E.S.E. HOSPITAL SAN AGUSTIN.
(Puerto Merizalde)
PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD
Y PRIVACIDAD DE LA INFORMACIÓN
Buenaventura, enero de 2021
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 1 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
E.S.E. HOSPITAL SAN AGUSTIN
(Puerto Merizalde)
PLAN DE TRATAMIENTO DE RIESGOS
DE SEGURIDAD Y PRIVACIDAD
DE LA INFORMACIÓN.
El plan de tratamiento de riesgos de Seguridad y Privacidad de la información, se
direcciona como la estratégica para el desarrollo e implementación de una cultura
digital de carácter preventivo frente a los riesgos, en la plataforma informática
de la E.S.E. Hospital San Agustín de Puerto Merizalde.
Buenaventura, Enero de 2021
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 2 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
INTRODUCCIÓN
La E.S.E Hospital San Agustín de Puerto Merizalde.(Hsa), presenta a los grupos de
interés, y a la ciudadanía en general, el Plan de Tratamiento de Riesgos de Seguridad y
Privacidad de la Información para la vigencia 2021, donde se establece un conjunto de
actividades basadas en el ciclo PHVA (Planificar Hacer-Verificar-Actuar) para crear
condiciones de uso confiable en el entorno digital y físico de la información, mediante un
enfoque basado en la gestión de riesgos, preservando la confidencialidad, integridad y
disponibilidad de la información de la institución, para mitigar las posibles afectaciones a
los activos que apoyan la prestación del servicio de salud en el Nivel 1, en el área de los
ríos Naya, Yurumangui, Cajambre y la zona de influencia del corregimiento No. 15 del
distrito especial de buenaventura (Valle del cauca) y sobre factores que inciden en la
calidad de la información que se brinda, basado en Norma Técnica ISO31000:2011 y la
guía para la administración del riesgo y el diseño de controles en entidades públicas y lo
establecido en el Decreto 1008 de 14 de junio 2018 “Por el cual se establecen los
lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del
título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario
del sector de Tecnologías de la Información y las Comunicaciones”, dentro del cual se
establecen para las entidades del estado los Habilitadores Transversales: Seguridad de
la Información, Arquitectura de TI y Servicios Ciudadanos Digitales.
Este documento contiene objetivos, generalidades, contexto, contexto normativo,
definiciones, metodología de implementación y mapa de ruta con las actividades a ejecutar
con fechas y responsables.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 3 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
OBJETIVOS ..................................................................................................................................... 4
Objetivos específicos ................................................................................................................. 4
GENERALIDADES ......................................................................................................................... 5
Contexto estratégico .................................................................................................................. 5
Establecimiento contexto ........................................................................................................... 6
REFERENCIAS NORMATIVAS ............................................................................................... 6
DEFINICIONES ........................................................................................................................... 7
Contexto - Información sobre la evaluación de riesgos ................................................. 11
Análisis de Riesgos .............................................................................................................. 11
Tratamiento de Riesgos ....................................................................................................... 11
Comunicación de Riesgos ................................................................................................... 12
Monitoreo - Información de Riesgos y revisión ................................................................ 12
MAPA DE RUTA ........................................................................................................................... 14
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 4 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
Justificación
El presente documento tiene como fin generar una cultura de prevención contra los riesgos
a los que día a día se pudieran ver sometidos los activos de información de la E.S.E.
Hospital San Agustín (Puerto Merizalde). Basados en un enfoque de planeación de gestión
del riesgo se pretende realizar una estrategia que permita diagnosticar, evaluar,
implementar y desarrollar la gestión de incidentes que afectan al activo de información e
implantar unas contramedidas en el sistema de gestión informático para disminuir la
probabilidad de su materialización.
OBJETIVOS
Objetivo General
Mantener la integridad, confidencialidad y disponibilidad de la información a través de la
gestión del riesgo asociado a la información de la E.S.E Hospital San Agustín de Puerto
Merizalde (Hsa)
Objetivos específicos
a. Validar la metodología de riesgos de la E.S.E Hospital San Agustín de Puerto
Merizalde (Hsa), para la vigencia 2021 en lo relacionado a aquellos que puedan
afectar la integridad, confidencialidad y disponibilidad de la información.
b. Identificar los riesgos en los procesos de la entidad, que puedan afectar la
integridad, confidencialidad y disponibilidad de la información.
c. Hacer seguimiento en el 2021 a los riesgos en los procesos de la E.S.E Hospital
San Agustín, que puedan afectar la integridad, confidencialidad y disponibilidad de
la información.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 5 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
RECURSOS
La E.S.E Hospital san Agustín, cuenta con los siguientes recursos
Recursos Humanos: Gerente General, Líderes del Proceso, Profesionales, Tecnología, Personal Externo Físico: Edificación, muebles y enceres, Routers, Firewall, PC, impresoras, escáner, ups, reguladores, equipos de comunicación, red de datos y otros similares RESPONSABLES
Gerente General.
Líderes del Proceso.
Profesional de Tecnología
GENERALIDADES
Contexto estratégico
El presente plan está alineado y contribuye al logro de la misión, visión, metas y demás
elementos del direccionamiento estratégico de la E.S.E Hospital San Agustín de Puerto
Merizalde, los cuales se estipulan en el Plan Estratégico Institucional.
Articulación con el contexto estratégico
Objetivo
estratégico al
que aporta:
• Fortalecer análisis y divulgación de información relevante para grupos de interés
• Fortalecer el uso de la tecnología
• Optimizar los procesos misionales
• Mejorar los procesos administrativos
Gestión y
Desempeño
Institucional -
MIPG
• Política Gobierno Digital
• Política de Seguridad Digital
• Política de Transparencia, acceso a la información
pública y lucha contra la corrupción
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 6 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
Establecimiento contexto
El presente plan aplica en todos los procesos de Ia E.S.E Hospital San Agustín de Puerto
Merizalde (Hsa), para la Evaluación de la información, donde haya recolección,
procesamiento, almacenamiento, recuperación, intercambio y consulta de información,
para el desarrollo de la misión institucional y cumplimiento de sus objetivos estratégicos.
REFERENCIAS NORMATIVAS
Ley 44 de 1993 “por la cual se modifica y adiciona la Ley 23 de 1982 y se modifica
la Ley 29 de 1944.” (Derechos de autor).
Ley 527 de 1999 “por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.
Ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un
nuevo bien jurídico tutelado - denominado "de la protección de la información y de
los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras disposiciones”.
Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección
de datos personales”.
Ley 1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del
Derecho de Acceso a la Información Pública Nacional y se dictan otras
disposiciones”.
Decisión Andina 351 de 2015 “Régimen común sobre derecho de autor y derechos
conexos”.
CONPES 3854 de 2016 – Política de Seguridad Digital del Estado Colombiano.
Decreto 1078 de 2015 modificado por el Decreto 1008 de 2018 - Política de
Gobierno Digital que contiene el Modelo de Seguridad y Privacidad - MSPI de
MINTIC.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 7 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
Decreto 1499 de 2017, el cual modificó el Decreto 1083 de 2015 – Modelo Integrado
de Planeación y Gestión.
Guía para la administración del riesgo y el diseño de controles en entidades
públicas. RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL año
2018.
Norma Técnica Colombiana ISO27001:2013.
Norma Técnica Colombiana ISO31000:2013.
MODELO DE GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL (MGRSD).
DEFINICIONES
Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas) que tenga valor para la organización. (ISO/IEC 27000).
Activo de Información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controlar en su calidad de tal. Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, Conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3). Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000). Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000).
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 8 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoria y obviamente para determinar el grado en el que se cumplen los criterios de auditoria. (ISO/IEC 27000). Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3). Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3).
Confidencialidad: propiedad de la información que la hace no disponible, es decir,
divulgada a individuos, entidades o procesos no autorizados.
Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6). Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3). Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3). Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h). Datos Personales Mixtos: Para efectos de esta guía es la información que contiene datos personales públicos junto con datos privados o sensibles. Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 9 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3).
Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad.
Estándar: Regla que especifica una acción o respuesta que se debe seguir a una
situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir
las políticas. En este documento se habla de las Norma Técnica Colombiana
ISO31000:2013.
Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento razonable con respecto
al logro de los objetivos.
Información: Es un conjunto organizado de datos, que constituyen un mensaje sobre un
determinado ente o fenómeno. Indicación o evento llevado al conocimiento de una
persona o de un grupo. Es posible crearla, mantenerla, conservarla y transmitirla.
Integridad: propiedad de exactitud y completitud.
Sistema de Gestión de Seguridad de la Información: Parte del sistema de gestión
general del Instituto, basada en un enfoque hacia los riesgos globales del negocio, cuyos
fines son establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar
la seguridad de la información.
Política de seguridad de información: Es el instrumento que adopta una entidad para
definir las reglas de comportamiento aceptables en el uso y tratamiento de la información.
Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los
objetivos institucionales o de los procesos de la E.S.E Hospital San Agustín de Puerto
Merizalde. Se expresa en términos de probabilidad y consecuencias.
Riesgo de seguridad y privacidad: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. Se mide en términos de Contexto - Información sobre la evaluación de riesgos probabilidad y consecuencias.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 10 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
DESARROLLO DEL PAN DE TRATAMIENTO DE RIEGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION.
La metodología de gestión de identificación, evaluación y gestión de riesgos de los
sistemas de gestión vigentes de la E.S.E. hospital san Agustín de Puerto Merizalde, se
basa en la NTC-ISO 31000, la Guía de Gestión del Riesgo del Departamento
Administrativo de la Función Pública - DAFP y la Guía de la Secretaria de Transparencia
de la Presidencia de la República, denominada Guía para la Gestión de Riesgo de
Corrupción y Modelo de Gestión de Riesgos de Seguridad Digital - MGRSD. Su propósito
es la identificación, estimación y evaluación de los riesgos del Instituto para definir un plan
de tratamiento que se ajuste a los objetivos de cada uno de los procesos.
La Gestión de Riesgos del Hsa, incluyendo los Riesgos de Seguridad y Privacidad se lleva
a cabo por los Líderes de cada proceso y lo gestionan para el cumplimiento de la misión,
la visión estratégica y los objetivos misionales, con el fin de determinar el tratamiento del
riesgo aceptable sobre cada uno de los riesgos identificados, teniendo en cuenta el
siguiente esquema:
Ciclo de la Gestión de Riesgos
Tratamiento
Monitor Análisis
Contexto
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 11 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
Contexto - Información sobre la evaluación de riesgos:
Se establece un contexto del proceso con los siguientes aspectos:
o Contexto del Proceso: Se determinan las características o aspectos esenciales
del proceso y sus interrelaciones.
o Diseño del proceso: Claridad en la descripción del alcance y objetivo del proceso.
o Interrelación con otros procesos: Relación precisa con otros procesos en cuanto
a insumos, proveedores, productos, usuarios o clientes.
o Transversalidad: Procesos que determinan lineamientos necesarios para el
desarrollo de todos los procesos de la entidad.
o Procedimientos asociados: Pertinencia en los procedimientos que desarrollan los
procesos.
o Responsables del proceso: Grado de autoridad y responsabilidad de los
funcionarios frente al proceso.
o Comunicación entre los procesos: Efectividad en los flujos de información
determinados en la interacción de los procesos.
Y luego se establece el tipo de proceso: Misional, Estratégicos, de Apoyo y Evaluación y
Control.
Análisis de Riesgos
Se realiza la identificación de causas, vulnerabilidades, amenazas (identificación,
descripción, tipo), consecuencias y se determina la clase de riesgo (probabilidad e
impacto), todo esto asociado a aquellos eventos o situaciones que afecten los activos de
información que pueden entorpecer el normal desarrollo de los procesos.
Tratamiento de Riesgos
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 12 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
El tratamiento del riesgo consiste en seleccionar y aplicar las medidas adecuadas, con el
fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos, para lo
cual se definen Medidas de Respuesta ante los Riesgos (asumir, reducir, compartir,
trasferir o evitar), luego se definen acciones de mitigación de riesgos (actividades o tareas,
responsables, plazo de ejecución y seguimiento)
Comunicación de Riesgos
Participan todos los procesos e involucran a todos los colaboradores para el levantamiento
de los mapas de riesgo, contando con el aporte de los colaboradores con mayor experticia
tanto para la identificación como para el tratamiento de riesgos.
Cuando se identifica un riesgo el Hsa, comparte u obtiene información a través de un
diálogo con las partes involucradas con respecto a la gestión del riesgo. La información
está relacionada con la existencia, la naturaleza, la forma, la probabilidad, el significado,
la evaluación, la aceptabilidad y el tratamiento de la Gestión de riesgo.
Monitoreo - Información de Riesgos y revisión
Los riesgos identificados traen consigo controles que incluyen el monitoreo de los eventos
correspondientes, invirtiendo los recursos de acuerdo a la criticidad del riesgo asociado,
las responsabilidades del monitoreo comprenden todos los aspectos del proceso para la
gestión del riesgo con el fin de:
o Garantizar que los controles son eficaces y eficientes tanto en el diseño como en
la operación.
o Obtener información adicional para mejorar la valoración del riesgo.
o Analizar y aprender lecciones a partir de los eventos.
o Detectar cambios en el contexto externo e interno, incluyendo los cambios en los
criterios de riesgo y en el riesgo mismo que puedan exigir revisión de los
tratamientos del riesgo y las prioridades.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 13 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
PROBABILIDAD DE RIESGO
Probabilidad: La posibilidad de ocurrencia del riesgo, representa el número de veces que el riesgo se ha presentado en un determinado tiempo o pudiese presentarse.
PROBABILIDAD DE RIESGO
NIVEL DESCRIPCION
1 RARO Evento que puede ocurrir sólo en circunstancias excepcionales, entre 0 y 1 vez en 1 semestre
2 IMPOSIBLE Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre.
3 POSIBLE Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en 1 semestre
4 PROBABLE Evento que puede ocurrir en casi siempre entre 11 y 15 veces en 1 semestre.
5 CASI SEGURO Evento que puede ocurrir en la mayoría de las circunstancias más de 15 veces en 1 semestre
Impacto: Hace referencia a las consecuencias que puede ocasionar a la E.S.E. Hospital
San Agustín (Puerto Merizalde) la materialización del riesgo; se refiere a la magnitud de
sus efectos.
VALOR DE IMPACTO
NIVEL DESCRIPCION ESCALA
1 Insignificante
Impacta negativamente de forma leve la imagen y operación de un rol. No tiene impacto Financiero para el Hsa o sus procesos. Impacta negativamente, posibilidad de recibir multas.
>=1 y =5 y
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 14 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
3 Moderado
Afecta negativamente la imagen Institucional a nivel regional por retrasos en la prestación de los servicios y la operación no sólo del proceso evaluado sino de otros procesos. Se pueden presentar sobrecostos por reprocesos y aumento de carga operativa, no sólo en el proceso evaluado sino a otros procesos. Impacta negativamente, posibilidad de recibir una investigación disciplinaria.
>=9 y =13 y =17 y
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 15 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
No Actividad Fecha de
inicio Fecha final Responsable
Producto o resultado
esperado
Riesgos de Seguridad y Privacidad de la Información
1
Actualización metodología
de Riesgos de
Seguridad y
Privacidad.
Enero Marzo Equipo SGSI Matriz de riesgos
2
Información sobre la
Evaluación de
riesgos de
seguridad.
Marzo Mayo Equipo SGSI Comunicaciones
internas / Correo electrónico
3
Identificación y
Análisis de
Riesgos
Seguridad de la
información
Febrero Diciembre
Todas las áreas y
acompañamiento
de Equipo SGSI
Matriz de riesgos
4
Publicación de riesgos de
seguridad de
información
Abril Diciembre Equipo SGSI Link de transparencia
5
Tratamiento de Riesgos
Seguridad de la
Información
Febrero Diciembre
Todas las áreas y
acompañamiento
de Equipo SGSI
Actas de reunión /
correos electrónicos
6
Información de seguridad
Seguimiento de
Riesgos y
Revisión-
Informe
Junio Diciembre
Equipo SGSI –
Oficina de
Control Interno
Informe de riesgos
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 16 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
De esta manera, este Mapas de Rutas Tecnológicas para el tratamiento de los riesgos
de seguridad y privacidad de la información de la E.S.E. Hospital San Agustín (Puerto
Merizalde), son técnicas de planeación que tiene como objetivo principal ligar la estrategia
y las prioridades del negocio con la implementación de tecnologías que permitan impactar
los resultados.
mailto:[email protected]
ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8
VERSION: 1
CODIGO: PL-GAP-GI-04
PLAN DE SEGURIDAD INFORMATICA Página 17 de 17
D
Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio
ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]
Sede Operativa: Distrito especial de Buenaventura;
Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]
Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese
REFERENCIAS BIBLIOGRÁFICAS
o Norma técnica colombiana NTC-ISO /IEC 27005
o Norma técnica colombiana NTC-ISO /IEC 27005
o Metodología para la evaluación del desempeño de controles en sistema de
gestión de seguridad de la información sobre la norma ISO/IEC 27001 de la Universidad Nacional, 2016
o Guía de gestión de riesgos, seguridad y privacidad de la información, MINTIC
o Manual integrado de gestión, SIG-UPTC, versión 31
o Procedimiento elaboración y control de documentos, SIG-UPTC, versión 13
o Guía aspectos generales de la documentación, SIG-UPTC, versión 3
o Guía para la gestión de riesgos de activos de información, SIG-UPTC, versión 7
mailto:[email protected]