EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD” Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
Contenido 1. OBJETIVO.............................................................................................................................................. 2
2. ALCANCE .............................................................................................................................................. 2
3. RESPONSABLE ..................................................................................................................................... 2
4. DEFINICION DE TERMINOS ................................................................................................................. 3
5. DESARROLLO ....................................................................................................................................... 3
5.1 IDENTIFICACION DE RIESGOS ........................................................................................................ 3
6. PLAN DE CONTINGENCIA SEGÚN EVENTOS ................................................................................. 6
7. DESARROLLO DE CONTINGENCIAS ............................................................................................... 8
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
1. OBJETIVO
Establecer actividades de planeamiento, preparación y ejecución de labores
destinadas a proteger la Información. Garantizar la el funcionamiento normal de los procesos y operaciones en eventuales
fallos que afecten el Sistema de Información. Crear procesos de autoevaluación y retroalimentación del plan general, los cuales
permitan fortalecer las posibles falencias en los procedimientos.
2. ALCANCE
Tomando como objeto primordial el almacenamiento, uso y protección de la información se hace vital el diseño de un plan el cual permita prevenir y/o minimizar el impacto ante la posible pérdida, destrucción y robo de datos. Todo Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) se encuentra expuesto a diferentes factores y fuentes de problemas. El Hardware, el Software están expuestos a diversos Elementos de Riesgo Humano y Físicos (Condiciones de uso como: manejo, electricidad, obsolescencia etc.). El actual plan busca tomar cada fallo como un problema menor el cual permita retroalimentar y fortalecer nuestros procedimientos y planes de seguridad en la información. Pueden originarse pérdidas a partir de fallos de componentes físicos como el disco duro o por fallas técnicas como errores humanos o por fallos lógicos como virus informático etc. Por lo anterior es importante contar, adoptar y mejorar constantemente un Plan de contingencia el cual brinde a la institución control y fiabilidad sobre la información de la misma.
3. RESPONSABLE
Sistemas de información área tecnológica de sistemas.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
4. DEFINICION DE TERMINOS
El Plan descrito a continuación implica analizar los posibles riesgos a los cuales puede estar
expuesta la red informática de la institución, de forma que se puedan aplicar medidas
de seguridad preventiva o en su defecto correctivo para así afrontar contingencias y
pérdidas de diversos tipos. Los procedimientos relevantes a la infraestructura
informática, son aquellas tareas que el personal realiza frecuentemente al interactuar
con la plataforma informática (entrada de datos, generación de reportes, consultas,
etc.).El Plan de Contingencia está orientado a establecer un adecuado sistema de
seguridad física y lógica en previsión de fallos, de tal manera de establecer medidas
destinadas a resguardar la información contra los daños producidos por diversos
motivos.
5. DESARROLLO
5.1 IDENTIFICACION DE RIESGOS
A continuación se describen los principales riesgos identificados para el ares de tecnología
y comunicaciones:
CAUSAS RIESGO TIPO DE
RIESGO DESCRIPCIÓN
CONSECUENCIAS POTENCIALES
Inconvenientes en la ejecución de las actividades del Plan de gerencia de la información o ausencia del mismo tales como (1) Rotación en el personal del área de Sistemas: (2) Incumplimiento en la ejecución del cronograma de mantenimiento correctivo y preventivo. (3)Incumplimiento en la ejecución de cronograma de copias de seguridad.
Incumplimiento de los procesos y
procedimientos establecidos en el plan
de gerencia de la información.
TECNOLOGIA
La institución debe mantener y ejecutar, planes, procesos o procedimientos los cuales
permitan administrar y optimizar los recursos
informáticos y tecnológicos.
Baja en el posicionamiento de la imagen corporativa de la
institución, falta de reconocimiento de su gestión y demás fallas de comunicación con el cliente interno y externo.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
(1) Acceso físico no autorizado al centro de cómputo, centros de cableado y equipos de suministro de energía. (2) Falta de mantenimiento a las redes eléctricas y red de datos. (3) Acciones incorrectas en la administración del sistema (4) Falla imprevista en los equipos. (5) Bloqueo de hardware y software
Interrupción de servicios informáticos
como: sistema de información, acceso a
internet, correo electrónico, ofimática
etc.
TECNOLOGIA
Falla de dispositivos (Servidores, Equipos de Cómputo), herramientas
(Ofimática, Validadores) o recursos (Red LAN - WAN -
Eléctrica) las cuales imposibiliten el manejo y
análisis de la información.
1. Interrupción parcial o total de los servicios informáticos. 2. Denegación de servicios informáticos 3. Perdidas económicas. 4. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional 6. Sanciones legales y administrativas
(1) Falta de contrato de soporte y mantenimiento de software (sistema de información). (2) Carencia de licenciamiento.
Obsolescencia en sistemas de información
u otros tipos de Software, los cuales no
cumplan con estándares, políticas o
lineamientos asistenciales y administrativos.
TECNOLOGIA
La entidad debe garantizar el funcionamiento de
herramientas tales como bases de datos, ofimática,
internet, sistemas de información etc., dando
cumplimiento a estándares tanto técnicos como legales,
apoyándose en entes externos como proveedores.
1. Perdida de información. 2. información inconsistente 3. Perdidas económicas. 4. Retraso o imposibilidad en la prestación del servicio. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional 6. Sanciones legales y administrativas
(1) Fallo en el proceso de inducción y reinducción (2) Contratación de personal sin el cumplimiento de requisitos para el cargo. (3) desactualización o falta de instructivos o manuales de los sistemas de información. (4) Uso de claves estándares a nivel de inicio de sesión. (5) Divulgación y préstamo de claves. (6) Retroalimentación inoportuna. (7) insuficiente despliegue de políticas de seguridad informática. (8) NO existe obligación contractual en el cumplimiento de políticas.
Daño o perdida en los sistemas de
información debido a manejo inadecuado
del usuario final (Hardware y Software).
TECNOLOGIA
La entidad debe contar con planes, y procesos de
capacitación, socialización y reinducción de cara al usuario final, los cuales indiquen las
condiciones básicas adecuadas de uso y manejo
de los sistemas de información y todos sus
relacionados.
1. Información inconsistente. 2. Retraso en la ejecución de las actividades. 4. Insatisfacción en el usuario interno y externo. 4. Retraso o imposibilidad en la prestación del servicio. 1. Perdida o daño de información o equipos 2. Interrupción parcial o total de los servicios informáticos. 3. Denegación de servicios informáticos 5. Mala imagen institucional 6. Sanciones legales y administrativas
(1) Falta de disponibilidad del equipo programado para mantenimiento. (2) Sobrecarga de actividades por parte del
Carencia en el mantenimiento
preventivo y correctivo en equipos
informáticos el cual
TECNOLOGIA
La institución (de la mano del área de sistemas) debe
planear ejecutar y vigilar la realización de procesos y
cronogramas de
1. Incumplimiento de actividades debido a carencia de recursos informáticos.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
personal técnico (3) Ausencia de herramientas las cuales permitan cumplir el proceso.
garantice su funcionamiento.
mantenimiento, los cuales buscan garantizar la
tolerabilidad de los sistemas.
(1) Fallo de ejecución o ausencia de plan de desarrollo tecnológico. 2) Priorización de recursos inadecuada (según labor desempeñada).
Obsolescencia en equipo de cómputo u
otros tipos de dispositivos, los cuales
no permitan realizar actividades de manera oportuna y eficiente.
TECNOLOGIA
La capacidad tecnológica instalada de la institución
(Relación adecuada equipo de cómputo/personal,
infraestructura, Servicios, dispositivos) debe ofrecer y garantizar la herramientas
adecuadas, las cuales permitan desarrollar y cumplir
actividades y objetivos.
1. Interrupción parcial o total de los servicios informáticos. 2. Denegación de servicios informáticos 3. Pérdidas financieras. 4. Insatisfacción en el usuario interno y externo. 5. Mala imagen institucional
VALORACION DEL RIESGO
RIESGO CALIFICACIÓN
TIPO DE IMPACTO EVALUACIÓN ZONA
DE RIESGO PROBABILIDAD IMPACTO
Incumplimiento de los procesos y procedimientos establecidos en
el plan de gerencia de la información.
2 3 OPERATIVO M
Interrupción de servicios informáticos como: sistema de información,
acceso a internet, correo electrónico, ofimática etc.
2 3 OPERATIVO A
Obsolescencia en sistemas de información u otros tipos de Software, los
cuales no cumplan con estándares, políticas o
lineamientos asistenciales y administrativos.
2 3 OPERATIVO A
Daño o perdida en los sistemas de información debido a manejo inadecuado del usuario final
(Hardware y Software).
1 3 OPERATIVO B
Carencia en el mantenimiento preventivo y correctivo en equipos
informáticos el cual garantice su funcionamiento.
2 3 OPERATIVO M
Obsolescencia en equipo de cómputo u otros tipos de dispositivos, los
cuales no permitan realizar actividades de manera oportuna
y eficiente.
2 3 OPERATIVO M
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
6. PLAN DE CONTINGENCIA SEGÚN EVENTOS
PROCESOS Y SERVICIOS PRIORIZADOS
Software: Administrativo (Citisalud (Presupuesto, Contabilidad, Cartera, Nomina, Almacén,
Tesorería etc.) Ofimática). Asistencial (Citisalud (Historia Clínica, Laboratorio) Ofimática). Sistema Operativo. Conectividad (LAN, WAN). Bases de Datos. Antivirus, antispam, Firewall.
Hardware: Medios magnéticos de almacenamiento(Discos Duros) Suministro de Energía (ups, planta)
DEFINICION DE RIESGOS Y ESTRATEGIAS
Grado de negatividad: Un evento se define con grado de negatividad (Leve, moderada, grave y muy severo).
Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periódico y continuo) Impacto: El impacto de un evento puede ser (Leve, moderado, grave y muy severo). Plan de Contingencia: Son procedimientos que definen cómo una entidad continuará
o recuperará sus funciones críticas en caso de una interrupción no planeada. Los sistemas son vulnerables a diversas interrupciones, que se pueden clasificar en:
Leves (Caídas de energía de corta duración, fallas en disco duro, etc.) Severas (Destrucción de equipos, incendios, etc.) Riesgo: Es la vulnerabilidad de un Activo o bien, ante un posible o potencial perjuicio
o daño. Existen distintos tipos de riesgo: Riesgos Naturales: tales como mal tiempo, terremotos, etc. Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y accidentes
de transmisión y transporte. Riesgos Sociales: como actos terroristas y desordenes.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
A continuación se definen los elementos considerados parte del sistema de información o que pueden influir en el mismo:
Personal Hardware Software y utilitarios Datos e información Suministro de energía eléctrica Suministro de conectividad.
FALLAS Imposibilidad de acceso a los recursos debido a problemas físicos en las
instalaciones, naturales o humanas.
Imposibilidad de acceso a los recursos informáticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves de acceso.
Divulgación de información a instancias fuera de la institución y que afecte su patrimonio estratégico, sea mediante Robo o Infidencia.
FUENTES DE FALLAS
Acceso no autorizado
Ruptura de las claves de acceso a los sistema computacionales
Ausencia de personal (incapacidad)
Fallas de Hardware (Falla en los Servidores o Falla en el hardware de Red Switches, cableado de la Red, Router, FireWall).
CLASES DE RIESGOS
Robo común de equipos y archivos
Falla en los equipos
Equivocaciones
Acción virus informático
Accesos no autorizados
Ausencia del personal de sistemas.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
7. DESARROLLO DE CONTINGENCIAS
Robo Común de Equipos y Archivos:
Grado: Grave
Frecuencia: Aleatorio
Grado de Impacto: Moderado
Situación Actual Acción Correctiva
Uso de terminales de trabajo por usuarios diferentes al responsable de la estación.
Asignación de cuentas de usuario siendo intransferibles y de total responsabilidad de cada usuario.
Falla en los Equipos:
Grado: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación Actual Acción Correctiva
Fallos de hardware (recalentamiento)
Daño de componentes Fallos de software (virus, spam)
Programación rutinaria de mantenimientos preventivos y/o correctivos.
Contar con proveedores y suministros para el reemplazo de piezas.
Actualización rutinaria de antivirus (aplicación y base de datos) y de sistema operativo.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
Accesos No Autorizados :
Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación Actual Acción Correctiva
Se debe solicitar por escrito (E-mail) al técnico de sistemas la creación de usuarios y los permisos que se requiere sean asignados, o cualquier cambio referente a los mismos.
Uso de usuarios en la ausencia del responsable de la cuenta.
Capacitar al personal sobre la confidencialidad de sus contraseñas, recalcando la responsabilidad e importancia que ello implica, sobre todo para el manejo de software.
Se debe solicitar por escrito (E-mail) al técnico de sistemas la creación de usuarios y los permisos que se requiere sean asignados, o cualquier cambio referente a los mismos.
Bloqueo respectivo usuario por el tiempo de ausencia, igualmente en caso de retiro definitivo.
Capacitar al personal sobre la confidencialidad de sus contraseñas, recalcando la responsabilidad e
importancia que ello implica, sobre todo para el manejo de software.
Ausencia del personal de sistemas:
Grado de Negatividad: Grave
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación Actual Acción Correctiva
Ausencia del personal de sistemas. El funcionario de sistemas es la única
persona con claves de acceso al sistema, conocedor del manejo de la red y los sistemas de información.
El administrador alterno necesitara conocer el inventario actualizado de sistemas.
Generar informes sobre las actualizaciones disponibles del software instalado.
Obtener un mapa de red el cual permita conocer las interconexiones del sistema.
Coordinación previa del personal de sistemas para mayor cubrimiento (Administrador alterno opcional)
El funcionario de sistemas impartirá instrucciones al administrador alterno.
Realizar depuración al inventario de sistemas.
Generar informes sobre las actualizaciones disponibles del software instalado.
Obtener un mapa de red el cual permita conocer las interconexiones del sistema.
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
Interrupción en servicio HIS:
Grado de Negatividad: Severo
Frecuencia de Evento: Aleatorio
Grado de Impacto: Grave
Situación Actual Acción Correctiva
Interrupciones esporádicas de
conectividad, lo cual obstruye el diligenciamiento en línea en los diferentes módulos tanto asistenciales como administrativos.
Generar Sistemas de redundancia en conectividad los cuales garanticen y faciliten el diligenciamiento.
Priorización de servicios, para la normalización o puesta en marcha se priorizaran servicios asistenciales.
Nota: En casos puntuales de fallas
masivas, o caídas de nodos redundantes se deberá diligenciar manualmente la información para su posterior ingreso al sistema de información, la cual la realizará el responsable de dicha información.
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
Equivocaciones manejo del sistema:
Acción de Virus Informático:
Grado de Negatividad: Muy Severo
Frecuencia de Evento: Continuo
Grado de Impacto: Grave
Situación Actual Acción Correctiva
Únicamente el área de sistemas es la encargada de realizar la instalación de software en cada uno de los equipos de acuerdo a su necesidad.
Se tiene acceso restringido al servidor, únicamente es el administrador de la red el encargado de cambiar configuraciones y anexar nuevos equipos.
Los antivirus no se actualizan periódicamente en cada equipo.
Evitar que las licencias de antivirus expiren, se requiere renovación con anterioridad del nuevo antivirus.
Antes generar una nueva conexión de una maquina a la red, se debe comprobar la existencia de virus en la misma.
Informar la política informática de actualización de antivirus
Grado de Negatividad: Moderado
Frecuencia de Evento: Periódico
Grado de Impacto: Moderado
Situación Actual Acción Correctiva
Equivocaciones que se producen de forma involuntaria, con respecto al manejo de información, software y equipos.
Algunas veces el usuario que tiene conocimiento en informática intenta navegar por sistemas que no están dentro de
Realizar instrucción inicial en el ambiente de trabajo presentando las políticas informáticas establecidas para manejo de sistemas.
El técnico de sistemas debe asignar permisos y privilegios a cada usuario de acuerdo a sus
“SALUD INTEGRAL CON HUMANISMO Y CALIDAD”
Calle 9 A Nº 3 – 80 Telefax 091 856 3147 Celular. 3123865802
EMPRESA SOCIAL DEL ESTADO HOSPITAL NUESTRA SEÑORA DEL ROSARIO SUESCA
NIT: 832.011.441 – 0 BAJA COMPLEJIDAD
su función diaria. La entrega de inventario es
realizada por el área de almacén no se realiza de forma mancomunada con el área de sistemas.
El daño de equipos por fallas en la energía eléctrica, requiere contar con dispositivos que amplíen tiempo para apagar correctamente el equipo.
Se presentan equivocaciones en el manejo de información debido a que no existen políticas de informática claras y precisas.
Funciones. El área de almacén debe entregar
inventario junto con el técnico de sistemas en lo referente a equipos de cómputo, licencias, antivirus y solicitar la creación inmediata del usuario con sus claves.
La institución cuenta con sistemas secundarios de energía tales como ups o planta eléctrica.
Definir políticas de informática claras y precisas, las cuales se deben comunicar a los funcionarios.