Evidencia AA4-3: Plan de acción. Diseñar políticas de seguridad informática para una empresa.

Nombre

SENA

SAN JUAN DE PASTO

2023
EMPRESA:

ACTIVIDAD COMERCIAL: Provisión de servicios médicos y hospitalarios (atención de urgencias, consultas

médicas, radiografías)

UBICACIÓN: San Juan de Pasto- Nariño

DEPENDENCIAS DEL HOSPITAL:

DEPARTAMENTO DE ADMINISTRACIÓN: Responsable de la gestión financiera, recursos humanos y

aspectos legales del hospital. Maneja información financiera, datos de empleados, registros de
pacientes y contratos.

DEPARTAMENTO MÉDICO: Encargado de la atención médica, diagnóstico y tratamiento de los

pacientes. Maneja información médica confidencial, historias clínicas, resultados de pruebas y
tratamientos.

DEPARTAMENTO DE TECNOLOGÍA DE LA INFORMACIÓN (TI): Responsable de la infraestructura

informática, seguridad de la red y soporte técnico. Maneja información relacionada con la
infraestructura de TI, políticas de seguridad y registros de auditoría.

ELEMENTOS INFORMÁTICOS:

SOFTWARE: El hospital utiliza sistemas de gestión de registros médicos electrónicos (EMR), sistemas de
programación de citas, sistemas de facturación y software de administración de recursos humanos.
También emplea soluciones de seguridad informática como firewalls, sistemas de detección de intrusos
y software antivirus.

HARDWARE: El hospital cuenta con servidores de red, estaciones de trabajo médicas, dispositivos
móviles para el personal médico y equipos de red como enrutadores y switches.

TIPO DE RED: El hospital tiene una red local (LAN) que conecta todos los dispositivos y sistemas internos,
así como una conexión a Internet. La red puede tener segmentación para separar diferentes tipos de
datos y garantizar la seguridad.
PLAN DE ACCIÓN CON POLÍTICAS DE SEGURIDAD INFORMÁTICA:

POLÍTICA DE ACCESO Y AUTENTICACIÓN: Implementar un sistema de control de acceso basado en roles

y autenticación de dos factores para garantizar que solo el personal autorizado tenga acceso a la
información confidencial. Esto incluye la asignación de permisos de acceso adecuados y la revisión
mensual de privilegios de usuario.

POLÍTICA DE PROTECCIÓN DE DATOS: Establecer protocolos de cifrado y respaldo regular de los

registros médicos electrónicos y otra información sensible. Asimismo, establecer directrices claras para
el manejo de datos confidenciales y su eliminación segura cuando ya no sean necesarios.

POLÍTICA DE SEGURIDAD DE LA RED: Implementar firewalls y sistemas de detección y prevención de

intrusos para proteger la red del hospital contra amenazas externas. Además, establecer medidas de
seguridad física para prevenir el acceso no autorizado a los dispositivos y sistemas de red.

POLÍTICA DE CONCIENCIACIÓN Y CAPACITACIÓN: Realizar programas de formación en seguridad

informática para el personal del hospital, enfocados en la identificación de ataques de phishing, uso
seguro de contraseñas, manejo adecuado de dispositivos móviles y conciencia sobre las mejores
prácticas de seguridad.

POLÍTICA DE RESPUESTA A INCIDENTES: Establecer un plan de respuesta a incidentes que incluya la

detección temprana, notificación y mitigación de posibles brechas de seguridad. Esto debe incluir
procedimientos claros para investigar y documentar incidentes, así como la comunicación adecuada con
las partes involucradas.

POLÍTICA DE CONTINUIDAD DEL NEGOCIO: Desarrollar un plan de continuidad del negocio para
asegurar la disponibilidad de los servicios críticos de atención médica en caso de interrupciones o
ataques cibernéticos. Esto incluye la realización de copias de seguridad regulares, la implementación de
sistemas de respaldo y la realización de pruebas periódicas de recuperación de desastres.