plan maestro de tecnologÍa, seguridad y privacidad de … · el peti tiene como propósito la...

E.S.E. HOSPITAL DE PEDRAZA,

MAGDALENA

KARENT MOJICA ORTEGA - GERENTE

PLAN MAESTRO DE

TECNOLOGÍA,

SEGURIDAD Y

PRIVACIDAD DE LA

INFORMACIÓN 2018

E.S.E. HOSPITAL DE PEDRAZA, MAGDALENA PLAN MAESTRO DE TECNOLOGÍA, SEGURIDAD Y PRIVACIDAD

DE LA INFORMACIÓN 2018

calle 3 carrera 6 esquina. Email: [email protected] Tel: 314 592 2457 www.hospitaldepedraza.gov.co

1

TABLA DE CONTENIDO 1. INTRODUCCION 1.1 JUSTIFICACIÓN 1.2 ALCANCE 1.3 RECURSOS 1.4 METODOLOGÍA 2. OBJETIVOS 3. MARCO NORMATIVO 4. GLOSARIO 5. RUPTURAS ESTRATÉGICAS

6. ANÁLISIS DE LA SITUACIÓN ACTUAL 6.1.1 Estrategia de TI 6.1.2 Uso y apropiación de tecnología 6.1.3 Sistemas de información 6.1.4 Servicios tecnológicos 6.1.5 Gestión de la información 6.1.6 Gobierno de TI 6.1.7 Análisis financiero 7. ENTENDIMIENTO ESTRATEGICO 7.1 Modelo operativo 7.2 Necesidades de información 7.3 Alineación de TI con los procesos 8. MODELO DE GESTIÓN DE TI 8.1 Estrategia de TI 8.1.1 Definición de objetivos estratégicos de TI 8.1.2 Alineación de TI sectorial 8.1.3 Alineación de TI institucional 8.2 Gobierno de TI 8.2.1 Cadena de valor de TI 8.2.2 Indicadores y riesgos 8.2.3 Estructura organizacional de TI 8.3 Gestión de información 8.3.1 Herramientas de análisis 8.3.2 Arquitectura de información 8.4 Sistemas de información 8.4.1 Arquitectura de sistemas de información 8.4.2 Implementación de sistemas de información 8.4.3 Soporte técnico 8.5 Modelo de gestión de servicios tecnológicos 8.5.1 Criterios de calidad y procesos de gestión de servicios TIC 8.5.2 Infraestructura 8.5.3 Conectividad 8.5.4 Servicios de Operación 8.5.5 Procedimientos de gestión 9. MODELO DE PLANEACIÓN

mailto:[email protected]




2

9.1 Lineamientos del plan TIC 9.2 Estructura de actividades estratégicas 9.3 Presupuesto 9.4 Plan de comunicaciones PETI 10. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 10.1 Implementación De La Política 11. DESCRIPCIÓN DEL PLAN DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN 11.1 Eje 1: Gestión De Activos 11.2 Eje 2: Control De Acceso 11.3 Eje 3: Continuidad, Contingencia Y Recuperación De La Información 11.4 Eje 4: Tratamiento Y Protección De Datos Personales 12. PLAN DE GESTIÓN DEL RIESGO EN SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN 12.1 Aspectos para tener en cuenta 12.2 Análisis de vulnerabilidad 13. PLAN MAESTRO DE GESTIÓN EN SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN 14. RESPONSABLE, SEGUIMIENTO Y MONITOREO





3

1. INTRODUCCION

La presente guía presenta la estructura acerca del manejo de los Planes Estratégicos de Tecnologías de la Información - PETI o también conocido como Planes estratégicos de las Tecnologías de la información y las Comunicaciones - PETIC que se desarrolla en el Hospital de Pedraza y sus áreas funcionales. Los grandes volúmenes de información institucional se originan desde dos fuentes principales – asistencial y administrativa- sin estándares tecnológicos homogéneos en hardware, software, comunicaciones y requieren de una infraestructura de red adecuada, funcional y confiable para su transmisión y almacenamiento. La prestación del servicio ha desencadenado en un conjunto de dificultades en la operación de la red y en la gestión de la seguridad de la información, fruto de la falta de una política de tecnología. Así mismo, la gestión de los riesgos de seguridad de la información es fundamental para garantizar el derecho a la privacidad y el manejo discrecional de los datos referentes a los diagnósticos y tratamientos médicos. El PETI tiene como propósito la alineación de la estrategia de la entidad, integrando los diferentes planes de gestión con la incorporación de tecnología que facilite el manejo de sus procesos. El PETI comprende 4 fases: Análisis de la situación actual; Análisis del modelo operativo y organizacional de la entidad, las necesidades de información y la alineación de TI con los procesos; estrategia de TI; modelo de planeación con la definición de los lineamientos y actividades estratégicas para desarrollar el plan de implementación de la estrategia y se estructura el plan maestro. Teniendo en cuenta los lineamientos, se desarrollan los planes de acción en el corto, mediano y largo plazo, con actualizaciones anuales que tomarán en cuenta los avances en los proyectos que lo componen y el contexto en el que se desarrollan. El PESP resume los lineamientos para implementar las mejores prácticas en seguridad de la información que la ESE aplicará para acceder al uso de dichas tecnologías teniendo en cuenta tanto la infraestructura y limitaciones actuales como el tratamiento de los riesgos de seguridad de la información.

1.1 JUSTIFICACIÓN Las políticas de Modernización del Estado, buscan generar un cambio en el fortalecimiento institucional y la modernización de la gestión pública, tanto para dar cumplimiento a la normativa vigente, como para que se logren sinergias que confluyan en un uso más eficiente de los recursos, siendo el talento humano el más importante. Para ello se gestiona la incorporación de herramientas de tecnología blanda que permita lograr eficiencia en recursos y ahorro de tiempo en la perspectiva de alcanzar estándares de calidad, eficiencia y efectividad en el servicio.





4

Las entidades públicas deben fundamentar su gestión en la planeación organizacional como elemento articulador de los diferentes procesos y acciones encaminadas al cumplimiento de sus funciones. El componente tecnológico es parte importante de ello, ya que representa un salto de eficiencia en la gestión; este logro requiere de una importante inversión inicial (no sólo económica, sino de tiempo y transformación del aparato laboral), pero que una vez puesto en marcha mostrará resultados y ahorros que permiten su amortización en el mediano plazo. Con fundamento en las normas que reglamentan los procesos relacionados con la incorporación tecnológica, se elabora el presente Plan Estratégico de Tecnología de la Información – en adelante PETI-, el cual tiene la intención de coadyuvar al fortalecimiento de las actuaciones de la Entidad, específicamente en lo referido todos aquellos procesos en los que se gestione información. Además se complementa con un plan que abarca el manejo de la seguridad y privacidad de la información así como los riesgos inherentes a dicho manejo.

1.2 ALCANCE Todas las operaciones que se realicen en la ESE HOSPITAL DE PEDRAZA que impliquen el manejo de información, en especial aquellas referidas a las actuaciones administrativas y el servicio asistencial. Además abarca los procesos o subprocesos que son susceptibles a mejorar mediante la incorporación de tecnologías de la información y comunicaciones.

1.3 RECURSOS

✓ Humano: Gerente General, Líderes del Proceso, Responsable TI, Personal Externo ✓ Físico: Firewall, PC y equipos de comunicación ✓ Financieros: Partidas presupuestales ✓ Otros: Softwares de ofimática, administrativos

1.4 METODOLOGÍA Para llevar a cabo la implementación del Modelo de Seguridad y Privacidad de la Información en la ESE, se toma como base la metodología PHVA (Planear, Hacer, Verificar y Actuar) y los lineamientos emitidos por el Ministerio de Tecnologías de la Información y las Comunicaciones – MinTIC, a través de los decretos emitidos.





5

2. OBJETIVOS

GENERAL Promover el desarrollo sostenible de la ESE HOSPITAL DE PEDRAZA mediante la modernización en el manejo de la información, apoyados en el uso estratégico de las TIC, que deriven en una gestión más ágil, transparente y eficiente. ESPECÍFICOS

✓ Implementar una administración de las tecnologías de la información y las comunicaciones en la ESE, a través del cual se dirige y controla el uso actual y futuro de dichas tecnologías.

✓ Fortalecer la gestión e interoperabilidad de la ESE a través de las tecnologías de la información y la comunicación.

✓ Incrementar la calidad y cantidad de los servicios y la información en línea ofrecidas con la página web.

✓ Sistematizar todo el manejo de información asistencial generada. ✓ Implementar herramientas administrativas que generen la información requerida para la

toma de decisiones de una manera ágil y eficiente. ✓ Reducir costos de operación. ✓ Organizar el mecanismo de archivo y seguridad de la información, tanto en físico como en

digital. ✓ Facilitar los procesos de capacitación del personal ✓ Mitigar los riesgos de seguridad y privacidad de la información de la entidad. ✓ Cumplir con los principios de la función administrativa. ✓ Implementar el sistema de gestión de seguridad de la información. ✓ Proteger los activos de información. ✓ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la

información. ✓ Garantizar la continuidad del servicio frente a incidentes. ✓ Gestionar los eventos de seguridad de la información para detectar y tratar con eficiencia,

en particular identificar si es necesario o no clasificarlos como incidentes de seguridad de la información.

✓ Identificar las principales amenazas que afectan a los activos.





6

3. MARCO NORMATIVO

Basados en el decreto Nacional 2573 de 2014 por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones: Título II – Componentes, Instrumentos y Responsables que enfatiza sobre los fundamentos principales para desarrollar de manera correcta implementación de la Estrategia de Gobierno en línea, se debe cumplir con los siguientes componentes; Plan Estratégico de Tecnologías de la Información. Artículo 5°. Componentes. Los fundamentos de la Estrategia serán desarrollados a través de 4 componentes que facilitarán la masificación de la oferta y la demanda del Gobierno en Línea.

1. TIC para Servicios. Comprende la provisión de trámites y servicios a través de medios electrónicos, enfocados a dar solución a las principales necesidades y demandas de los ciudadanos y empresas, en condiciones de calidad, facilidad de uso y mejoramiento continuo. 2. TIC para el Gobierno abierto. Comprende las actividades encaminadas a fomentar la construcción de un Estado más transparente, participativo y colaborativo involucrando a los diferentes actores en los asuntos públicos mediante el uso de las Tecnologías de la Información y las Comunicaciones. 3. TIC para la Gestión. Comprende la planeación y gestión tecnológica, la mejora de procesos internos y el intercambio de información. Igualmente, la gestión y aprovechamiento de la información para el análisis, toma de decisiones y el mejoramiento permanente, con un enfoque integral para una respuesta articulada de gobierno y para hacer más eficaz la gestión administrativa entre instituciones de Gobierno. 4. Seguridad y privacidad de la Información. Comprende las acciones transversales a los demás componentes enunciados, tendientes a proteger la información y los sistemas de información, del acceso, uso, divulgación, interrupción o destrucción no autorizada.

Artículo 6°. Instrumentos.: Manual de Gobierno en Línea. Define las acciones que corresponde ejecutar a las entidades del orden nacional y territorial respectivamente. Marco de referencia de arquitectura empresarial para la gestión de Tecnologías de la Información. Establece los aspectos que los sujetos obligados deberán adoptar para dar cumplimiento a las acciones definidas en el Manual de Gobierno en Línea (…) Título III – Medición, Monitoreo y Plazos conforma un modelo de evaluación para los sujetos del orden territorial basado en un porcentaje de avance de los componentes del Manual de Gobierno en línea vigente, así midiendo el cumplimiento de la entidad evaluada, lo relaciona de la siguiente manera; Plan Estratégico de Tecnologías de la Información -PETI “(…) Artículo 9°. Medición y monitoreo. El Ministerio de Tecnologías de la Información y las Comunicaciones, a través de la Dirección de Gobierno en Línea y de la Dirección de Estándares y Arquitectura de Tecnologías de la Información, diseñará el modelo de monitoreo que permita medir el avance en las acciones definidas en el Manual de Gobierno en Línea que corresponda cumplir a los sujetos obligados, los cuales deberán suministrar la información que les sea requerida. Decreto 1078 del 2015 "Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones":

- De acuerdo con su Título I – Objeto, ámbito de aplicación, definiciones, principios y fundamentos. “(…) - Artículo 1°. Objeto. Definir los lineamientos, instrumentos y plazos de la estrategia de Gobierno en Línea

para garantizar el máximo aprovechamiento de las Tecnologías de la Información y las Comunicaciones, con el fin de contribuir con la construcción de un Estado abierto, más eficiente, más transparente y más participativo y que preste mejores servicios con la colaboración de toda la sociedad. (…). Contando con este objeto la Administración Central debe desarrollar un marco de referencia sobre la Arquitectura Empresarial para así gestionar y promover la armonización de procesos y procedimientos en aras de cumplir con los marcos estratégicos nacionales que aplican para los órdenes territoriales, el presente decreto da la siguiente definición sobre este marco.

Decreto 415 del 2016 "Por el cual se adiciona el Decreto Único Reglamentario del sector de la Función Pública, Decreto Número 1083 de 2015, en lo relacionado con la definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones." En su Artículo 2.2.35.3. Numeral 1 se establece los objetivos del fortalecimiento institucional. Para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones las entidades y organismos a que se refiere el presente decreto, deberán: Liderar





7

la gestión estratégica con tecnologías de la información y las comunicaciones mediante la definición, implementación, ejecución, seguimiento y divulgación de un Plan Estratégico de Tecnología y Sistemas de Información (PETI) que esté alineado a la estrategia y modelo integrado de gestión de la entidad y el cual, con un enfoque de generación de valor público, habilite las capacidades y Plan Estratégico de Tecnologías de la Información -PETI Página 8 de 58 servicios de tecnología necesarios para impulsar las transformaciones en el desarrollo de su sector y la eficiencia y transparencia del Estado.





8

4. GLOSARIO

Siglas frecuentes: -CIO: Chief Information Officer -AE: Arquitectura Empresarial -MRAE: Marco de Referencia de Arquitectura Empresarial para la Gestión de TI del Estado. -TI: Tecnologías de la Información

- PETI: Plan Estratégico De Tecnologías De La Información Análisis de Brecha: Se refiere a la identificación, comparación y análisis de las diferencias entre un estado o situación actual y el estado o situación deseada. Permite planear las arquitecturas de transición necesarias para implementar y alcanzar la arquitectura empresarial objetivo.

Arquitectura de TI: Describe la estructura y las relaciones de todos los elementos de TI de una organización. Se descompone en arquitectura de información, arquitectura de sistemas de información y arquitectura de servicios tecnológicos. Incluye además las arquitecturas de referencia y los elementos estructurales de la estrategia de TI (visión de arquitectura, principios de arquitectura, lineamientos y objetivos estratégicos).

Arquitectura de Referencia: Es un diseño de alto nivel, sin detalles tecnológicos o de productos, que se utiliza como una plantilla para guiar el bosquejo de otras arquitecturas más específicas.

Arquitectura misional o Arquitectura de negocio: Describe los elementos de una institución, que le permiten implementar su misión(catálogo de servicios misionales; el modelo estratégico; el catálogo de procesos; la estructura organizacional, y el mapa de capacidades institucionales.

Arquitectura de transición: Dentro del proceso de transformación de TI, en la búsqueda de unos objetivos estratégicos, es común que se definan puntos intermedios que se describen usando una arquitectura de transición. Esta descripción incluye los elementos de las arquitecturas de información, sistemas de información y de servicios tecnológicos que deben ser modificados. La utilización de puntos intermedios permite la implementación de mapas de ruta por etapas, lo que disminuye riesgos y facilita su gestión. Atributo de calidad: Es la descripción de una característica que un sistema de información o componente de software debe tener durante su despliegue, uso o evolución. Ejemplos de atributos de calidad son la seguridad, la eficiencia, la flexibilidad, la confiabilidad y la disponibilidad. Ámbito: Área o temática que aborda un dominio y que agrupa temas comunes dentro del dominio.

Arquitectura de Servicios Tecnológicos: También es conocida como Arquitectura de infraestructura. Incluye todos los elementos de TI que soportan la operación de la institución, entre los que se encuentran la plataforma hardware, la plataforma de comunicaciones y el software especializado. Atributo de un componente de información: Es una característica o propiedad que tiene o debe tener dicho componente.

Arquitectura de Sistemas de Información: Describe cada uno de los sistemas de información y sus relaciones entre ellos. Esta descripción se hace por medio de una ficha técnica que incluye las tecnologías y productos sobre los cuales está construido el sistema, su arquitectura de software, su modelo de datos, la información de desarrollo y de soporte, y los requerimientos de servicios tecnológicos, entre otros.

Arquitectura de software: Describe el conjunto de componentes de software que hacen parte de un sistema de información y las relaciones que existen entre ellos. Cada componente de software está descrito en términos de sus características funcionales y no funcionales

Arquitectura Empresarial: Es una práctica estratégica que consiste en analizar integralmente las entidades desde diferentes perspectivas o dimensiones, con el propósito de obtener, evaluar y diagnosticar su estado actual y establecer la transformación necesaria. Ambiente (de desarrollo, pruebas o producción): Es la infraestructura tecnológica (hardware y software) que permite desarrollar, probar o ejecutar todos los elementos o componentes para ofrecer un servicio de Tecnologías de la Información.

Arquitectura Empresarial Objetivo (To Be): Es el diseño de alto nivel de la situación deseada, en términos de los mismos dominios abordados en la arquitectura actual. Los formalismos en los que se expresa la arquitectura objetivo son distintos a los utilizados para expresar la arquitectura actual, debido a que, aunque incluyen el mismo tipo de elementos, lo hacen a distintos niveles de abstracción y detalle.

Acuerdo de Nivel de Servicio (ANS): Un Acuerdo de Nivel de Servicio (ANS) es un convenio entre un proveedor de servicios de TI y un cliente. Describe las características del servicio de TI, los niveles de cumplimiento y las sanciones,





9

y especifica las responsabilidades del proveedor y del cliente. Un ANS puede cubrir múltiples servicios de TI o múltiples clientes.

Arquitectura de Información: Define la estructura con la cual está representada y almacenada la información de una organización, lo mismo que los servicios y los flujos de información existentes y que soporta. Incluye el modelo conceptual, el modelo de indicadores, los componentes de información y sus relaciones, y la representación lógica y física de los datos, entre otros. Esta arquitectura expresa también la relación que tiene con la arquitectura misional y con las demás arquitecturas de TI.

Componente de TI: Hace referencia a cualquier elemento de TI de una institución, lo mismo que a sus procesos, capacidades y servicios.

Componente de información: Es el término utilizado para referirse al conjunto de los datos, la información, los servicios de información y los flujos bajo un único nombre.

Catálogo de servicios de TI: Es un inventario detallado y documentado de los servicios de TI que la institución tiene implementados y que se encuentran activos.

Catálogo de sistemas de información: Es un inventario detallado y documentado que contiene las fichas técnicas de los sistemas de información de una institución. Este es uno de los artefactos que se utiliza para describir la arquitectura de sistemas de información. Catálogo de servicios tecnológicos: Es un inventario detallado y documentado de los servicios tecnológicos que provee TI a la institución. Ciclo de vida de los componentes de información: Define el conjunto de estados en los que puede estar un componente de información desde su creación hasta su eliminación. Dominio: Cada uno de los seis componentes que conforman la estructura de la primera capa del diseño conceptual del Marco de Referencia de Arquitectura Empresarial para la gestión de TI.

Datos espaciales: Permiten representar la ubicación física y las características geométricas de un elemento o grupo de ellos dentro de un modelo.

Dato: Es una representación simbólica de una característica particular de un elemento o situación, que pertenece a un modelo de una realidad..

Derechos patrimoniales: Son los derechos de índole económica, que implican para su titular la facultad de autorizar o prohibir la explotación de la obra o creación

Estándares: En el contexto de TI, un estándar es un documento que contiene un conjunto de especificaciones técnicas de aplicación voluntaria.

Esquema de Gobierno TI: Es un modelo para la administración de las capacidades y servicios de TI de una institución. Incluye una estructura organizacional, un conjunto de procesos, un conjunto de indicadores y un modelo de toma de decisiones; todo lo anterior enmarcado en el modelo de gobierno de la entidad. Estrategia TI: Es el conjunto de principios, objetivos y acciones concretas que reflejan la forma en la cual una entidad decide utilizar las Tecnologías de la Información para permitir el logro de su misión de una manera eficaz. La Estrategia TI es una parte integral de la estrategia de una entidad. Elemento: Tema de relevancia que se destaca dentro de cada ámbito.

Flujo de información: Corresponde a la descripción explicita de la interacción entre proveedores y consumidores de información.

Gestión TI: Es una práctica, que permite operar, innovar, administrar, desarrollar y usar apropiadamente las tecnologías de la información..

Gestión documental: Es el conjunto de actividades técnicas y administrativas orientadas al procesamiento, manejo y organización de los documentos de todo tipo que fluyen en una organización.

Información: Es un conjunto de datos organizados y procesados que tienen un significado, relevancia, propósito y contexto

Modelo de gestión estratégica de TI - IT4+: Es una de las herramientas e instrumentos de la base de conocimiento del Marco de Referencia de Arquitectura Empresarial para la Gestión de TI, que facilita su aplicación práctica. El modelo contribuye al mejoramiento de la gestión organizacional porque facilita la administración y el control de los recursos de TI para brindar información oportuna y objetiva para la toma de decisiones en todos los niveles de las entidades públicas y privadas.

Nube: Término usado para referirse a la computación en la nube (cloud computing). Trata de los servicios en la web que proveen características básicas y avanzadas de procesamiento y almacenamiento.

Plan de comunicación de la Estrategia de TI: Toda estrategia debe ser comunicada de manera adecuada a los distintos interesados, dentro y fuera de una institución. El plan de comunicación define los tipos de usuarios a los que se informará, los tipos de contenido y medios de comunicación por usar, para divulgar la Estrategia de TI. Visión estratégica: Es la definición de alto nivel de los objetivos que se pretenden lograr y de la manera de hacerlo. Es uno de los componentes del PETI. En el caso de TI, la visión estratégica debe contemplar el impacto de las nuevas tecnologías.





10

5. RUPTURAS ESTRATÉGICAS

Las rupturas estratégicas nos permiten identificar los paradigmas a romper de la Institución pública para llevar a cabo la transformación de la gestión de TI, a continuación se listan las siguientes rupturas estratégicas identificadas:

❖ Necesidad de liderazgo al interior de la institución pública para la gestión de Sistemas de Información, Los proyectos de TI son costosos.

❖ Alinear las soluciones con los procesos, aprovechando las oportunidades de la tecnología, según el costo/beneficio

❖ Los sistemas de información no se integran y no facilitan las acciones coordinadas. ❖ Resolver el dilema entre “desarrollar en casa” vs. “Comprar software comercial”. ❖ Resolver el dilema entre tercerizar o gestionar ❖ Formar al personal en manejo de TI, en especial al mayor de 45 años, es una labor casi

imposible.





11

6. ANÁLISIS DE LA SITUACIÓN ACTUAL

Este apartado comprende de un diagnóstico en cada uno de los dominios del marco de referencia de arquitectura TI, con el fin de determinar el nivel de madurez tecnológico que comprende la entidad en relación con las dimensiones del modelo del marco de referencia, calificando dicho estado de madurez en un rango de alto medio o bajo. La determinación de los grados de madurez y las deficiencias encontradas establecerán las acciones que se llevarán a cabo para contar con un grado de madurez alto, al finalizar la implementación del modelo y de los proyectos resultantes.

6.1.1 Estrategia de TI Plan nacional de desarrollo: Plantea como una de sus seis estrategias transversales el buen gobierno. Dichas estrategias trazan los lineamientos de política que le permitirán avanzar hacia la construcción de un país en paz, equitativo y educado. Objetivos:

● Fomentar la construcción de un Estado más transparente, participativo y colaborativo, involucrando a los diferentes actores en los asuntos públicos mediante el uso de las Tecnologías de la Información y las Comunicaciones. Mejorar la infraestructura tecnológica de los sistemas de información que permita fortalecer el acceso a las fuentes de información de los procesos misionales y administrativos de la

Función Pública. ● Brindar alternativas de solución a las principales necesidades de las personas naturales y jurídicas, gracias a la utilización adecuada y estratégica de las TIC para el fortalecimiento de los

trámites y servicios que se ponen a su disposición. ● Formular la política pública, lineamientos y

estándares necesarios para garantizar la implementación de la estrategia de Gobierno en Línea. ● Impulsar la implementación del Marco de Referencia de Arquitectura y de los estándares de seguridad y privacidad de la información con apoyo en soluciones transversales que faciliten y dinamicen la implementación de Gobierno en línea por parte de las entidades públicas

Plan Municipal de Desarrollo: Plantea como una de sus seis estrategias transversales el buen gobierno. Dichas estrategias trazan los lineamientos de política que le permitirán avanzar hacia la construcción de un municipio en paz, equitativo y educado. Programa: Seriedad y Autonomía para la Transparencia, Gestión Pública Efectiva, Participación Ciudadana y Garantía de Derechos. Sección: Fortalecimiento de la transparencia y del sistema de gestión y participación en la entidad”. Objetivo: Formular e implementar el Modelo Integral de Planeación y Gestión; Implementar modelo estándar de control interno; mejorar la capacidad de difusión de los programas adelantados por el municipio; El Departamento del Magdalena y la Nación, Implementar la estrategia de Gobierno en Línea, garantizando los derechos de los habitantes

Direccionamiento estratégico en TI de la ESE: No se cuenta con un departamento de TI, ni se ha formulado un direccionamiento estratégico en ese sentido

Estrategias sectoriales: Incorporación de software administrador de historias clínicas, software de apoyo para tratamiento de pacientes basado en las guías de práctica clínica, aplicaciones de control para seguridad del paciente, TI para orientación y educación al usuario, software de archivos

6.1.2 Uso y apropiación de tecnología





12

Para esto se realiza la revisión de casos que se presentan a diario una vez implementado el S.I y se realiza el análisis con el proceso de T.I, haciendo una autoevaluación aplicando una serie de preguntas como son: ¿Principales actividades que se presentan frecuentemente a nivel institucional?

En el proceso asistencial no realizan el registro de algunas actividades en el servicio de urgencias y consulta externa, generando no facturación, lo cual acarrea pérdidas a nivel administrativo motivado por el poco tiempo del que dispone el médico para atender al paciente y a la vez realizar las notas de las actividades y registros a los usuarios. Se encuentra un alto porcentaje de desconocimiento en el manejo de herramientas (hardware) para el registro de actividades del día a día. En el manejo del proceso administrativo se cuentan con desconocimiento de herramientas ofimáticas para la generación de información a reportar.

Productos o servicios que se prestan

Asistenciales en salud de primer nivel de complejidad Salud pública

Herramientas de TI que apoyan las actividades y la prestación de los servicios o la generación de los productos.

Se cuenta con herramientas ofimáticas básicas para el proceso administrativo, el desarrollo de algunas aplicaciones simples en Excel para aligerar procesos en compras, gestión del personal, control presupuestal y del gasto, contabilidad y gestión de la calidad.

Actividades que no tienen apoyo de TI.

P y P, actividades extramurales, historias clínicas, labor asistencial en pueblos palafitos, control de archivos, que generan brechas de recolección de información para el análisis de las mismas por parte del gestor o líder del proceso.

Perfil del directivo frente a TI.

En la mayoría de casos realizan toma de decisiones sin verificar la interoperabilidad por procesos generando islas de funcionamiento entre los procesos. La integración de la información se hace mediante reuniones presenciales que quitan tiempo a los funcionarios y atrasan la gestión. Los perfiles de los informes digitales son dispares frente a la información, por lo que deben ser interpretados uno a uno.

Recursos dedicados a TI

Los recursos financieros anualmente se limitan a las necesidades que se requieren en cuanto nuevas implementaciones que se puedan presentar en la vigencia: No hay talento humano dedicado al manejo de TI en la ESE Faltan herramientas de software. Faltan terminales de cómputo en las áreas asistenciales. Faltan herramientas integradoras en red de la información. Los recursos son asignados en general para compras puntuales, mantenimiento de equipos de cómputo y licencias vigentes.

6.1.3 Sistemas de información Categorías:

a. Sistemas de apoyo b. Sistemas misionales

o Sistemas misionales de gestión o Sistemas misionales de prestación o Servicios de información digital, incluidos los portales

c. Sistemas de direccionamiento estratégico. Con el fin de medir la situación actual referente a los servicios tecnológicos se construye un instrumento basado en las mejores prácticas de la ISO 20005. Se dio un nivel de importancia a cada uno de 6 procesos, el cual tiene un valor total del 100%, de acuerdo a este peso en cada uno de los procesos y realizando el análisis del estado actual como se evidencia en el siguiente cuadro y gráfico.





13

DIAGNÓSTICO DE BRECHAS EN TI ESE HOSPITAL DE PEDRAZA actualidad ponderación total

Requisitos SIG- calidad de servicio 20% 15% 3%

Gestión administrativa 30% 15% 5%

Transparencia, atención al ciudadano, página web, informes 60% 15% 9%

Procesos asistenciales en salud 10% 45% 5%

Seguimiento y control 20% 10% 2%

100% 24%

Nuestro nivel de incorporación en TI sólo marcha al 24%, dejando por fuera importantes requerimientos de apoyo para la parte asistencial y el control de calidad del servicio. Los servicios con más apropiación no superan el 60% por lo que el valor de tabla es reflejo de una pobre gestión en incorporación de TI. La ESE no tiene formalizado ningún sistema de información propio, pero se sirve de la red de usuarios para gestión de servicios y orientación de facturación. 6.1.4 Servicios tecnológicos En referencia al manejo de servicios tecnológicos, se realiza la distribución en las siguientes categorías: Estrategia y gobierno

El Hospital busca realizar la centralización de actividades registradas por medio del S.I en el cual cada uno de los responsables cumplen la tarea de dirigir y promover la cultura del buen manejo de la información; lo anterior con el fin de dar cumplimiento a estrategias que promueven la función pública, la gobernación, alcaldía y todas aquellas instituciones directamente relacionadas al sector salud. Se requiere formular el direccionamiento estratégico en TI para la institución, asignando un líder responsable por su planificación, implementación, seguimiento, control y administración de la información y los permisos de acceso. La página web es una herramienta / estrategia que por normativa debe permanecer actualizada con la información del hospital, contratación, transparencia y buen gobierno, así como direccionar a los usuarios en los trámites requeridos. No se han desarrollado otras estrategias, ni de cara a una tercerización, o implementación de mejores prácticas o calidad de los servicios de TI.

Administración de sistemas de información

El hospital al no contar con un sistema de información preestablecido, no realiza la configuración de privilegios de permiso, seguridad, consulta, confidencialidad e integridad. Las aplicaciones empleadas son manejadas aisladamente, y por lo tanto su manejo de información depende de la consolidación de informes y reportes. No hay base de datos única ni canal de datos interno. La consulta de datos no se da en tiempo real.

Infraestructura La ESE, ofrece a los colaboradores las herramientas de trabajo tales como equipos de cómputo, impresoras, licenciamiento establecidas en la ley (office, sistemas operativos y antivirus), mantenimiento de cableado estructurados, servidores etc., aunque el inventario de hardware y software es insuficiente para atender las necesidades que la institución tiene en materia de TI.

Conectividad El hospital cuenta con sede única, por tanto la conectividad sólo es interna

Servicios de Infraestructura: No existe un responsable definido. Se realiza sólo mantenimiento correctivo de





14

operación equipos y software, cubriendo fallos, esto debido a que el nivel de uso de TIC es muy básico en la ESE. No existen contratos de soporte. Aplicaciones: El software contable es soportado remotamente por el desarrollador; su administración está a cargo del contador, y sólo hay 3 accesos: contador, gerente y jefe de presupuesto. Las necesidades se atienden consultando con GOOGLE. Servicios informáticos: Servicios como correo electrónico, telefonía, comunicaciones unificadas, DNS, directorio activo, antivirus, antispam, mesa de servicios, servicios de impresión, entre otros, son manejados directamente por el hospital, quien compra paquetes y licencias, o adquiere gratuitas desde internet. No existen contratos de soporte. Herramientas que contamos para fortalecer la adopción de nuevas TIC:

- Inventarios de equipos: Información total sobre equipos y sus componentes, aplicativos, software o hardware que esta preinstalado en cada máquina.

- Identificación de licencias del software y aplicativos: En este momento el hospital no cuenta con la totalidad del software licenciado. Licencias adquiridas: Microsoft Windows 7 32 y 64 bits, Microsoft W10 64 bits, SQL server 2008, Paquetes de Office 2010. Antivirus gratuitos.

- Mantenimiento: Se cuenta con un listado de varios proveedores es de servicios de mantenimiento, todos ellos correctivos, sin vínculos de contrato, sólo por evento.

Otras herramientas: Skype, Microsoft Outlook, Gobierno en línea, correo institucional en Gmail, página web soportada, grupo de Whatsapp,

Mesa de servicios especializados

No se cuenta con servicios especializados

- Principales esfuerzos: Consecución de equipos de cómputo para las diferentes necesidades

administrativas y de soporte. Consecución de paquetes básicos de office. - Logros: Cobertura total en la parte administrativa en cuanto a equipos. Cobertura

deficiente en cuanto a administración de la información y seguridad de la misma. - Problemáticas: Precios de software, necesidad de sistematizar archivos y control de

historias clínicas (soporte informático para el área asistencial). - Recomendaciones: Adquirir un administrador de archivos, un ayudante para el servicio

médico y un controlador de historias clínicas. Vincular toda la información por medio de la intranet. Tener varias UPS de soporte para los continuos cortes de energía

6.1.5 Gestión de la información Estado de la arquitectura de la información

No se cuenta con una arquitectura de la información, dado que los procesos operan de manera independiente

Fuentes de datos

Asistenciales: Historias clínicas, asignación de citas, notas de enfermería, consumos (hojas de costo),

Plan de calidad de datos

No se maneja un plan de calidad de datos, que valide la pertinencia, oportunidad y captura efectiva de los mismos.

Seguridad de la información

No Se cuenta con mecanismos que aseguren los datos ni la información. La actualidad muestra un panorama de desprotección, ya que no existen cortafuegos, antivirus o controles de acceso por clave.

Flujos de información

La información fluye desde la prestación de servicios asistenciales hacia facturación, calidad de servicio y administración. La parte gerencial recibe reportes con base en la información condensada. La información administrativa fluye entre las diferentes dependencias

Gobierno de No se han asignado responsabilidades sobre el gobierno de datos, aunque los líderes de proceso





15

datos asumen dichos roles para poder cumplir con su labor.

Puntos críticos Gestión de historias clínicas en urgencia.

Cuellos de botella

Facturación y archivo

6.1.6 Gobierno de TI En el mapa de procesos de la ESE no existe TI, el cual será un proceso de soporte tanto para la parte misional como para la estratégica. En el organigrama, el responsable de TI estará justo por debajo de la gerencia, es decir, en la parte administrativa. Dado el tamaño de la organización, no se estructurará un departamento de TI, sino que el responsable se encargará de toda la gestión, incluyendo el relacionamiento con asesores, proveedores y / o contratistas que de manera regular o eventual sean requeridos. Funciones del responsable de TI:

- Velar por el correcto funcionamiento de los mecanismos de seguridad de la información. - Brindar los lineamientos para la Administración de Tecnologías de la Información y

Comunicación (TIC). - Establecer las necesidades de software y hardware. - Desarrollar toda la arquitectura de información y el flujo de datos de la ESE - Gestionar el mantenimiento, soporte remoto y asesoría necesarios. - Llevar el control de mantenimiento de TI - Desarrollar la intranet - Gestionar el proceso comunicativo de TI con las sedes satélites - Administrar permisos de acceso a la información y los programas. - Administrar la gestión de correos corporativos y página web - Mantener actualizado el inventario de hardware, software y licencias. - Capacitar al personal en tecnología de información, uso de los software e identificación de

necesidades. - Brindar asistencia en el uso de software y hardware. - Hacer seguimiento a los procesos de adquisición de TI - Elaborar informes de avance de implementación y operación de TI - Preparar los comités de TI y la planificación estratégica de TI - Promover, socializar e implementar las mejores prácticas del TIC

6.1.7 Análisis financiero Debido a que no se la ha dado peso estratégico al tema de TI, los gastos anuales en este rubro han sido diseminados dentro de los gastos ordinarios de otras áreas y procesos, por lo que realizar una recopilación y rastreo de la información resulta dispendioso, entonces no se describen los costos actuales de operación y funcionamiento del área de TI.





16

7. ENTENDIMIENTO ESTRATEGICO

7.1 Modelo operativo Para esto se puede definir que el sistema de información, gobierno en línea y mantenimiento e infraestructura tecnológica se ven involucrados en todos los procesos del mapa: estratégicos, misionales y de soporte. Esta es la ficha del proceso a cargo de sistemas de información:





17

7.2 Necesidades de información Estas son las principales necesidades de información por área y subgrupo que la ESE requiere para el apoyo a sus operaciones:





18

7.3 Alineación de TI con los procesos En la presente sección se realizará el cruce y análisis de los procesos institucionales con el inventario de los sistemas de Información levantados, con el fin de determinar cuáles procesos requieren el apoyo tecnológico para su mejoramiento, cuales sistemas de información necesitan ser





19

agrupados, o cuales deberán ser suprimidos por duplicidad o no apuntan a ninguna actividad institucional.





20

8. MODELO DE GESTIÓN DE TI

8.1 Estrategia de TI A continuación siguiendo con el modelo de estrategia de TI, se realiza un direccionamiento organizacional en el cual se alinea la estrategia de TI con la estrategia institucional, la arquitectura empresarial o institucional se alinea con los mecanismos de Gobierno de TI, a través de políticas, acuerdos de desarrollo de servicios y de implementación de facilidades tecnológicas, los procesos de la entidad se adelantan con énfasis en la eficiencia, la transparencia y el control de la gestión y necesidades institucionales con las políticas operativas y de seguridad de la información, portafolio de proyectos y servicios, arquitectura de información y sistemas de información, plataforma tecnológica que posee la oficina de Informática y telemática para determinar las estrategias a apuntar en sus 6 dominios del marco de referencia.

8.1.1 Definición de objetivos estratégicos de TI

• Identificar necesidades por procesos basados en el levantamiento documental de los mismos (caracterizaciones) para integrar los sistemas de información de los diferentes procesos que permitan la toma de decisiones sostenibles y eficientes.

• Desarrollar SI para resolver las necesidades identificadas en los procesos analizados en cada vigencia.

• Acercar las TI al grupo de usuario de la ESE para facilitar procesos

• Reducir los tiempos de reacción para el acceso a la información entre las dependencias

8.1.2 Alineación de TI sectorial

INFRAESTRUCTURA - Implementando alternativas de trasmisión de datos o de información a nivel salud con las diferentes entidades de la red que permitan fortalecer el desarrollo de actividades para el cumplimiento de metas propuesta a nivel departamental

- Desarrollo de un canal dedicado el cual nos permite hacer la captura de información en tiempo real y poder tomar decisiones sobre el dato recolectado en una única base de consultas.

SERVICIOS - Integración la información asistencial con la red departamental.

- Unificación de la información, la transmisión de resultados y los tiempos de respuesta ante los entes de control.

APLICACIONES - Aplicación para desarrollo de las actividades extramurales, sobre todo las de PAI con los entes territoriales, de las cuales se unifica la información obtenida para alimentar una gran base de datos territorial

- Gobierno en línea, canales de transparencia y atención al ciudadano





21

USUARIOS - Pacientes, y usuarios de los servicios - Entes territoriales y de control - Otras entidades de salud en red - EPS y ciudadanía en general

8.1.3 Alineación de TI institucional

INFRAESTRUCTURA - Desarrollo de nuevas herramientas de verificación, seguimiento y reporte

- Ampliación del número de terminales interconectadas en la ESE, Canal dedicado para el acceso a internet

- Soporte eléctrico para conservación de datos en caso contingencias de fallo en el fluido eléctrico

- Unificación de SI en un servidor único

SERVICIOS - Gestión de citas - Entrega de resultados - Gestión de historias clínicas - Seguridad y confidencialidad de la información - Publicación de resultados ante entes de control - Información al usuario - PQRSC

APLICACIONES - Interfases entre SI - Actualización de historias clínicas - Control de archivos - Tableros de comando para control de desarrollo de planes de

gestión y resultados de indicadores

USUARIOS - Usuarios internos - SIAU - Gerencia y junta directiva

8.2 Gobierno de TI Se tendrán en cuenta los siguientes lineamientos:

● Satisfacer las Necesidades de las áreas funcionales de la ESE, manteniendo el equilibrio entre costo, riesgo y beneficio.

● Cobertura amplia de las funciones y procedimientos de la ESE, aunque no impliquen el uso de TI.

● Aplicar un Marco de Referencia base que pueda ser integrado con diferentes estándares y buenas prácticas relativos.

● Enfoque Holístico de gestión de las TI.

● Comunicación y capacitación permanentes. La arquitectura institucional incorpora el Gobierno de TI a través de acuerdos de desarrollo de servicios y de implementación de facilidades tecnológicas. De esta manera los procesos de la entidad se adelantarán con énfasis en la eficiencia, la transparencia y el control de la gestión en el cual mostrarán la importancia de las implementaciones y la interrelación con cada uno de los procesos





22

Para el desarrollo de la estrategia de TI se tendrán en cuenta las normas vigentes: como las disposiciones legales y la normatividad vigente expedida por las autoridades de naturaleza internas y externas. El departamento dispondrá dentro de sus políticas sobre cada uno de los siguientes temas: 1. Definición de Roles y perfiles de T.I 2. Gestión de relaciones con otras áreas e instituciones públicas 3. Modelo de Gestión de proyectos. 4. Gestión de proveedores. 5. Acuerdos de nivel de servicio y de desarrollo. 6. Procesos de TI e indicadores de gestión de TI 7. Esquema de transferencia de conocimiento

8.2.1 Cadena de valor de TI A continuación, se muestra en un esquema de la cadena de valor de TI donde se contempla la relación de factores que se involucran en S.I para determinar el proceso de administración de TIC.

La información del inciso 8.2 nos puede dar luces de qué procesos hacen parte de esta cadena de valor, que entradas, salidas, emisores y receptores tienen, y cómo se integran, ya que unos son alimentación de información de otros, tal como lo establece el modelo de gestión basado en el ciclo PHVA.





23

8.2.2 Indicadores y riesgos Indicadores por objetivos de TI:

Indicadores de calidad:

Indicadores de gobierno en línea:

COMPONENTES GEL

LINEA BASE

META 2018

META 2019

META 2020

Gobierno abierto X 70% 90% 100%

Transparencia X 70% 90% 100%

TIC para la gestión X 60% 90% 100%

Tic para servicios X 50% 90% 100%

Seguridad y privacidad de la información X 50% 90% 100%

Indicadores PETI:





24

8.2.3 Estructura organizacional de TI Sólo existirá un responsable por todo el proceso, debido al tamaño de la organización, el cual será el responsable de TI, y sus funciones están descritas en el aparte de gobierno de TI, numeral 6.7.1.

8.3 Gestión de información

8.3.1 Herramientas de análisis Se referencian las siguientes herramientas para el desarrollo de las acciones para el tratamiento de la información:

✓ Generación de reportes por cada módulo que se maneje a nivel asistencial y/o administrativo

✓ Publicación de información de normatividad(actualización) ✓ Comités internos para análisis de información y verificación para generar lo planes de

mejora basados en la documentación y guías establecidas para el seguimiento de los procedimientos.

✓ Entrega de casos para la verificación de inconsistencias dentro del S.I ✓ Líderes de proceso que puedan replicar a sus colaboradores inconsistencias o

desconocimiento del manejo para la elaboración de actividades internas relacionadas con el S.I

8.3.2 Arquitectura de información

La información que se genera del S.I está a cargo del líder del proceso y es aquel quien cumple la responsabilidad de salvaguardar aquellos datos administrados por los procesos en cada uno de los aplicativos que se manejan ya sean asistenciales y administrativos y el cual debe velar por que este tipo de información no sea alterada n tratada con fines personales cumpliendo así una de las policitas de seguridad de la información. Flujograma:





25

8.4 Sistemas de información

8.4.1 Arquitectura de sistemas de información Para apoyar los procesos misionales y de apoyo en una organización, es importante contar con sistemas de información que se conviertan en fuente única de datos útiles para la toma de decisiones en todos los aspectos; que garanticen la calidad de la información, dispongan recursos de consulta a los públicos de interés, permitan la generación de transacciones desde los procesos que generan la información y que sean fáciles de mantener. Que sean escalables, interoperables, seguros, funcionales y sostenibles, tanto en lo financiero como en la parte técnica. Bajo este esquema, la asesoría de informática y telemática elabora los lineamientos tecnológicos que la asesoría de informática y telemática recomienda incorporar en las especificaciones técnicas de proyectos de implementación de sistemas de información.

8.4.2 Implementación de sistemas de información Para la implementación se tendrá en cuenta la metodología PHVA según la cual:

- Planear: Establecimiento de políticas, articulación con las demás políticas de la institución, análisis situacional, diseño de planes, establecimiento de proyectos, establecimientos de mecanismos de seguimiento y medición, presupuesto, responsabilidades y cronogramas.

- Hacer: Análisis por procesos de los flujos de datos e información, las necesidades en materia de información, la tecnología disponible y el capital humano requerido. Desarrollo de las soluciones. Sensibilización y capacitación al personal. Pruebas. Puesta en marcha definitiva.

- Verificar: Seguimiento a la planeación, indicadores de gestión, supervisión de funcionamiento, soporte.





26

- Actuar: auditorías internas, comités de TI, acciones de mejora o decisiones estratégicas. Además, se aprovechará que el funcionamiento de la Ese sigue los lineamientos de la norma ISO 9001 en el enfoque por procesos, de los cuales se obtienen las entradas, salidas, interacciones, procedimientos y guías que se requieren realizar y cuáles pueden ser manejadas por medio de TI.

8.4.3 Soporte técnico Se contará con soporte técnico suficiente para hardware, software, mecanismos de comunicación, entrenamiento y reentrenamiento. Este soporte será coordinado con el responsable de TI y podrá ser ejecutado con personal interno o externo dependiendo del nivel de complejidad de los requerimientos. También se hará medición de la respuesta del soporte, con el fin de reducir brechas, ahorrar costos y fomentar en los usuarios de TI una autogestión responsable.

8.5 Modelo de gestión de servicios tecnológicos

8.5.1 Criterios de calidad y procesos de gestión de servicios TIC Se seguirán los estándares o marcos de referencia:

- guías de referencia de Gobierno En Línea (GEL), - Arquitecturas IT(IT4+), ITIL





27

- Norma ISO/IEC 20000 como estándar específico para la Gestión de Servicios de TI, - COBIT 5 Marco de Negocio para el Gobierno y la Gestión de las TI, - Norma ISO/IEC 38500 - Gobierno TI sobre el uso eficaz, eficiente y aceptable de la

tecnología de la información (TI) - Norma ISO/IEC 27000 - Marco de Gestión de seguridad de la información.

8.5.2 Infraestructura

- Cableado estructurado - Servidor de dominio - Equipo de cómputo para backup y actualizaciones. - UPS - Dispositivos de almacenamiento de información - Mecanismos digitales de seguridad de la información - Controles de acceso

8.5.3 Conectividad La base de datos reposará en la sede principal en el servidor destinado para tal fin, y a esta se realiza la conexión a los centros de salud, llegando a ellos con conexión por medio de IP servidas por la red pública 3G o 4G. Se trabajará inicialmente por canales compartidos. Esto implica un mayor riesgo de seguridad de la información, pero favorece una rápida implementación.

8.5.4 Servicios de Operación

- Soporte de la plataforma tecnológica - Mantenimiento de equipos y redes - Copias de seguridad y soporte de históricos - Control de acceso

8.5.5 Procedimientos de gestión

▪ Gestión de incidentes ▪ Gestión de eventos ▪ Soporte técnico ▪ Gestión del cambio ▪ Gestión de copias de seguridad ▪ Actualización de redes y página web ▪ Seguridad de la información ▪ Control de acceso y control de cuentas





28

9. MODELO DE PLANEACIÓN

El modelo de planeación incluye los lineamientos que guían la definición del plan estratégico, la estructura de actividades estratégicas, el plan maestro, el presupuesto, el plan de intervención de sistemas de información, el plan de proyectos de servicios tecnológicos y el plan del proyecto de inversión.

9.1 Lineamientos del plan TIC El proceso de S.I permitirá ir desarrollando las acciones dentro de las vigencias de 2018 al 2020; estas actividades estarán dando cumplimiento a los indicadores propuestos a nivel departamental mostrando los respectivos avances dentro de cada uno de los indicadores propuestos del cual se realizara el informe o soporte de cumplimiento de actividades de manera trimestral. Las actividades a desarrollar en este periodo están sujetas a las necesidades que se planteen por medio de los líderes de cada uno de los procesos, el proceso de S.I buscara la forma de capturar el dato y realizar el desarrollo para la entrega de información a reportar y/o a revisar para el cumplimiento de metas; En cuanto a las actividades directas al proceso de S.I, este velara por la trasmisión de información a las plataformas creadas y/o desarrolladas por la gobernación suministrando la misma en los tiempos establecidos. El gasto estará definido dentro de la ejecución presupuestal anual, para esto se hará entrega de necesidades para ser proyectadas durante la vigencia con el fin de suplir las necesidades en las implementaciones que se presentan para el desarrollo de las acciones en cumplimiento con el plan estratégico definido. Para cada uno de los seis (6) dominios del Marco de Referencia de AE, se deben establecer los productos y entregables más significativos y las actividades, iniciativas o proyectos en las que se debe comprometer la institución pública para alcanzarlos.

9.2 Estructura de actividades estratégicas Aquí indicamos las acciones a emprender para cada uno de los seis ejes de AE requeridos. Contiene:

- Estrategia - Actividades o proyectos - Indicadores - Metas - Entregables





29

9.3 Presupuesto Debido a que recién se implementa la estrategia de TI dentro de la ESE, es decir, ya no se trazan las acciones en tal sentido como tácticas aisladas o actividades de soporte de otros planes, el presupuesto no está establecido. Se hará un exhaustivo ejercicio de presupuestación y se establecerán las partidas a emplear, para hacerlos parte de la planeación 2019. Cabe recordar que esta información es vital para verificar las disponibilidades.

9.4 Plan de comunicaciones PETI Como estrategia de comunicación y divulgación del Plan estratégico de tecnologías de la Información y comunicaciones se realiza la divulgación por medio de la página institucional y medios de comunicación para ser conocido a los colaboradores y usuarios. También se dará acceso a un blog tipo aula virtual, con el cual se generarán tutoriales en video, PQRS y magazine de actualidad en TI. Esta es la estructura del plan de comunicaciones:





30

revisarán los avances obtenidos y se desarrollará la estrategia a seguir.





31

10. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La ESE HOSPITAL DE PEDRAZA, con el propósito de salvaguardar la información de la entidad en todos sus aspectos, garantizar la seguridad de los datos y el cumplimiento de las normas legales, ha establecido el presente Plan de Seguridad y Privacidad de la información para prevenir pérdidas, accesos y copias no autorizados de la misma, igualmente promueve una estrategia de seguridad de la información física y digital. Para ello se dispondrán los recursos necesarios para el adecuado manejo de la información y la creación de una cultura alrededor del mismo tanto entre los funcionarios de la institución como otras partes interesadas.

10.1 Implementación De La Política La seguridad de la información se entiende como la preservación de las siguientes características: a) Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma. b) Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. c) Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran. a) Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. b) Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una operación para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original. c) No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió. d) Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto el Organismo.





32

11. DESCRIPCIÓN DEL PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

La ESE en todas sus áreas y procesos cuenta con información, reservada, relevante, privilegiada e importante, es decir que esta información es insumo primordial de la entidad para la prestación del servicio, la gestión administrativa y el cumplimiento de las políticas estatales de transparencia, servicio al ciudadano y eficiencia, por lo que se hace necesario y se debe proteger conforme a los criterios y principios de los sistemas de información, como son integridad, disponibilidad y confidencialidad de la información.

11.1 Eje 1: Gestión De Activos

ACTIVIDAD Identificación, clasificación y control de activos de información

DESCRIPCIÓN Se realizará la supervisión de cada proceso, el cual debe aprobar el inventario de los activos de información que procesa y produce la entidad, y deben establecer la clasificación, valoración, ubicación y acceso de la información, correspondiendo a Gestión de TIC y a Gestión Documental brindar herramientas que permitan la administración del inventario por cada área, y el responsable de TI tiene la responsabilidad de mantener además el inventario completo y actualizado de los recursos de hardware y software de la entidad.

PREMISAS a) Los usuarios deben acatar los lineamientos guía de clasificación de la Información para el acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación de la información contenida en los recursos tecnológicos, así como de la información física de la entidad. b) La información física y digital de la ESE debe tener un periodo de almacenamiento que puede ser dictaminado por requerimientos legales o misionales; este período debe ser indicado en las tablas de retención documental y cuando se cumpla el periodo de conservación, se le debe dar el tratamiento de acuerdo con la disposición final definida por la entidad. c) Los usuarios deben tener en cuenta estas consideraciones cuando impriman, copien o reproduzcan la información: verificar las áreas adyacentes a impresoras, escáneres, fotocopiadoras y computadores para asegurarse que no quedaron documentos relacionados o adicionales; asimismo, recoger y colocar en su lugar todo documento original empleado. d) Verificar la no presencia de “documentos sueltos” al ausentarse el funcionario de su puesto de trabajo. e) La información que se encuentra en documentos físicos debe ser protegida, a través de controles de acceso físico y las condiciones adecuadas de almacenamiento y resguardo.

11.2 Eje 2: Control De Acceso

ACTIVIDAD Acceso a redes y recursos de red





33

DESCRIPCIÓN El responsable de Ti de la ESE, como guardián de las redes de datos y los recursos de red de la entidad, debe propender porque dichas redes sean debidamente protegidas contra accesos no autorizados a través de mecanismos de control de acceso lógico.

PREMISAS a) El proceso Gestión de TIC debe asegurar que las redes inalámbricas de la cuenten con métodos de autenticación que evite accesos no autorizados. b) El proceso Gestión de TIC debe establecer controles para la identificación y autenticación de los usuarios provistos por terceras partes en las redes o recursos de red de la ESE, así como velar por la aceptación de las responsabilidades de dichos terceros. Además, se debe formalizar la aceptación de las Políticas de Seguridad de la Información por parte de estos. c) Los funcionarios y contratistas, deben contar con el formato de creación de cuentas de usuario debidamente autorizado y el acuerdo de Confidencialidad firmado previamente. d) Los equipos de cómputo de usuario final que se conecten o deseen conectarse a las redes de la ESE deben cumplir con todos los requisitos o controles para autenticarse en ellas y únicamente podrán realizar las tareas para las que fueron autorizados.

ACTIVIDAD Administración de acceso de usuarios

DESCRIPCIÓN La ESE establecerá privilegios para el control de acceso lógico de cada usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los sistemas de información de la Entidad. Así mismo, velará porque los funcionarios y contratistas tengan acceso únicamente a la información necesaria para el desarrollo de sus labores

PREMISAS El proceso Gestión de TI, debe definir lineamientos para la configuración de contraseñas que aplicarán sobre la plataforma tecnológica, los servicios de red y los sistemas de información de ESE. b) El proceso Gestión de TI debe establecer un protocolo que asegure la eliminación, reasignación o bloqueo de los privilegios de acceso otorgados sobre los recursos tecnológicos, los servicios de red y los sistemas de información de manera oportuna, cuando los funcionarios se desvinculan, toman licencias, vacaciones, son trasladados o cambian de cargo. c) Es responsabilidad de los propietarios de los activos de información, definir los perfiles de usuario y autorizar, conjuntamente con el responsable de TI, las solicitudes de acceso a dichos recursos de acuerdo con los perfiles establecidos. d) El proceso Gestión de TI debe asegurarse que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos y archivos que se encuentren en los ambientes de producción.

ACTIVIDAD Seguridad física

DESCRIPCIÓN La ESE provee la implantación y vela por la efectividad de los mecanismos de seguridad física que aseguren sus instalaciones. Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se considera áreas de acceso restringido (donde se encuentra los servidores, racks y el cuarto de comunicaciones)

PREMISAS a)Las solicitudes de acceso al área donde se encuentra el servidor o los centros de cableado deben ser aprobadas por el responsable de TI, y ser acompañados por el mismo. b) El proceso Gestión de TIC debe asegurar que las labores de mantenimiento de





34

redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y apropiadamente autorizado e identificado. e) No se permiten ingresos de funcionarios a estas áreas fuera del horario de oficina. f) Los contratistas ocasionales que realicen trabajos en las instalaciones de la ESE, deben utilizar prendas distintivas que faciliten su identificación.

ACTIVIDAD Seguridad para los equipos

DESCRIPCIÓN La ESE para evitar la pérdida, robo o exposición al peligro de los recursos de la plataforma tecnológica de la entidad, proveerá los recursos que garanticen la mitigación de riesgos sobre dicha plataforma tecnológica.

PREMISAS El proceso Gestión de TI debe: - Proveer los mecanismos y estrategias necesarios para proteger la confidencialidad, integridad y disponibilidad de los recursos tecnológicos, dentro y fuera de las instalaciones de la ESE. - Realizar soportes técnicos y velar que se efectúen los mantenimientos preventivos y correctivos de los recursos de la plataforma tecnológica de la entidad. - Generar estándares de configuración segura para los equipos de cómputo de los funcionarios de la entidad y configurar dichos equipos, acogiendo los estándares generados. - Generar manejos seguros para los equipos dados de baja o reasignados. - Velar por el control de entrada y salida de equipos tecnológicos que manejen información sensible o controles de acceso a las redes internas. Cuando se presente una falla o problema de hardware o software u otro recurso tecnológico propiedad de la ESE, el usuario responsable debe informar al responsable TI, con el fin de realizar una asistencia adecuada. El usuario no debe intentar solucionar el problema. En caso de pérdida o robo de un equipo de cómputo, se debe informar de forma inmediata al líder del proceso para que se inicie el trámite interno y se debe poner la denuncia ante la autoridad competente.

ACTIVIDAD Uso discrecional del internet

DESCRIPCIÓN La ESE consciente de la importancia del servicio de Internet como una herramienta para el desempeño de labores, proporcionará los recursos necesarios para asegurar su disponibilidad a los usuarios que así lo requieran para el desarrollo de sus actividades diarias en la entidad. El proceso Gestión de TI debe proporcionar los recursos necesarios para la implementación, administración y mantenimiento requeridos para la prestación segura del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos.

PREMISAS El proceso de Gestión TI debe: - Diseñar e implementar mecanismos que permitan la continuidad o restablecimiento del servicio de Internet en caso de contingencia interna. - Monitorear continuamente el canal o canales del servicio de Internet. - Establecer e implementar controles para evitar la descarga de software no autorizado, evitar código malicioso proveniente de Internet y evitar el acceso a sitios restringidos. - Generar registros de la navegación y los accesos de los usuarios a Internet, así como establecer e implantar el monitoreo sobre la utilización del servicio de Internet. Los usuarios del servicio de Internet de la ESE deben: - Hacer uso de la web sólo en relación con las actividades laborales que así lo





35

requieran. - Evitar la descarga de software desde internet, así como su instalación en las estaciones de trabajo o dispositivos móviles asignados para el desempeño de sus labores. - Evitar el acceso a páginas relacionadas con pornografía, drogas, alcohol, webproxys, hacking, servicios interactivos o mensajería instantánea (Facebook, etc.) y/o cualquier otra página que vaya en contra de la ética moral, las leyes vigentes o políticas establecidas en este documento. Así mismo se prohíbe la descarga, uso, intercambio y/o instalación de juegos, música, películas, y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnológica (hacking), entre otros.

11.3 Eje 3: Continuidad, Contingencia Y Recuperación De La Información

ACTIVIDAD Continuidad, Contingencia Y Recuperación De La Información

DESCRIPCIÓN La ESE con el propósito de garantizar la disponibilidad de la información y mantener los servicios de salud operativos, trabaja sobre un eje para proveer el funcionamiento correcto y seguro de la información y medios de comunicación, proporcionará los recursos suficientes para facilitar una respuesta efectiva a los funcionarios y para los procesos en caso de contingencia o eventos catastróficos que se presenten en la entidad y que afecten la continuidad de su operación y servicio.

PREMISAS Toda información que pertenezca a la matriz de activos de información institucional o que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por copias de seguridad tomadas de acuerdo con los procedimientos documentados para ello. Dicho procedimiento debe incluir las actividades de almacenamiento de las copias en sitios seguros. El proceso Gestión de TIC debe proveer las herramientas para que: -Los registros de copias de seguridad deben ser guardados en una base de datos creada para tal fin. -Las dependencias puedan administra la información y registros de copias de seguridad. --El profesional especializado con funciones de Control Interno debe efectuar auditorías aleatorias que permitan determinar el correcto funcionamiento de los procesos de copia de seguridad. -El Comité de Emergencias, debe reconocer las situaciones que serán identificadas como emergencia o desastre para la entidad, los procesos o las áreas y determinar cómo se debe actuar sobre las mismas., en especial para temas relacionados con la continuidad del entidad y la recuperación ante desastres -El responsable de TI debe: - Realizar los análisis de impacto a la entidad y los análisis de riesgos de continuidad - Proponer posibles estrategias de recuperación en caso de activarse el plan de contingencia o continuidad, con las consideraciones de seguridad de la información a que haya lugar. - Validar que los procedimientos de contingencia, recuperación y retorno a la normalidad incluyan consideraciones de seguridad de la información





36

11.4 Eje 4: Tratamiento Y Protección De Datos Personales

ACTIVIDAD Salvaguarda de datos personales de usuarios

DESCRIPCIÓN En cumplimiento de la de Ley 1581 de 2012 y reglamentada parcialmente por el Decreto Nacional 1377 de 2013, por la cual se dictan disposiciones para la protección de datos personales, la ESE propende por la protección de los datos personales de sus beneficiarios, proveedores y demás terceros de los cuales reciba y administre información. Se establece los términos, condiciones y finalidades para las cuales la ESE, como responsable de los datos personales obtenidos a través de sus distintos canales de atención, tratará la información de todas las personas que en algún momento, por razones de la actividad que desarrolla la entidad, hayan suministrado datos personales. Así mismo, busca proteger la privacidad de la información personal de sus funcionarios, estableciendo los controles necesarios para preservar aquella información de la entidad conozca y almacene de ellos, velando porque dicha información sea utilizada únicamente para funciones propias de la entidad.

PREMISAS Las Unidades de Gestión que procesan datos personales de beneficiarios, funcionarios, proveedores u otras terceras partes deben: - Obtener la autorización para el tratamiento de estos datos con el fin de recolectar, transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir dichos datos personales en el desarrollo de las actividades de la entidad. - Asegurar que solo aquellas personas que tengan una necesidad laboral legítima puedan tener acceso a dichos datos. - Acoger las directrices técnicas y procedimientos establecidos para el intercambio de estos datos con los terceros delegados, para enviar a los beneficiarios, proveedores u otros terceros mensajes, a través de correo electrónico y/o mensajes de texto. El proceso Gestión de TI debe implantar los controles necesarios para proteger la información personal de los beneficiarios, funcionarios, proveedores u otras terceras partes almacenadas en bases de datos o cualquier otro repositorio. Los usuarios y funcionarios deben guardar la discreción correspondiente, o la reserva absoluta con respecto a la información de la entidad o de sus funcionarios de cual tengan conocimiento en el ejercicio de sus funciones.

ACTIVIDAD Salvaguarda de la información consignada en historias clínicas

DESCRIPCIÓN La resolución 1995 de 1999 por la cual se dictan normas para el manejo de historias clínicas conforme a los parámetros del Ministerio de Salud y del Archivo General de la Nación en lo concerniente a los aspectos archivísticos contemplados en la Ley 80 de 1989

PREMISAS a) Todos los prestadores de servicios de salud, deben tener un archivo único de historias clínicas en las etapas de archivo de gestión, central e histórico, el cual será organizado y prestará los servicios pertinentes guardando los principios generales establecidos en el Acuerdo 07 de 1994, referente al Reglamento General de Archivos. b) La custodia de la historia clínica estará a cargo del prestador de servicios de salud que la generó en el curso de la atención, cumpliendo los procedimientos de archivo señalados en la presente resolución, sin perjuicio de los señalados en otras normas legales vigentes. c) El prestador podrá entregar copia de la historia clínica al usuario o a su representante legal cuando este lo solicite, para los efectos previstos en las disposiciones legales vigentes. d) Los programas automatizados que se diseñen y utilicen para el manejo de las Historias Clínicas, así como sus equipos y soportes documentales, deben estar provistos de mecanismos de seguridad, que imposibiliten la incorporación de





37

modificaciones a la Historia Clínica una vez se registren y guarden los datos. En todo caso debe protegerse la reserva de la historia clínica mediante mecanismos que impidan el acceso de personal no autorizado para conocerla y adoptar las medidas tendientes a evitar la destrucción de los registros en forma accidental o provocada. Los prestadores de servicios de salud deben permitir la identificación del personal responsable de los datos consignados, mediante códigos, indicadores u otros medios que reemplacen la firma y sello de las historias en medios físicos, de forma que se establezca con exactitud quien realizó los registros, la hora y fecha del registro.





38

12. PLAN DE GESTIÓN DEL RIESGO EN SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

12.1 Aspectos para tener en cuenta Tipos de riesgo 1. Riesgo Estratégico: se enfoca a asuntos globales relacionados con el objeto misional, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. 2. Riesgos de Imagen: relacionados con la percepción y la confianza ciudadana hacia la institución. 3. Riesgos Operativos: provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias. 4. Riesgos Financieros: la ejecución presupuestal, pagos, y el manejo sobre los bienes. 5. Riesgos de Cumplimiento: capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad, de acuerdo con su misión. 6. Riesgos de Tecnología: capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Situaciones no deseadas

❖ Hurto, daños o pérdida de información o de equipos informáticos. ❖ Materializan de las situaciones de emergencia previstas o no previstas en el PHE ❖ Alteración de claves y de información. ❖ Baja cobertura de internet o mala calidad del servicio ❖ Atrasos en la entrega de información ❖ Atrasos en asistencia técnica ❖ Manipulación indebida de información

Origen del plan de gestión Debido a que la ESE no tiene un área de sistemas conformada y se evidenció que no existen procesos asignados a dicha área entre otras vulnerabilidades que se encontraron en el sistema actual, es necesario crear un plan de gestión de riesgos de seguridad de la información que permita proteger el activo más valioso para la entidad; la información. La situación actual del sistema de seguridad de la información en la entidad se encuentra planteado en el Diagnostico de seguridad y privacidad de la Información con fecha de mayo de 2018.

12.2 Análisis de vulnerabilidad





39

Aunque la protección de la información digital se ve amenazada frecuentemente por errores cometidos por los usuarios, en la ESE se encontraron otras amenazas e impactos como los siguientes: La red de internet implementada no es la más adecuada teniendo en cuenta que la mayor parte de la ESE tiene conexión WiFi y la señal se torna débil o no llega a algunas oficinas. El internet lento y la perdida de señal afecta de forma directa los tiempos de producción laboral y desempeño de las funciones. Los puntos de red ubicados en cada oficina no son suficientes Faltan conexiones eléctricas para los equipos de cómputo, generando que por algún roce que desconecte los equipos se pierda la información Faltan UPS para los equipos Las políticas y normas de seguridad de la información no existen, por eso es muy común identificar el incumplimiento a las reglas básicas del cuidado tanto de equipos como de la información: • Bebidas y alimentos cerca a los equipos de cómputo • Papeles reutilizables con información importante, identificándose la falta de confidencialidad y privacidad Faltan terminales para los consultorios y laboratorio No existen cuentas de usuario y claves para el acceso de los recursos informáticos, en equipos compartidos La información es llevada en memorias o discos duros portátiles personales, por ende la información sale de la entidad. No hay control par el uso de memorias USB o portátiles No hay un programa antivirus general en la ESE Se identificó un completo desconocimiento del tema de seguridad y privacidad de la información en la ESE No existe un Firewall para la red inalámbrica El sistema ofimático Microsoft Office que se utiliza en la ESE no cuenta con licencia de funcionamiento, incumpliendo la Ley 603 de 2000 No existe un área de sistemas con personal encargado de revisar, documentar, diseñar y controlar los procesos propios de un modelo de seguridad de la información para la ESE.

Los documentos físicos que se manejan en la entidad no se han digitalizado por lo tanto están expuestos a perdidas y daños físicos por almacenamiento inadecuado No existen procesos de copias de seguridad establecidos No existe un plan de continuidad de negocio tras eventos de emergencia que permita reanudar las operaciones normales durante o después de interrupciones significativas a las operaciones El servicio eléctrico es deficiente en el municipio, y las plantas eléctricas de soporte sólo son empleadas para restablecer la parte asistencial

Análisis de vulnerabilidad





40





41

13. PLAN MAESTRO DE GESTIÓN EN SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

ACTIVIDAD FECHA

ENTREGA VERIFICACIÓN

Selección de un responsable de TI 2018 Resolución de asignación

Identificación de generadores de información por proceso 2018

Informe de uso de TI por cada proceso

Identificación de necesidades de seguridad para la información 2018

Informe de uso de TI por cada proceso

Adopción de la política de seguridad y privacidad de la información 2018 Política firmada y socializada

Desarrollo de los procedimientos para manejo seguro de la información en la ESE 2018 Procedimientos creados

Desarrollo del mapa de control de acceso 2018 Pruebas de acceso Conectar la planta eléctrica aun switch de encendido automático y a la red de equipos 2019 Inspección

Adquirir UPS para equipos críticos 2019 UPS adquiridas y en funcionamiento

Duplicar puntos de red por cableado UTP en el hospital 2019 Verificación de puntos de red

Desarrollo de una intranet y conexión de todos los equipos de la Ese en red 2019 Prueba de la intranet

Asignación de permisos y accesos 2019 Base de datos de permisos

Socializar procedimientos de seguridad y privacidad en TI 2019 Evidencia de socializaciones

Montaje de un firewall 2019 Prueba

Adquisición de licencias de software para los equipos 2019 Cédulas de licencia

Adquisición y montaje de software antivirus 2018 Prueba

Desarrollo de un procedimiento de copias periódicas de seguridad de la información 2019 Procedimiento





42

14. RESPONSABLE, SEGUIMIENTO Y MONITOREO Responsable La gerencia de la ESE designará un responsable para el manejo de TI, el cual pueda administrar los recursos de red, los equipos de cómputo, el control de acceso y la interacción de bases de datos e información. El responsable del sistema puede ser parte de los funcionarios de la ESE o un contratista externo. Es su responsabilidad la implementación, aplicación, seguimiento y autorizaciones de la política del Plan de Seguridad y Privacidad de la información en las diferentes áreas y procesos de la entidad, además garantiza el apoyo y el uso de la Política de Seguridad de la Información como parte de su herramienta de gestión, la cual debe ser aplicada de forma obligatoria por todos los funcionarios para el cumplimiento de los objetivos La gerencia de la institución apoyará el presente plan asignando los recursos necesarios y verificando que se cumplan las actividades y los plazos, así como la evaluación de los informes de gestión y la coordinación estratégica del área. Seguimiento

- Comités de TI semestrales - Informes de avance - Recolección de evidencias - Diagnóstico anual de TI y seguridad de la información

Indicador Aplicaremos un indicador de cumplimiento para todo el plan durante el año inicial (2018), posteriormente se establecerán indicadores específicos. Número de actividades ejecutadas X = ______________________________ x 100% Número de actividades programadas Meta por cumplir: 85% mínimo.


plan maestro de tecnologÍa, seguridad y privacidad de … · el peti tiene como propósito la...

Documents