Implementar el Sistema de Gestión de Seguridad de la Información – SGSI y el Programa Integral de Gestión de Datos Personales - PIGDP, que permita establecer políticas, articular y gestionar directrices mediante controles de protección y resguardo para la protección de datos personales de Titulares, así como asegurar la confidencialidad, integridad y disponibilidad de la información como activo esencial de la institución.

La implementación del Sistema de Gestión de Seguridad de la Información – SGSI y el Programa Integral de Gestión de Datos Personales – PIGDP se realiza a nivel institucional en Sede, Seccionales, Extensiones y Oficina de Bogotá abarcando todos los procesos y procedimientos que incluyan la gestión de información y el tratamiento de datos personales.

POLÍTICA DE OPERACIÓN DEL PROCESO

La Universidad de Cundinamarca, comprende la importancia de garantizar la confidencialidad, integridad y disponibilidad de la información como activo esencial para la prestación de sus servicios de los procesos de admisiones y registro, bienestar universitario, ciencia tecnología e innovación, dialogando con el mundo, formación y aprendizaje, graduados e interacción social universitaria, por lo tanto es prioritario la implementación de un Sistema de Gestión de Seguridad de la Información – SGSI, como herramienta que permita la gestión de activos de información, la gestión de riesgos, la gestión de incidentes, la gestión del cumplimiento, la gestión del cambio y la cultura y la gestión de la continuidad de la institución, manteniendo el mejoramiento continuo, acorde con las necesidades y expectativas de los diferentes grupos de interés identificados. El Sistema de Gestión de Seguridad de la Información – SGSI, siguiendo los lineamientos y directrices de la Dirección de Planeación Institucional, de acuerdo con los documentos estratégicos de la institución y en articulación con la Dirección de Sistemas y Tecnología, serán las áreas que establecerán, gestionarán y dinamizarán mecanismos de protección y resguardo de la información como activo principal de la Universidad de Cundinamarca, de acuerdo con la normatividad legal aplicable y en concordancia con la misión y visión de la institución.

Así mismo, los demás lineamientos que se generen como producto de la implementación del SGSI, serán apropiadas y de obligatorio cumplimiento por todos los grupos de interés, teniendo en cuenta los lineamientos establecidos en el Manual ESG-SSI- M001 – Manual de Lineamientos de Seguridad y Privacidad de la información.

1. Seguimiento al plan de acción e indicadores del Sistema de Gestión de Seguridad de la Información.
2. Autoevaluación y control del Sistema de Gestión de Seguridad de la Información.
3. Atención a consultas, quejas o reclamos relacionados con el tratamiento de datos de los titulares de información de la Universidad de Cundinamarca.

Ejecutar procedimientos de monitorización y revisión para:

• Identificar brechas e incidentes de seguridad y privacidad de la información;
• Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información y la protección de datos personales se desarrollan en relación a lo previsto;
• Detectar y prevenir eventos e incidentes de seguridad y privacidad de la información mediante la identificación de riesgos para cumplir con los indicadores propuestos;

Revisar regularmente la efectividad del SGSI atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

Definir periódicamente las Bases de Datos Personales de las cuales se realiza tratamiento y que deben ser registradas en la Superintendencia de Industria y Comercio o quien haga sus veces.

Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.

Realizar periódicamente auditorías internas del SGSI en intervalos planificados.

Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.

La definición del objetivo, el alcance del proceso y su relación con el direccionamiento estratégico institucional se realiza con la participación activa de los gestores del proceso, así como los procedimientos de indicadores, riesgos, puntos de control y demás acciones para el seguimiento, evaluación y mejora del proceso.

• Implantar en el SGSI las mejoras identificadas.
• Realizar las acciones preventivas y correctivas adecuadas en relación con la cláusula 8 – Operación de la norma ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
• Gestión del riesgo y de las oportunidades.