CHECKLIST PARA EVITAR INCIDENTES DE S epar ata Jurídic a

8/ 2 02 1
SEGURIDAD DE DATOS EN LAS EMPRESAS

CHECKLIST PARA EVITAR

INCIDENTES DE SEGURIDAD
DE DATOS EN
LAS EMPRESAS
_
JULIO

1. Introducción
El propósito de mantener la confidencialidad, integridad
y disponibilidad de los datos personales es tomado
directamente del mundo de la seguridad de la información;
seguridad que es importante, no solo porque es un principio
contemplado en la Ley estatutaria de protección de datos
personales 1581 de 2012, conocida como la LEPDP, sino
también porque es el respaldo de un buen gobierno de datos y
puede ayudarle a la empresa a demostrar el cumplimiento de
otros aspectos de dicha ley.

C O N T I N Ú A E N L A S I G U I E N T E PÁ G I N A 

Aliado:

SEPARATA JURÍDICA · 1 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

Por el contrario, la inseguridad pone en riesgo sus sistemas

y servicios y puede ocasionar la pérdida, modificación,
destrucción, comunicación o acceso no autorizado a los datos
personales. Es decir, incidentes de seguridad que pueden
causar daños a los derechos y libertades de las personas, y
acarrear sanciones de la SuperIntendencia de Industria y
Comercio (SIC). Estos sucesos, además de ser situaciones
problemáticas y estresantes para la empresa y las personas,
son síntomas de que las medidas técnicas, humanas y
administrativas aplicadas son vulnerables y no cumplieron con
el objetivo de evitar la adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento de los datos personales.

Los incidentes de seguridad de datos se clasifican de acuerdo

con los tres pilares de la seguridad de la información:
▶ Incidente que afecta la confidencialidad: el uso o
acceso accidental o deliberado a los datos.
▶ Incidente que afecta la integridad: cuando
los datos son usados, alterados o modificados
afectando su exactitud y completitud.
▶ Incidente de disponibilidad: cuando se pierde la
capacidad de acceder a la información o por la
destrucción accidental, no autorizada o deliberada
de los datos.

En la actual economía digital, que es impulsada por los datos

personales como moneda de cambio que “viaja” por todo
el mundo, los riesgos de que se presenten estos incidentes
aumentan y pueden ocurrir en cualquier momento y en
cualquier organización. Por esta razón, la diferencia está en la
manera en la que una organización se prepara para evitarlos.

SEPARATA JURÍDICA · 2 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

2. Conceptos básicos

A continuación, de forma clara y sencilla se identificarán

los términos que encontrarás en este documento y que
hacen parte del vocabulario técnico utilizado en materia de
protección de datos personales y ciberseguridad:
▶ Autoridad de protección de datos: entidad
pública que ejerce la vigilancia y garantiza que
en el tratamiento de los datos personales se
respeten los principios, derechos, garantías y
procedimientos previstos en la normatividad
en protección de datos vigente. En Colombia, la
autoridad de protección de datos personales es la
SIC.
▶ Ciberseguridad: protección de los activos
de información que aborda las amenazas
a la información procesada, almacenada y
transportada por los sistemas de la información
interconectados (Information Systems Audit and
Control Association [Isaca], 2017, p. 171).
▶ Cifrado: proceso que consiste tomar un mensaje
no cifrado (texto plano), aplicarle una función
matemática (algoritmo de cifrado con una clave)
y convertirlo en un mensaje cifrado (texto cifrado)
(Isaca, 2017, p. 171).

SEPARATA JURÍDICA · 3 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

▶ Contrato de encargo de tratamiento: acuerdo

que suscriben el Responsable y el Encargado
del tratamiento de los datos personales y que
regula su relación frente al procesamiento de los
mismos.
En este contrato, el Responsable:
• Define el alcance del tratamiento.
• Delega al Encargado las actividades para
el tratamiento de los datos personales que
debe realizar por cuenta del Responsable.
• Establece las obligaciones que el Encargado
tiene con el Titular y el Responsable.
Por su parte, el Encargado se compromete a:
• Cumplir con la política de tratamiento de la
información fijada por el Responsable.
• Realizar el tratamiento de los datos de
acuerdo con la finalidad que el Titular haya
autorizado y con las leyes aplicables (artículo
25, Decreto 1377 de 2013).
▶ Dato personal: se refiere a cualquier información
asociada a una persona natural (identificada
o identificable) relativa tanto a su identidad
(nombre, apellidos, domicilio, filiación política o
religiosa, etc.) como a su existencia y ocupaciones
(estudios, trabajo, enfermedades, etc.).
▶ Firmware: según el Glosario de términos de
ciberseguridad. Una guía de aproximación
para el empresario (Instituto Nacional de
Ciberseguridad [Incibe] y Ministerio de Asuntos
Económicos y Transformación Digital de España,
2020), es:
Tipo de software que permite proporcionar
un control a bajo nivel de un dispositivo o

SEPARATA JURÍDICA · 4 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

componente electrónico, siendo capaz de

proveer un entorno de operación para las
funciones más complejas del componente
o comportándose como sistema operativo
interno en armonía con otros dispositivos o
componentes. (p. 44)
▶ Encargado del tratamiento: quien gestiona y/o
manipula los datos de carácter personal a nombre
del Responsable, pero no decide cómo ni con qué
fin. Su trabajo es operativo y se hace con base en
las indicaciones e instrucciones del Responsable
del tratamiento.
▶ Incidente de seguridad de datos: es la violación
de los códigos de seguridad o la pérdida,
robo y/o acceso no autorizado a los datos
personales tratados por el Responsable o el
Encargado. La gestión de incidentes se refiere a
la documentación de los pasos a seguir, a nivel
correctivo y preventivo, de los posibles incidentes.
En este proceso se deben determinar tiempos,
roles y responsabilidades (Superintendencia de
Industria y Comercio, 2019).
▶ Ingeniería social: técnicas que usan los
delincuentes para engañar a los usuarios
de sistemas/servicios de tecnologías de la
información y la comunicación (TIC) para obtener
datos como credenciales, información sobre los
sistemas que usan y servicios instalados, entre
otros (Incibe y Ministerio de Asuntos Económicos y
Transformación Digital de España, 2020, p. 51).
▶ Malware: término que nace de la unión de las
palabras en inglés: malicious (malintencionado) y
software. El malware tiene como objetivo dañar
o infiltrarse en un sistema de información sin
el consentimiento de su propietario. Algunos
son conocidos como virus, gusanos, troyanos,

SEPARATA JURÍDICA · 5 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

backdoors y spyware (Incibe y Ministerio de

Asuntos Económicos y Transformación Digital de
España, 2020, p. 56).
▶ Oficial de protección de datos: área o persona
encargada de velar por el cumplimiento de la
LEPDP.
▶ Oficial de seguridad de la información:
responsable de la seguridad de la información en
la empresa.
▶ Phishing: técnica o tipo de ataque en el que
alguien, mediante un correo electrónico o
mensaje instantáneo, suplanta a una entidad/
servicio de confianza, como redes sociales
y entidades financieras, para conseguir la
información de las cuentas bancarias o de las
tarjetas de crédito de un usuario. Ese mensaje
suele tener un enlace a un sitio web que suplanta
al legítimo (Incibe y Ministerio de Asuntos
Económicos y Transformación Digital de España,
2020, p. 61).
▶ Protección de datos de carácter personal: es
un derecho fundamental que tienen todas
las personas naturales y que busca proteger
su intimidad y privacidad ante un indebido
tratamiento de sus datos personales que han sido
capturados por un tercero.
▶ Pruebas de penetración: consiste en simular
un ataque de un software o un hardware para
encontrar vulnerabilidades y configuraciones
deficientes o inadecuadas que permitan
identificar los problemas de seguridad.
Posteriormente se presenta una propuesta de
mitigación o una solución técnica. La intención
de la prueba de penetración es determinar la
viabilidad de un ataque y del impacto que tendría

SEPARATA JURÍDICA · 6 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

si llegara a ser exitoso (Incibe y Ministerio de

Asuntos Económicos y Transformación Digital de
España, 2020, p. 60).
▶ Ransomware: malware que impide el acceso
a los sistemas comprometidos hasta que una
petición de rescate o pago haya sido satisfecha.
▶ Registro Nacional de Bases de Datos (RNBD):
es un directorio público, de libre consulta y
administrado por la SIC, de las bases de datos
sujetas al tratamiento que opera en el país.
▶ Responsable del tratamiento: persona natural o
jurídica, pública o privada, que por sí misma o en
asocio con otros, decide sobre las bases de datos
y/o el tratamiento de los datos personales.
▶ Responsabilidad demostrada: es la forma en la
que una entidad debe cumplir (en la práctica)
con las regulaciones sobre la protección de datos
personales, y la manera en que debe demostrar
que lo puesto en práctica es útil, pertinente y
eficiente (SIC, 2020, p. 22).
▶ Servicios de computación en la nube:
infraestructuras (IaaS), plataformas (PaaS) o
softwares (Saas) que permiten a los usuarios
almacenar información, ficheros y datos en
servidores de terceros de forma que puedan ser
accesibles desde cualquier terminal o equipo a
través de internet.
▶ Titular de los datos personales: es la persona
natural cuyos datos personales son objeto de
tratamiento por parte de un tercero.
▶ Transferencia: tiene lugar cuando el Responsable
y/o Encargado del tratamiento de los datos
personales, ubicado en Colombia, envía la
información o los datos personales a un receptor

SEPARATA JURÍDICA · 7 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

que, a su vez, es Responsable del tratamiento y se

encuentra dentro o fuera del país (SIC, s. f.).
▶ Transmisión: es la comunicación de datos,
dentro o fuera de Colombia, que tiene por objeto
la realización de un tratamiento por parte del
Encargado por cuenta del Responsable (SIC, s. f.).

3. Enfoque de riesgo y proactivo para evitar incidentes de

seguridad de datos personales

La responsabilidad demostrada1 demanda un enfoque

de riesgo que sea proactivo, no reactivo. Por lo tanto,
implementar controles o medidas de seguridad para resolver
un incumplimiento de la LEPDP luego de que ya ocurrió, no
demuestra ningún tipo de responsabilidad. Cada empresa
es única, por lo tanto, estas medidas deben ser apropiadas,
efectivas y proporcionales al tamaño de la organización, a la
naturaleza de los datos, al tratamiento aplicado y a los riesgos
potenciales que ese tratamiento pueda causar sobre los
derechos y libertades de las personas (artículo 26, Decreto
1377 de 2013). Algunos asuntos a los que se debe prestar
atención para mantener o aumentar el cumplimiento de la
ley en materia de ciberseguridad y protección de datos son los
siguientes:
Destinar recursos suficientes para el establecimiento e
implementación de un programa integral de gestión de datos
y de un sistema que permita gestionar la información de
manera segura.
Designar un oficial de protección de datos y uno de seguridad
de la información para que velen por el cumplimiento de la
LEPD en la empresa.
Revisar las medidas técnicas (certificados SSL/TLS y cifrado de
datos, entre otros), legales (contratos de encargo y acuerdos

1. Deber que tiene el oficial de protección de datos de implementar medidas dentro de la organización
que permitan dar efectivo cumplimiento a los principios de la normatividad sobre protección de datos en
Colombia.

SEPARATA JURÍDICA · 8 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

de confidencialidad, entre otros) y organizacionales (políticas

y procedimientos de seguridad de la información y protección
de datos) necesarias según el tamaño empresarial, el volumen
y tipo de datos e información, las operaciones que aplican
sobre la información y el potencial riesgo que el tratamiento
puede causar en las personas y la organización.

4. Contratación de proveedores que accedan o usen

información personal

Cuando vaya a contratar servicios en la nube donde se

procesen datos personales asegúrese de que el contrato
incluye, al menos, los siguientes aspectos:
† La obligación del Encargado de procesar, bajo la
política de tratamiento de datos del Responsable,
la información asignada.
† Las instrucciones del Responsable sobre el
encargo realizado. Esto es necesario para
identificar con claridad los tratamientos y
finalidades que aplicará el Encargado.
† El deber de confidencialidad frente al tratamiento
de los datos personales, que debe ser por tiempo
indefinido. Definir un término, es contrario a
la LEPDP.

SEPARATA JURÍDICA · 9 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

† Las medidas de seguridad que deberá aplicar el

Encargado del tratamiento.
† La ubicación de los servidores para verificar si
están en un país que tenga el adecuado nivel
de protección declarado por la autoridad de
protección de datos.
† Las condiciones de subcontratación porque,
generalmente, el procesamiento de los datos
los hace un subencargado (seguramente algún
gigante tecnológico como Amazon, Google,
Microsoft, entre otros).
† La obligación del Encargado de respetar
los derechos de los titulares de la información
personal.
† La colaboración, por parte del Encargado, frente
a las obligaciones del Responsable. El principio
de seguridad de los datos de la LEPDP obliga
a los dos a implementar las medidas (técnicas,
humanas y administrativas) necesarias para
brindar seguridad a los registros y así evitar su
adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
† El reporte inmediato de los incidentes
de seguridad que afecten la integridad,
disponibilidad o confidencialidad de los datos
objeto de encargo.
† El destino final de los datos una vez termine la
prestación del servicio.

SEPARATA JURÍDICA ·10· SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

5. Recomendaciones para incrementar la seguridad contra

ataques y detectar ataques de ransomware, phishing,
ingeniería social y errores humanos
Un alto nivel de cumplimiento de la seguridad de los datos
será la mejor estrategia de defensa frente a los requerimientos
de la autoridad de protección de datos:

Asegúrate de:
† Contar con un procedimiento de gestión de
incidentes de seguridad de datos personales y de
que los colaboradores estén en la capacidad de
contactar al área o persona encargada de atender
y gestionar las dudas, preguntas o reportes de
estos sucesos.
† Entrenar a los colaboradores periódicamente
frente a cómo reconocer y prevenir ataques
de ransomware, phishing o ingeniería
social; recordarles los peligros de reaccionar
impulsivamente, y reforzar la obligación de
reportarlos de forma inmediata al área o persona
encargada de gestionar estos incidentes.
† Reportar los incidentes de seguridad de datos
personales a la autoridad de protección de
datos dentro los 15 días hábiles siguientes al
momento en que se detecten y sean puestos
en conocimiento de la persona o el área
encargada de atenderlos. Si tu empresa está
obligada a cumplir con el RNBD, el reporte del
incidente ser hará en esa plataforma; si no lo está,
deberás hacerlo a través del correo electrónico
[email protected]

SEPARATA JURÍDICA · 11 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

Implementa:
† Cifrado en los discos con herramientas como
BitLocker, VeraCrypt, DiskCryptor, Cryptomator y
GnuPG, entre otras.
† Medidas de cifrado en los procesos de transmisión
de correos electrónicos que contengan
información personal de tipo sensible o secretos
empresariales o comerciales.
† Certificados SSL/TLS para el cifrado de todas las
páginas web de la empresa.
Considera:
† Contar con un software antimalware.
† Mantener un firewall y, de ser necesario, un
software de detección de intrusos, y tenerlos
actualizados.
† Revisar las configuraciones de seguridad
predeterminadas, otorgadas o proporcionadas
por cualquier servicio de correo electrónico como
Gmail o Outlook, entre otros; y de aplicaciones de
videoconferencias y trabajo colaborativo como
Zoom, Teams, Meet, Slack y Trelo.
† Utilizar autenticación de múltiples factores para
usuarios externos o basados en servicios de
computación en la nube.

SEPARATA JURÍDICA · 12 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

† Implementar controles para evitar que los

usuarios respondan automáticamente correos
electrónicos provenientes de direcciones externas.
† Requerir e implementar medidas de cifrado en los
procesos de transmisión de correos electrónicos y
en los buzones de correo.
† Cifrar los datos en tránsito cuando se autentiquen
usuarios o se transfiera información personal.
† Contar con mecanismos de autenticación
como usuarios y contraseñas. Estos deberán ser
almacenados con cifrado y de forma segura;
por ejemplo, con un valor criptográfico de
comprobación aleatoria de cifrado.
† Verificar los detalles de los remitentes de los
correos electrónicos. Por ejemplo, que el dominio
de donde proviene el mensaje sea realmente el de
la empresa que dice porque, en ocasiones, puede
tratarse de una suplantación.
† Crear reglas o políticas sobre cómo manejar los
mensajes y archivos adjuntos en relación con el
asunto de la comunicación.
† Establecer políticas claras y concretas, que
no permitan interpretaciones, sobre el envío
de correos electrónicos, y entrenar a los
colaboradores frente a esto.
† Deshabilitar, en la plataforma de correo
empresarial, la función “autocompletar” al
momento de introducir direcciones de correo
electrónico.

SEPARATA JURÍDICA · 13 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

6. Oficiales de protección de datos y de seguridad de la

información

Conforme a lo que establece el artículo 23 del Decreto 1377

de 2013 y lo que recomienda la Guía para la implementación
del principio de responsabilidad demostrada, publicada por
la SIC en 2015, toda entidad Responsable o Encargada del
tratamiento de datos personales deberá designar una persona
o área que asuma la función de oficial de protección de datos,
quien es la piedra angular de la responsabilidad demostrada.
Por otro lado, el oficial de seguridad es el área o persona
que vela porque la información de la empresa se encuentre
protegida en todo momento y por el cumplimiento de la
LEPDP. Los dos son roles claves en las organizaciones.
Los/las oficiales de protección de datos y de seguridad de la
información deberán:
† Promover, generar e implementar las políticas
de tratamiento de datos y seguridad de la
información necesarias para garantizar su uso
responsable en la organización.
† Garantizar la privacidad y seguridad de los datos
personales y de la información.
† Coordinar e implementar las medidas y controles
del programa integral de gestión de los datos y de
la seguridad de la información.
† Mantener un inventario de activos de información
y de bases de datos que incluya datos personales.
† Adelantar, de manera periódica, entrenamientos
en materia de protección de datos y seguridad de
la información dirigidos a los colaboradores, medir
su participación y evaluarlos.
† Adelantar campañas de sensibilización (usando
correos electrónicos, carteleras, estableciendo
el día de la privacidad y la seguridad de la
información, por ejemplo) en la empresa.

SEPARATA JURÍDICA ·14· SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

† Diseñar y elaborar contratos de encargo de

tratamiento de datos personales con proveedores
que utilicen la información personal que maneja
la empresa.
† Realizar auditorías a los proveedores que utilicen o
accedan a información de la empresa.
† Diseñar, elaborar, comunicar y evaluar
procedimientos de atención y gestión de
incidentes de seguridad de la información y de los
datos personales.
† Conformar un equipo de respuesta ante
incidentes de seguridad de la información y de
datos personales.
† Reportar ante las autoridades competentes los
incidentes de seguridad de la información y datos
personales.
† Adelantar el seguimiento y supervisión del
programa integral de gestión de datos y de
seguridad de la información de la empresa.

Caja de herramientas
• Directrices 01/2021 sobre ejemplos relacionados
con la notificación de violación de datos del
Comité Europe de Protección de Datos: https://bit.
ly/35CqRKH
• Cuestionario diagnóstico para el cumplimiento
de la Ley 1581 de 2012 en las mipymes: https://bit.
ly/3wJEVhl
• Guía para la gestión de incidentes de seguridad
en el tratamiento de datos personales: https://bit.
ly/3qcfW3Y
• Guía para la Implementación del Principio
de Responsabilidad Demostrada (Accountability):
https://bit.ly/3gMuELK

SEPARATA JURÍDICA · 15 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

• Guía para solicitar la declaración de conformidad

sobre las trasferencias internacionales de datos
personales: https://bit.ly/35CxHQr

Referencias

• Decreto 1377 de 2013. Por el cual se reglamenta

parcialmente la Ley 1581 de 2012. Junio 27 de 2013.
• Information Systems Audit and Control Association
(Isaca) (2017). Guía de Estudio de Fundamentos de la
Ciberseguridad. ISACA.
• Instituto Nacional de Ciberseguridad y Ministerio
de Asuntos Económicos y Transformación Digital
de España. (2020). Glosario de términos de
ciberseguridad. Una guía de aproximación para el
empresario. https://bit.ly/3cZmPjT
• Superintendencia de Industria y Comercio. (s. f.).
Preguntas frecuentes. https://bit.ly/3zF7Bdz
• Superintendencia de Industria y Comercio. (2015).
Guía para la Implementación del Principio de
Responsabilidad Demostrada (Accountability). https://
bit.ly/3gMuELK
• Superintendencia de Industria y Comercio. (2019).
Manual de Usuario del Registro Nacional de Bases de
Datos-RNBD. Versión 6.4. https://bit.ly/3xBCaig
• Superintendencia de Industria y Comercio. (2020).
Resolución 33267 del 30 de junio de 2020. Radicado 16-
441248.

SEPARATA JURÍDICA ·16 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

Esperamos que la información de esta

publicación haya sido útil y oportuna para ti.

Te agradecemos por contarnos cómo

fue tu experiencia y ayudarnos a mejorar,
respondiendo esta corta encuesta.

Deja tu opinión aquí

El contenido de esta cartilla fue elaborado por la Cámara de Comercio

de Medellín para Antioquia.

Julio de 2021

Presidenta Ejecutiva: Lina Vélez de Nicholls.

Secretario General y Vicepresidente Jurídico: Jorge Villegas Betancur.

Autor:
Andrés Felipe Ángel Posada, director de SL Legal + Tecnología.

Equipo técnico:
Jefatura de Estudios Jurídicos

Coordinación editorial:
Vicepresidencia de Comunicaciones y Mercadeo.

Edición y diagramación:
Marcela Hernández Sanzón y Blanco Contenido
Todos los derechos reservados.

Cámara de Comercio de Medellín para Antioquia

Calle 53 # 45-77, Medellín

SEPARATA JURÍDICA ·17 · SEPARATA JURÍDICA

CHECKLIST PARA EVITAR INCIDENTES DE
SEGURIDAD DE DATOS EN LAS EMPRESAS

SEPARATA JURÍDICA ·18· SEPARATA JURÍDICA