MODULO: Análisis de Riegos de la Información

Entrega: Matriz de Riesgos.

POYECTO GRUPAL

WILDER JEFRY GOMEZ

JEIMY PAOLA ARIZA

POLITECNICO GRAN COLOMBIANO

ESPECIALIZACION EN SEGURIDAD DE LA INFORMACION

MODALIDAD VIRTUAL

BOGOTA D.C.
2020
INTRODUCCIÓN

Para nadie es un secreto que la la seguridad de la información se ha convertido de

gran importancia para las entidades y con ella la preocupación por la seguridad e
la misma y los riesgos que se pueden presentar en todas las operaciones que
realizan Es importante entender que la seguridad va más allá de los controlse que
se piedan implementar para proteger los activos, ya que los controles que se
eimplementen deben ser selecionados por medio de un análisis realizado por cada
entidad de acuerdo a syu naturaleza y de acuerdo a las capacidades que la misma
tenga en lo referente a su adquisisón, implementación y administración. Por lo cual
es importante integrar los principios de seguridad de la información y el análisis de
riesgos.

Es por lo anterior que en el presente avance del proyecto grupal, queremos

resaltar los activos de información que para la Administradora de los Recursos del
Sistema General de Seguridad Social en Salud (ADRES) son de gran importancia
y los cuales juegan un papel muy importante en la operación de la entidad,
teniendo en cuenta ellos administran los recursos financieros y datos personales
de miles de colombianos, es por ello que para la ADRES la información es uno de
sus mayores activos y le dan toda la importancia que requiere.

Para la ADRES es de suma importancia que realizar un anális de riesgos donde

se identifique, implemente y se mantegan los controles necesarios para la
protección de la información, lo cual tambien va de la mano con la
sensibilización,formación y capacitación a los funcionarios en temas relacionados
con la seguridad de la información.

1. Descripción de la empresa con las principales evidencias de sus activos.

La ADRES es la Administradora de los Recursos del Sistema General de
Seguridad Social en Salud, es una entidad adscrita al Ministerio de Salud y
Protección Social, con personería jurídica, autonomía administrativa y financiera y
patrimonio independiente. La entidad es asimilada a una Empresa Industrial y
Comercial del Estado. La ADRES fue creada con el fin de garantizar el adecuado
flujo de los recursos y los respectivos controles.
Su operación empezó el 1 agosto del 2007 y como primera misión tenía dentro de
su plan de trabajo realizar los procesos de liquidación de los pagos periódicos que
se le hace a las EPS por el aseguramiento en salud de los colombianos
garantizando que no se afectaría el sistema de Salud. Fue un plan que se
ejecutara en forma exitosa
El objetivo de la –Adres–, es garantizar el correcto flujo de los recursos del
Sistema General de Seguridad Social en Salud –SGSSS– e implementar controles
Sus principales actividades son:
 Efectuar el reconocimiento y pago de las Unidades de Pago por Capitación
(UPC) y demás recursos del aseguramiento obligatorio en salud.
 Realizan los giros a los prestadores de servicios de salud y proveedores de
tecnologías en salud
 Adelantan
 Llevan a cabo, de manera directa, la compra de cartera reconocida de
Instituciones Prestadoras de Servicios de Salud con Empresas Promotoras
de Salud. las verificaciones para el reconocimiento y pago de prestaciones
sociales.
 Administrar la información propia de sus operaciones.
 Desarrollar los mecanismos para el fortalecimiento financiero de las
entidades.

MISIÒN
La ADRES tiene como propósito administrar las fuentes y el uso de los recursos
que financian el Sistema General de Seguridad Social en Salud en Colombia, bajo
los principios de eficiencia, transparencia y calidad, con el fin de asegurar el
adecuado flujo de recursos para la sostenibilidad del Sistema

VISIÒN
En 2035, la ADRES como administradora eficiente de los recursos del SGSSS, se
habrá posicionado como una entidad técnica, con amplias competencias en la
consolidación, análisis y uso de la información que sustenta la toma de decisiones
de política pública en el sector y aporta a la adecuada prestación de servicios de
salud a los habitantes del territorio colombiano, apalancándose en herramientas
tecnológicas y en su talento humano.

MEGA
Al 2023 la ADRES orientará su gestión hacia sus grupos de valor, y optimizará su
modelo de operación soportado en tecnologías de la información y
comunicaciones, impactando la eficiencia de la entidad y la sostenibilidad del
sistema.
Por todo lo anteriormente mencionada la ADRES es una empresa donde la
información es uno de sus principales activos, por lo tanto han adoptado una
posición de conciencia y compromiso frente al uso y limitaciones de los recursos,
sistemas y servicios informáticos críticos de la Entidad.
En la ADRES los principales partes interesadas son los afiliados a cada una de las
EPS
El propósito de la ADRES es y se enfoca en:
 Reconocimiento y pago a las EPS por el aseguramiento y demás
prestaciones que se reconocen a los afiliados al SGSSS, incluido el pago
de incapacidades por enfermedad de origen común que superen los 540
días continuos.
 Pago de las indemnizaciones por muerte o incapacidad permanente y
auxilio funerario a víctimas de eventos terroristas o eventos catastróficos,
así como los gastos derivados de la atención sicosocial de las víctimas del
conflicto.
 Fortalecimiento de la Red Nacional de Urgencias.

2. Análisis de brecha o diagnóstico sobre la gestión de riesgos

(preguntas claves para saber si la empresa cuenta o no con un
sistema de gestión de riesgos o una matriz de riesgos).

Al realizar un análisis de brecha el cual este enfocado a la seguridad de la

información, lo que permite es tener un diagnóstico de las prácticas de seguridad
de la información con las que cuenta la entidad en base a las mejores prácticas
para la misma.

DEFINICIÒN GAP

De manera genérica se utiliza la palabra de origen inglés “Gap”, que en español

hace referencia a una brecha, una apertura o un espacio vacío comprendido entre
dos puntos de referencia, para referirse a las diferencias que se presentan en un
momento determinado entre dos situaciones: una existente y otra ideal o
anhelada.

Es allí cuando aparece el Gap Análisis, una herramienta que permite

establecer una comparativa entre el estado y desempeño real de una
organización, estado o situación en un momento dado, respecto a uno o más
puntos de referencia seleccionados de orden local, regional, nacional y/o
internacional.

Al realizar un análisis Gap encontramos los siguientes beneficios:

 Identificar procesos con riesgos.

 Realizar una evaluación del estado real del proceso.
 Hacer mediciones de mejora con respecto a un momento anterior al inicio
del proceso de implementación del Sistema.
 Conocer las necesidades de la organización para obtener la certificación.
 Planificar un calendario y los costes del proceso.
 Establecer los puntos fuertes del sistema.

PREGUNTAS:

1. ¿La ADRES ha determinado documentos, procedimientos y demás y su alcance

de aplicabilidad dentro del sistema considerando que se aplique tanto
internamente como externamente?

2. ¿La Entidad ha definido partes sus partes interesadas para el sistema, sus
requerimientos relevantes y cuáles de ellos son clasificados para cumplimiento
obligatorio?

3. ¿En los últimos 6 meses la ADRES ha tenido caída de su operación por fallas
en la red o en sus servidores?

4. ¿La Entidad cuenta con la política de protección de datos personales?

5. ¿Al momento de hacer el cambio de sede en la ADRES todos los sistemas

operaban normalmente o por el contrario tuvieron algunas restricciones para
acceder a los sistemas y empezar la operación?

6. ¿En la ADRES han tenido perdida de información en los últimos 6 meses que
quizás haya afectado a las partes interesadas o a la misma operación?

7. ¿Cada cuanto la entidad realiza actualización de base de datos teniendo en

cuenta que cuenta con muchos afiliados y que en ocasiones algunos de ellos ya
son fallecidos?
8. ¿La ADRES tiene implementado algún control o política para realizar
intercambio de información con otras entidades?

9. ¿La Entidad ha establecido, documentado, implementado, mantenido y

mejorado continuamente su sistema de gestión de seguridad de información
según los requisitos de la norma ISO 27001?

10. ¿En la Entidad la política de seguridad de información está documentada y es

comunicada dentro de la empresa y a otras partes interesadas?

11. ¿Tiene la Entidad un proceso documentado para identificar los riesgos de

seguridad de la información, incluyendo los criterios de aceptación del riesgo y
criterios de evaluación de los mismos?

12. ¿En la ADRES se han identificado como las partes internas y externas pueden
suponer amenazas o riesgos para la seguridad de la Información?

13. ¿En la Entidad se identifican y analizan los riesgos mediante un método de

evaluación y aceptación de riesgos que permita a la entidad realizar el respectivo
análisis?

14. ¿La entidad aplica controles de Sistema de Gestión de análisis de riegos para
de esta forma poder minimizar el impacto negativo?

15. ¿Existe en la entidad documentación o procedimientos de análisis y evaluación

de riesgos para la seguridad de la información?

16. ¿La entidad ha definido las responsabilidades y roles sobre la seguridad de la

información en las diferentes dependencias de la entidad?

3. Clasificación de activos de información (mínimo 5).

Para el análisis de Vulnerabilidades de los activos de información, se consideró la

clasificación de criticidad es la es Common Vulnerability Score System (CVSS), Un
elemento que aborda esta problemática y que ha sido adoptado por una cantidad
importante de organizaciones y compañías enfocadas en seguridad.

Se trata de un sistema de puntaje diseñado para proveer un método abierto y

estándar que permite estimar el impacto derivado de vulnerabilidades identificadas
en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que
pueden representar dichas vulnerabilidades.

CVSS se encuentra bajo la custodia de Forum of Incident Response and Security

Teams (FIRST), pero se trata de un estándar completamente abierto, por lo que
puede ser utilizado libremente.
Al entender qué es CVSS, para determinar el impacto que representa una
vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera
baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y
3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto
cuando el puntaje cae dentro del rango 7.0 y 10.0.

El desarrollo de los puntos 3,4 y 5 se encuentran desarrollados en matriz de Excel

que se encuentra adjunta a esta entrega.