Políticas, términos y condiciones

Política de Seguridad y Privacidad de la Información

La UPRA está comprometida con el trato responsable de los activos de información, utilizados a lo largo de las actividades incluidas dentro de cada uno de sus procesos, requeridos para orientar la política pública de planificación en la gestión del territorio para usos agropecuarios, que contribuya a la productividad y competitividad, la seguridad jurídica de la tenencia de la tierra y el uso eficiente del suelo rural.

Es por ello que la Unidad procura la protección de la confidencialidad, integridad y disponibilidad de los diferentes activos de información, mediante la adopción del Modelo de Seguridad de la Información definido por MinTIC que se desarrolla a través de la Gestión de Seguridad de la Información institucional, alineado con el estándar ISO 27001. Así mismo, administra los riesgos de seguridad de la información y propende por la generación de una cultura de buenas prácticas.

Premisas

Definir, implementar, operar y mejorar de forma continua la Gestión de Seguridad de la Información para identificar y mitigar los riesgos sobre la información institucional.
Definir, mantener y actualizar los requisitos de seguridad asociados al contexto de la UPRA, para lo cual se debe revisar y mantener la documentación relacionada con los elementos de Seguridad de la Información de la UPRA actualizada, vigente y operativa, de acuerdo con las necesidades de la Entidad y procurando que todas las partes involucradas la conozcan y apliquen.
Definir responsabilidades asociadas a seguridad de la información al personal que tiene relación con el manejo de los activos de información de la UPRA, asegurando la existencia de competencias requeridas para la ejecución de las tareas asignadas.
Comunicar efectivamente los aspectos asociados a los elementos de la Seguridad de la Información a todas las partes involucradas, generando una cultura de seguridad de la información.
Incorporar la seguridad de la información en las actividades de definición de Planes, Objetivos, Estrategias, programas y proyectos, generados a partir de los procesos estratégicos de la UPRA.
Definir lineamientos, estándares, procedimientos u otras herramientas que permitan abordar la seguridad de la información a partir de los dominios de seguridad definidos en el Modelo de Seguridad y Privacidad de la Información y la Norma NTC ISO-IEC 27001:2013.
Implementar proceso de mejoramiento continuo en la aplicación de los controles requeridos para la gestión de los riesgos de seguridad de la información inherentes en los activos de información y la declaratoria de aplicabilidad.
Asegurar la protección de la información y darle un manejo apropiado, al igual que a los diferentes tipos de activos que interactúan con la información custodiada por la UPRA.
Cumplir con los requerimientos legales para la seguridad y privacidad de la información, definidos por la normatividad aplicable a la Entidad.
Mantener los lineamientos de seguridad de la información actualizados, a efectos de asegurar su vigencia, nivel de eficacia y conformidad con las orientaciones estratégicas de la Entidad.
Fortalecer la capacidad institucional para Identificar, Proteger, Detectar, Responder, Recuperar ante posibles materializaciones de los riesgos.

Objetivos

Implementar controles técnicos, administrativos y legales enfocados a la protección de la confidencialidad, integridad, disponibilidad de la información y mitigar eventos que generen impactos económicos, reputacionales o legales, conforme a la Declaración de Aplicabilidad de la Entidad.
Sensibilizar a todos los usuarios de la entidad, sobre la importancia de la seguridad de la información fin de generar y fortalecer la cultura en esta materia y la aplicación de buenas prácticas respecto al adecuado tratamiento y protección de los activos de información.
Gestionar todos los incidentes o eventos de seguridad de la información.
Analizar las vulnerabilidades sobre los activos de información institucionales.
Implementar el Modelo de Seguridad y Privacidad de la Información – MSPI. De acuerdo con las directrices del Ministerio de Tecnologías de la Información y Comunicaciones.

Alcance

El alcance de la presente política corresponde al desarrollo de todos los elementos de seguridad de la información aplicable a todos los procesos de la Unidad de Planificación de Tierras Rurales Adecuación de Tierras y Usos Agropecuarios: estratégicos, misionales, apoyo y de evaluación.

Ámbito de aplicación

El cumplimiento de la Política General de Seguridad y Privacidad de la Información y las Políticas Específicas de Seguridad de la Información, es obligatorio para los funcionarios, contratistas, proveedores y en general cualquier usuario que tenga relación con los activos de información institucionales; en caso de violaciones a estas, la Entidad se reserva el derecho de tomar las medidas administrativas, contractuales y/o actuaciones a que exista lugar.

Revisiones y/o actualizaciones

Las políticas de seguridad de la información serán sometidas a revisión con periodicidad anual y actualización cuando se presenten cambios significativos en el contexto interno y/o externo de la Entidad.

La actualización del modelo de Seguridad de la Información es dinámica, lo cual implica que constantemente se deben documentar las acciones realizadas en el marco de este. Por lo menos una vez al año se deben presentar al CIGDE o el que haga sus veces, los avances realizados.

Mínimo cada tres años se debe iniciar nuevamente las fases del ciclo Planear, Hacer, Verificar y Actuar, PHVA de la implementación de los elementos de Gestión de Seguridad de la Información.

Compromiso de la dirección

La Dirección General, la Secretaría General, las Direcciones Técnicas, la Jefatura TIC y asesorías, manifiestan su compromiso de mejora continua en seguridad de la información y de incentivar a que los colaboradores de la Entidad asuman ese compromiso institucional.