Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO DE GRADO
TRABAJO DE GRADO
Asesor:
GIOVANNI ANDRES PIEDRAHITA SOLORZANO
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
tecnológico que son el insumo importante para la preparación y puesta en marcha del
mismo.
A demás todas las empresas son susceptibles de mejora de algunos de sus procesos
de la información.
información de la Empresa Social del Estado Hospital San Antonio de puente nacional,
AGRADECIMIENTOS .......................................................................................................... 6
1. RESUMEN EJECUTIVO................................................................................................... 7
2. JUSTIFICACIÓN ............................................................................................................... 9
3. MARCO TEÓRICO Y REFERENTES ........................................................................... 10
4. METODOLOGÍA............................................................................................................. 13
5. RESULTADOS Y DISCUSIÓN ...................................................................................... 15
6. CONCLUSIONES ............................................................................................................ 17
7. BIBLIOGRAFÍA .............................................................................................................. 18
8. ANEXOS .......................................................................................................................... 19
AGRADECIMIENTOS
orientado para poder obtener un logro importante en mi vida diaria y mi vida profesional.
Seguridad De La Información del Politécnico Gran colombiano por querer compartir sus
conocimientos con nosotros. También agradecer a los compañeros Ing. German Alberto
Cruz, a mi querida Ing. Nancy Milena Ariza por haber compartido momentos gratos de
trabajo que hicieron posible que lográramos obtener este logro importante en nuestras vidas
ser Especialistas.
(Leonel)
alcanzar este nuevo logro en mi carrera como profesional, a mí mami y a mi Hija por su
amor y apoyo incondicional, a mis compañeros el Ingeniero Germán Alberto Cruz y Leonel
Parra Nieves por compartir sus experiencias en este proceso de formación, a mis profesores
calidad a mi conocimiento.
(Nancy)
(Germán)
1. RESUMEN EJECUTIVO
información Para El Hospital San Antonio De Puente Nacional Santander con el propósito
servicio, y se determina:
Contabilidad: Esta área dará alcance a los siguientes procesos: nómina, contratación
Estadística: Este proceso dará alcance al registro de historias clínicas del pacientes es
Gerencia: Este proceso dará alcance a rendición de informes a los órganos de control y
realizó un informe con el estado actual de las políticas que tenía la empresa y de cómo es la
el estado actual se crea el documento con las Políticas de seguridad de la información que
De acuerdo al desarrollo del proyecto la empresa social de estado hospital San Antonio
prevenir incidentes que puedan causar daños a los activos y procesos que manejan la
empresa social de estado hospital San Antonio de Puente Nacional, se deben hacer
Ante la falta de políticas que permitan asegurar los activos de información del
información que estén de acuerdo con los lineamientos del Gobierno en línea (GEL 3.1)
para estructurar una conducta regulatoria que conlleve a asegurar en los activos de
información del hospital; con el diseño de las políticas se pretende cubrir un 90% de las
áreas que tiene alta gobernabilidad el hospital donde el activo de información es crucial
para la continuidad de los procesos como son las áreas de Facturación, SIAU, contabilidad,
gobierno en líneadefine las politícas de seguridad como una forma de proteger los activos
externos, Michael E Whitman, identifica 12 categorias que son: Actos resultado de errores
extorsión, sabotaje, robo, ataques por medio de software, desastres naturales, desviación de
obsoletas. [3] Estas amenazas son genericas para la mayoría de empresas, entre ellas se
ser una empresa del estado debe estar conforme a las estrategias del gobierno en línea las
cuales se basan en la norma técnica colombiana NTC ISO/IEC 27001 [4] sin embargo, el
hospital, al estar dedicado al sector de salud aplica al estándar ISO/IEC 27799 el cual
[5]
relacionado con la protección de los activos de información que soportan los procesos de la
entidad [6], tiene la opción de ser formalizada en un documento que involucre el contexto,
objetivos, alcance definición de políticas y responsabilidades, cumplimiento, mecanismos
Identificación, planeación, diseño y socialización que cumpla con el objetivo general del
proyecto y teniendo en cuenta el marco de referencia la norma ISO/IEC 27001 del gobierno
el línea.
donde se definen los entregables como productos para el desarrollo del proyecto; que cubra
el alcance general como son las áreas de: Facturación, SIAU, contabilidad, Estadística y
del análisis de las vulnerabilidades, amenazas, que afectan la información de las áreas de:
personal encargado de cada una de las áreas y los permisos que tienen para gestionar la
información; los procesos que serán involucrados en cada área y además del conocimiento
bosquejo de las políticas de seguridad a las amenazas de alto nivel identificadas que nos
cumplimiento y responsables.
y la Comunicación, que está conforme a la norma técnica colombiana NTC ISO /IEC
27001:2013.
8
7
6
5
4
Activos
3
2
1
0
SIAU Facturación Contabilidad Gerencia Estadistica
Fuente: propia
Con este insumo se procede a identificar las vulnerabilidades y amenazas
encontradas1 en la áreas, dicho insumo esta anexo en el presente trabajo.
1
Basado en lista de amenazas del documento Magerit v3 Libro 2 Catalogo de Elementos
Capítulo 5, Pag 25, disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pa
e_Magerit.html
6. CONCLUSIONES
Se realizó un análisis del estado actual de la empresa Social Del Estado Hospital
información con su descripción, los actores involucrados en las áreas de: Facturación,
5482_Controles.pdf
[3] Michael E. Withman (2003, Ago.) Enemy at the gate: Threats to information security.
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.197.1883&rep=rep1&type=pdf
5482_Modelo_Seguridad.pdf
http://www.mintic.gov.co/gestionti/615/articles-5482_Implementacion_politicas.pdf
[7] Michael McNikle, “Five Security vulnerabilities could mean trouble”. Healtcare IT
attachments/697.pdf
8. ANEXOS
ayuden a mitigar los riesgos a que se expone el hospital. A continuación relacionaremos los
ACTIVOS DE LA EMPRESA
ElHospital Integrado San Antonio maneja una gran cantidad de activos importantes que
hacen el buencumplimiento de sus funciones. Para este caso identificaremos los activos de
las áreas como:Facturación, SIAU, contabilidad, Estadística y Gerencia.
Servicios: Hace referencia a los servicios que el Hospital ofrece y para este caso nos
ubicaremos sobres las áreas de: Facturación, SIAU, contabilidad, Estadística y
Gerencia.
9. DESCRIPCIÓN DE LOS ACTIVOS DE LAS ÁREAS HOSPITAL:
AREA ACTORES
3 Funcionarios.
Control Interno.
FACTURACION
Pacientes.
EPS
Médicos
Jefes de Enfermería.
Contador.
CONTABILIDAD
Auxiliar Contable.
Pacientes.
Proveedores.
Gerente
Subgerente.
Funcionario de planta
ESTADISTICA:
Médicos.
Subgerente
Gerente
Clientes Externos
Proveedores
GERENCIA Personal Administrativo y funcionarios
EPS.
Amenazas: La amenazas que los activos se exponen se relacionan una vez se hallan
detectado los activos realmente importantes y relevantes para el desarrollo delproyecto.
Vulnerabilidades: Una vulnerabilidad se define en este método de Gestión del Riesgo,
como un estado de debilidad oincapacidad para resistir un fenómeno amenazante y que al
ser explotado afecta el estado de losactivos del proyecto, dicho en otras palabras es la
potencialidad o 'cercanía' previsible de lamaterialización de la Amenaza en Agresión.
3. Ausencia o desconocimiento de
políticas de seguridad en la
3. Confidencialidad y seguridad de los información.
documentos.
AREA DESCRIPCION
La empresa social del estado hospital integrado San Antonio de Puente Nacional,
para asegurar la dirección estratégica de la Entidad, establece la compatibilidad de la
política de seguridad de la información y los objetivos de seguridad de la información,
estos últimos correspondientes a:
Alcance/Aplicabilidad
Esta política aplica a las areas de gerencia, SIAU, facturación, estadistica y
contabilidad a sus funcionarios, contratistas y terceros de la empresa social del estado
hospital integrado San Antonio de Puente Nacional y la ciudadanía en general.
Nivel de cumplimiento
Todas las personascubiertas por el alcance y aplicabilidad deberán dar
cumplimientoun 100% de la política.
Politicas Generales:
A continuación se establecen las 12 políticas de seguridad que soportan el SGSI de
la empresa social del estado hospital integrado San Antonio de Puente Nacional:
La empresa social del estado hospital integrado San Antonio de Puente Nacional ha
decidido definir, implementar, operar y mejorar de forma continua un Sistema
de Gestión de Seguridad de la Información, soportado en lineamientos claros
alineados a las necesidades del negocio, y a los requerimientos regulatoriosque le
aplican a su naturaleza.
Las responsabilidadesfrente a la seguridad de la información serán definidas,
compartidas, publicadas y aceptadas por cada uno de los empleados, contratistaso
terceros.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
protegerá la informacióngenerada, procesada o resguardada por los procesos de
negocioy activos de información que hacen parte de los mismos.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
protegerá la información creada, procesada, transmitida o resguardada por sus
procesos de negocio, con el fin de minimizar impactos financieros, operativos o
legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de
controles de acuerdo con la clasificación de la información de su propiedad o en
custodia.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
protegerá su informaciónde las amenazas originadas por parte del personal.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
protegerá las instalaciones de procesamiento y la infraestructura tecnológica que
soporta sus procesos críticos.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
controlará la operación de sus procesos de negocio garantizando la seguridad de
los recursos tecnológicos y las redes de datos.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
implementará control de acceso a la información, sistemas y recursos de red.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de
información.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
garantizará a través de una adecuada gestión de los eventos de seguridad y las
debilidades asociadas con los sistemas de información una mejora efectiva de su
modelo de seguridad.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
garantizará la disponibilidad de sus procesos de negocio y la continuidad de su
operación basado en el impacto que pueden generar los eventos.
La empresa social del estado hospital integrado San Antonio de Puente Nacional
garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales
establecidas.
Revisión de la política
La gerencia deberá revisar periodicamente las políticas de seguridad de la
información cada 4 años o el mismo periodo del mandato del gobernador actual, además de
reforzarlas, sin perjuicio de actualizarlas respondiendo a las necesidades que surjan en el
desarrollo de los objetivos del hospital.
Difusión de la politica
La presente política sera difundida en la cartelera interna del hospital y en las
sesiones de sensibilizacion anuales programadas por la gerencia.
Incumplimiento de la política
El incumplimiento de la presente política conllevará a la aplicación de las sanciones
dentro del marco del régimen disciplinario para empresas públicas del sector salud o el
régimen superior de acuerdo a la magnitud del incumplimiento.