← Volver

Versión 2026-07-16

Política de seguridad de la información y ciberseguridad

1. Responsable y alcance

La CORPORACIÓN DE EDUCACIÓN VIRTUAL UNICOLOMBIA®, NIT 900.064.314-7, adopta esta política para IALABFREE, sus formularios, cuentas, bases de datos, código, servidores, copias de seguridad, registros, comunicaciones y servicios contratados. Aplica a directivos, administradores, desarrolladores, proveedores y usuarios que accedan o intervengan en la operación del portal.

2. Objetivo

Proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información; reducir accesos no autorizados, fraude, suplantación, pérdida, alteración, divulgación y ataques automatizados; mantener la continuidad del servicio; y establecer responsabilidades para prevenir, detectar, responder y recuperarse de incidentes.

3. Marco jurídico colombiano

Esta política se interpreta conforme a la Constitución Política, la Ley 1581 de 2012 y su reglamentación incorporada en el Decreto 1074 de 2015, que exigen medidas técnicas, humanas y administrativas para proteger datos personales; la Ley 1273 de 2009, que protege la información y los sistemas informáticos y sanciona conductas como acceso abusivo, interceptación, daño, uso de software malicioso y violación de datos; la Ley 527 de 1999 sobre mensajes de datos y comercio electrónico; y la Ley 1928 de 2018, mediante la cual Colombia aprobó el Convenio de Budapest sobre ciberdelincuencia.

4. Referentes internacionales

UNICOLOMBIA® toma como orientación el NIST Cybersecurity Framework 2.0 en sus funciones Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar; y los principios de gestión de riesgos de ISO/IEC 27001:2022 e ISO/IEC 27002:2022. Estas referencias no implican que la institución posea una certificación. Cuando el tratamiento se encuentre sometido material y territorialmente a una regulación extranjera, se evaluarán las obligaciones aplicables; por ejemplo, el artículo 32 del Reglamento General de Protección de Datos de la Unión Europea exige medidas proporcionales al riesgo, cifrado, resiliencia, restauración y evaluación periódica.

5. Gobierno y responsabilidades

La dirección institucional aprobará los niveles de riesgo y asignará responsables. La administración técnica controlará configuraciones, actualizaciones, registros y copias. Quienes tengan acceso privilegiado deberán usarlo únicamente para funciones autorizadas, mantener confidencialidad, reportar incidentes y conservar evidencia. Los proveedores estarán sujetos a obligaciones contractuales de seguridad, privacidad, confidencialidad, devolución o eliminación de datos y notificación de incidentes.

6. Gestión de activos y riesgos

Se mantendrá un inventario de dominios, servidores, bases de datos, cuentas administrativas, código, certificados, servicios de correo, claves y proveedores. Los activos se clasificarán según criticidad y tipo de información. Los riesgos se evaluarán periódicamente considerando amenaza, vulnerabilidad, probabilidad, impacto y controles existentes; los riesgos no aceptables deberán tratarse, transferirse, evitarse o aceptarse formalmente por la autoridad competente.

7. Identidad, autenticación y acceso

El acceso se concederá bajo mínimo privilegio y necesidad de conocer. Las cuentas serán individuales; las contraseñas se almacenarán únicamente mediante algoritmos de hash seguros; se exigirán contraseñas robustas, verificación de correo, sesiones expirables, cookies seguras y límites de intentos. Las cuentas administrativas deberán separarse de las cuentas ordinarias y usar autenticación multifactor cuando el VPS o proveedor la permita. Los permisos se revisarán y revocarán oportunamente al cambiar funciones o terminar una relación contractual.

8. Protección técnica

El portal operará mediante HTTPS vigente. Se aplicarán consultas parametrizadas, validación de entradas, codificación de salidas, encabezados de seguridad, protección anti-bot validada en servidor, bloqueo de directorios, restricción de archivos de configuración, actualización de PHP, MySQL, sistema operativo y componentes, y separación entre credenciales y código público. Las claves privadas no se enviarán por correo ni se almacenarán en repositorios. La base de datos utilizará un usuario exclusivo con permisos limitados.

9. Desarrollo y cambios

Todo cambio deberá revisarse antes de producción, mantener historial, evitar credenciales incrustadas y someterse a pruebas proporcionales al riesgo. Los errores no mostrarán consultas, rutas internas, contraseñas ni detalles que faciliten ataques. Las dependencias obsoletas o vulnerables deberán actualizarse o retirarse. Los cambios críticos incluirán una estrategia de reversión.

10. Registros, monitoreo y privacidad

Se registrarán eventos necesarios para investigar fallos y abuso: fecha, acción, resultado, identificadores técnicos minimizados e intentos de autenticación. No se registrarán contraseñas, tokens completos ni contenidos innecesarios. Los registros estarán protegidos contra alteración, con acceso restringido y plazos de conservación definidos según riesgo, finalidad y obligación legal. La monitorización no se utilizará para finalidades incompatibles con la autorización informada.

11. Copias de seguridad y continuidad

Se realizarán copias periódicas de la base de datos y configuraciones críticas, separadas del entorno principal y protegidas contra acceso no autorizado. Se comprobará su restauración con una frecuencia definida por la administración. El plan de continuidad contemplará pérdida del VPS, corrupción de datos, ransomware, indisponibilidad del dominio, fallo del correo y compromiso de credenciales. La prioridad será restaurar servicios esenciales de forma segura, no únicamente rápida.

12. Gestión de incidentes

Todo evento sospechoso deberá reportarse de inmediato. La respuesta seguirá estas etapas: recepción y registro; clasificación por severidad; preservación de evidencias; contención; erradicación; recuperación; comunicación; análisis de causa; acciones correctivas y cierre. Se documentarán tiempos, sistemas afectados, datos comprometidos, decisiones y responsables. Cuando un incidente afecte datos personales, UNICOLOMBIA® evaluará las obligaciones de información a titulares, autoridades y Registro Nacional de Bases de Datos conforme al régimen aplicable y a las orientaciones de la Superintendencia de Industria y Comercio.

13. Conductas prohibidas

Se prohíbe acceder sin autorización; compartir cuentas; intentar evadir controles; extraer masivamente información; introducir malware; alterar resultados; ejecutar pruebas de penetración sin permiso escrito; interceptar comunicaciones; afectar disponibilidad; explotar vulnerabilidades; o usar datos para finalidades no autorizadas. Estas conductas podrán causar bloqueo, terminación de acceso, preservación de evidencia y traslado a autoridades cuando corresponda.

14. Derechos y deberes de usuarios

Las personas usuarias deberán proteger su contraseña, verificar el dominio antes de ingresar credenciales, cerrar sesión en equipos compartidos y reportar mensajes o accesos sospechosos. Podrán solicitar información sobre sus datos, actualización, corrección, supresión o revocatoria mediante los canales institucionales, de acuerdo con la política de tratamiento de datos y las limitaciones legales aplicables.

15. Evaluación y mejora

La política se revisará al menos una vez al año y cuando exista un incidente relevante, cambio tecnológico, modificación legal, nuevo proveedor o variación significativa del riesgo. La revisión considerará incidentes, vulnerabilidades, cumplimiento de actualizaciones, pruebas de restauración, accesos privilegiados, eficacia de controles y acciones pendientes. Cada nueva versión deberá conservar fecha, aprobación y evidencia de publicación.

16. Contacto y reporte

Las consultas o reportes pueden dirigirse a info@unicolombia.edu.co, al PBX +57 (601) 744 8422 o al WhatsApp +57 316 856 6043. El reporte debe describir el hecho sin adjuntar contraseñas, tokens ni datos personales innecesarios. Quien identifique una vulnerabilidad deberá abstenerse de explotarla, divulgarla públicamente o acceder a información ajena.

17. Vigencia

Esta política rige desde su publicación y permanecerá vigente hasta que sea sustituida. Su contenido establece compromisos de gestión y debe complementarse con procedimientos internos, responsables designados, configuraciones técnicas, contratos y evidencias de ejecución. La simple publicación de esta política no reemplaza la implementación efectiva de los controles descritos.