plan de riesgo de seguridad y privacidad de la …€¦ · en este sentido, el plan de riesgo de...

PLAN DE GESTIÓN DE LA TECNOLOGÍA Y LA

COMUNICACIÓN

3510-13

Página 1

Versión 1

Vigente a partir de 17/09/2015

PLAN DE RIESGO DE

SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN

HOSPITAL DEPARTAMENTAL CENTENARIO DE SEVILLA


COMUNICACIÓN

3510-13

Página 2

Versión 1


Contenido 1 INTRODUCCIÓN ........................................................................................................ 3

2 OBJETIVOS ............................................................................................................... 4

2.1 OBJETIVOS ESPECIFICOS ................................................................................ 4

3 ALCANCE ................................................................................................................... 4

4 DEFINICIONES .......................................................................................................... 5

4.1 TIC ...................................................................................................................... 5

4.2 HOSPITAL ........................................................................................................... 5

4.3 INFORMACIÓN ................................................................................................... 5

4.4 POLÍTICA ............................................................................................................ 5

4.5 HDCS .................................................................................................................. 5

4.6 USUARIO ............................................................................................................ 5

PLAN GENERAL ........................................................................................................ 6

4.7 PLAN GENERAL ................................................................................................. 6

4.8 PLAN DEL AREA DE SISTEMAS ....................................................................... 6

4.9 PLAN DE USUARIO ........................................................................................... 7

4.10 PLAN DE EQUIPOS DE CÓMPUTO .................................................................. 8

4.11 POLÍTICAS DE SEGURIDAD .............................................................................. 9

4.11.1 SEGURIDAD FÍSICA .................................................................................... 9

4.11.2 SEGURIDAD LOGICA ................................................................................ 10

4.11.3 COPIAS DE SEGURIDAD .......................................................................... 10

4.11.4 RED ............................................................................................................ 11


COMUNICACIÓN

3510-13

Página 3

Versión 1


1 INTRODUCCIÓN

La Alta Dirección ha priorizado el componente tecnológico y comunicación como un

aspecto clave para el logro de los objetivos estratégicos del Hospital, los cuales se

orientan hacia una excelencia operacional, asegurar transparencia, fortalecer la imagen

institucional y la prestación de servicios efectivos, eficientes y oportunos.

Bajo este contexto es necesario considerar la información como un activo de vital

importancia. Debido a las cambiantes condiciones y nuevas plataformas tecnológicas

disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos

horizontes a las empresas para mejorar su productividad y poder explorar más allá de las

fronteras nacionales. Lo cual lógicamente ha traído consigo, la aparición de nuevas

amenazas para los sistemas de información.

En este sentido, el plan de riesgo de seguridad y privacidad de la información de de la información surgen como una herramienta organizacional y técnica, necesarias para garantizar la seguridad y hacer conciencia a los colaboradores del Hospital sobre la importancia y sensibilidad de la información y servicios críticos que permitan a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.


COMUNICACIÓN

3510-13

Página 4

Versión 1


2 OBJETIVOS

Conservar, salvaguardar y proteger la información producida por los procesos del Hospital evitando su posible pérdida mediante exposición a amenazas latentes en el entorno, como acceso, manipulación o deteriorar la información.

2.1 OBJETIVOS ESPECIFICOS

Crear y definir las políticas generales y específicas que faciliten la ejecución de las actividades TIC en las diferentes áreas del Hospital.

Promover el uso adecuado de los recursos humanos, materiales y activos tecnológicos.

Establecer las políticas para resguardo y garantía de acceso apropiado de la información.

3 ALCANCE

El plan de riesgo de seguridad y privacidad de la información que se define en el presente

documento aplican para todos los funcionarios públicos y contratistas, y para toda la

información que se genere de los procesos, mediante el uso y/o utilización del recurso

informático del Hospital Departamental Centenario de Sevilla.


COMUNICACIÓN

3510-13

Página 5

Versión 1


4 DEFINICIONES

4.1 TIC1

Tecnologías de la información y la comunicación se usa a menudo para referirse a la combinación de la infraestructura, conocimientos, prácticas, recurso humano y recurso tanto de hardware como de software de una organización.

4.2 HOSPITAL2

Un hospital (o nosocomio o casa de salud) es un establecimiento sanitario donde se atiende a los enfermos para proporcionar el diagnóstico y tratamiento que necesitan. Existen diferentes tipos de hospitales, según el tipo de enfermedades que atienden. En este caso se refiere al Hospital Departamental Centenario de Sevilla.

4.3 INFORMACIÓN3

La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

4.4 POLÍTICA4

Son instrucciones gerenciales que indican la intención de la alta dirección respecto a la operación de la institución.

4.5 HDCS

Son las siglas para Hospital Departamental Centenario de Sevilla

4.6 USUARIO5

Cualquier persona (empleado o no) que haga uso de los servicios de las tecnologías de información proporcionadas por hospital tales como equipos de cómputo, sistemas de información, redes de datos.

1 https://es.wikipedia.org/wiki/Wikipedia:Portada,

2 https://es.wikipedia.org/wiki/Hospital

3 https://es.wikipedia.org/wiki/Informaci%C3%B3n

4 http://www.unipacifico.edu.co/sigcalidad/po3102.pdf

5 http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf


COMUNICACIÓN

3510-13

Página 6

Versión 1


PLAN GENERAL

4.7 PLAN GENERAL

El plan general de seguridad de la información será aprobado por la gerencia del HDCS y divulgada adecuadamente a través de los coordinadores, encargados de aéreas y la intranet del hospital. Este Plan hará parte en los procesos de inducción a los nuevos funcionarios.

Todos los usuarios del HDCS, deberán conocer el documento plan de seguridad de la información y regirse en su actuar por los principios consignados en ellos.

Bajo ninguna circunstancia los funcionarios públicos, contratistas y terceros,

pueden utilizar los recursos informáticos para realizar actividades prohibidas por

las normas establecidas o por normas jurídicas nacionales o internacionales.

Para los equipos propiedad del HDCS, el Área Sistemas es la única autorizada a

realizar las actividades de soporte técnico y cambios de configuración en el equipo

de cómputo. En el caso de labores de mantenimiento efectuadas por terceros

éstas deben ser previamente aprobadas por el líder del área de sistemas y gerente

del HDCS. Para los equipos de cómputo en esquema de arrendamiento, la

empresa arrendadora es la única autorizada a realizar las labores de

mantenimiento y cambio de hardware o en su caso autorizar dichas labores.

4.8 PLAN DEL AREA DE SISTEMAS

Deberá vigilar y llevar un inventario detallado de la infraestructura de Hardware y Software del HDCS, acorde con las necesidades existentes de la misma.

Será la única responsable de hacer requerimientos de los activos informáticos que hayan sido proyectados, según las necesidades que se presenten en cada área de trabajo.

Deberá determinarla vida útil de los equipos de informática, con la finalidad de optimizar su uso.

Deberá participar en los contratos de adquisición de bienes y/o servicios, donde se incluyan equipos informáticos como parte integrante o complementaria de otros.

Deberá confirmar que los equipos de informática cumplan con las especificaciones indicadas en las solicitudes de compra, de no ser así se encargará de la devolución de los mismos.

Los encargados del área de sistemas son los responsables de realizar el calendario y organizar al personal encargado del mantenimiento preventivo y correctivo de los equipos de cómputo.

Será responsable de instalar los equipos y programas informáticos utilizados en el hospital.


COMUNICACIÓN

3510-13

Página 7

Versión 1


Trabajara en conjunto con el área de mantenimiento para la instalación y adecuación de nuevas aéreas físicas o de adecuaciones de las ya existentes para la instalación de equipos de cómputo o de infraestructura de red de datos.

Verificará que los equipos tecnológicos tengan: disponibilidad de energía eléctrica, cableado estructurado y mantengan las condiciones físicas aceptables y adecuadas de temperatura, entre otros.

Velará por el adecuado uso de las instalaciones eléctricas requerida para el funcionamiento de los equipos tecnológicos.

Instalará todas las aplicaciones de los equipos y programas informáticos utilizados por el hospital.

Instruirá al Usuario sobre el uso y manejo adecuado de los equipos y programas informáticos instalados.

Verificará que los proveedores de programas de equipos informáticos suministren los manuales correspondientes al funcionamiento de los equipos o programas especializados.

Velará porque todo el software instalado en el HDCS, este legalmente licenciado y respetando los derechos de autor.

Tendrá la custodia y almacenamiento de todos los programas informáticos de la Institución.

Definirá los discos de red o servidores de almacenamiento de todas las áreas, para poder fragmentar el acceso a la información y una mejor organización.

4.9 PLAN DE USUARIO

Se debe reportar todo usuario nuevo al área de sistemas.

Los usuarios deberán solicitar apoyo al área de Tecnología ante cualquier eventualidad o daño de los recursos de los equipos informáticos del hospital.

Para asegurarse de no violar los derechos de autor, no está permitido a los usuarios copiar ningún programa instalado en los equipos informáticos bajo ninguna circunstancia sin la autorización escrita del área de sistemas.

No está permitido instalar ningún programa en los equipos informáticos sin la autorización del área de sistemas o la clara verificación de que el HDCS posee una licencia que cubre dicha instalación.

No está autorizada la descarga de Internet de programas informáticos no autorizados por el área de sistemas.

No podrán usar equipos tecnológicos personales como: laptops, dispositivo informático, etc., en el área de trabajo.

No podrá traer ni efectuar solicitudes al área de sistemas, de reparación de equipos tecnológicos personales dentro del HDCS.

Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales de los demás usuarios.

Los usuarios terceros tendrán acceso a los Servicios y Recursos Informáticos, que sean estrictamente necesarios para el cumplimiento de su función, servicios que deben ser aprobados por quien será el jefe inmediato o coordinador. En todo caso


COMUNICACIÓN

3510-13

Página 8

Versión 1


deberán firmar una solicitud de activación y acceso a servicios tecnológicos y aceptarán a dar un buen uso a los recursos y servicios.

Está prohibido tener en los discos de Red, servidores de almacenamiento y equipos informáticos archivos que no tengan o guarden relación con el HDCS. Tales como:

-MP3 (u otro formato de música). -EXE (archivos ejecutables). -MSI (archivos de instalación). -JPG; JPEG, GIF, BMP, PNG, ETC (imágenes). -INI (Archivos de configuración de instalación). -INF (Archivos de configuración de instalación). -DLL (librerías de archivos). -ZIP (archivos comprimidos, por lo regular son archivos personales y aplicaciones). -RAR (archivos comprimidos, por lo regular son archivos personales y aplicaciones). -Entre otro.

Si un usuario desea utilizar programas informáticos autorizados por el HDCS en su hogar, debe consultar y ser autorizado por el área de sistemas para asegurarse de que ese uso esté permitido por la licencia del editor.

todo usuario se hace responsable de mantener y preservar su contraseña con seguridad, sin divulgarla o compartirla con otros usuarios.

4.10 PLAN DE EQUIPOS DE CÓMPUTO

La solicitud de repuestos y accesorios de equipo de cómputo deberá contar con el visto bueno del área de sistemas.

Para conectar una equipo de computo a la red institucional que no esté bajo el control administrativo del HDCS (computadoras privadas del personal de HDCS, computadoras de otras empresas o terceros en general, las cuales no están sujetas a la totalidad de las políticas de seguridad de HDCS y por ende constituyen un riesgo al ser conectadas a la red institucional) se deberá solicitar permiso a la Gerencia de Informática para que ésta inspeccione el equipo, compruebe que no constituye un riesgo para la seguridad de la institución, evalúe el porqué de la necesidad de conectar el equipo a nuestra red privada y dé la autorización en su caso.

Cuando exista algún incidente (robo, extravío, daño físico, etc.) que afecte de manera directa a un equipo de cómputo del HDCS, deberá ser notificado de inmediato al área de sistemas el cual notificara al are de inventario.

Todos los equipos de computo conectadas a la red del HDCS contarán obligatoriamente con un fondo definido por el área de comunicaciones a fin de preservar la imagen institucional.

Por cada equipo de cómputo que tiene o adquiera el HDCS se debe tener relacionado toda su información y el histórico de la misma en las hojas de vida del mismo.


COMUNICACIÓN

3510-13

Página 9

Versión 1


todo equipo de cómputo nuevo, que ingrese al HDCS por compra, alquiler, donación o comodato se debe reportar al área de inventarios.

cualquier movimiento de un equipo de computo entre aéreas o centros de salud debe ser reportado al área de inventarios y se debe actualizar la hoja de vida con la nueva ubicación y registro de movimientos.

4.11 POLÍTICAS DE SEGURIDAD

4.11.1 SEGURIDAD FÍSICA

El área de sistemas tendrá puertas tranparente o paredes con el fin de favorecer el control del uso de los recursos de cómputo y los funcionarios del área de seguridad puedan realizar controles.

El área de sistemas tendrá la puerta abierta o sin seguro mientras se encuentre algún funcionario de la misma, de lo contrario debe permanecer cerrada bajo llave.

El área de sistemas debe recibir limpieza al menos unos cinco días por semana, que permita mantenerse libre de polvo.

El centro de datos siempre debe permanecer cerrado y con acceso restringido. solo los funcionarios del área de sistemas podrán tener acceso, todo personal fuera del área de sistemas que requiera acceso debe ser autorizado por el jefe "coordinador, encargado" del área de sistemas y debe estar acompañado en todo momento por un representante del área tendrá derecho al ingreso.

El cuarto de UPS siempre debe permanecer cerrado y con acceso restringido. solo los funcionarios del área de sistemas podrán tener acceso, todo personal fuera del área de sistemas que requiera acceso debe ser autorizado por el jefe "coordinador, encargado" del área de sistemas y debe estar acompañado en todo momento por un representante del área, tendrá derecho al ingreso.

El área de sistemas, centro de datos y el cuarto de UPS debe de tener como mínimo un extintor para equipos electrónicos a una distancia no mayor a 5 metros.

Los mantenimientos al equipo de computo en el HDCS ya sea realizado por terceros o por personal del área de sistemas, es obligatorio que se generen hojas de servicio indicando lo efectuado, en ese mismo reporte el usuario certificará y firmará de recibido que no tiene problemas después de efectuado el servicio.

Si por necesidad de reparación o servicio se necesita retirar del edificio temporalmente cualquier equipo de cómputo es necesario, solicitar autorización de salida al área de inventarios la cual debe estar firmada por el jefe "coordinador, encargado" del área de sistemas, inventarios, mantenimiento o la subgerencia administrativa.

Para el correcto funcionamiento de los equipos de cómputo deberán de realizarse como mínimo dos mantenimientos preventivos al año, de acuerdo al plan de mantenimiento anual elaborado por la Gerencia de Informática.

Los mantenimientos a los servidores centrales se efectuarán de una manera programada y si fuese posible fuera de horas de oficina, reportando a los usuarios vía correo electrónico sobre el corte de servicio temporal.


COMUNICACIÓN

3510-13

Página 10

Versión 1


todo equipo de cómputo y equipos de red de datos debe estar conectado a los sistemas de tierra física.

se deben realizar 1 mantenimiento anual de las UPS.

4.11.2 SEGURIDAD LOGICA

El acceso remoto a los servidores será restringido, solo podrá realizarse por los funcionarios del área de sistemas dentro de la red del HDCS.

Se deberá contar con copias de seguridad de todos los sistemas de información.

4.11.2.1 ANTIVIRUS

Todo equipo de cómputo deberá tener instalado software antivirus.

El antivirus debe estar configurado para que se actualice todos los días y realice búsqueda de virus de forma periódica y automática.

El antivirus deberá estar protegido por contraseña que solo será conocida por los funcionarios del área de sistemas.

Toda unidad extraíble será escaneada por el antivirus de forma automática.

todo virus encontrado por el antivirus será eliminado de forma automática, y en caso de encontrase en registros principales del sistema operativo se moverá a cuarentena.

4.11.3 COPIAS DE SEGURIDAD

Se debe crear un plan de copias de seguridad que incluyan al menos los siguientes puntos.

-Copia de seguridad diaria: sucede cada 6 horas entre las 12:00 am y las 11:59:59 pm, guardándose durante 8 días. -Copia de seguridad semanal: es la primera copia generada el lunes de cada semana, se debe guardar durante 3 meses. -Copia de seguridad Mensual: es la primera copia generada del primer día del mes, se debe guardar durante un año. -Copia de seguridad Anual: se debe de guardar la copia antes y después del cierre anual realizado por el área de sistemas, siempre se deben guardar estas copias.

Se debe llevar una bitácora con las copias de seguridad.

Se deben guardar copias de seguridad de las bases de datos de los sistemas de información y los aplicativos institucionales.

Se deben guardar copias de seguridad de las bases de datos de los sistemas de información y los aplicativos institucionales, por fuera de la institución en custodia de sistemas en la nube propia o contratada con un proveedor que garantice la disponibilidad y seguridad de la información.

las copias de seguridad de los usuarios solo deben incluir los documentos relacionados al hospital y no la información personal, se guardarán en el servidor de almacenamiento con el periodo de tiempo que designe el usuario pueden ser automáticos o manuales.


COMUNICACIÓN

3510-13

Página 11

Versión 1


Cada usuario deberá mantener en su equipo de computo la información original sirviendo la copia en el servidor de contingencia por cualquier emergencia, si el usuario considera oportuno tener una segunda copia la podrá efectuar en algún otro medio magnético como CD, DVD, memoria USB etc.

4.11.4 RED

La Red del HDCS solo debe tener como propósito principal servir en la transformación e intercambio de información dentro de la entidad entre usuarios, técnicos, sedes, departamentos, oficinas y hacia a fuera del hospital.

El área de sistemas no es responsable por el contenido de datos ni por el tráfico que en ella circule, la responsabilidad recae directamente sobre el usuario que los genere o solicite.

El uso de analizadores de red es permitido única y exclusivamente por el personal del área de sistemas, para monitorear la funcionalidad de la Red del HDCS, contribuyendo a la consolidación del sistema de seguridad bajo las políticas y normatividades del HDCS.

Las aéreas deberán considerar los estándares vigentes de cableado estructurado durante el diseño de nuevas áreas o en el crecimiento de las áreas existentes.

Los servidores que proporcionen servicios a través de la red e Internet deberán Funcionar 24 horas del día los 365 días del año.

Se debe implementar un sistema de seguridad perimetral que permita: - Rechazar conexiones a servicios comprometidos -Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico, http, https). -Proporcionar un único punto de interconexión con el exterior. -Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet (Red Interna). -Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet -Auditar el tráfico entre el exterior y el interior. -Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red cuentas de usuarios internos.

La solución de seguridad perimetral debe ser controlada con un Firewall por Hardware (físico) que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de datos entre los puertos, ya sean clientes o servidores.

Este equipo deberá estar cubierto con un sistema de alta disponibilidad que permita la continuidad de los servicios en caso de fallo.

El jefe "coordinador, encargado" del área de sistemas establecerán las reglas en el Firewall necesarias bloquear, permitir o ignorar el flujo de datos entrante y saliente de la Red.

El firewall debe bloquear las “conexiones extrañas” y no dejarlas pasar para que no causen problemas.

El firewall debe controlar los ataques de “Denegación de Servicio” y controlar también el número de conexiones que se están produciendo, y en cuanto detectan


COMUNICACIÓN

3510-13

Página 12

Versión 1


que se establecen más de las normales desde un mismo punto bloquearlas y mantener el servicio a salvo.

Controlar las aplicaciones que acceden a Internet para impedir que programas a los que no hemos permitido explícitamente acceso a Internet, puedan enviar información interna al exterior (tipo troyanos).

Detección de ataques en el momento que están ocurriendo o poco después.

Automatización de la búsqueda de nuevos patrones de ataque, con herramientas estadísticas de búsqueda y al análisis de tráfico anómalo.

Monitorización y análisis de las actividades de los usuarios en busca de elementos anómalos.

Auditoría de configuraciones y vulnerabilidades de los sistemas de Detección de Intrusos (IDS).

Descubrir sistemas con servicios habilitados que no deberían de tener, mediante el análisis del tráfico y de los logs.

Análisis de comportamiento anormal. Si se detecta una conexión fuera de hora, reintentos de conexión fallidos y otros, existe la posibilidad de que se esté en presencia de una intrusión. Un análisis detallado del tráfico y los logs puede revelar una máquina comprometida o un usuario con su contraseña al descubierto.

Automatizar tareas como la actualización de reglas, la obtención y análisis de logs, la configuración de cortafuegos.

La Red del HDCS sólo podrá acceder a los parámetros que el Firewall tenga permitido o posibilite mediante su configuración.

plan de riesgo de seguridad y privacidad de la …€¦ · en este sentido, el plan de riesgo de...

Documents