documento plan de tratamiento de riesgos de seguridad y
TRANSCRIPT
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 1
Documento Plan de Tratamiento de Riesgos de
Seguridad y Privacidad de la Información
PLAN DE TRATAMIENTO DE RIESGOS DE
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
Fecha de
Elaboración:
2019 – 01- 15
Sumario. Este documento tiene por objetivo mostrar el Plan de
Tratamiento de Riesgos de Seguridad y Privacidad de la
Información alineado con la estrategia del Hospital
Departamental San Juan de Dios, enfocada a Identificar las
vulnerabilidades, amenazas y riesgos en los sistemas de
información y al final propone un modelo de planeación.
Formato: Doc.
Entidad: Hospital Departamental San Juan de Dios, Riosucio Caldas
Autor(es): Ángela María García Cruz, Federico Ramírez Grisales
Revisó: Federico Ramírez Grisales
Aprobó:
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 2
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN
2019
HOSPITAL DEPARTAMENTAL RIOSUCIO CALDAS
ELABORADO POR: OFICINA SISTEMAS DE INFORMACIÓN Y
COMUNICACIONES
Riosucio, Caldas Enero de 2019
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 3
INDICE
Contenido
1.INTRODUCCÓN ..................................................................................... 5
2.JUSTIFICACIÓN .................................................................................... 6
3.1 OBJETIVO: ........................................................................................ 6
3.2 OBJETIVOS ESPECÍFICOS: ................................................................. 6
4. GLOSARIO .......................................................................................... 7
5. MARCO NORMATIVO ............................................................................. 9
6. CRITERIOS DE EVALUACIÓN DEL RIESGO ............................................. 10
7. CRITERIOS DE IMPACTO. .................................................................... 11
8. DISEÑO MATRIZ ANÁLISIS DE RIESGO ................................................. 11
8.1 VALORES: ....................................................................................... 12
8.2 MATRIZ ANALISIS DE RIESGO: ......................................................... 12
8. 3 IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS AMENZAS. .............. 13
9. CONCLUSIONES ................................................................................. 27
10. BIBLIOGRAFÍA ................................................................................. 30
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 4
CUADROS
CUADRO 1. RANGO DE VALORES NIVEL DE IMPACTO ...................... 12
CUADRO 2. ACTIVOS EN EL ÁREA DE SISTEMAS ............................ 12
CUADRO 3. ACTIVOS DE PERSONAL ............................................. 13
CUADRO 4. ACTIVOS DATOS E INFORMACIÓN ............................... 13
CUADRO 5 AMENAZA ORIGEN FÍSICO ............................................ 14
CUADRO 6. AMENAZAS NIVEL DE USUSARIO .................................. 14
CUADRO 7. AMENAZAS DE HARDWARE ......................................... 14
CUADRO 8. AMENAZA NIVEL DE DATOS ......................................... 15
CUADRO 9. AMENAZA NIVEL DE SOFTWARE ................................... 15
CUADRO 10. AMENAZA NIVEL DE INFRAESTRUCTURA ...................... 15
CUADRO 11. AMENAZA POR POLÍTICAS.......................................... 16
CUADRO 12. AMENAZA POR REDES ............................................... 16
CUADRO 13. AMENAZA POR ACCESO ............................................. 16
CUADRO 14. ORIGEN FISICO .......................................... 17
CUADRO 15. NIVEL DE USUSARIO ................................................. 18
CUADRO 16. NIVEL DE HARDWARE................................................ 20
CUADRO 17. NIVEL DE DATOS ...................................................... 21
CUADRO 18. NIVEL DE SOFTWARE ................................................ 22
CUADRO 19. NIVEL DE INFRAESTRUCTURA. ................................... 23
CUADRO 20. NIVEL DE LAS POLÍTICAS .......................................... 24
CUADRO 21. NIVEL DE REDES ...................................................... 25
CUADRO 22. NIVEL DE ACCESO.............................................................. 26
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 5
PLAN DE TRATAMINETO DE RIESGO DE SEGURIDAD Y
PRIVACIDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN
A partir de la Segunda Guerra Mundial es cuando se da inicio a la creación
de nuevas metodologías de seguridad de la información, generadas por
errores en cuanto las técnicas de confidencialidad e integridad y
disponibilidad, pero que al final resultaron siendo vulneradas.
Desde ese entonces, se produce un cambio en el rumbo de la historia,
el cual deja unas lecciones en cuanto a los procesos de decodificación de
los mensajes, lo que fue un salto enorme teniendo en cuenta la tecnología
de la época.
Hoy en día, la pérdida de la información es el principal riesgo al que se
enfrenta cualquier organización, por consiguiente su seguridad no solo
compete al departamento de las TI, ya que todos tienen que enfrentarse
a un sin fin de amenazas y vulnerabilidades asociadas al entorno
informático.
La seguridad de datos debe estar básicamente orientada a proteger la
propiedad intelectual y la información importante de las organizaciones
por lo que los riesgos de la información se presentan cuando confluyen
dos elementos: amenazas y vulnerabilidades.
Estas dos están ligadas, las amenazas pueden venir de cualquier parte,
interna o externa y las vulnerabilidades son la debilidad de la tecnología
en los procesos relacionados con la información.
El hospital decide entonces enlazar el Modelo del Plan de Tratamiento de
Riesgos de Seguridad y Privacidad de la Información y las actividades de
valoración a los mismos riesgos en cumplimiento de la política de
seguridad aprobada por la Alta Dirección; y como medio de herramienta
para el logro de los objetivos de mantener la información de la entidad
confidencial, integral y disponible.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 6
El Modelo de Seguridad y Privacidad del hospital para que sea acorde con
las buenas prácticas de seguridad será actualizado periódicamente,
haciendo cambios técnicos de la norma 27001 de 2013, legislación de la
ley de protección.
2. JUSTIFICACIÓN
El hospital publica el Plan de Tratamiento de Riesgo de Seguridad y
Privacidad de la Información dando cumplimiento al Ministerio de las TICS
para la construcción de un estado más eficiente, transparente y
participativo y así dar desempeño a lo establecido en los por los
estándares de la estrategia de Gobierno en Línea.
En el marco del Modelo de Seguridad y Privacidad de la Información y el
Sistema de Gestión de Seguridad de la Información – SGSI- del
Departamento Administrativo del Hospital Departamental San Juan de
Dios E.S.E Riosucio Caldas, Busca prevenir o minimizar los efectos no
deseados que puedan ocurrir en cuanto a seguridad de la información.
Con el fin de garantizar protección y privacidad en la información de los
datos de los ciudadanos y funcionarios de la entidad, se trabaja
continuamente mediante el aprovechamiento de las TIC todo esto acorde
con lo expuesto por la Legislación Colombiana.
3.1 OBJETIVO:
Identificar las vulnerabilidades, amenazas y riesgos en los sistemas de
información para el fortalecimiento institucional.
3.2 OBJETIVOS ESPECÍFICOS:
Garantizar la continuidad de la información a través de un buen
fundamento de seguridad, el establecimiento y aplicación de controles,
reglas y parámetros de protección de la red en contra de amenazas y
el uso indebido de la misma.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 7
Mediante la implementación del Plan de Tratamiento de Seguridad y
Privacidad de la Información en el hospital, lo que busca es contribuir
al incremento en la transparencia y la gestión pública.
La Seguridad Digital se debe promover con el uso de las mejores
prácticas de seguridad de la información.
Identificar infraestructuras críticas mediante los lineamientos en la
implementación de las mejores prácticas de seguridad y privacidad de
la información.
En cuanto a los procesos de intercambio información pública contribuir
a su mejoramiento.
Orientar a los servidores públicos en seguridad y privacidad.
Optimizar la gestión de la seguridad de la información al interior del
hospital.
Orientar al interior de la entidad en la adopción de la legislación
relacionada con la protección de datos personales.
Contribuir en el desarrollo del plan estratégico institucional.
Contribuir en el desarrollo del Plan Estratégico Institucional y la
elaboración del Plan Estratégico de tecnologías de la Información
y las comunicaciones. Contribuir en el desarrollo del ejercicio de arquitectura empresarial
apoyando en el cumpliendo de los lineamientos del marco de referencia de arquitectura empresarial para la gestión de TI del estado
colombiano. Orientar a las entidades destinatarias en las mejores prácticas para la
construcción de una política de tratamiento de datos personales respetuosa de los derechos de los titulares.
Optimizar la labor de acceso a la información pública al interior de las entidades destinatarias.
Revisar los roles relacionados con la privacidad y seguridad de la información al interior de la entidad para optimizar su articulación.
4. GLOSARIO
• Seguridad informática: Se ocupa de la implementación técnica y de la
operación para la protección de la infraestructura e información
confidencial.
• Seguridad de la información: Es el conjunto de medidas preventivas
para evaluar el riesgo y las amenazas, estas trazan el plan de acción y
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 8
los esquemas normativos. Es la línea estratégica de la confidencialidad,
disponibilidad e integridad de datos.
• Amenazas: cualquier evento, persona, situación o punto débil que
pueda causar daño.
• Vulnerabilidades: Falla o debilidad en las condiciones de un sistema que
lo hace susceptible a las amenazas.
• Riesgo: Probabilidad de ocurrencia de un impacto determinado o una
amenaza.
• Controles: Conjunto de mecanismos que se encargan de regular o
administrar, ordenar, dirigir el funcionamiento de un sistema con el fin
de obtener un resultado deseado.
• ISO: Conjunto de normas internacionales orientadas a ordenar la
gestión de una organización en sus diferentes ámbitos
• Activo: Bienes, recursos o derechos que tenga valor para una empresa.
• Activo de Información: Todo tipo de información con la que cuenta una
organización para un correcto funcionamiento al interior de la misma.
• Análisis de brechas: es una herramienta de análisis minucioso para
comparar el estado y el funcionamiento real de una organización, estado
o situación en un momento dado.
• Análisis de Riesgo: Método empleado para evaluar las causas de las
posibles consecuencias, amenazas, riesgos daños informáticos que se
puedan producir.
• Gestión del Riesgo Informáticos: Método empleado para determinar,
analizar, valorar y clasificar los riesgos informáticos para posteriormente
implementar mecanismos que permitan controlarlo.
• Incidente de seguridad informática: daño que puede comprometer la
operación de las redes, sistemas o recursos informáticos o una violación
a la Política de Seguridad de la Información.
• Evento: Acción que puedo haber causado daño, pero fue controlado.
• Información: Conjunto de datos que tienen un significado.
• Probabilidad: Posibilidad de que una amenaza se materialice
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 9
• Impacto: Daño que provoca la materialización de una amenaza.
• SGSI: Sistema de Gestión de seguridad de la Información
• MSPI: Modelo de seguridad y privacidad de la información
• PHVA: Planear, hacer, verificar, actuar.
5. MARCO NORMATIVO
Anexo 1 - Resolución 3564 de 2015 - Reglamenta aspectos
relacionados con la Ley de Transparencia y Acceso a la Información
Pública
Decreto Reglamentario Único 1081 de 2015 - Reglamento sobre la
gestión de la información pública
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
Ley 1712 de 2014 - Ley de Transparencia y acceso a la información
pública
Ley 57 de 1985 -Publicidad de los actos y documentos oficiales
Ley 594 de 2000 - Ley General de Archivos
9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del Sector de
Tecnologías de la Información y las Comunicaciones
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
Ley Estatutaria 1757 de 2015 - Promoción y protección del derecho a
la participación democrática
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
Ley estatutaria 1618 de 2013: Ejercicio pleno de las personas con
discapacidad
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 10
Ley 1437 de 2011: Código de Procedimiento Administrativo y de lo
Contencioso Administrativo
Acuerdo 03 de 2015 del Archivo General de la Nación Lineamientos
generales sobre la gestión de documentos electrónicos
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
Acuerdo 03 de 2015 del Archivo General de la Nación Lineamientos
generales sobre la gestión de documentos electrónicos Pagina 7 de 13
Decreto 019 de 2012 - Suprimir o reformar regulaciones, procedimientos
y trámites innecesarios existentes en la Administración Pública
Decreto 2364 de 2012 - Firma electrónica
Ley 962 de 2005 - Racionalización de trámites y procedimientos
administrativos procedimientos administrativos
Decreto 1747 de 2000 - Entidades de certificación, los certificados y las
firmas digitales
Ley 527 de 1999 - Ley de Comercio Electrónico
Decreto Ley 2150 de 1995 - Suprimen y reforman regulaciones,
procedimientos o trámites innecesarios existentes en la Administración
Pública
Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del
Sector de Tecnologías de la Información y las Comunicaciones
Ley Estatutaria 1581 de 2012 - Protección de datos personales
Ley 1266 de 2008 - Disposiciones generales de habeas data y se regula
el manejo de la información.
6. CRITERIOS DE EVALUACIÓN DEL RIESGO
Para la evaluación del riesgo con el fin de determinarlo en la seguridad de
la información de la organización se tienen en cuenta los siguientes
aspectos:
Identificar el valor estratégico de los procesos de información para la
entidad.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 11
Analizar la parte crítica de los activos de información involucrados en
dicho proceso.
Analizar lo importante de la disponibilidad de la confidencialidad e
integridad de la información para las operaciones dentro de la entidad.
Identificar cada una de las expectativas y percepciones de las parte
Interesadas y las consecuencias negativas para el buen nombre y la reputación del hospital.
7. CRITERIOS DE IMPACTO.
Se consideran los siguientes aspectos para especificar los criterios de
impacto en términos del grado de daño o de costos para la entidad
causados por cualquier evento de seguridad de la información:
Clasificar el nivel de los activos de información en los procesos.
Analizar las brechas en la seguridad dela información (ejemplo:
Perdidas de confidencialidad, integridad y disponibilidad de la
información.
Operaciones en deterioro.
Alteración de planes y fechas límites.
Daños para la reputación.
Incumplimiento de los requisitos legales.
8. DISEÑO MATRIZ ANÁLISIS DE RIESGO
Se diseñó dicha matriz de análisis de riesgo la cual analizará el impacto
que tendría una probabilidad de amenaza sobre un activo, esta matriz
será enfocada en los sistemas de información del Hospital Departamental
San Juna de Dios E.S.E.
En el siguiente cuadro 1 se definirán los valores que calificará el rango de
valores.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 12
8.1 VALORES:
CUADRO 1. RANGO DE VALORES NIVEL DE IMPACTO
Bajo
Medio Bajo
Medio Medio Alto Alto
Nivelo de
Impacto
1 2 3 4 5
8.2 MATRIZ ANALISIS DE RIESGO: El procedimiento de identificación de riesgos fue determinado por la
ejecución previa de los siguientes pasos:
Identificación y clasificación de los activos. La identificación de los
activos vislumbra todo lo preciso para mantener sólidos los sistemas
de información. Los activos fueron clasificados en las siguientes
categorías.
Los sistemas hacen referencia a hardware y software que pertenecen
y pueden ser afectados en el sistema. (analizar cuadro 2)
CUADRO 2. ACTIVOS EN EL ÁREA DE SISTEMAS
SIS
TEM
AS
Programas de Comunicación
Programas de Producción de Datos
Servidores
Computadores
Portátiles
Equipo de red Inalámbrica
Equipo de red cableado
Personal: Los activos de este grupo indican las labores que ejercen
las personas que pueden ser afectadas en el sistema.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 13
CUADRO 3. ACTIVOS DE PERSONAL
PER
SO
NA
L Personal Interno
Personal Técnico Externo
Usuarios
Datos e Información: Los activos de este grupo son los más frágiles y
vulnerables en la matriz de riesgos, porque son los que van a guardar y tratar la información que es adquirida.
CUADRO 4. ACTIVOS DATOS E INFORMACIÓN
DA
TO
S E
IN
FO
RM
AC
IÓ
N
Correo Electrónico
Bases de Datos
Bases de Datos Externos
Página Web
Navegación en Internet
Sistema de Información Institucional
8. 3 IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS AMENZAS.
Las amenazas fueron obtenidas y clasificadas en las siguientes clases:
Origen Físico. Estas están direccionadas a amenazas que provienen
de desastres ambientales, degradación o fallas físicas en el sistema
del hospital.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 14
CUADRO 5 AMENAZA ORIGEN FÍSICO
Incendio
Inundación
Sismo
Polvo
Falta de Ventilación
Electromagnetismo
Sobre carga Eléctrica
Falla de Corriente
Falla de Sistema
Nivel de Usuario. Estas amenazas están direccionadas hacia los errores que pueda obtener un usuario sobre los activos del sistema del hospital.
CUADRO 6. AMENAZAS NIVEL DE USUSARIO
Falta de inducción, capacitación y sensibilización
sobre riesgos.
Mal Manejo del Sistema de Herramientas.
Pérdida de Datos por error de usuario.
Nivel Hardware. Estas amenazas están enfocadas a diferentes fallas que puedan presentar los componentes de hardware del sistema de
comunicaciones del hospital.
CUADRO 7. AMENAZAS DE HARDWARE
Virus en el sistema a través de unidades portables
sin escaneo
extravío de equipo, unidades de almacenamiento,
entre otras
Perdida de datos por error hardware
Falta de mantenimiento físico (proceso, repuestos e insumos)
Nivel Datos. Estas amenazas se centran en la información y datos
del sistema que están expuestos a un acceso no autorizado, una alteración, entre otros.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 15
CUADRO 8. AMENAZA NIVEL DE DATOS
Manejo Impropio de datos críticos (codificar,
borrar, entre otros
Transferencia no cifrada de datos críticos
Nivel Software. Dentro de esta clase se encuentran amenazas
enfocadas a errores de diseño, pruebas e implementación de software del sistema.
CUADRO 9. AMENAZA NIVEL DE SOFTWARE
Falta de actualización de software (procesos y recursos).
Nivel Infraestructura. Dentro de esta clase se encuentran amenazas
enfocadas a problemas de organización en la parte de infraestructura
que puede ocasionar perjuicios al sistema.
CUADRO 10. AMENAZA NIVEL DE INFRAESTRUCTURA
Dependencia a servicio técnico externo
Red cableada expuesta para el servicio no autorizado.
Políticas. Estas amenazas están enfocadas en la falta de normas y
reglas de la organización de las cuales pueden llegar a tener un gran riesgo los activos del sistema.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 16
CUADRO 11. AMENAZA POR POLÍTICAS
PO
LITIC
AS
Falta de normas y reglas claras (no
institucionalizar el estudio de los riesgos)
Falta de mecanismos de verificación de
normas y reglas / análisis inadecuado de datos de control
Ausencia de documentación
Falta de definición de perfil , privilegios y
restricciones de personal
Falta de definición de políticas de seguridad
corporativa.
Redes. Estas amenazas están enfocadas a fallas de seguridad en el
acceso y transmisión a través de la red del sistema.
CUADRO 12. AMENAZA POR REDES
RED
ES
Red inalámbrica expuesta al acceso no
autorizado.
Acceso electrónico no autorizado a sistemas internos.
Acceso. Dentro de esta clase se presentan amenazas de acceso de
personal no autorizado al sistema
CUADRO 13. AMENAZA POR ACCESO
AC
CES
O Manejo inadecuado de contraseñas
(inseguras, no cambiar, compartidas, entre
otras.
Compartir contraseñas o permisos a
terceros no autorizados.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 17
CUADRO 14. ORIGEN FISICO MATRIZ ANALISIS DE RIESGO
ORIGEN FÍSICO
Incendio
Inundació
n
Sis
mo
Polv
o
Falta d
e V
entila
ció
n
Ele
ctr
om
agnetism
o
Sobre
carg
a E
léctr
ica
Falla d
e C
orr
iente
Falla d
e S
iste
ma
SIS
TEM
AS
Programas de Comunicación 5 3 2 2 1 3 5 5 5
Programas de Producción de
Datos 5 3 2 2 1 3 5 5 5
Servidores 5 4 2 2 5 4 5 5 5
Computadores 5 4 2 2 5 4 5 5 3
Portátiles 5 3 2 2 5 4 5 5 3
Equipo de red Inalámbrica 5 2 2 2 3 5 5 5 2
Equipo de red cableado 5 2 2 2 3 5 5 5 4
PERSO
NAL
Personal Interno 5 2 3 1 2 1 1 1 1
Personal Técnico Externo 1 1 1 1 1 1 1 1 1
Usuarios 5 2 3 1 1 1 1 1 1
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 1 1 1 1 1 1 1 1 1
Bases de Datos 1 1 1 1 1 1 1 1 1
Bases de Datos Externos 1 1 1 1 1 1 1 1 1
Página Web 1 1 1 1 1 1 1 1 1
Navegación en Internet 1 1 1 1 1 1 1 1 1
Sistema de Información
Institucional 3 1 1 1 1 1 1 4 4
Según los resultados obtenidos de la matriz Origen Físico se puede
observar en un alto porcentaje que el área de sistemas puede ser
vulnerable a riesgos de origen físico, en el área de personal se verían
afectados de cierta manera el personal interno y los usuarios, mientras
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 18
que los datos e información es muy bajo el nivel de riesgo ya que no
interfiere directamente y se encuentran debidamente protegidos.
CUADRO 15. NIVEL DE USUSARIO
NIVEL DE USUARIO
Falta d
e inducció
n,
capacitació
n y
sensib
iliz
ació
n s
obre
riesgos.
Mal M
anejo
del Sis
tem
a d
e
Herr
am
ienta
s.
Pérd
ida d
e D
ato
s p
or
err
or
de u
suario
SIS
TE
MA
S Programas de Comunicación 2 3 4
Programas de Producción de Datos 2 3 4
Servidores 2 4 4
Computadores 3 4 3
Portátiles 3 4 3
Equipo de red Inalámbrica 2 3 2
Equipo de red cableado 2 3 2
PER
SO
NA
L
Personal Interno 4 2 2
Personal Técnico Externo 4 2 2
Usuarios 4 2 2
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 4 3 4
Bases de Datos 4 3 5
Bases de Datos Externos 4 3 5
Página Web 3 3 3
Navegación en Internet 2 3 3
Sistema de Información Institucional 5 4 5
Según los resultados obtenidos en el matriz nivel de usuario, se puede
observar en un alto nivel que el área de sistemas puede ser vulnerable a
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 19
riesgos por mal manejo de herramientas y pérdida de datos, por lo cual
en el área de personal se verían afectados por la falta de inducción; la
misma afectación sufriría los datos e información.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 20
CUADRO 16. NIVEL DE HARDWARE
HARDWARE
Virus e
n e
l sis
tem
a a
tra
vés d
e
unid
ades p
ort
able
s s
in e
scaneo
extr
avío
de e
quip
o,
unid
ades d
e
alm
acenam
iento
, entr
e o
tras
Perd
ida d
e d
ato
s p
or
err
or
hadw
are
Falta d
e m
ante
nim
iento
fís
ico
(pro
ceso,
repuesto
s e
insum
os)
SIS
TEM
AS Programas de Comunicación 5 1 4 1
Programas de Producción de Datos 5 1 4 1
Servidores 4 4 4 4
Computadores 4 4 3 4
Portátiles 4 4 3 4
Equipo de red Inalámbrica 4 3 2 3
Equipo de red cableado 4 4 2 3
PERSO
NAL
Personal Interno 1 1 1 1
Personal Técnico Externo 1 1 1 1
Usuarios 1 1 1 1
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 4 2 2 1
Bases de Datos 5 3 4 2
Bases de Datos Externos 5 3 4 2
Página Web 3 2 1 1
Navegación en Internet 3 2 1 1
Sistema de Información Institucional 5 4 5 2
Los resultados obtenidos de la matriz de hardware se pueden ver en un
alto porcentaje que el área de sistemas puede ser vulnerable a riesgos por virus en el sistema, extravíos de equipos, pérdida de datos y falta de
mantenimiento igualmente en su respectiva medida se puede ver afectada el área de datos e información.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 21
CUADRO 17. NIVEL DE DATOS
NIVEL DE DATOS
Manejo
Im
pro
pio
de d
ato
s
críticos (
codific
ar,
borr
ar,
entr
e o
tros
Tra
nsfe
rencia
no c
ifra
da d
e
dato
s c
ríticos
SIS
TEM
AS Programas de Comunicación 5 4
Programas de Producción de Datos 5 4
Servidores 4 3
Computadores 2 3
Portátiles 2 3
Equipo de red Inalámbrica 1 1
Equipo de red cableado 1 1
PERSO
NAL
Personal Interno 4 4
Personal Técnico Externo 4 4
Usuarios 4 4
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 4 4
Bases de Datos 5 4
Bases de Datos Externos 5 4
Página Web 3 2
Navegación en Internet 2 2
Sistema de Información Institucional 5 5
Según los resultados obtenidos de la matriz Nivel de Datos se puede
observar en un alto porcentaje que el manejo impropio de datos y la
transferencia no cifrada causan vulnerabilidad y el área de personal se
vería afectada y la de datos e información causarían un efecto negativo
similar.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 22
CUADRO 18. NIVEL DE SOFTWARE
NIVEL DE SOFTWARE
Falta d
e a
ctu
alizació
n d
e
soft
ware
(pro
cesos y
recurs
os)
SIS
TEM
AS Programas de Comunicación 4
Programas de Producción de Datos 4
Servidores 2
Computadores 2
Portátiles 2
Equipo de red Inalámbrica 1
Equipo de red cableado 1
PERSO
NAL
Personal Interno 3
Personal Técnico Externo 3
Usuarios 3
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 2
Bases de Datos 4
Bases de Datos Externos 4
Página Web 2
Navegación en Internet 2
Sistema de Información Institucional 5
Según los resultados obtenidos de la matriz de nivel de software se puede
analizar que la falta de actualización de software en un alto porcentaje
puede afectar los programas, de comunicación y producción, las bases
de datos y el sistema de información institucional.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 23
CUADRO 19. NIVEL DE INFRAESTRUCTURA
NIVEL DE INFRAESTRUCTURA
Dependencia
a s
erv
icio
técnic
o e
xte
rno
Red c
able
ada e
xpuesta
para
el serv
icio
no a
uto
rizado.
SIS
TEM
AS Programas de Comunicación 4 1
Programas de Producción de Datos 4 1
Servidores 2 2
Computadores 2 2
Portátiles 2 2
Equipo de red Inalámbrica 2 5
Equipo de red cableado 2 5
PERSO
NAL
Personal Interno 4 3
Personal Técnico Externo 1 3
Usuarios 4 3
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 3 1
Bases de Datos 1 1
Bases de Datos Externos 1 1
Página Web 4 1
Navegación en Internet 4 1
Sistema de Información Institucional 4 3
Según los resultados obtenidos de la matriz de Nivel de Infraestructura
se puede observar en un alto porcentaje de vulnerabilidad en el área de
sistemas por red cableada expuesta y dependencia a servicio técnico
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 24
externo, en cual afecta también al personal interno y los usuarios y a
cierta área de los datos e información.
CUADRO 20. NIVEL DE LAS POLÍTICAS
POLITICAS
Falta d
e n
orm
as y
regla
s c
lara
s (
no
institu
cio
nalizar
el estu
dio
de los r
iesgos)
Falta d
e m
ecanis
mos d
e v
erificació
n d
e
norm
as y
regla
s /
análisis
inadecuado d
e
dato
s de c
ontr
ol
Ausencia
de d
ocum
enta
ció
n
Falta d
e d
efinic
ión d
e p
erf
il ,
privilegio
s y
restr
iccio
nes d
e p
ers
onal
Falta d
e d
efinic
ión d
e p
olíticas d
e
seguridad c
orp
ora
tiva.
SIS
TEM
AS
Programas de Comunicación 2 2 2 5 3
Programas de Producción de Datos
2 2 2 5 3
Servidores 2 2 2 3 3
Computadores 2 2 2 3 3
Portátiles 2 2 2 3 3
Equipo de red Inalámbrica 2 2 2 2 2
Equipo de red cableado 2 2 2 2 2
PERSO
NAL
Personal Interno 4 4 4 5 4
Personal Técnico Externo 4 4 4 5 4
Usuarios 4 4 4 5 4
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 1 1 1 1 1
Bases de Datos 2 2 1 1 1
Bases de Datos Externos 2 2 1 1 1
Página Web 1 1 1 1 1
Navegación en Internet 1 1 1 1 1
Sistema de Información
Institucional 3 3 4 4 4
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 25
Los resultados obtenidos de la matriz de las políticas se pueden ver en
un alto porcentaje de vulnerabilidad en cuanto al riesgo de definición
de perfil y de políticas… en las áreas de sistemas, personal y datos e
información.
CUADRO 21. NIVEL DE REDES
REDES
Red inalá
mbri
ca e
xpuesta
al acceso n
o a
uto
rizado.
Acceso e
lectr
ónic
o n
o
auto
rizado a
sis
tem
as
inte
rnos.
SIS
TEM
AS Programas de Comunicación 4 4
Programas de Producción de Datos 4 4
Servidores 4 4
Computadores 4 4
Portátiles 4 4
Equipo de red Inalámbrica 4 4
Equipo de red cableado 4 4
PERSO
NAL
Personal Interno 3 3
Personal Técnico Externo 1 1
Usuarios 2 4
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 1 1
Bases de Datos 3 3
Bases de Datos Externos 3 3
Página Web 1 1
Navegación en Internet 1 1
Sistema de Información Institucional 3 3
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 26
Con respecto a los resultados obtenidos de la matriz de redes se puede
observar en un alto porcentaje en toda el área de sistemas ya puede
ser vulnerable a la red inalámbrica expuesta a acceso no autorizado.
CUADRO 22. NIVEL DE ACCESO
ACCESO
Manejo
inadecuado d
e
contr
aseñas (
insegura
s,
no
cam
bia
r, c
om
part
idas,
entr
e o
tras.
Com
part
ir c
ontr
aseñas o
perm
isos a t
erc
ero
s n
o
auto
rizados.
SIS
TEM
AS Programas de Comunicación 4 5
Programas de Producción de Datos 4 5
Servidores 4 4
Computadores 4 4
Portátiles 4 4
Equipo de red Inalámbrica 2 2
Equipo de red cableado 2 2
PERSO
NAL
Personal Interno 4 4
Personal Técnico Externo 1 1
Usuarios 2 2
DATO
S E
INFO
RM
ACIÓ
N
Correo Electrónico 4 4
Bases de Datos 4 4
Bases de Datos Externos 4 4
Página Web 4 4
Navegación en Internet 2 2
Sistema de Información Institucional 5 5
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 27
Según los resultados obtenidos en la matriz nivel de acceso , se puede
observar en un alto porcentaje que el área de sistemas puede ser
vulnerable a riesgos por compartir contraseñas con terceros no
autorizados, esto afecta el área de personal interno y usuarios por
consiguiente afecta el nivel de datos e información en su totalidad.
En base a los datos obtenidos en el análisis de riesgo, se determinara un
control para el sistema propiamente dicho, el cual será la base para poder mitigar, implementar y controlar aquellos más relevantes como un
alto nivel de impacto. Aquellos riesgos de menor impacto no serán analizados, porque su intervención es más elemental o puede ser
innecesario realizarlos.
9. CONCLUSIONES
El manejo inadecuado de los recursos en el Sistema de Información, se
presenta en un mayor grado por la falta de capacitación de sensibilización de riesgos, por consiguiente se deben definir políticas de seguridad claras
para cada uno de los activos, personal interno, externo y usuarios del hospital.
El control de acceso impuesto a usuarios o sistemas favorecen en alta
medida a la disminución de los riesgos presentados ante los tres pilares de seguridad: confidencialidad, disponibilidad e integridad, la inclusión de
estas medidas son positivas siempre y cuando exista un seguimiento en las tareas de los usuarios y el funcionamiento de los sistemas.
El masivo uso actual de los sistemas hace prioritario conocer que tan
vulnerables pueden ser estos. El presente plan muestra cómo se puede identificar y valorar los riesgos actuales en los sistemas mencionados. Y
cuáles pueden ser los controles recomendados con el fin de disminuirlos.
Con el uso de las tecnologías las cuales apoyan los procesos en las
instituciones, aparecen riesgos que deben ser detectados, valorados y tratados de inmediato o en ocasiones antes que estos se manifiesten, de
no hacerlo se verán expuestos a daños y pérdidas considerables.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 28
CUADRO 23. CONTROL DE RIESGOS
AREA ACTIVO AMENAZA CONTROLES
Sistemas
Portátil
Expansión de
virus en la red
Configuración de acceso limitado a redes.
Monitoreo de puertos
Computador
Pérdida del
equipos.
Emisión de guía de uso de PC. Formato de reportes de daño
y/o pérdida del equipo. Seguro de equipo contra
robo. Copia de respaldo de documentos.
Mantener servicios de sincronización en la nube.
Cifrar información sensible del equipo.
Intromisiones de otros usuarios al
equipo.
Educación en medidas de seguridad e informática. Configuración de acceso
limitado a redes. Creación de contraseñas
robustas.
Acceso por
entidades externas a información
sensible o privada
Monitoreo de conexiones
activas. Monitoreo de modificación de archivos.
Respaldos de seguridad.
Uso delincuencial
de datos
Respaldos de seguridad
expansión de virus en la red
Configuración de acceso limitado a redes. Verificación de terminales
Monitoreo de puertos.
Servidor Uso no
autorizado a servidores
Monitoreo de puertos
Recuperación del sistema.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 29
AREA ACTIVO AMENAZA CONTROLES
Sistemas
Portátiles y/o Computadoras
Robo equipo
Monitoreo de puertos.
Determinación de niveles de responsabilidad y acceso. Planificación y seguimiento de
las tareas de soporte técnico interno.
Robo información
Encriptar información en los discos duros de los equipos
Respaldar información automática en servidores. Implementar contraseña de
arranque en la BIOS de los equipos.
Implementar contraseña de inicio de sesión en los equipos
Infiltración de Virus
Adquirir antivirus con licenciamiento empresarial Mantener antivirus actualizado
en los equipos. Tener antivirus activo en todos
los equipos. Bloquear panel de configuración de antivirus
para usuarios finales
Perdida de información
por error de Hardware
Respaldar información
automática en servidores Adquirir equipos de cómputo de
alta calidad con perfil empresarial.
Hacer renovación tecnología con un mínimo de 4 años
Realizar mantenimiento preventivo en los equipos al
menos 2 veces al año en equipos de escritorio.
HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS
RIOSUCIO – CALDAS E.S.E.
Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799
Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 30
Perdida de
información por error de Usuario
Respaldar información
automática en servidores Brindar capacitaciones periódicas a los usuarios en la
importación del manejo de la información.
10. BIBLIOGRAFÍA
Mintic - http://www.mintic.gov.co/
http://estrategia.gobiernoenlinea.gov.co/623/articles-
8258_recurso_1.pdf
Mintic - http://www.mintic.gov.co/
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html