.402
Universo SI TOTAL SI 14.242
Públicas
1.843
SI
NO
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
41,4%
20.160
58,6%
657
35,7%
1.186
64,3%
13.609
41,8%
18.950
58,2%
25
Se observa que el 35,7% de las Entidades públicas y el 41,8% de las sociedades privadas, han implementado controles para identificar oportunidades de mejora que redunden en la prevención de la ocurrencia de otros hechos relacionados con las vulnerabilidades detectadas y los incidentes presentados.
1.7.2 ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal? 34.402
Universo SI TOTAL SI 18.955
Públicas
1.843
SI
NO
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
55,1%
15.447
44,9%
825
44,8%
1.018
55,2%
18.135
55,7%
14.424
44,3%
Tan solo el 44,8% de las entidades públicas y el 55,7% de las sociedades privadas, han implementado políticas y procedimientos que contengan el paso a paso a seguir, una vez se detecte la ocurrencia del incidente, tanto a nivel correctivo como preventivo, determinando tiempos, roles y responsabilidades.
1.8
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL 34.402
Universo
1.843
Públicas
NO
SI
1.843
Privadas
NO
SI
NO
SI
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓNPERSONAL
11.696
30,0%
18.267
53,1%
490
26,6%
1.100
59,7%
11.200
34,4%
17.158
52,7%
¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que especificamente le apliquen a la base de datos?
12.969
37,7%
21.433
62,3%
567
30,8%
1.276
69,2%
12.372
38,0%
20.187
62,0%
¿Tiene una política de auditorías de seguridad de la información personal ?
14.861
43,3%
19.541
56,7%
663
36,0%
1.018
34,0%
14.228
43,7%
18.331
56,3%
PREGUNTA
Los resultados muestran una débil cultura en auditoría que existe entre dichos actores tanto en el sector público (26,6%) como en el privado (34,4%).
26
El comportamiento individual de cada pregunta es el siguiente:
1.8.1 ¿Dentro de las auditorías de seguridad de información personal, tiene en cuenta el cumplimiento de requisitos, políticas y normas que específicamente le apliquen a la base de datos? 34.402
Universo SI
Públicas
1.843
SI
NO
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
12.969
37,7%
21.433
62,3%
567
30,8%
1.276
69,2%
12.372
38,0%
20.187
62,0%
Se puede observar que tan solo el 30,8% de las entidades públicas y el 38% de las sociedades privadas, mixtas y Esales, indicaron tener implementada una política de auditoría de seguridad de la información personal o en general (de toda la información), que les permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, sobre Tratamiento de datos personales, con el fin de facilitar la verificación de requisitos, políticas y normas que específicamente le apliquen a la base de datos con información personal que trata.
1.8.2 ¿Tiene una política de auditorías de seguridad de la información personal? 34.402
Universo SI TOTAL SI 14.861
Públicas
1.843
SI
NO
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
43,3%
19.541
56,7%
663
36,0%
1.180
64,0%
14.228
43,7%
18.331
56,3%
27
Se observa también un índice bajo en la implementación de una política de auditoría de seguridad de la información personal o en general (de toda la información), que permita evaluar el cumplimiento, resultados y la documentación de acciones correctivas y/o preventivas, relacionadas con el Tratamiento de datos personales con el 36% para entidades públicas y 43,7% para las sociedades privadas, Esales y mixtas.
1.9
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
1.843
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
11.731
34,1%
12.935
37,6%
635
34,5%
735
39,9%
11.037
33,9%
12.177
37,4%
¿Tiene implementadas herramientas de gestión de riesgos en el tratamiento de datos personales?
19.781
57,5%
14.621
42,5%
1.011
54,9%
832
45,1%
18.786
57,7%
13.773
42,3%
¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales ?
13.416
39,0%
20.986
61,0%
729
39,6%
1.114
60,0%
12.698
39,0%
19.861
61,0%
PREGUNTA
En este ítem se presentan los controles que permiten mediante cualquier metodología, la combinación de sistemas, controles, instrumentos, para facilitar los procesos de prevención, mitigación y preparación de las capacidades de la organización para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno, durante cada una de las etapas del ciclo del dato y la naturaleza de los mismos, de acuerdo con las necesidades y capacidades organizacionales del Responsable. En términos generales para este ítem, se presenta casualmente el mismo resultado aproximado en la falta de estos controles, tanto a nivel general como al discriminar los sectores, con el 39,9% para el sector público y del 37,4% para el sector privado. 28
En términos particulares, cada pregunta presenta los siguientes resultados:
1.9.1 ¿Tiene implementadas herramientas de gestión de riesgos en el Tratamiento de datos personales? Universo
34.402
SI TOTAL SI 19.781
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
57,5%
14.621
42,5%
1.011
54,9%
832
45,1%
18.786
57,7%
13.773
42,3%
El 54,9% de las entidades públicas (1.011) y el 57,7% de las sociedades privadas (18.786) manifestaron haber implementado herramientas de gestión de riesgo, es decir combinación de sistemas, controles, instrumentos, metodologías, etc., para facilitar los procesos de prevención, mitigación y preparación de las capacidades de la organización para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno durante cada una de las etapas del ciclo del dato personal y la naturaleza de los mismos, las demás, 832 de las entidades públicas registradas y 13.773 de las sociedades, privadas, Esales y mixtas no han implementado ningún control relacionado con la gestión de riesgos.
1.9.2 ¿Tiene implementado un sistema de gestión de seguridad de la información o un programa integral de gestión de datos personales? Universo
34.402
SI
Públicas
NO
1.843
SI
Privadas
NO
32.559
SI
NO
TOTAL SI
%
TOTAL NO
%
Cant.
%
Cant.
%
Cant.
%
Cant.
%
13.416
39,0%
20.986
61,0%
729
39,6%
1.114
60,4%
12.698
39,0%
19.861
61,0%
29
729 (39,6%) entidades públicas y 12.698 sociedades privadas (39,0%) manifestaron tener implementado un Sistema de Gestión de Seguridad de la Información o SGSI, como un conjunto de lineamientos y/o políticas administrativas, humanas y técnicas de administración de la información o un Programa Integral de Gestión de Datos Personales PIGDP, implementando las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012.
1.10 RESUMEN POR ÍTEM Como se explicó, el resumen por ítem es la respuesta absoluta a todas las preguntas de manera positiva o negativa, es decir, los que respondieron afirmativamente a todas las preguntas del ítem no de manera parcial. Públicas
1.843
SI
PREGUNTA
NO
PARCIAL
Cant. 209
% 41,4%
Cant. 86
% 4,7%
Cant. 1.548
% 84,1%
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL
544 490
29,5% 26,6%
220 1.102
11,9% 59,7%
1.081 253
58,6% 13,7%
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
463
25,1%
360
19,5%
1.022
55,4%
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
636
34,5%
737
39,9%
472
25,6%
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL
1189
64,4%
656
35,6%
0
0%
373
20,2%
529
28,7%
943
51,1%
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL
353
19,1%
704
38,2%
788
42,7%
TODAS LAS PREGUNTAS
SEGURIDAD DE LA INFORMACIÓN PERSONAL
Privadas
32.559
SI
PREGUNTA
NO
PARCIAL
Cant. 3.941
% 12,1%
Cant. 768
% 2,4%
Cant. 27.850
% 85,5%
AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL
11.329 11.197
34,8% 34,4%
1.665 17.157
5,1% 52,7%
19.743 4.383
60,1% 12,9%
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
8.736
26,8%
3.529
10,8%
20.472
62,4%
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
11.104
33,9%
12.189
37,4%
9.444
28,7%
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL
24.768
76,0%
7.804
24,0%
0
0%
8.685
26,7%
6.127
18,8%
17.760
54,5%
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL
7.016
21,5%
10.453
32,1%
15.103
46,4%
TODAS LAS PREGUNTAS
SEGURIDAD DE LA INFORMACIÓN PERSONAL
Universo
34.402
SI Cant. 4.150
% 12,0%
Cant. 854
% 2,5%
PARCIAL Cant. % 29.398 85,5%
11.873 11687
34,3% 34,0%
1.885 18.259
5,5% 53,1%
20.659 4.471
60,2% 12,9%
CONTROL DE ACCESO A LA INFORMACIÓN PERSONAL
9.199
26,7%
3.899
11,3%
21.139
62,0%
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
11.740
34,1%
12.926
37,6%
10.021
28,3%
SEGURIDAD DE LA INFORMACIÓN PERSONAL EN TORNO AL RECURSO HUMANO PROCESAMIENTO DE INFORMACIÓN PERSONAL
25.957
75,4%
8.460
24,6%
0
0%
26,3%
6.656
19,3%
18.703
54,4%
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN PERSONAL
9.058 7.369
21,4
11.157
32,4%
15.891
46,2%
GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN PERSONAL
12.638
36,7
14.405
41,9%
7.374
21,4%
PREGUNTA TODAS LAS PREGUNTAS
SEGURIDAD DE LA INFORMACIÓN PERSONAL AUDITORIAS DE SEGURIDAD DE LA INFORMACIÓN PERSONAL
NO
En términos generales los controles menos implementados de acuerdo con las respuestas negativas entregadas por los Responsables del Tratamiento de los datos personales en el país, están relacionados con aquellos que proporcionan el autocontrol como 1) Auditorías de Seguridad de la Información Personal con un 59,7% en Entidades Públicas y un 52,7% en el sector privado y 2) Implementar sistemas de gestión que permitan el control y mejora continua en todos los procesos, procedimientos del ciclo de vida del dato con un 39,9% en el sector público y 37,4 en el sector privado. 30
1.11
NIVEL DE IMPLEMENTACIÓN (% DE RESPUESTAS AFIRMATIVAS)
Respuestas positivas, frente a las 26 preguntas en total Total
0 - 25% 26 - 50% 51 - 75% 75 - 100% TOTALES
Públicas
Privadas,ESAL,Mixtas
Universo
34.402
Universo
1.843
Universo
32.559
Cant.
%
Cant.
%
Cant.
%
8.958 8.826 5.154 11.464 34.402
26,0% 25,7% 15,0% 33,3% 100,0%
586 504 217 536 1.843
31,8% 27,4% 11,8% 29,0% 100,0%
8.372 8.322 4.937 10.928 32.559
25,7% 25,6% 15,2% 33,5% 100,0%
Es importante observar que la mayoría de Responsables: 536 (29,0%) entidades públicas y 10.928 (33,5%) sociedades privadas, ESAL y Mixtas, respondieron afirmativamente entre 76% y 100% de las preguntas; en contraste, el porcentaje más bajo 11,8% (217) para entidades públicas y 15,2% (4.937) para sociedades privadas entre 51% y 75%. NIVEL DE IMPLEMENTACIÓN
31
1.12 RESPUESTAS POSITIVAS Se puede observar un comportamiento similar con tan solo el 11,2% y 12,1% tanto en Entidades públicas como en sociedades Privadas, ESALES y Mixtas frente a la implementación total de los controles presentados en el RNBD.
32
TOTAL Universo
34.402
Públicas
Total respuestas posi�vas
%
4.150 12,0% 2
Universo
1.843
Total respuestas posi�vas
Privadas - ESAL - Mixtas %
Universo
209 11,2 % 32.559
Total respuestas posi�vas
%
3.941 12,1%
COMPORTAMIENTO POR REGIONES
De acuerdo con el análisis de la información sobre la seguridad con la que los responsables clasificados por regiones en el país, tratan los datos, se pueden observar los siguientes resultados
Al organizar la información desde el ítem con menor índice de implementación o mayor debilidad en la adopción de medidas para el adecuado Tratamiento de los datos personales, es posible concluir que la mayoría de las categorías concuerdan con la posición que ocupan a nivel país, así, no contar con una Política de protección para acceso remoto a la información personal se mantiene en el primer lugar en todas las regiones y no contar con un procedimiento de auditoría de los sistemas de información en el segundo. Por otra parte, el ítem de mayor implementación es contar con herramientas de gestión de riesgos compartido muy de cerca por contar con políticas y procedimientos de gestión de incidentes de seguridad para todas las regiones. 33
NO CUENTAN CON
Gráfica comparativa de fallas en la implementación de medidas de seguridad por cada región en Colombia A continuación, se presenta gráficamente y de manera individual el comportamiento de cada una de las regiones: 2.1
REGIÓN ANDINA
NO CUENTAN CON
34
2.2
REGIÓN ORINOQUÍA Y AMAZONÍA
NO CUENTAN CON
35
2.3
REGIÓN PACÍFICA
NO CUENTAN CON
2.4
REGIÓN ORINOQUÍA Y AMAZONÍA
NO CUENTAN CON
36
CONCLUSIONES Para este estudio, se tomó la información suministrada por 34.402 organizaciones Responsables del Tratamiento de datos que registraron sus bases de datos en el Registro Nacional de Bases de Datos RNBD de esta Entidad, desde el año 2015 hasta el 31 de marzo de 2023. De éstas, 32.559 son empresas privadas (94.6%) y 1.843 entidades públicas (5,4%). En el análisis comparativo se puede evidenciar a través de los diferentes estudios realizados que de 2019 a 2020 mejoró en un 16,95% el nivel promedio de implementación de medidas de seguridad, de 2020 a 2021 mejoró en un 4,73% y de 2021 a Marzo de 2023 ese mismo nivel promedio de implementación, mejoró un 5,74%. No obstante, persiste un alto nivel de no implementación (56%) respecto de los ítems comparados. Para todas las medidas de seguridad, hubo un aumento en la implementación de las medidas de seguridad, con corte a marzo de 2023 frente a 2021. Respecto de los datos suministrados hasta el 31 de marzo de 2023, se concluye lo siguiente de las respuestas de las 34.402 empresas y entidades públicas estudiadas: En promedio, tan solo el 36,35% de los Responsables del Tratamiento respondieron haber cumplido con los requerimientos sobre seguridad que fueron indagados por la SIC en el formulario del RNBD. Ello significa, que 63,65% de las empresas y las entidades públicas no han implementado medidas apropiadas y efectivas para garantizar la seguridad de los datos personales. 33.564 (97,52%) de las organizaciones manifestaron haber adoptado al menos parte de los requerimientos de seguridad de la SIC, mientras que 854 (2,48%) afirmaron no haber hecho nada respecto de lo preguntado por la SIC. El 54,6% de las organizaciones no han implementado una política específica que 37
regule el acceso a la información personal de las bases de datos con información sensible. El 66,5% de las entidades no han puesto en marcha una política de protección para el acceso remoto a la información personal, y el 64,9% tampoco cuenta con un procedimiento implementado de auditoría de los sistemas de información que contengan datos personales. El 61% de los Responsables del Tratamiento de datos no ha implementado un sistema gestión de seguridad de la información o un programa integral de gestión de datos personales y el 42,3% no usa herramientas de gestión de riesgos en el Tratamiento de datos personales, controles que garantizan las medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012. El 54% de las organizaciones no tiene controles de seguridad en la tercerización de servicios para el Tratamiento de la información personal. Se destaca que de ese 54%, tanto en el sector público como el privado, el 46,9% tienen Encargados de Tratamiento, es decir, han tercerizado servicios en el Tratamiento de los datos personales. Frente al análisis por regiones, se puede observar que se conserva en cada una el mismo comportamiento, frente a los controles y medidas de seguridad no implementadas, siendo así el “No contar con una Política de protección para acceso remoto a la información personal” la de menor implementación en todas las regiones, seguido de “No contar con un procedimiento de auditoría de los sistemas de información”. Por otra parte, el ítem de mayor implementación en las regiones es “Contar con herramientas de gestión de riesgos” junto con “Contar con políticas y procedimientos de gestión de incidentes de seguridad” en segundo lugar para todas las regiones.
38
WWW.SIC.GOV.CO @sicsuper Superintendencia de Industria y Comercio de Colombia Superintendencia de Industria y Comercio
Conmutador: (601) 5870 000 - Contact Center: (061) 5 920400 Línea gratuita nacional desde teléfonos fijos: 01 8000 910 165