Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BOGOTÁ D.C.
2017
Contenido
1. Objetivo.....................................................................................................................................3
2. Alcance.....................................................................................................................................3
3. Responsabilidades..................................................................................................................3
4. Definiciones..............................................................................................................................3
5. Generalidades..........................................................................................................................5
6. Normas......................................................................................................................................5
7. Documentación de Referencia..............................................................................................8
8. Registros...................................................................................................................................8
GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2
1. Objetivo
Definir los lineamientos para propender porque las operaciones que se ejecutan a diario a
nivel de la Oficina de Tecnologías de la Información en la Superintendencia Nacional de
Salud, se ejecuten de manera correcta y segura en las instalaciones de procesamiento de
información.
2. Alcance
Esta guía aplica para los funcionarios que laboran en la Oficina de Tecnologías de la
Información en la Superintendencia Nacional de Salud.
3. Responsabilidades
4. Definiciones
Registros de Auditoría: son archivos donde son registrados los eventos que se han
identificado en los sistemas de información, recursos tecnológicos y redes de datos de la
Entidad. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y
acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos,
cambios a la configuración, uso de utilidades y fallas de los sistemas.
Responsable por el activo de información: es la persona o grupo de personas,
designadas por los propietarios, encargados de velar por la confidencialidad, la integridad
y disponibilidad de los activos de información y decidir la forma de usar, identificar,
clasificar y proteger dichos activos a su cargo.
SSI: Subsistema de Seguridad de la Información.
Sistema de información: es un conjunto organizado de datos, operaciones y
transacciones que interactúan para el almacenamiento y procesamiento de la información
que, a su vez, requiere la interacción de uno o más activos de información para efectuar
sus tareas. Un sistema de información es todo componente de software ya sea de origen
interno, es decir desarrollado por la Superintendencia Nacional de Salud o de origen
externo ya sea adquirido por la entidad como un producto estándar de mercado o
desarrollado para las necesidades de ésta.
Software malicioso: es una variedad de software o programas de códigos hostiles e
intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas
operativos, redes de datos o sistemas de información.
Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los
activos de información que pueden ser explotadas por factores externos y no controlables
por la Entidad (amenazas), las cuales se constituyen en fuentes de riesgo.
5. Generalidades
Ésta guía se basa en los requerimientos establecidos por el Anexo A 12 de la Norma NTC
ISO IEC 27001:2013.
6. Normas
Gestión de la capacidad
Las estaciones de trabajo de los funcionarios están protegidas por software contra código
malicioso, además se cuenta con seguridad perimetral mediante firewall, por otra parte, se
tienen herramientas como anti-spam y escaneo intrínseco para la protección del correo
electrónico de la Entidad, ésta herramienta permite de igual manera denegar el acceso a
la instalación de software malicioso.
Registro de eventos
Sincronización de relojes
Los relojes de los sistemas de información y equipos activos en red están sincronizados
con un servidor NPT que está sincronizado con la hora legal colombiana, todo esto a fin
GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2
7. Documentación de Referencia
8. Registros
CONTROL DE CAMBIOS
RESPONSABLE FECHA DEL
ASPECTOS QUE DETALLES DE
DE LA CAMBIO VERSIÓ
CAMBIARON EN EL LOS CAMBIOS
SOLICITUD DEL DD/MM/ N
DOCUMENTO EFECTUADOS
CAMBIO AAAA
Solicitud de
creación
mediante
memorando
NURC: 3-2016-
014942 Jefe Oficina de
Adopción del
Tecnologías de la 11/08/2016 1
documento
Se realiza Información
aprobación
Mediante
memorando
NURC: 3-
2016-015043
Actualización del Se solicita Jefe Oficina de 1/11/2017 2
documento mediante Tecnologías de la
NURC 3-2017- Información
017119 la
eliminación de
las pruebas de
GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2
vulnerabilidad
por parte de un
ente externo.
Se aprueba
mediante
NURC 3-2017-
018038