Contenido PLAN ESTRATEGICO DE... · Tomando como objeto primordial el almacenamiento, uso y protección de la información se hace vital el diseño de un plan el cual permita prevenir

EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA

NIT: 832.011.441 – 0 BAJA COMPLEJIDAD

“SALUD INTEGRAL CON HUMANISMO Y CALIDAD” Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802

Contenido 1. OBJETIVO.............................................................................................................................................. 2

2. ALCANCE .............................................................................................................................................. 2

3. RESPONSABLE ..................................................................................................................................... 2

4. DEFINICION DE TERMINOS ................................................................................................................. 3

5. DESARROLLO ....................................................................................................................................... 3

5.1 IDENTIFICACION DE RIESGOS ........................................................................................................ 3

6. PLAN DE CONTINGENCIA SEGÚN EVENTOS ................................................................................. 6

7. DESARROLLO DE CONTINGENCIAS ............................................................................................... 8



“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”

Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802

1. OBJETIVO

Establecer actividades de planeamiento, preparación y ejecución de labores

destinadas a proteger la Información. Garantizar la el funcionamiento normal de los procesos y operaciones en eventuales

fallos que afecten el Sistema de Información. Crear procesos de autoevaluación y retroalimentación del plan general, los cuales

permitan fortalecer las posibles falencias en los procedimientos.

2. ALCANCE

Tomando como objeto primordial el almacenamiento, uso y protección de la información se hace vital el diseño de un plan el cual permita prevenir y/o minimizar el impacto ante la posible pérdida, destrucción y robo de datos. Todo Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) se encuentra expuesto a diferentes factores y fuentes de problemas. El Hardware, el Software están expuestos a diversos Elementos de Riesgo Humano y Físicos (Condiciones de uso como: manejo, electricidad, obsolescencia etc.). El actual plan busca tomar cada fallo como un problema menor el cual permita retroalimentar y fortalecer nuestros procedimientos y planes de seguridad en la información. Pueden originarse pérdidas a partir de fallos de componentes físicos como el disco duro o por fallas técnicas como errores humanos o por fallos lógicos como virus informático etc. Por lo anterior es importante contar, adoptar y mejorar constantemente un Plan de contingencia el cual brinde a la institución control y fiabilidad sobre la información de la misma.

3. RESPONSABLE

Sistemas de información área tecnológica de sistemas.





4. DEFINICION DE TERMINOS

El Plan descrito a continuación implica analizar los posibles riesgos a los cuales puede estar

expuesta la red informática de la institución, de forma que se puedan aplicar medidas

de seguridad preventiva o en su defecto correctivo para así afrontar contingencias y

pérdidas de diversos tipos. Los procedimientos relevantes a la infraestructura

informática, son aquellas tareas que el personal realiza frecuentemente al interactuar

con la plataforma informática (entrada de datos, generación de reportes, consultas,

etc.).El Plan de Contingencia está orientado a establecer un adecuado sistema de

seguridad física y lógica en previsión de fallos, de tal manera de establecer medidas

destinadas a resguardar la información contra los daños producidos por diversos

motivos.

5. DESARROLLO

5.1 IDENTIFICACION DE RIESGOS

A continuación se describen los principales riesgos identificados para el ares de tecnología

y comunicaciones:

CAUSAS RIESGO TIPO DE

RIESGO DESCRIPCIÓN

CONSECUENCIAS POTENCIALES

Inconvenientes en la ejecución de las actividades del Plan de gerencia de la información o ausencia del mismo tales como (1) Rotación en el personal del área de Sistemas: (2) Incumplimiento en la ejecución del cronograma de mantenimiento correctivo y preventivo. (3)Incumplimiento en la ejecución de cronograma de copias de seguridad.

Incumplimiento de los procesos y

procedimientos establecidos en el plan

de gerencia de la información.

TECNOLOGIA

La institución debe mantener y ejecutar, planes, procesos o procedimientos los cuales

permitan administrar y optimizar los recursos

informáticos y tecnológicos.

Baja en el posicionamiento de la imagen corporativa de la

institución, falta de reconocimiento de su gestión y demás fallas de comunicación con el cliente interno y externo.





(1) Acceso físico no autorizado al centro de cómputo, centros de cableado y equipos de suministro de energía. (2) Falta de mantenimiento a las redes eléctricas y red de datos. (3) Acciones incorrectas en la administración del sistema (4) Falla imprevista en los equipos. (5) Bloqueo de hardware y software

Interrupción de servicios informáticos

como: sistema de información, acceso a

internet, correo electrónico, ofimática

etc.

TECNOLOGIA

Falla de dispositivos (Servidores, Equipos de Cómputo), herramientas

(Ofimática, Validadores) o recursos (Red LAN - WAN -

Eléctrica) las cuales imposibiliten el manejo y

análisis de la información.

1. Interrupción parcial o total de los servicios informáticos. 2. Denegación de servicios informáticos 3. Perdidas económicas. 4. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional 6. Sanciones legales y administrativas

(1) Falta de contrato de soporte y mantenimiento de software (sistema de información). (2) Carencia de licenciamiento.

Obsolescencia en sistemas de información

u otros tipos de Software, los cuales no

cumplan con estándares, políticas o

lineamientos asistenciales y administrativos.

TECNOLOGIA

La entidad debe garantizar el funcionamiento de

herramientas tales como bases de datos, ofimática,

internet, sistemas de información etc., dando

cumplimiento a estándares tanto técnicos como legales,

apoyándose en entes externos como proveedores.

1. Perdida de información. 2. información inconsistente 3. Perdidas económicas. 4. Retraso o imposibilidad en la prestación del servicio. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional 6. Sanciones legales y administrativas

(1) Fallo en el proceso de inducción y reinducción (2) Contratación de personal sin el cumplimiento de requisitos para el cargo. (3) desactualización o falta de instructivos o manuales de los sistemas de información. (4) Uso de claves estándares a nivel de inicio de sesión. (5) Divulgación y préstamo de claves. (6) Retroalimentación inoportuna. (7) insuficiente despliegue de políticas de seguridad informática. (8) NO existe obligación contractual en el cumplimiento de políticas.

Daño o perdida en los sistemas de

información debido a manejo inadecuado

del usuario final (Hardware y Software).

TECNOLOGIA

La entidad debe contar con planes, y procesos de

capacitación, socialización y reinducción de cara al usuario final, los cuales indiquen las

condiciones básicas adecuadas de uso y manejo

de los sistemas de información y todos sus

relacionados.

1. Información inconsistente. 2. Retraso en la ejecución de las actividades. 4. Insatisfacción en el usuario interno y externo. 4. Retraso o imposibilidad en la prestación del servicio. 1. Perdida o daño de información o equipos 2. Interrupción parcial o total de los servicios informáticos. 3. Denegación de servicios informáticos 5. Mala imagen institucional 6. Sanciones legales y administrativas

(1) Falta de disponibilidad del equipo programado para mantenimiento. (2) Sobrecarga de actividades por parte del

Carencia en el mantenimiento

preventivo y correctivo en equipos

informáticos el cual

TECNOLOGIA

La institución (de la mano del área de sistemas) debe

planear ejecutar y vigilar la realización de procesos y

cronogramas de

1. Incumplimiento de actividades debido a carencia de recursos informáticos.





personal técnico (3) Ausencia de herramientas las cuales permitan cumplir el proceso.

garantice su funcionamiento.

mantenimiento, los cuales buscan garantizar la

tolerabilidad de los sistemas.

(1) Fallo de ejecución o ausencia de plan de desarrollo tecnológico. 2) Priorización de recursos inadecuada (según labor desempeñada).

Obsolescencia en equipo de cómputo u

otros tipos de dispositivos, los cuales

no permitan realizar actividades de manera oportuna y eficiente.

TECNOLOGIA

La capacidad tecnológica instalada de la institución

(Relación adecuada equipo de cómputo/personal,

infraestructura, Servicios, dispositivos) debe ofrecer y garantizar la herramientas

adecuadas, las cuales permitan desarrollar y cumplir

actividades y objetivos.

1. Interrupción parcial o total de los servicios informáticos. 2. Denegación de servicios informáticos 3. Pérdidas financieras. 4. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional

VALORACION DEL RIESGO

RIESGO CALIFICACIÓN

TIPO DE IMPACTO EVALUACIÓN ZONA

DE RIESGO PROBABILIDAD IMPACTO

Incumplimiento de los procesos y procedimientos establecidos en

el plan de gerencia de la información.

2 3 OPERATIVO M

Interrupción de servicios informáticos como: sistema de información,

acceso a internet, correo electrónico, ofimática etc.

2 3 OPERATIVO A

Obsolescencia en sistemas de información u otros tipos de Software, los

cuales no cumplan con estándares, políticas o

lineamientos asistenciales y administrativos.

2 3 OPERATIVO A

Daño o perdida en los sistemas de información debido a manejo inadecuado del usuario final

(Hardware y Software).

1 3 OPERATIVO B

Carencia en el mantenimiento preventivo y correctivo en equipos

informáticos el cual garantice su funcionamiento.

2 3 OPERATIVO M

Obsolescencia en equipo de cómputo u otros tipos de dispositivos, los

cuales no permitan realizar actividades de manera oportuna

y eficiente.

2 3 OPERATIVO M





6. PLAN DE CONTINGENCIA SEGÚN EVENTOS

PROCESOS Y SERVICIOS PRIORIZADOS

Software: Administrativo (Citisalud (Presupuesto, Contabilidad, Cartera, Nomina, Almacén,

Tesorería etc.) Ofimática). Asistencial (Citisalud (Historia Clínica, Laboratorio) Ofimática). Sistema Operativo. Conectividad (LAN, WAN). Bases de Datos. Antivirus, antispam, Firewall.

Hardware: Medios magnéticos de almacenamiento(Discos Duros) Suministro de Energía (ups, planta)

DEFINICION DE RIESGOS Y ESTRATEGIAS

Grado de negatividad: Un evento se define con grado de negatividad (Leve, moderada, grave y muy severo).

Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periódico y continuo) Impacto: El impacto de un evento puede ser (Leve, moderado, grave y muy severo). Plan de Contingencia: Son procedimientos que definen cómo una entidad continuará

o recuperará sus funciones críticas en caso de una interrupción no planeada. Los sistemas son vulnerables a diversas interrupciones, que se pueden clasificar en:

Leves (Caídas de energía de corta duración, fallas en disco duro, etc.) Severas (Destrucción de equipos, incendios, etc.) Riesgo: Es la vulnerabilidad de un Activo o bien, ante un posible o potencial perjuicio

o daño. Existen distintos tipos de riesgo: Riesgos Naturales: tales como mal tiempo, terremotos, etc. Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y accidentes

de transmisión y transporte. Riesgos Sociales: como actos terroristas y desordenes.





A continuación se definen los elementos considerados parte del sistema de información o que pueden influir en el mismo:

Personal Hardware Software y utilitarios Datos e información Suministro de energía eléctrica Suministro de conectividad.

FALLAS Imposibilidad de acceso a los recursos debido a problemas físicos en las

instalaciones, naturales o humanas.

Imposibilidad de acceso a los recursos informáticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves de acceso.

Divulgación de información a instancias fuera de la institución y que afecte su patrimonio estratégico, sea mediante Robo o Infidencia.

FUENTES DE FALLAS

Acceso no autorizado

Ruptura de las claves de acceso a los sistema computacionales

Ausencia de personal (incapacidad)

Fallas de Hardware (Falla en los Servidores o Falla en el hardware de Red Switches, cableado de la Red, Router, FireWall).

CLASES DE RIESGOS

Robo común de equipos y archivos

Falla en los equipos

Equivocaciones

Acción virus informático

Accesos no autorizados

Ausencia del personal de sistemas.





7. DESARROLLO DE CONTINGENCIAS

Robo Común de Equipos y Archivos:

Grado: Grave

Frecuencia: Aleatorio

Grado de Impacto: Moderado

Situación Actual Acción Correctiva

Uso de terminales de trabajo por usuarios diferentes al responsable de la estación.

Asignación de cuentas de usuario siendo intransferibles y de total responsabilidad de cada usuario.

Falla en los Equipos:

Grado: Grave

Frecuencia de Evento: Aleatorio

Grado de Impacto: Grave


Fallos de hardware (recalentamiento)

Daño de componentes Fallos de software (virus, spam)

Programación rutinaria de mantenimientos preventivos y/o correctivos.

Contar con proveedores y suministros para el reemplazo de piezas.

Actualización rutinaria de antivirus (aplicación y base de datos) y de sistema operativo.





Accesos No Autorizados :

Grado de Negatividad: Grave




Se debe solicitar por escrito (E-mail) al técnico de sistemas la creación de usuarios y los permisos que se requiere sean asignados, o cualquier cambio referente a los mismos.

Uso de usuarios en la ausencia del responsable de la cuenta.

Capacitar al personal sobre la confidencialidad de sus contraseñas, recalcando la responsabilidad e importancia que ello implica, sobre todo para el manejo de software.

Se debe solicitar por escrito (E-mail) al técnico de sistemas la creación de usuarios y los permisos que se requiere sean asignados, o cualquier cambio referente a los mismos.

Bloqueo respectivo usuario por el tiempo de ausencia, igualmente en caso de retiro definitivo.

Capacitar al personal sobre la confidencialidad de sus contraseñas, recalcando la responsabilidad e

importancia que ello implica, sobre todo para el manejo de software.

Ausencia del personal de sistemas:

Grado de Negatividad: Grave




Ausencia del personal de sistemas. El funcionario de sistemas es la única

persona con claves de acceso al sistema, conocedor del manejo de la red y los sistemas de información.

El administrador alterno necesitara conocer el inventario actualizado de sistemas.

Generar informes sobre las actualizaciones disponibles del software instalado.

Obtener un mapa de red el cual permita conocer las interconexiones del sistema.

Coordinación previa del personal de sistemas para mayor cubrimiento (Administrador alterno opcional)

El funcionario de sistemas impartirá instrucciones al administrador alterno.

Realizar depuración al inventario de sistemas.

Generar informes sobre las actualizaciones disponibles del software instalado.

Obtener un mapa de red el cual permita conocer las interconexiones del sistema.





Interrupción en servicio HIS:

Grado de Negatividad: Severo




Interrupciones esporádicas de

conectividad, lo cual obstruye el diligenciamiento en línea en los diferentes módulos tanto asistenciales como administrativos.

Generar Sistemas de redundancia en conectividad los cuales garanticen y faciliten el diligenciamiento.

Priorización de servicios, para la normalización o puesta en marcha se priorizaran servicios asistenciales.

Nota: En casos puntuales de fallas

masivas, o caídas de nodos redundantes se deberá diligenciar manualmente la información para su posterior ingreso al sistema de información, la cual la realizará el responsable de dicha información.





Equivocaciones manejo del sistema:

Acción de Virus Informático:

Grado de Negatividad: Muy Severo

Frecuencia de Evento: Continuo



Únicamente el área de sistemas es la encargada de realizar la instalación de software en cada uno de los equipos de acuerdo a su necesidad.

Se tiene acceso restringido al servidor, únicamente es el administrador de la red el encargado de cambiar configuraciones y anexar nuevos equipos.

Los antivirus no se actualizan periódicamente en cada equipo.

Evitar que las licencias de antivirus expiren, se requiere renovación con anterioridad del nuevo antivirus.

Antes generar una nueva conexión de una maquina a la red, se debe comprobar la existencia de virus en la misma.

Informar la política informática de actualización de antivirus

Grado de Negatividad: Moderado

Frecuencia de Evento: Periódico

Grado de Impacto: Moderado


Equivocaciones que se producen de forma involuntaria, con respecto al manejo de información, software y equipos.

Algunas veces el usuario que tiene conocimiento en informática intenta navegar por sistemas que no están dentro de

Realizar instrucción inicial en el ambiente de trabajo presentando las políticas informáticas establecidas para manejo de sistemas.

El técnico de sistemas debe asignar permisos y privilegios a cada usuario de acuerdo a sus





su función diaria. La entrega de inventario es

realizada por el área de almacén no se realiza de forma mancomunada con el área de sistemas.

El daño de equipos por fallas en la energía eléctrica, requiere contar con dispositivos que amplíen tiempo para apagar correctamente el equipo.

Se presentan equivocaciones en el manejo de información debido a que no existen políticas de informática claras y precisas.

Funciones. El área de almacén debe entregar

inventario junto con el técnico de sistemas en lo referente a equipos de cómputo, licencias, antivirus y solicitar la creación inmediata del usuario con sus claves.

La institución cuenta con sistemas secundarios de energía tales como ups o planta eléctrica.

Definir políticas de informática claras y precisas, las cuales se deben comunicar a los funcionarios.

Documents

Contenido PLAN ESTRATEGICO DE... · Tomando como objeto primordial el almacenamiento, uso y protección de la información se hace vital el diseño de un plan el cual permita prevenir