PRIVACIDAD Y SEGURIDAD

La seguridad y la privacidad de la información son pilares fundamentales para la consolidación de una arquitectura institucional confiable, interoperable y orientada al dato. En el escenario del Colegio Mayor de Antioquia, donde se proyecta la centralización de información en un Data Lake, el despliegue de integraciones bidireccionales y el fortalecimiento del gobierno del dato, se hace indispensable contar con una estrategia integral de protección de los activos de información.

El Colegio deberá adoptar una visión de seguridad y privacidad basada en la gestión de riesgos, el cumplimiento normativo y la habilitación de servicios digitales seguros. La seguridad dejará de ser un componente técnico aislado y se convertirá en un eje transversal de la arquitectura empresarial, articulada con la misión institucional y las líneas estratégicas del desarrollo institucional. La estrategia se sustenta en marcos de referencia como ISO/IEC 27001 (gestión de la seguridad de la información), ISO/IEC 27701 (privacidad de la información) y el Modelo de Seguridad y Privacidad del MINTIC. 

Gobierno de la seguridad de la información:
Se establecerá un modelo de gobierno TIC que incluya la gestión de la seguridad como función transversal, con roles definidos, políticas aprobadas y coordinación entre la Oficina TIC, los líderes de proceso y el Comité TIC. Este modelo asegurará la aplicación homogénea de controles y el seguimiento continuo a la madurez de la seguridad.

Seguridad multicapa:
La arquitectura TO-BE incorpora un enfoque multicapa de protección, que abarca infraestructura, aplicaciones, redes y datos. Se desplegarán controles como:

● Autenticación multifactor (MFA) en sistemas críticos.

● Segmentación de redes y acceso seguro a la nube.

● Cifrado de datos en tránsito y en reposo.

● Firewalls de nueva generación y gestión activa de vulnerabilidades.

● Registro y monitoreo de eventos de seguridad (SIEM).

Protección de datos personales y sensibles:
El modelo considera la clasificación de los activos de información, la aplicación de principios de privacidad desde el diseño y por defecto (privacy by design/default), así como la adopción de medidas técnicas y organizacionales que garanticen el cumplimiento de la Ley 1581 de 2012 y la política de tratamiento de datos personales institucional.

Resiliencia y continuidad del negocio:
Se establecerán planes de continuidad y recuperación ante desastres (BCP/DRP) para los sistemas críticos y el Data Lake, con pruebas periódicas, respaldos automatizados y disponibilidad garantizada para servicios esenciales.

Cultura de seguridad y concientización:
Se implementarán estrategias continuas de formación y sensibilización para funcionarios, docentes y contratistas, enfocadas en el uso responsable de la información, prevención del fraude digital y manejo seguro de plataformas institucionales.