Seguridad y Privacidad de la Información
Esta política responde al Anexo 3 de la Resolución 1519 de 2020 MinTIC (Condiciones técnicas mínimas y de seguridad digital web) y al Modelo de Seguridad y Privacidad de la Información (MSPI) de la Dirección de Gobierno Digital.
1. Política de Seguridad Digital y de la Información
USDE Seccional Quindío reconoce la información como un activo estratégico. La presente política establece los lineamientos para garantizar la confidencialidad, integridad y disponibilidad de la información y los sistemas que la soportan.
1.1 Objetivos
- Proteger los activos de información de USDE Seccional Quindío frente a amenazas internas y externas.
- Garantizar la continuidad de los servicios sindicales ante incidentes.
- Cumplir con la normatividad colombiana en protección de datos personales (Ley 1581 de 2012) y transparencia (Ley 1712 de 2014).
- Generar cultura de seguridad entre afiliados, directivos y proveedores.
1.2 Alcance
Aplica a: todos los miembros de la Junta Directiva, comisiones, personal contratado, proveedores con acceso a información, afiliados, y a todo activo de información (físico, lógico o humano) bajo control de USDE Seccional Quindío.
1.3 Principios
🔒 Confidencialidad
La información solo es accesible a quien esté autorizado.
✅ Integridad
La información es exacta, completa y no ha sido alterada sin autorización.
♻ Disponibilidad
La información y los sistemas están disponibles cuando se requieren.
👁 No repudio
Las acciones realizadas pueden ser atribuidas a quien las ejecutó.
2. Modelo de Seguridad y Privacidad de la Información (MSPI)
USDE Seccional Quindío ha adoptado el MSPI recomendado por la Dirección de Gobierno Digital del MinTIC. El modelo se implementa en cinco fases:
- Diagnóstico — Inventario de activos, análisis de brechas y de riesgos.
- Planificación — Definición de objetivos, alcance y plan de tratamiento de riesgos.
- Implementación — Aplicación de controles técnicos, físicos y administrativos.
- Evaluación — Monitoreo de indicadores y auditorías internas.
- Mejora continua — Acciones correctivas y preventivas; actualización de la política.
3. Controles implementados
| Categoría | Controles |
|---|---|
| Sitio web | HTTPS obligatorio (TLS 1.2+), HSTS, headers de seguridad (X-Frame-Options, CSP, Referrer-Policy), protección contra clickjacking y MIME-sniffing. |
| Formularios web | Validación HTML5 y servidor, captcha automático, anti-spam por honeypot, cifrado en tránsito. |
| Datos personales | Cifrado en reposo, principio de finalidad, base autorizada, derechos ARCO informados. |
| Accesos administrativos | MFA obligatorio, contraseñas robustas, registros de auditoría, principio de mínimo privilegio. |
| Respaldos | Backup diario incremental y semanal completo. Pruebas de restauración semestrales. |
| Capacitación | Sensibilización anual a la Junta Directiva y al equipo de la USDE. |
4. Gestión de incidentes de seguridad
En caso de incidente de seguridad de la información, USDE Seccional Quindío:
- Notifica al Equipo de Respuesta colCERT (colcert.gov.co).
- Reporta a la Superintendencia de Industria y Comercio (SIC) en máximo 15 días si involucra datos personales.
- Comunica a la Fiscalía General si hay indicios de delito informático (Ley 1273 de 2009).
- Informa a los titulares afectados conforme al Decreto 1377/2013.
- Adopta medidas correctivas y publica el reporte público (sin datos sensibles).
Reportar incidente: seguridad@usdequindio.org
5. Historial de incidentes
Durante la vigencia 2025 y lo corrido de 2026, USDE Seccional Quindío no ha sufrido incidentes que ameriten reporte a SIC o colCERT.