TRABAJO COLABORATIVO I

RIESGO Y CONTROL INFORMTICO

PRESENTADO POR:
ANDRES MAURICIO GOMEZ
CODIGO: 80204254

GRUPO: 15

PRESENTADO A:
SIERRA RODRIGUEZ MANUEL ANTONIO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESPECIALIZACIN EN SEGURIDAD INFORMTICA
BOGOT
2015

TABLA DE CONTENIDO
INTRODUCCION.....................................................................................................................................3
OBJETIVOS..............................................................................................................................................4
GENERAL.............................................................................................................................................4
EXPECFICOS......................................................................................................................................4
DESARROLLO TRABAJO......................................................................................................................5
1. ANLISIS DE LA ORGANIZACIN..........................................................................................5

INTRODUCCION
Para realizar el trabajo colaborativo 1, se cuenta con la colaboracin del Hospital Centro
Oriente II Nivel, que nos permite analizar las vulnerabilidades y riesgos informticos de sus
sistemas informticos, siguiendo los lineamientos del director del curso.
Esto nos permitir verificar la eficacia de las polticas y normas de seguridad implementadas
en el Hospital la cual tiene una historia desde el 2000 y ha crecido en forma en sus
programas acadmicos y cada vez han implementado nuevos procesos para ponerse a la
vanguardia tecnolgica, en la ejecucin de stos procesos no se puede dejar a un lado la
seguridad, con el anlisis y estudio permitir verificar estos niveles de seguridad.

OBJETIVOS

GENERAL
Realizar una evaluacin general de seguridad informtica dentro del Hospital Centro Oriente
II Nivel, identificando, vulnerabilidades y posibles ataques dentro de los servicios ofrecidos
por la entidad.

ESPECFICOS
1. Mejorar las prcticas de manejo de los recursos tecnolgicos de manera que permita
sensibilizar, no slo al personal del rea de sistemas, sino a toda la organizacin en cuanto a
la necesidad de contar con mecanismos y estrategias que apoyen el aseguramiento la
informacin.
2.
Detectar vulnerabilidades, riesgos y amenazas presentes en los sistemas de
informacin presentes en el Hospital Centro Oriente II Nivel.

DESARROLLO TRABAJO
1. ANLISIS DE LA ORGANIZACIN.
PRESENTACIN:
El Hospital Centro Oriente es un hospital de segundo nivel de complejidad y como tal en su
objeto misional cuenta con un servicio de ciruga general y ortopdica 24 horas del da, los
365 das del ao cumpliendo con la normatividad legal vigente en lo que hace referencia en
la oportunidad, accesibilidad, seguridad y complementariedad que demande la poblacin de
la localidad de Santa Fe, Mrtires y Candelaria para lo cual es pertinente contar con la
Unidad Transfusional propia y a disposicin durante las 24 horas.
Misin
Somos una empresa social del estado prestadora de servicios de salud de primer y segundo
nivel de complejidad, integrante de la red Hospitalaria Centro Oriente Del Distrito Capital,
reconocida por sus servicios humanizados e integrales que aportan a la solucin de las
necesidades de la poblacin asignada y contribuyen al mejoramiento de los determinantes
sociales en salud, apoyada en un recurso humano idneo y comprometido en lo social,
procesos y tecnologa de punta que viene generando legitimidad y corresponsabilidad en
nuestros usuarios tanto internos como externos.
Visin
En el 2016 El Hospital Centro Oriente ser reconocido por su alto grado de compromiso
social en la prestacin de servicios de salud, generador de respuestas integrales a las
necesidades sociales y experiencia en el abordaje amigable y diferencial de las poblaciones
especiales del distrito capital, generador de conocimiento e investigacin con niveles
superiores de calidad y respetuoso del medio ambiente
ORGANIGRAMA

HISTORIA
El Hospital Centro Oriente II Nivel - Empresa Social del Estado, nace jurdicamente el da 6
de octubre, a raz de la fusin de los Hospitales Empresas Sociales del Estado Guavio II
Nivel, Samper Mendoza I Nivel, Perseverancia I Nivel y Unidad Bsica de Atencin la
Candelaria I Nivel, a travs del Acuerdo No. 11 del 11 de Julio de 2000, del Concejo de
Bogot. La imperiosa necesidad de reorganizar la prestacin de los servicios de salud dentro
del Distrito Capital, bajo unos principios bsicos de competencia leal, complementariedad,
eficiencia en el manejo y uso de recursos humanos, fsicos y financieros, dieron lugar al
proceso de fusin de los hospitales de Bogot. El fin ltimo de dicho ejercicio era el de
generar principios bsicos de viabilidad financiera y tcnica a las instituciones pblicas de
salud, dentro del marco de la prestacin de los servicios en el Sistema General de Seguridad
Social en Salud. La toma de decisin frente a la fusin de una parte de los Hospitales que
componan la red de Centro Oriente, estuvo argumentada por estudios tcnicos y
administrativos, sobre el comportamiento de la oferta y la demanda, el mercado de los
prestadores en la red, la productividad, produccin y rendimientos de cada una de las
instituciones fusionadas. El soporte brindado por la Secretara Distrital de Salud y el Servicio
Civil Distrital fueron el apalancamiento tcnico para la definicin final
PRINCIPIOS RECTORES
Legitimidad: Entendida como el ejercicio del poder que es percibido como ajustado y por
tanto obedecido sin necesidad de coaccin. En ese sentido se pretende que la existencia de
la ESE Centro Oriente se justifique no en funcin exclusivamente de su origen legal, si no en
funcin de la misin que desempea.
Humanizacin: Hace referencia a que la atencin de los usuarios debe realizarse en el
contexto de la tica y los valores, de este modo se pretende atender al paciente y suplir sus
necesidades a nivel fsico, emocional, intelectual y social.
Corresponsabilidad: Entendida como la responsabilidad compartida que deben tener
usuarios, comunidad y colaboradores en el cumplimiento de la misin que se ha propuesto la
ESE Centro Oriente.
PRINCIPIOS CORPORATIVOS
Participacin Social
Trasparencia
Empata Social
Comunicacin Sinrgica
Trabajo en Equipo
Autocontrol
VALORES CORPORATIVOS
Compromiso
Respeto
Tolerancia
Puntualidad
6

OBJETIVOS ESTRATEGICOS

Lograr la sostenibilidad financiera del hospital centro oriente

Implementar el sistema integrado de gestin de calidad

Garantizar la legitimidad del hospital a travs del cumplimiento de su objeto social y

el fortalecimiento de la participacin comunitaria

Implementar un proceso institucional de gestin del conocimiento y memoria

institucional

Generar respuestas en salud acordes a las necesidades sociales de la comunidad

POLTICAS INFORMTICAS
La Directiva del hospital Centro Oriente en el acuerdo 005 de 2005 define las Polticas
Generales de Tecnologas de Informacin y Comunicaciones aplicables a las entidades del
Distrito Capital, las cuales se resumen en:

Planeacin de Informtica
Estandarizacin
Seguridad y Control
Democratizacin de la Informacin
Marco Legal
Calidad
Racionalizacin del Gasto
Cultura Informtica y Seguridad de Sistemas

La Resolucin No. 029 del 4 de Febrero de 2008 del Hospital Centro Oriente E.S.E.
establece las polticas para el manejo y uso del software y hardware en el Hospital Centro
Oriente II Nivel E.S.E.
ALCANCE DEL SISTEMA DE INFORMACIN.
El Sistema de Informacin consolida y procesa la informacin relativa a los aspectos
administrativos y misionales, contratacin, provisin de empleos, planeacin, ejecucin
contractual, proyectos, anteproyectos de presupuesto, presupuestos consolidados,
presupuestos por resultados, planes de accin, indicadores de gestin y evaluacin del
cumplimiento de las metas. El contenido del sistema se ampliar de acuerdo con los
requerimientos presentados por la ciudadana y las necesidades detectadas por el rea de
Sistemas.

ESTRUCTURA ORGANIZACIONAL DE LA DEPENDENCIA DE SISTEMAS DEL

HOSPITAL CENTRO ORIENTE II NIVEL E.S.E.

SITUACION ACTUAL
DOTACIN DEL CENTRO DE CMPUTO
ITEM
1
1
1
1
2
1
1
2

DESCRIPCION
Aire Acondicionado
Rac de
Comunicaciones
Servidores en RACK
Servidor AIX PSeries
Servidor IBM, HP
ITANIUM
Piso Falso
Techo Falso
Switchs

APLICATIVOS Y SISTEMAS
Nombre
aplicativo
Hipcrates

Funcin
Sistema de Informacin administrativo
Institucional

RED DE COMUNICACIONES
Cantidad

Descripcin
11 Antenas de Comunicacin
11 Radios de Comunicacin ALVARION
1 Radio Base
8

Diagrama de Conectividad.

DESARROLLO, SOPORTE Y MANTENIMIENTO

NRO.

DESCRIPCION DE CONCEPTOS
1 No contamos con desarrollo de aplicaciones.
Contamos con tcnicos de soporte y
2 mantenimiento.

PRINCIPALES PROVEEDORES
Proveedor
Servirte

Servicio(s) que presta

Soporte y mantenimiento al sistema de informacin
institucional

ETB

Proveedor de Comunicaciones

Globaltek

Soporte del sistema de seguridad Perimetral

Soporte y Mantenimiento de la red del Hospital, antenas,
SDT Ingeniera cableado y UPS.

INFRAESTRUCTURA DE SEGURIDAD
NRO.

DESCRIPCION DE CONCEPTOS
1 Appliance Marca Astaro (manejo de la seguridad perimetral).
2 Antivirus Corporativo Trend Micro

PLANES DE CONTINGENCIA
PLANES DE CONTINGENCIA TICS
Se cuenta con plan de contingencia para restaurar el servidor en caso de
fallas con otro servidor y se cuenta con polticas de backup de
informacin semanales.

PLANES DE CONTINGENCIA - OPERATIVOS

Se est trabajando con las diferentes reas sobre la consolidacin y
documentacin del plan de contingencia.

A la fecha, el Hospital Centro Oriente II Nivel cuenta con los siguientes procesos para la
administracin de las Tecnologas de Informacin y Comunicaciones
Nro Descripcin del
activo
Administracin del Sistema Operativo de los servidores del
1 Hospital
2 Administracin del motor de la Base de datos del hospital
Instalacin de las bases de datos de los contratos que posee el
3 Hospital
4 Administracin de la seguridad Perimetral del Hospital
5 Administracin de recursos de red
6 Administracin y mantenimiento de los centros de cableado
7 Desarrollo e Instalacin de programas
8 Optimizacin del sistema operativo
9 Limpieza Fsica del Equipo
10 Instalacin de programas

10

Activo
Aplicacin
web
Aplicacin
web
Base de
datos
Concentra
dor VPN
Correo
Datacente
r
Equipos
cliente
Equipos
cliente
Equipos
porttiles

TIPO
Aplicacin
(Software)
Aplicacin
(Software)
Datos /
Informaci
n
Equipos
Informtic
os
Datos /
Informaci
n
Equipos
Informtic
os
Equipos
Informtic
os
Equipos
Informtic
os
Equipos
Informtic
os
Redes

Firewall
Herramien Aplicacin
ta
(Software)
atencin
clientes
externos
Equipos
Informtic
Mviles
os
Redes
Red
Redes
Red
Equipos
Informtic
Servidores os

VULNERABILIDAD
Versin de apache
desactualizada
Campos de aplicacin no
validados

AMENAZA
Ataque de denegacin de servicio
Ataques de Cross site scripting

Permisos no segregados

Modificacin de informacin
sensible

Desactualizacin de
OpenSSL

Acceso a porcin de memoria del

dispositivo

Servidor expuesto a internet

sin anti spam

Ataque de SPAM

Puerta sin control de acceso

Acceso no autorizado

Equipos si antivirus o con

firmas desactualizadas

Propagacin de infeccin en la red

Software de acceso remoto

en los equipos cliente

Ingreso no protegido ni autorizado

a la red corporativa

Equipos sin cifrado

Uso de protocolos de
conexin no seguros, no
restriccin de interfaces

Robo de informacin sensible

Aplicacin expuesta a
internet
Equipo sin clave
Red no segmentada
Autenticacin de un solo
factor
No se hace backup
regularmente de los
servidores crticos

11

Acceso y manipulacin de la
configuracin

Ataques SQL injection

Robo de informacin sensible
Acceso directo de estaciones
cliente a servidores sin restriccin
de puertos
Robo de identidad, acceso no
autorizado a la red corporativa
Perdida de informacin en caso de
dao de un servidor

CONCLUSIONES
Es imprescindible para todos los usuarios que utilizan herramientas informticas, tener
conocimientos sobre las amenazas actuales y las vulnerabilidades a los que podra
enfrentarse en el caso de que sufra algn ataque, ya sea, intencional, involuntario o a causa
de la naturaleza, siempre se debe estar preparado con un plan estratgico, en el caso de que
se produzca algn dao poderlo solucionar de forma adecuada, para que no hayan
repercusiones de ningn tipo y nuestra informacin permanezca ntegra, confiable y
disponible en el momento en el que se le necesite.

12