SISTEMA DE LA INFORMACION GERENCIAL

NOMBRES:
ERIKA LISETH RAMIREZ LASSO
DAYRON MIGUEL LOPEZ BRAVO
CRISTIAN ANDRES PINTO BRAVO
DOCENTE:
IVAN JAVIER FLOREZ PORTILLA

CORPORAVION UNIFICADA NACIONAL DE DUCACION SUPERIOR CUN-REGIONAL NARIÑO

NOVENO SEMESTRE ADMINISTRACION DE EMPRESAS
CIENCIAS ADMINISTRATIVAS Y CONTABLES
IPIALES-NARIÑO
POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Y

CIBERSEGURIDAD

INTRODUCCIÓN Y OBJETIVOS

MALLAMAS en desarrollo de sus principios: responsabilidad, respeto, transparencia y

equidad, determinan la información como uno de los activos más importantes; por lo tanto,

declara la seguridad de la información1 y la ciberseguridad 2 como dos aspectos fundamentales

para el logro de sus objetivos estratégicos. En desarrollo de lo anterior, se comprometen con la

protección y el aseguramiento de la información que gestionan física y digitalmente de las

partes interesadas3, teniendo en cuenta la confidencialidad, integridad y disponibilidad de la

misma, a través de los procesos y el uso de recursos tecnológicos y de información.

Contempla prácticas exitosas incorporadas a partir de estándares internacionales de seguridad

de la información y ciberseguridad 4 que la organización ha seleccionado para su cumplimiento

o referencia, así como lineamientos externos definidos por los diferentes entes de vigilancia y

control que regulan nuestras actividades.

1 seguridad de la información: Conjunto de medidas técnicas, organizacionales y legales que

permiten a las Compañías asegurar la confidencialidad, integridad y disponibilidad de la

información en los procesos y en las tecnologías que la soportan.

2 ciberseguridad: Es el desarrollo de capacidades empresariales para defender y anticipar las

amenazas cibernéticas con el fin de proteger y asegurar los activos de información en el

ciberespacio que son esenciales para la operación de la organización.

3 partes interesadas: Empleados, proveedores, subcontratistas, terceros, clientes, accionistas,

asesores, filiales y subsidiarias.

4 estándares internacionales de Seguridad: Conjunto de Marcos de Referencia como COBIT5,

ISO 27001, ISO 27002, ISO 27032, NIST, ISF – Información Security Fórum. – De este

estándar si tenemos algo implementado?, agregaría más fácil 27032 que es la de

ciberseguridad.

ALCANCE

Esta Política General de Seguridad de la Información y Ciberseguridad es de cumplimiento

obligatorio para todas las partes interesadas que tengan acceso a la información de la EPS.tanto

para empleados como para afiliados.

LINEAMIENTOS GENERALES

1. Esta política general se desarrolla a través de un marco de actuación de seguridad de la

información y ciberseguridad compuesto por directrices, manuales, procesos, procedimientos e

instructivos, y estándares, entre otros documentos vinculantes que la complementan.

2. Se deberán establecer procesos y procedimientos para la adecuada gestión del riesgo de

seguridad de la información y ciberseguridad, contemplando las etapas de prevención,

protección y detección, respuesta y comunicación, y recuperación y aprendizaje.

3. Deberá existir alineación de los indicadores y metas comerciales de La EPS y sus empleados

con el marco de actuación de seguridad de la información y ciberseguridad.

4. Todas las personas con acceso a la información de La EPS deberán actuar bajo el marco de

actuación de seguridad de la información.

5. Todas las personas que acceden a la información de la EPS son responsables de aplicar los

controles necesarios para evitar la pérdida, modificación o divulgación no autorizada, acceso no

autorizado y proteger la información de todos los riesgos de seguridad de la información y

ciberseguridad a los que pueda ser expuesta.

ROLES Y RESPONSABILIDADES

1. La Junta Directiva, o el órgano que haga sus veces, según corresponda, será la encargada de

promover y aprobar los lineamientos frente a la gestión de la seguridad de la información y la

gestión de los riesgos de seguridad de la información y ciberseguridad, incluyéndolos en los

planes estratégicos de la EPS MALLAMAS y garantizando la disponibilidad de los recursos

que se requieran para el efecto.

2. La Alta Gerencia promoverá una cultura de seguridad de la información y ciberseguridad a

todas las partes interesadas, traduciendo la estrategia definida por la Junta Directiva en

mecanismos efectivos para que el marco normativo de seguridad sea asimilado e incorporado

en el accionar de La EPS.

3. La Alta Gerencia designará una unidad o función organizacional para la gestión efectiva de

los riesgos de seguridad de la información y ciberseguridad.

4. La Unidad o función organizacional deberá:

a. Reportar de manera semestral a la Junta Directiva y a la Alta Gerencia, los

resultados de su gestión, asesorando su toma de decisiones en esta materia.

b. Actualizarse permanentemente y de manera especializada en materia de

Seguridad de la Información y Ciberseguridad.

c. Desarrollar un sistema de gestión de riesgos de seguridad de la información5 y

ciberseguridad que responda a las necesidades particulares de LA EPS, el cual será

 revisado y actualizado periódicamente de tal forma que se garantice su efectividad,

oportunidad y madurez.

d. Establecer el programa de formación y cultura en materia de seguridad de la

información y ciberseguridad, para la EPS.

e. Monitorear y verificar el cumplimiento del marco de actuación de seguridad de la

información y ciberseguridad, así como de las obligaciones legales relacionadas

f. Sugerir y administrar los presupuestos de seguridad de la información y

ciberseguridad.

g. Realizar las demás actividades que le sean asignadas por la Alta Gerencia

5. El Área de Riesgos evaluará los riesgos de seguridad de la información y ciberseguridad

dentro del sistema de gestión integral de riesgos e informará al Comité de Riesgos que cuenten

con este órgano de gobierno, sobre el estado de este riesgo, al menos una vez al año.

6. Todas las personas que gestionan información de La EPS MALLAMAS son responsables de

acatar, aplicar y verificar el cumplimiento de las definiciones del marco de actuación de

seguridad y ciberseguridad.

GOBERNABILIDAD

La aprobación de la presente política está a cargo de la Junta Directiva, o el máximo órgano

social, según corresponda, de la EPS y cualquier modificación deberá ser aprobada por estos

mismos órganos. La Gerencia de Tecnología será la instancia responsable del gobierno y la

aplicación de esta política.

 INSTANCIAS DE DECISIÓN

Las instancias de decisión del marco normativo de seguridad estarán bajo las definiciones de la

matriz de delegación de riesgos, el reglamento de trabajo de EPS MALLAMAS y la

normatividad vigente aplicable manejan información que está legalmente protegida por normas

específicas, lo cual podrá acarrear sanciones legales sobre Las Compañías o sus grupos de

interés.

DIVULGACIÓN

La presente Política será vinculante y deberá ser publicada a todos los grupos de interés, dentro

de los sitios definidos por la EPS. La Gerencia de Tecnología será la responsable de la

administración de esta política y en esa medida gestionará con las áreas involucradas de

MALLAMAS su divulgación, cumplimiento y actualización.

MARCO NORMATIVO

Decreto 515 de 2004

Por el cual se define el Sistema de Habilitación de las Entidades Administradoras del Régimen

Subsidiado, ARS.

 Decreto 780 de 2016.

Por medio del cual se expide el Decreto Único Reglamentario del Sector Salud y Protección

Social

 Decreto 1848 del 8 de noviembre de 2017.

Por el cual se adiciona la Sección 2 al Capítulo 4 del Título 2 de la Parte 5 del Libro 2. del

Decreto 780 de 2016, Único Reglamentario del Sector Salud y Protección Social en relación
con el Sistema de Habilitación de las Entidades Promotoras de Salud Indígenas - EPSI,

aplicables durante el periodo de transición al Sistema Indígena de Salud Propia e Intercultural -

SISPI- y se dictan otras disposiciones.

Resolución 581 de 2004

Por la cual se adopta el Manual de Estándares que establece las condiciones de capacidad

técnico-administrativa, tecnológica y científica para la habilitación de las entidades

Administradoras de Régimen Subsidiado.

 Garantizar que la información veraz y consolidada sea reportada eficazmente a los diferentes entes de control y a los
OBJETIVO
procesos que así los requieran para el cumplimiento de sus labores operacionales
REQUISITOS
APLICABLES Ver listado maestro normativo. Remitirse:

RESPONSABLE
CARACTERIZACION DE PROCESOS GESTION DE LA INFORMACION

PROVEEDOR ENTRADA PHVA PROCEDIMIENT SALIDA CLIENTE

O

Informe de reporte de
información con características Información reportada de
Entidades de control especiales acuerdo al listado maestro de
reportes
Validadores de información Planear Procedimiento de
consolidación, Entidades de control
Informe de reporte de validación y reporte Todos los procesos
Todos los procesos información con características de información
especiales Soporte del resultado de cargue
de información
Hacer
Entidades de control Reporte de cargue exitoso
Verificar

Planear Documentación para consulta en

Todos los procesos
Todos los procesos Procedimiento de sala o préstamo
Solicitudes de consulta de Hacer
consulta y préstamo
Entidades de control documentación Verificar Informe de observaciones (si se Dirección administrativa
de documentos
requiere)
Actuar Jefatura de control interno

RECURSOS
DOCUMENTACION REGISTROS DE
AMBIENTE DE INDICADORES
INFRAESTRUCTURA HUMANOS DEL PROCESO CALIDAD
TRABAJO Y OTROS
Ver cuadro de
Sistema de seguridad y Equipos de cómputo. Elementos Personal operativo y Ver listado maestro de Ver listado maestro de
mando de
salud en el trabajo de oficina. Flota de vehículos. administrativo de la empresa documentos registros
indicadores
CONTROL DE PROCESOS

PROCEDIMIENT QUE CONTROLA RESPONSABLE FRECUENCIA REGISTRO

O
Procedimiento de
Información recopilada, validada y
consolidación, Ver matriz de Soportes documentales de cargue de
entregada en los tiempos establecidos por
validación y reporte reportes reportes
los entes de control
de información

Procedimiento de Salvaguardia de la información histórica

consulta y préstamo de las operaciones de MALLAMAS EPS- N. A N. A
de documentos I
Control de actualizaciones del documento
Versión Fecha Descripción
01

ELABORÓ: REVISÓ: APROBÓ:

Ing. Oscar Grijalba – P.U Planeación Dr. Fabio Enríquez Miranda –
Gerente
Las modificaciones al formato no son válidas sin aprobación. (firmas en formato original
aprobado)
DATOS PARA EL INDICADOR
REPORTES DE INFORMACION: No., de reportes cargados exitosamente en el periodo x 100%
Total, reportes programados en el periodo
META: 100%
FUENTE INFORMACION matriz de reportes
FRECUENCIA: mensual.
 LEVANTAMIENTO Y SEGUIMIENTO DE REQUERIMIENTOS DE SOFTWARE

OBJETIVO: levantamiento y seguimiento de requerimientos para crear Software a las necesidades de MALLAMAS EPS I
ALCANCE: Aplica a todo el sistema de información de MALLMAS IPS I
RESPONSABLE: Coordinador de sistema de información

NORMA: Ver Normogramas

Dirección
Coordinado PUNTO
Responsable de Sistemas
r del Áreas DE
Actividad   de Proveedor REGISTROS
sistema de Responsable CONTRO
Informació
información L
n
 
1 INICIO
           
  por correo
Recepcionar las Solicitudes de las
2 electrónico, oficio
diferentes áreas
        o tiquet
 
3 Direccionar las solicitudes al proveedor      
   
El proveedor informa si es necesario
4 ampliar la información o verificar la      
viabilidad      
SI
5 ¿Se debe ampliar la información?     SI
   
 
6 Ejecuta el requerimiento NO    
  NO
Se convoca a reunión con el área SI          
 pertinente y el proveedor para levantar el
7
requerimiento y analizar su viabilidad
  NO
8 ¿El requerimiento es viable?  
     
Dar la información a las áreas que no es  
9 no  
viable el requerimiento solicitado      
Realizar la actualización del documento SI  
10 si  
SIEM    
Se envía al proveedor por medio de un  
11 oficio o por tiket el requerimiento si    
solicitado    
Seguimiento al proveedor del  
12 requerimiento por medio de oficio o el      
tiket correspondiente    
   
Realizar Capacitación cuando aplique el
14      
caso o sea solicitado por las áreas
 
Las áreas Informaran a la coordinación    
15 por oficio o por tiket la satisfacción del      
requerimiento solicitado  
   
16 se da el cierre de la solicitud    
   
 
17 FIN
         

CONDICIONES ESPECIALES DE OPERACIÓN

El procedimiento se realizará cada 4 meses
 AUDITORIA AL SISTEMA DE INFORMACION
OBJETIVO: Revisar y Evaluar que datos procesados se encuentren inter- relacionados y que sean de utilidad para MALLAMAS EPS I
ALCANCE: Aplica a todo el sistema de información de MALLMAS IPS I
RESPONSABLE: Coordinador de sistema de información
NORMA: Ver Normogramas

Coordinador del
PUNTO DE
Responsable   sistema de Áreas Responsable REGISTROS
CONTROL
información
Actividad
 
1 INICIO
       
  por correo
programar la auditoria del sistema de
2 electrónico, oficio o
información
    tiquet
escoger los módulos del sistema a  
3  
auditar    
Socializar la metodología de la  
4 auditoria programada a las diferentes  
áreas    
5 Verificar con lista de chequeo el estado      lista de chequeo
actuado actual de sistema de
 información
Informe de hallazgos presentados en la  
6    
auditoria  
Se realiza plan de mejoramiento por los  
7    
hallazgos encontrados  
8 seguimiento al plan de mejoramiento        
9 FIN        

CONDICIONES ESPECIALES DE OPERACIÓN- El procedimiento se realizará cada 4 meses