SISTEMA DE LA INFORMACION GERENCIAL

NOMBRES:
ERIKA LICETH RAMIREZ LASSO
DAYRON MIGUEL LOPEZ BRAVO
CRISTIAN ANDRES PINTO BRAVO
DOCENTE:
IVAN JAVIER FLOREZ PORTILLA

CORPORAVION UNIFICADA NACIONAL DE DUCACION SUPERIOR CUN-REGIONAL NARIÑO

NOVENO SEMESTRE ADMINISTRACION DE EMPRESAS
CIENCIAS ADMINISTRATIVAS Y CONTABLES
IPIALES-NARIÑO

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD

 INTRODUCCIÓN Y OBJETIVOS
MALLAMAS en desarrollo de sus principios: responsabilidad, respeto, transparencia y equidad, determinan la
información como uno de los activos más importantes; por lo tanto, declara la seguridad de la información1 y la
ciberseguridad 2 como dos aspectos fundamentales para el logro de sus objetivos estratégicos. En desarrollo de
lo anterior, se comprometen con la protección y el aseguramiento de la información que gestionan física y
digitalmente de las partes interesadas3, teniendo en cuenta la confidencialidad, integridad y disponibilidad de la
misma, a través de los procesos y el uso de recursos tecnológicos y de información.
Contempla prácticas exitosas incorporadas a partir de estándares internacionales de seguridad de la información
y ciberseguridad 4 que la organización ha seleccionado para su cumplimiento o referencia, así como lineamientos
externos definidos por los diferentes entes de vigilancia y control que regulan nuestras actividades.
1 seguridad de la información: Conjunto de medidas técnicas, organizacionales y legales que permiten a las
Compañías asegurar la confidencialidad, integridad y disponibilidad de la información en los procesos y en las
tecnologías que la soportan.
2 ciberseguridad: Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas
cibernéticas con el fin de proteger y asegurar los activos de información en el ciberespacio que son esenciales
para la operación de la organización.
3 partes interesadas: Empleados, proveedores, subcontratistas, terceros, clientes, accionistas, asesores, filiales
y subsidiarias.
4 estándares internacionales de Seguridad: Conjunto de Marcos de Referencia como COBIT5, ISO 27001, ISO
27002, ISO 27032, NIST, ISF – Información Security Fórum. – De este estándar si tenemos algo implementado?,
agregaría más fácil 27032 que es la de ciberseguridad.
ALCANCE
Esta Política General de Seguridad de la Información y Ciberseguridad es de cumplimiento obligatorio para todas
las partes interesadas que tengan acceso a la información de la EPS.tanto para empleados como para afiliados.
LINEAMIENTOS GENERALES
1. Esta política general se desarrolla a través de un marco de actuación de seguridad de la información y
ciberseguridad compuesto por directrices, manuales, procesos, procedimientos e instructivos, y estándares, entre
otros documentos vinculantes que la complementan.
2. Se deberán establecer procesos y procedimientos para la adecuada gestión del riesgo de seguridad de la
información y ciberseguridad, contemplando las etapas de prevención, protección y detección, respuesta y
comunicación, y recuperación y aprendizaje.
3. Deberá existir alineación de los indicadores y metas comerciales de La EPS y sus empleados con el marco de
actuación de seguridad de la información y ciberseguridad.
4. Todas las personas con acceso a la información de La EPS deberán actuar bajo el marco de actuación de
seguridad de la información.
5. Todas las personas que acceden a la información de la EPS son responsables de aplicar los controles necesarios
para evitar la pérdida, modificación o divulgación no autorizada, acceso no autorizado y proteger la información
de todos los riesgos de seguridad de la información y ciberseguridad a los que pueda ser expuesta.
ROLES Y RESPONSABILIDADES
 1. La Junta Directiva, o el órgano que haga sus veces, según corresponda, será la encargada de promover y
aprobar los lineamientos frente a la gestión de la seguridad de la información y la gestión de los riesgos de
seguridad de la información y ciberseguridad, incluyéndolos en los planes estratégicos de la EPS MALLAMAS
y garantizando la disponibilidad de los recursos que se requieran para el efecto.
2. La Alta Gerencia promoverá una cultura de seguridad de la información y ciberseguridad a todas las partes
interesadas, traduciendo la estrategia definida por la Junta Directiva en mecanismos efectivos para que el marco
normativo de seguridad sea asimilado e incorporado en el accionar de La EPS.
3. La Alta Gerencia designará una unidad o función organizacional para la gestión efectiva de los riesgos de
seguridad de la información y ciberseguridad.
4. La Unidad o función organizacional deberá:
a. Reportar de manera semestral a la Junta Directiva y a la Alta Gerencia, los resultados de su gestión,
asesorando su toma de decisiones en esta materia.
b. Actualizarse permanentemente y de manera especializada en materia de Seguridad de la Información
y Ciberseguridad.
c. Desarrollar un sistema de gestión de riesgos de seguridad de la información5 y ciberseguridad que
responda a las necesidades particulares de LA EPS, el cual será revisado y actualizado periódicamente de tal
forma que se garantice su efectividad, oportunidad y madurez.
d. Establecer el programa de formación y cultura en materia de seguridad de la información y
ciberseguridad, para la EPS.
e. Monitorear y verificar el cumplimiento del marco de actuación de seguridad de la información y
ciberseguridad, así como de las obligaciones legales relacionadas
f. Sugerir y administrar los presupuestos de seguridad de la información y ciberseguridad.
g. Realizar las demás actividades que le sean asignadas por la Alta Gerencia
5. El Área de Riesgos evaluará los riesgos de seguridad de la información y ciberseguridad dentro del sistema de
gestión integral de riesgos e informará al Comité de Riesgos que cuenten con este órgano de gobierno, sobre el
estado de este riesgo, al menos una vez al año.
6. Todas las personas que gestionan información de La EPS MALLAMAS son responsables de acatar, aplicar y
verificar el cumplimiento de las definiciones del marco de actuación de seguridad y ciberseguridad.
GOBERNABILIDAD
La aprobación de la presente política está a cargo de la Junta Directiva, o el máximo órgano social, según
corresponda, de la EPS y cualquier modificación deberá ser aprobada por estos mismos órganos. La Gerencia de
Tecnología será la instancia responsable del gobierno y la aplicación de esta política.

INSTANCIAS DE DECISIÓN
Las instancias de decisión del marco normativo de seguridad estarán bajo las definiciones de la matriz de
delegación de riesgos, el reglamento de trabajo de EPS MALLAMAS y la normatividad vigente aplicable manejan
información que está legalmente protegida por normas específicas, lo cual podrá acarrear sanciones legales sobre
Las Compañías o sus grupos de interés.
 DIVULGACIÓN
La presente Política será vinculante y deberá ser publicada a todos los grupos de interés, dentro de los sitios
definidos por la EPS. La Gerencia de Tecnología será la responsable de la administración de esta política y en esa
medida gestionará con las áreas involucradas de MALLAMAS su divulgación, cumplimiento y actualización.
MARCO NORMATIVO
Decreto 515 de 2004
Por el cual se define el Sistema de Habilitación de las Entidades Administradoras del Régimen Subsidiado,
ARS.
Decreto 780 de 2016.
Por medio del cual se expide el Decreto Único Reglamentario del Sector Salud y Protección Social
Decreto 1848 del 8 de noviembre de 2017.
Por el cual se adiciona la Sección 2 al Capítulo 4 del Título 2 de la Parte 5 del Libro 2. del Decreto 780 de 2016,
Único Reglamentario del Sector Salud y Protección Social en relación con el Sistema de Habilitación de las
Entidades Promotoras de Salud Indígenas - EPSI, aplicables durante el periodo de transición al Sistema
Indígena de Salud Propia e Intercultural - SISPI- y se dictan otras disposiciones.
Resolución 581 de 2004
Por la cual se adopta el Manual de Estándares que establece las condiciones de capacidad técnico-
administrativa, tecnológica y científica para la habilitación de las entidades Administradoras de Régimen
Subsidiado.
 CARACTERIZACION DE PROCESOS GESTION DE LA INFORMACION

Garantizar que la información veraz y consolidada sea reportada eficazmente a los diferentes entes de control y a los
OBJETIVO
procesos que así los requieran para el cumplimiento de sus labores operacionales
REQUISITOS
APLICABLES Ver listado maestro normativo. Remitirse:

RESPONSABLE

PROVEEDOR ENTRADA PHVA PROCEDIMIENT SALIDA CLIENTE

O

Informe de reporte de
información con características Información reportada de
Entidades de control especiales acuerdo al listado maestro de
reportes
Validadores de información Planear Procedimiento de
consolidación, Entidades de control
Informe de reporte de validación y reporte Todos los procesos
Todos los procesos información con características de información
especiales Soporte del resultado de cargue
de información
Hacer
Entidades de control Reporte de cargue exitoso
Verificar

Planear Documentación para consulta en

Todos los procesos
Todos los procesos Procedimiento de sala o préstamo
Solicitudes de consulta de Hacer
consulta y préstamo
documentación
Entidades de control Verificar de documentos Informe de observaciones (si se Dirección administrativa
requiere)
Actuar Jefatura de control interno

RECURSOS
DOCUMENTACION REGISTROS DE
AMBIENTE DE INDICADORES
INFRAESTRUCTURA HUMANOS DEL PROCESO CALIDAD
TRABAJO Y OTROS
 Ver cuadro de
Sistema de seguridad y Equipos de cómputo. Elementos Personal operativo y Ver listado maestro de Ver listado maestro de
mando de
salud en el trabajo de oficina. Flota de vehículos. administrativo de la empresa documentos registros
indicadores

CONTROL DE PROCESOS
PROCEDIMIENTO QUE CONTROLA RESPONSABLE FRECUENCIA REGISTRO
Procedimiento de
Información recopilada, validada y
consolidación, Ver matriz de Soportes documentales de cargue de
entregada en los tiempos establecidos por
validación y reporte reportes reportes
los entes de control
de información

Procedimiento de Salvaguardia de la información histórica

consulta y préstamo de las operaciones de MALLAMAS EPS- N. A N. A
de documentos I

Control de actualizaciones del documento

Versión Fecha Descripción

01

ELABORÓ: REVISÓ: APROBÓ:

Ing. Oscar Grijalba – P.U Planeación Dr. Fabio Enríquez Miranda –
Gerente
Las modificaciones al formato no son válidas sin aprobación. (firmas en formato original
aprobado)
DATOS PARA EL INDICADOR
REPORTES DE INFORMACION: No., de reportes cargados exitosamente en el periodo x 100%
Total, reportes programados en el periodo
META: 100%
FUENTE INFORMACION matriz de reportes
FRECUENCIA: mensual.
 LEVANTAMIENTO Y SEGUIMIENTO DE REQUERIMIENTOS DE SOFTWARE

OBJETIVO: levantamiento y seguimiento de requerimientos para crear Software a las necesidades de MALLAMAS EPS I
ALCANCE: Aplica a todo el sistema de información de MALLMAS IPS I
RESPONSABLE: Coordinador de sistema de información

NORMA: Ver Normogramas

Dirección Coordinador
Responsable de Sistemas del sistema Áreas PUNTO DE
Proveedor REGISTROS
Actividad de de Responsable CONTROL
Información información

1 INICIO

por correo
Recepcionar las Solicitudes de las
2 electrónico, oficio
diferentes áreas
o tiquet
3 Direccionar las solicitudes al proveedor
El proveedor informa si es necesario
4 ampliar la información o verificar la
viabilidad
SI
5 ¿Se debe ampliar la información? SI

6 Ejecuta el requerimiento NO
NO
Se convoca a reunión con el área
7 pertinente y el proveedor para levantar el SI
requerimiento y analizar su viabilidad
8 ¿El requerimiento es viable?
NO
Dar la información a las áreas que no es
9 no
viable el requerimiento solicitado
Realizar la actualización del documento SI
10 si
SIEM
Se envía al proveedor por medio de un
11 oficio o por tiket el requerimiento si
solicitado
Seguimiento al proveedor del
12 requerimiento por medio de oficio o el
tiket correspondiente
Realizar Capacitación cuando aplique el
14
caso o sea solicitado por las áreas

Las áreas Informaran a la coordinación por

15 oficio o por tiket la satisfacción del
requerimiento solicitado

16 se da el cierre de la solicitud

17 FIN

CONDICIONES ESPECIALES DE OPERACIÓN

El procedimiento se realizará cada 4 meses
 AUDITORIA AL SISTEMA DE INFORMACION
OBJETIVO: Revisar y Evaluar que datos procesados se encuentren inter- relacionados y que sean de utilidad para MALLAMAS EPS I
ALCANCE: Aplica a todo el sistema de información de MALLMAS IPS I
RESPONSABLE: Coordinador de sistema de información
NORMA: Ver Normogramas

Coordinador del
PUNTO DE
Responsable sistema de Áreas Responsable REGISTROS
CONTROL
información
Actividad

1 INICIO

por correo
programar la auditoria del sistema de
2 electrónico, oficio o
información
tiquet
escoger los módulos del sistema a
3
auditar
Socializar la metodología de la auditoria
4
programada a las diferentes áreas
Verificar con lista de chequeo el estado
5 actuado actual de sistema de lista de chequeo
información
Informe de hallazgos presentados en la
6
auditoria
Se realiza plan de mejoramiento por los
7
hallazgos encontrados
8 seguimiento al plan de mejoramiento

9 FIN

CONDICIONES ESPECIALES DE OPERACIÓN- El procedimiento se realizará cada 4 meses

 CALIDAD DE DATOS
OBJETIVO: Garantizar que las fuentes de información de MALLAMAS EPS I ingresen los datos con calidad al sistema de información
ALCANCE: Aplica a todo el sistema de información de MALLMAS EPS I
RESPONSABLE: Coordinador de sistema de información
NORMA: Ver Normogramas

Responsable Coordinador del sistema de PUNTO DE

información
Áreas Responsable REGISTROS
CONTROL
Actividad

1 INICIO

2 Recepción de informe de datos inconsistentes de las diferentes áreas

3 analizar el informe presentado por las áreas y determinar los actores responsables

4 Socializar el análisis del informe a las áreas responsables

SI NO
5 ¿El error del dato es externo?

El área encargada realiza el requerimiento al ente externo para sus trámites

6 SI
pertinentes

Seguimiento al requerimiento y retroalimentación al coordinador del sistema de

7 si
información
SI NO
8 el error es producto del funcionario?

9 Capacitación al funcionario del sistema de información y de la normatividad si

10 Solicitar al funcionario el certificado de manejo de software si

Si el error es producto del software se va al proceso de levantamiento de

11 no
requerimiento

12 se verifica si la fuente del dato se mejoro

13 FIN

CONDICIONES ESPECIALES DE OPERACIÓN

El procedimiento se realizará cada 4 meses