Política de Seguridad de la Información

La presente Política de Seguridad de la Información establece los lineamientos, principios y medidas que la Casa de Justicia de Barrancas adopta para garantizar la confidencialidad, integridad y disponibilidad de la información gestionada a través del Sistema de Gestión Inteligente SGI-CJCF y de los demás activos de información de la entidad.

Esta política se expide en cumplimiento de la Resolución 2239 de 2024 del MinTIC y de la Resolución 02277 de 2025 del MinTIC que actualizó el Modelo de Seguridad y Privacidad de la Información (MSPI), adaptándola a las características operativas y tecnológicas de la Casa de Justicia de Barrancas.

La presente política se fundamenta en la siguiente normatividad:

Constitución Política de Colombia (1991), artículos 15 y 20.

Ley 1581 de 2012: Ley Estatutaria de Protección de Datos Personales.

Decreto 1377 de 2013: reglamentario de la Ley 1581 de 2012.

Ley 1273 de 2009: protección de la información y de los datos (delitos informáticos).

Decreto 767 de 2022: lineamientos de la Política de Gobierno Digital.

Resolución 2239 de 2024 MinTIC: Política General de Seguridad y Privacidad de la Información, Seguridad Digital y Continuidad de la Operación.

Resolución 02277 de 2025 MinTIC: actualización del Modelo de Seguridad y Privacidad de la Información (MSPI).

Lineamientos del Programa Nacional de Casas de Justicia del Ministerio de Justicia y del Derecho.

Esta política aplica a:

Todos los datos personales y la información institucional gestionada a través del SGI-CJCF.

Los funcionarios, servidores públicos y contratistas que operan dentro de la Casa de Justicia de Barrancas.

Los ciudadanos cuyos datos sean tratados en el marco de los servicios de justicia.

Los sistemas de información, infraestructura tecnológica y activos digitales de la entidad.

Los procesos de atención presencial y virtual de la Casa de Justicia.

La Casa de Justicia de Barrancas adopta los siguientes principios para la gestión de la seguridad de la información:

• a) Confidencialidad. La información solo es accesible para las personas autorizadas según su rol y nivel de privilegio dentro del sistema.
• b) Integridad. La información se mantiene completa, exacta y sin alteraciones no autorizadas durante todo su ciclo de vida.
• c) Disponibilidad. La información y los sistemas están accesibles para los usuarios autorizados cuando los necesiten, dentro de los niveles de servicio establecidos.
• d) Trazabilidad. Toda acción realizada sobre información sensible queda registrada en los logs de auditoría del sistema, permitiendo la identificación del usuario, la fecha y la naturaleza de la acción.
• e) Responsabilidad. Cada usuario es responsable de las acciones realizadas con sus credenciales de acceso y del uso adecuado de la información a la que tiene acceso.
• f) Mejora continua. Las medidas de seguridad se revisan y actualizan periódicamente para adaptarse a nuevas amenazas y cambios tecnológicos.

Sistema de autenticación con credenciales individuales (usuario y contraseña) para cada funcionario.

Autenticación de doble factor (2FA) mediante códigos OTP para acceso al sistema.

Control de acceso basado en roles (RBAC): cada usuario accede únicamente a los módulos y datos correspondientes a su función institucional.

Sesión con tiempo de expiración automática por inactividad.

Registro de todos los intentos de acceso (exitosos y fallidos).

Cifrado de todas las comunicaciones mediante protocolo HTTPS/TLS.

Almacenamiento de credenciales con funciones de hash seguro.

Generación de documentos oficiales con códigos QR de verificación para garantizar autenticidad e integridad.

Registro automático de todas las acciones realizadas en el sistema: creación, modificación, consulta y eliminación de registros.

Identificación del usuario, fecha, hora y tipo de acción en cada entrada del log.

Conservación de logs de auditoría conforme a las tablas de retención documental aplicables.

Copias de seguridad periódicas de la base de datos.

Procedimientos documentados para la restauración del servicio ante fallas.

Procedimiento formal para la creación, modificación y eliminación de cuentas de usuario.

Revisión periódica de permisos y roles asignados.

Desactivación inmediata de cuentas cuando un funcionario cesa su vinculación con la entidad.

Aprobar y velar por el cumplimiento de esta política.

Autorizar la creación y modificación de perfiles de acceso al SGI-CJCF.

Gestionar los incidentes de seguridad que sean puestos en su conocimiento.

Reportar a la SIC cuando se presenten vulneraciones que afecten datos personales de los titulares.

Administrar y mantener los controles técnicos de seguridad del SGI-CJCF.

Monitorear el funcionamiento del sistema y los registros de auditoría.

Ejecutar las copias de seguridad y verificar su integridad.

Atender y documentar los incidentes de seguridad que se presenten.

Proponer mejoras a las medidas de seguridad cuando sea necesario.

Custodiar sus credenciales de acceso y no compartirlas con terceros.

Utilizar el sistema exclusivamente para los fines institucionales autorizados.

Reportar de inmediato al Centro de Cómputo cualquier anomalía, acceso sospechoso o incidente de seguridad.

Cumplir con los procedimientos establecidos para el manejo de información sensible.

Participar en las capacitaciones sobre seguridad de la información que se programen.

La información gestionada por la Casa de Justicia de Barrancas se clasifica en los siguientes niveles, conforme a la Ley 1712 de 2014 y la Ley 1581 de 2012:

Se entiende por incidente de seguridad cualquier evento que comprometa o pueda comprometer la confidencialidad, integridad o disponibilidad de la información del SGI-CJCF.

Crítico: acceso no autorizado a datos personales, exfiltración de información, cifrado malicioso de datos o caída total del sistema.

Alto: intento de acceso no autorizado, modificación de registros sin autorización, falla de copias de seguridad.

Medio: uso indebido de credenciales, acceso a módulos fuera del perfil autorizado, lentitud significativa del sistema.

Bajo: errores de configuración sin impacto en datos, intentos fallidos de acceso aislados.

Identificar y documentar el incidente, registrando fecha, hora, tipo y alcance.

Contener el incidente de manera inmediata para evitar su propagación.

Notificar a la Coordinación de la Casa de Justicia.

Evaluar el impacto sobre los datos personales de los titulares.

Si el incidente compromete datos personales, informar a la SIC conforme al artículo 17 de la Ley 1581 de 2012.

Notificar a los titulares afectados cuando el incidente pueda causarles un perjuicio significativo.

Implementar medidas correctivas y documentar las lecciones aprendidas.

La Casa de Justicia de Barrancas promoverá una cultura de seguridad de la información a través de:

Inducción obligatoria en seguridad de la información para todo funcionario nuevo que acceda al SGI-CJCF.

Capacitaciones periódicas sobre buenas prácticas en el manejo de información, contraseñas seguras y detección de amenazas.

Difusión de esta política a todos los funcionarios y contratistas que interactúen con el sistema.

Comunicación oportuna de cambios en procedimientos o nuevas amenazas identificadas.

Implementación de un plan formal de continuidad del negocio y recuperación ante desastres.

Evaluaciones periódicas de vulnerabilidades de la plataforma.

Política formal de retención y eliminación segura de datos.

Integración con el esquema de Seguridad Digital del Estado colombiano conforme al Decreto 767 de 2022.

El incumplimiento de las disposiciones de la presente política por parte de funcionarios, contratistas o usuarios del SGI-CJCF podrá dar lugar a:

Suspensión o cancelación del acceso al sistema.

Investigación disciplinaria conforme a la Ley 1952 de 2019 (Código General Disciplinario), para servidores públicos.

Acciones civiles y penales, conforme a la Ley 1273 de 2009 (delitos informáticos), cuando la conducta configure un delito.

Reporte a los órganos de control competentes (Procuraduría, Contraloría, Fiscalía).

La presente Política de Seguridad de la Información entra en vigencia a partir de su publicación en el sitio web institucional de la Casa de Justicia de Barrancas y será revisada como mínimo una vez al año o cuando se presenten cambios significativos en la normatividad, en la infraestructura tecnológica o en el entorno de amenazas.

Los cambios sustanciales serán comunicados a todos los funcionarios y usuarios del sistema a través de los canales institucionales.