Documento Plan de Tratamiento de Riesgos de Seguridad y ...

Carrera 5 No. 18 – 17 Av. Fundadores Tel: 8592325 / 8599063 / 8591888 / 8590799

Fax: 859 18 67 / NIT. 890.801.989 – 5 / www.hospitalriosucio.gov.co 1

Documento Plan de Tratamiento de Riesgos de

Seguridad y Privacidad de la Información

PLAN DE TRATAMIENTO DE RIESGOS DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Fecha de

Elaboración:

2019 – 01- 15

Sumario. Este documento tiene por objetivo mostrar el Plan de

Tratamiento de Riesgos de Seguridad y Privacidad de la

Información alineado con la estrategia del Hospital

Departamental San Juan de Dios, enfocada a Identificar las

vulnerabilidades, amenazas y riesgos en los sistemas de

información y al final propone un modelo de planeación.

Formato: Doc.

Entidad: Hospital Departamental San Juan de Dios, Riosucio Caldas

Autor(es): Ángela María García Cruz, Federico Ramírez Grisales

Revisó: Federico Ramírez Grisales

Aprobó:

http://www.hospitalriosucio.gov.co/



PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

2019

HOSPITAL DEPARTAMENTAL RIOSUCIO CALDAS

ELABORADO POR: OFICINA SISTEMAS DE INFORMACIÓN Y

COMUNICACIONES

Riosucio, Caldas Enero de 2019


HOSPITAL DEPARTAMENTAL SAN JUAN DE DIOS

RIOSUCIO – CALDAS E.S.E.



INDICE

Contenido

1.INTRODUCCÓN ..................................................................................... 5

2.JUSTIFICACIÓN .................................................................................... 6

3.1 OBJETIVO: ........................................................................................ 6

3.2 OBJETIVOS ESPECÍFICOS: ................................................................. 6

4. GLOSARIO .......................................................................................... 7

5. MARCO NORMATIVO ............................................................................. 9

6. CRITERIOS DE EVALUACIÓN DEL RIESGO ............................................. 10

7. CRITERIOS DE IMPACTO. .................................................................... 11

8. DISEÑO MATRIZ ANÁLISIS DE RIESGO ................................................. 11

8.1 VALORES: ....................................................................................... 12

8.2 MATRIZ ANALISIS DE RIESGO: ......................................................... 12

8. 3 IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS AMENZAS. .............. 13

9. CONCLUSIONES ................................................................................. 27

10. BIBLIOGRAFÍA ................................................................................. 30






CUADROS

CUADRO 1. RANGO DE VALORES NIVEL DE IMPACTO ...................... 12

CUADRO 2. ACTIVOS EN EL ÁREA DE SISTEMAS ............................ 12

CUADRO 3. ACTIVOS DE PERSONAL ............................................. 13

CUADRO 4. ACTIVOS DATOS E INFORMACIÓN ............................... 13

CUADRO 5 AMENAZA ORIGEN FÍSICO ............................................ 14

CUADRO 6. AMENAZAS NIVEL DE USUSARIO .................................. 14

CUADRO 7. AMENAZAS DE HARDWARE ......................................... 14

CUADRO 8. AMENAZA NIVEL DE DATOS ......................................... 15

CUADRO 9. AMENAZA NIVEL DE SOFTWARE ................................... 15

CUADRO 10. AMENAZA NIVEL DE INFRAESTRUCTURA ...................... 15

CUADRO 11. AMENAZA POR POLÍTICAS.......................................... 16

CUADRO 12. AMENAZA POR REDES ............................................... 16

CUADRO 13. AMENAZA POR ACCESO ............................................. 16

CUADRO 14. ORIGEN FISICO .......................................... 17

CUADRO 15. NIVEL DE USUSARIO ................................................. 18

CUADRO 16. NIVEL DE HARDWARE................................................ 20

CUADRO 17. NIVEL DE DATOS ...................................................... 21

CUADRO 18. NIVEL DE SOFTWARE ................................................ 22

CUADRO 19. NIVEL DE INFRAESTRUCTURA. ................................... 23

CUADRO 20. NIVEL DE LAS POLÍTICAS .......................................... 24

CUADRO 21. NIVEL DE REDES ...................................................... 25

CUADRO 22. NIVEL DE ACCESO.............................................................. 26






PLAN DE TRATAMINETO DE RIESGO DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

1. INTRODUCCIÓN

A partir de la Segunda Guerra Mundial es cuando se da inicio a la creación

de nuevas metodologías de seguridad de la información, generadas por

errores en cuanto las técnicas de confidencialidad e integridad y

disponibilidad, pero que al final resultaron siendo vulneradas.

Desde ese entonces, se produce un cambio en el rumbo de la historia,

el cual deja unas lecciones en cuanto a los procesos de decodificación de

los mensajes, lo que fue un salto enorme teniendo en cuenta la tecnología

de la época.

Hoy en día, la pérdida de la información es el principal riesgo al que se

enfrenta cualquier organización, por consiguiente su seguridad no solo

compete al departamento de las TI, ya que todos tienen que enfrentarse

a un sin fin de amenazas y vulnerabilidades asociadas al entorno

informático.

La seguridad de datos debe estar básicamente orientada a proteger la

propiedad intelectual y la información importante de las organizaciones

por lo que los riesgos de la información se presentan cuando confluyen

dos elementos: amenazas y vulnerabilidades.

Estas dos están ligadas, las amenazas pueden venir de cualquier parte,

interna o externa y las vulnerabilidades son la debilidad de la tecnología

en los procesos relacionados con la información.

El hospital decide entonces enlazar el Modelo del Plan de Tratamiento de

Riesgos de Seguridad y Privacidad de la Información y las actividades de

valoración a los mismos riesgos en cumplimiento de la política de

seguridad aprobada por la Alta Dirección; y como medio de herramienta

para el logro de los objetivos de mantener la información de la entidad

confidencial, integral y disponible.






El Modelo de Seguridad y Privacidad del hospital para que sea acorde con

las buenas prácticas de seguridad será actualizado periódicamente,

haciendo cambios técnicos de la norma 27001 de 2013, legislación de la

ley de protección.

2. JUSTIFICACIÓN

El hospital publica el Plan de Tratamiento de Riesgo de Seguridad y

Privacidad de la Información dando cumplimiento al Ministerio de las TICS

para la construcción de un estado más eficiente, transparente y

participativo y así dar desempeño a lo establecido en los por los

estándares de la estrategia de Gobierno en Línea.

En el marco del Modelo de Seguridad y Privacidad de la Información y el

Sistema de Gestión de Seguridad de la Información – SGSI- del

Departamento Administrativo del Hospital Departamental San Juan de

Dios E.S.E Riosucio Caldas, Busca prevenir o minimizar los efectos no

deseados que puedan ocurrir en cuanto a seguridad de la información.

Con el fin de garantizar protección y privacidad en la información de los

datos de los ciudadanos y funcionarios de la entidad, se trabaja

continuamente mediante el aprovechamiento de las TIC todo esto acorde

con lo expuesto por la Legislación Colombiana.

3.1 OBJETIVO:

Identificar las vulnerabilidades, amenazas y riesgos en los sistemas de

información para el fortalecimiento institucional.

3.2 OBJETIVOS ESPECÍFICOS:

Garantizar la continuidad de la información a través de un buen

fundamento de seguridad, el establecimiento y aplicación de controles,

reglas y parámetros de protección de la red en contra de amenazas y

el uso indebido de la misma.






Mediante la implementación del Plan de Tratamiento de Seguridad y

Privacidad de la Información en el hospital, lo que busca es contribuir

al incremento en la transparencia y la gestión pública.

La Seguridad Digital se debe promover con el uso de las mejores

prácticas de seguridad de la información.

Identificar infraestructuras críticas mediante los lineamientos en la

implementación de las mejores prácticas de seguridad y privacidad de

la información.

En cuanto a los procesos de intercambio información pública contribuir

a su mejoramiento.

Orientar a los servidores públicos en seguridad y privacidad.

Optimizar la gestión de la seguridad de la información al interior del

hospital.

Orientar al interior de la entidad en la adopción de la legislación

relacionada con la protección de datos personales.

Contribuir en el desarrollo del plan estratégico institucional.

Contribuir en el desarrollo del Plan Estratégico Institucional y la

elaboración del Plan Estratégico de tecnologías de la Información

y las comunicaciones. Contribuir en el desarrollo del ejercicio de arquitectura empresarial

apoyando en el cumpliendo de los lineamientos del marco de referencia de arquitectura empresarial para la gestión de TI del estado

colombiano. Orientar a las entidades destinatarias en las mejores prácticas para la

construcción de una política de tratamiento de datos personales respetuosa de los derechos de los titulares.

Optimizar la labor de acceso a la información pública al interior de las entidades destinatarias.

Revisar los roles relacionados con la privacidad y seguridad de la información al interior de la entidad para optimizar su articulación.

4. GLOSARIO

• Seguridad informática: Se ocupa de la implementación técnica y de la

operación para la protección de la infraestructura e información

confidencial.

• Seguridad de la información: Es el conjunto de medidas preventivas

para evaluar el riesgo y las amenazas, estas trazan el plan de acción y






los esquemas normativos. Es la línea estratégica de la confidencialidad,

disponibilidad e integridad de datos.

• Amenazas: cualquier evento, persona, situación o punto débil que

pueda causar daño.

• Vulnerabilidades: Falla o debilidad en las condiciones de un sistema que

lo hace susceptible a las amenazas.

• Riesgo: Probabilidad de ocurrencia de un impacto determinado o una

amenaza.

• Controles: Conjunto de mecanismos que se encargan de regular o

administrar, ordenar, dirigir el funcionamiento de un sistema con el fin

de obtener un resultado deseado.

• ISO: Conjunto de normas internacionales orientadas a ordenar la

gestión de una organización en sus diferentes ámbitos

• Activo: Bienes, recursos o derechos que tenga valor para una empresa.

• Activo de Información: Todo tipo de información con la que cuenta una

organización para un correcto funcionamiento al interior de la misma.

• Análisis de brechas: es una herramienta de análisis minucioso para

comparar el estado y el funcionamiento real de una organización, estado

o situación en un momento dado.

• Análisis de Riesgo: Método empleado para evaluar las causas de las

posibles consecuencias, amenazas, riesgos daños informáticos que se

puedan producir.

• Gestión del Riesgo Informáticos: Método empleado para determinar,

analizar, valorar y clasificar los riesgos informáticos para posteriormente

implementar mecanismos que permitan controlarlo.

• Incidente de seguridad informática: daño que puede comprometer la

operación de las redes, sistemas o recursos informáticos o una violación

a la Política de Seguridad de la Información.

• Evento: Acción que puedo haber causado daño, pero fue controlado.

• Información: Conjunto de datos que tienen un significado.

• Probabilidad: Posibilidad de que una amenaza se materialice






• Impacto: Daño que provoca la materialización de una amenaza.

• SGSI: Sistema de Gestión de seguridad de la Información

• MSPI: Modelo de seguridad y privacidad de la información

• PHVA: Planear, hacer, verificar, actuar.

5. MARCO NORMATIVO

Anexo 1 - Resolución 3564 de 2015 - Reglamenta aspectos

relacionados con la Ley de Transparencia y Acceso a la Información

Pública

Decreto Reglamentario Único 1081 de 2015 - Reglamento sobre la

gestión de la información pública

Título 9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del

Sector de Tecnologías de la Información y las Comunicaciones

Ley 1712 de 2014 - Ley de Transparencia y acceso a la información

pública

Ley 57 de 1985 -Publicidad de los actos y documentos oficiales

Ley 594 de 2000 - Ley General de Archivos

9 - Decreto 1078 de 2015 - Decreto Único Reglamentario del Sector de

Tecnologías de la Información y las Comunicaciones



Ley Estatutaria 1757 de 2015 - Promoción y protección del derecho a

la participación democrática



Ley estatutaria 1618 de 2013: Ejercicio pleno de las personas con

discapacidad








Ley 1437 de 2011: Código de Procedimiento Administrativo y de lo

Contencioso Administrativo

Acuerdo 03 de 2015 del Archivo General de la Nación Lineamientos

generales sobre la gestión de documentos electrónicos



Acuerdo 03 de 2015 del Archivo General de la Nación Lineamientos

generales sobre la gestión de documentos electrónicos Pagina 7 de 13

Decreto 019 de 2012 - Suprimir o reformar regulaciones, procedimientos

y trámites innecesarios existentes en la Administración Pública

Decreto 2364 de 2012 - Firma electrónica

Ley 962 de 2005 - Racionalización de trámites y procedimientos

administrativos procedimientos administrativos

Decreto 1747 de 2000 - Entidades de certificación, los certificados y las

firmas digitales

Ley 527 de 1999 - Ley de Comercio Electrónico

Decreto Ley 2150 de 1995 - Suprimen y reforman regulaciones,

procedimientos o trámites innecesarios existentes en la Administración

Pública



Ley Estatutaria 1581 de 2012 - Protección de datos personales

Ley 1266 de 2008 - Disposiciones generales de habeas data y se regula

el manejo de la información.

6. CRITERIOS DE EVALUACIÓN DEL RIESGO

Para la evaluación del riesgo con el fin de determinarlo en la seguridad de

la información de la organización se tienen en cuenta los siguientes

aspectos:

Identificar el valor estratégico de los procesos de información para la

entidad.






Analizar la parte crítica de los activos de información involucrados en

dicho proceso.

Analizar lo importante de la disponibilidad de la confidencialidad e

integridad de la información para las operaciones dentro de la entidad.

Identificar cada una de las expectativas y percepciones de las parte

Interesadas y las consecuencias negativas para el buen nombre y la reputación del hospital.

7. CRITERIOS DE IMPACTO.

Se consideran los siguientes aspectos para especificar los criterios de

impacto en términos del grado de daño o de costos para la entidad

causados por cualquier evento de seguridad de la información:

Clasificar el nivel de los activos de información en los procesos.

Analizar las brechas en la seguridad dela información (ejemplo:

Perdidas de confidencialidad, integridad y disponibilidad de la

información.

Operaciones en deterioro.

Alteración de planes y fechas límites.

Daños para la reputación.

Incumplimiento de los requisitos legales.

8. DISEÑO MATRIZ ANÁLISIS DE RIESGO

Se diseñó dicha matriz de análisis de riesgo la cual analizará el impacto

que tendría una probabilidad de amenaza sobre un activo, esta matriz

será enfocada en los sistemas de información del Hospital Departamental

San Juna de Dios E.S.E.

En el siguiente cuadro 1 se definirán los valores que calificará el rango de

valores.






8.1 VALORES:

CUADRO 1. RANGO DE VALORES NIVEL DE IMPACTO

Bajo

Medio Bajo

Medio Medio Alto Alto

Nivelo de

Impacto

1 2 3 4 5

8.2 MATRIZ ANALISIS DE RIESGO: El procedimiento de identificación de riesgos fue determinado por la

ejecución previa de los siguientes pasos:

Identificación y clasificación de los activos. La identificación de los

activos vislumbra todo lo preciso para mantener sólidos los sistemas

de información. Los activos fueron clasificados en las siguientes

categorías.

Los sistemas hacen referencia a hardware y software que pertenecen

y pueden ser afectados en el sistema. (analizar cuadro 2)

CUADRO 2. ACTIVOS EN EL ÁREA DE SISTEMAS

SIS

TEM

AS

Programas de Comunicación

Programas de Producción de Datos

Servidores

Computadores

Portátiles

Equipo de red Inalámbrica

Equipo de red cableado

Personal: Los activos de este grupo indican las labores que ejercen

las personas que pueden ser afectadas en el sistema.






CUADRO 3. ACTIVOS DE PERSONAL

PER

SO

NA

L Personal Interno

Personal Técnico Externo

Usuarios

Datos e Información: Los activos de este grupo son los más frágiles y

vulnerables en la matriz de riesgos, porque son los que van a guardar y tratar la información que es adquirida.

CUADRO 4. ACTIVOS DATOS E INFORMACIÓN

DA

TO

S E

IN

FO

RM

AC

IÓ

N

Correo Electrónico

Bases de Datos

Bases de Datos Externos

Página Web

Navegación en Internet

Sistema de Información Institucional

8. 3 IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS AMENZAS.

Las amenazas fueron obtenidas y clasificadas en las siguientes clases:

Origen Físico. Estas están direccionadas a amenazas que provienen

de desastres ambientales, degradación o fallas físicas en el sistema

del hospital.






CUADRO 5 AMENAZA ORIGEN FÍSICO

Incendio

Inundación

Sismo

Polvo

Falta de Ventilación

Electromagnetismo

Sobre carga Eléctrica

Falla de Corriente

Falla de Sistema

Nivel de Usuario. Estas amenazas están direccionadas hacia los errores que pueda obtener un usuario sobre los activos del sistema del hospital.

CUADRO 6. AMENAZAS NIVEL DE USUSARIO

Falta de inducción, capacitación y sensibilización

sobre riesgos.

Mal Manejo del Sistema de Herramientas.

Pérdida de Datos por error de usuario.

Nivel Hardware. Estas amenazas están enfocadas a diferentes fallas que puedan presentar los componentes de hardware del sistema de

comunicaciones del hospital.

CUADRO 7. AMENAZAS DE HARDWARE

Virus en el sistema a través de unidades portables

sin escaneo

extravío de equipo, unidades de almacenamiento,

entre otras

Perdida de datos por error hardware

Falta de mantenimiento físico (proceso, repuestos e insumos)

Nivel Datos. Estas amenazas se centran en la información y datos

del sistema que están expuestos a un acceso no autorizado, una alteración, entre otros.






CUADRO 8. AMENAZA NIVEL DE DATOS

Manejo Impropio de datos críticos (codificar,

borrar, entre otros

Transferencia no cifrada de datos críticos

Nivel Software. Dentro de esta clase se encuentran amenazas

enfocadas a errores de diseño, pruebas e implementación de software del sistema.

CUADRO 9. AMENAZA NIVEL DE SOFTWARE

Falta de actualización de software (procesos y recursos).

Nivel Infraestructura. Dentro de esta clase se encuentran amenazas

enfocadas a problemas de organización en la parte de infraestructura

que puede ocasionar perjuicios al sistema.

CUADRO 10. AMENAZA NIVEL DE INFRAESTRUCTURA

Dependencia a servicio técnico externo

Red cableada expuesta para el servicio no autorizado.

Políticas. Estas amenazas están enfocadas en la falta de normas y

reglas de la organización de las cuales pueden llegar a tener un gran riesgo los activos del sistema.






CUADRO 11. AMENAZA POR POLÍTICAS

PO

LITIC

AS

Falta de normas y reglas claras (no

institucionalizar el estudio de los riesgos)

Falta de mecanismos de verificación de

normas y reglas / análisis inadecuado de datos de control

Ausencia de documentación

Falta de definición de perfil , privilegios y

restricciones de personal

Falta de definición de políticas de seguridad

corporativa.

Redes. Estas amenazas están enfocadas a fallas de seguridad en el

acceso y transmisión a través de la red del sistema.

CUADRO 12. AMENAZA POR REDES

RED

ES

Red inalámbrica expuesta al acceso no

autorizado.

Acceso electrónico no autorizado a sistemas internos.

Acceso. Dentro de esta clase se presentan amenazas de acceso de

personal no autorizado al sistema

CUADRO 13. AMENAZA POR ACCESO

AC

CES

O Manejo inadecuado de contraseñas

(inseguras, no cambiar, compartidas, entre

otras.

Compartir contraseñas o permisos a

terceros no autorizados.






CUADRO 14. ORIGEN FISICO MATRIZ ANALISIS DE RIESGO

ORIGEN FÍSICO

Incendio

Inundació

n

Sis

mo

Polv

o

Falta d

e V

entila

ció

n

Ele

ctr

om

agnetism

o

Sobre

carg

a E

léctr

ica

Falla d

e C

orr

iente

Falla d

e S

iste

ma

SIS

TEM

AS

Programas de Comunicación 5 3 2 2 1 3 5 5 5

Programas de Producción de

Datos 5 3 2 2 1 3 5 5 5

Servidores 5 4 2 2 5 4 5 5 5

Computadores 5 4 2 2 5 4 5 5 3

Portátiles 5 3 2 2 5 4 5 5 3

Equipo de red Inalámbrica 5 2 2 2 3 5 5 5 2

Equipo de red cableado 5 2 2 2 3 5 5 5 4

PERSO

NAL

Personal Interno 5 2 3 1 2 1 1 1 1

Personal Técnico Externo 1 1 1 1 1 1 1 1 1

Usuarios 5 2 3 1 1 1 1 1 1

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 1 1 1 1 1 1 1 1 1

Bases de Datos 1 1 1 1 1 1 1 1 1

Bases de Datos Externos 1 1 1 1 1 1 1 1 1

Página Web 1 1 1 1 1 1 1 1 1

Navegación en Internet 1 1 1 1 1 1 1 1 1

Sistema de Información

Institucional 3 1 1 1 1 1 1 4 4

Según los resultados obtenidos de la matriz Origen Físico se puede

observar en un alto porcentaje que el área de sistemas puede ser

vulnerable a riesgos de origen físico, en el área de personal se verían

afectados de cierta manera el personal interno y los usuarios, mientras






que los datos e información es muy bajo el nivel de riesgo ya que no

interfiere directamente y se encuentran debidamente protegidos.

CUADRO 15. NIVEL DE USUSARIO

NIVEL DE USUARIO

Falta d

e inducció

n,

capacitació

n y

sensib

iliz

ació

n s

obre

riesgos.

Mal M

anejo

del Sis

tem

a d

e

Herr

am

ienta

s.

Pérd

ida d

e D

ato

s p

or

err

or

de u

suario

SIS

TE

MA

S Programas de Comunicación 2 3 4

Programas de Producción de Datos 2 3 4

Servidores 2 4 4

Computadores 3 4 3

Portátiles 3 4 3

Equipo de red Inalámbrica 2 3 2

Equipo de red cableado 2 3 2

PER

SO

NA

L

Personal Interno 4 2 2

Personal Técnico Externo 4 2 2

Usuarios 4 2 2

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 4 3 4

Bases de Datos 4 3 5

Bases de Datos Externos 4 3 5

Página Web 3 3 3

Navegación en Internet 2 3 3

Sistema de Información Institucional 5 4 5

Según los resultados obtenidos en el matriz nivel de usuario, se puede

observar en un alto nivel que el área de sistemas puede ser vulnerable a






riesgos por mal manejo de herramientas y pérdida de datos, por lo cual

en el área de personal se verían afectados por la falta de inducción; la

misma afectación sufriría los datos e información.






CUADRO 16. NIVEL DE HARDWARE

HARDWARE

Virus e

n e

l sis

tem

a a

tra

vés d

e

unid

ades p

ort

able

s s

in e

scaneo

extr

avío

de e

quip

o,

unid

ades d

e

alm

acenam

iento

, entr

e o

tras

Perd

ida d

e d

ato

s p

or

err

or

hadw

are

Falta d

e m

ante

nim

iento

fís

ico

(pro

ceso,

repuesto

s e

insum

os)

SIS

TEM

AS Programas de Comunicación 5 1 4 1

Programas de Producción de Datos 5 1 4 1

Servidores 4 4 4 4

Computadores 4 4 3 4

Portátiles 4 4 3 4

Equipo de red Inalámbrica 4 3 2 3

Equipo de red cableado 4 4 2 3

PERSO

NAL

Personal Interno 1 1 1 1

Personal Técnico Externo 1 1 1 1

Usuarios 1 1 1 1

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 4 2 2 1

Bases de Datos 5 3 4 2

Bases de Datos Externos 5 3 4 2

Página Web 3 2 1 1

Navegación en Internet 3 2 1 1

Sistema de Información Institucional 5 4 5 2

Los resultados obtenidos de la matriz de hardware se pueden ver en un

alto porcentaje que el área de sistemas puede ser vulnerable a riesgos por virus en el sistema, extravíos de equipos, pérdida de datos y falta de

mantenimiento igualmente en su respectiva medida se puede ver afectada el área de datos e información.






CUADRO 17. NIVEL DE DATOS

NIVEL DE DATOS

Manejo

Im

pro

pio

de d

ato

s

críticos (

codific

ar,

borr

ar,

entr

e o

tros

Tra

nsfe

rencia

no c

ifra

da d

e

dato

s c

ríticos

SIS

TEM

AS Programas de Comunicación 5 4

Programas de Producción de Datos 5 4

Servidores 4 3

Computadores 2 3

Portátiles 2 3

Equipo de red Inalámbrica 1 1

Equipo de red cableado 1 1

PERSO

NAL

Personal Interno 4 4

Personal Técnico Externo 4 4

Usuarios 4 4

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 4 4

Bases de Datos 5 4

Bases de Datos Externos 5 4

Página Web 3 2

Navegación en Internet 2 2

Sistema de Información Institucional 5 5

Según los resultados obtenidos de la matriz Nivel de Datos se puede

observar en un alto porcentaje que el manejo impropio de datos y la

transferencia no cifrada causan vulnerabilidad y el área de personal se

vería afectada y la de datos e información causarían un efecto negativo

similar.






CUADRO 18. NIVEL DE SOFTWARE

NIVEL DE SOFTWARE

Falta d

e a

ctu

alizació

n d

e

soft

ware

(pro

cesos y

recurs

os)

SIS

TEM

AS Programas de Comunicación 4

Programas de Producción de Datos 4

Servidores 2

Computadores 2

Portátiles 2

Equipo de red Inalámbrica 1

Equipo de red cableado 1

PERSO

NAL

Personal Interno 3

Personal Técnico Externo 3

Usuarios 3

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 2

Bases de Datos 4

Bases de Datos Externos 4

Página Web 2

Navegación en Internet 2

Sistema de Información Institucional 5

Según los resultados obtenidos de la matriz de nivel de software se puede

analizar que la falta de actualización de software en un alto porcentaje

puede afectar los programas, de comunicación y producción, las bases

de datos y el sistema de información institucional.






CUADRO 19. NIVEL DE INFRAESTRUCTURA

NIVEL DE INFRAESTRUCTURA

Dependencia

a s

erv

icio

técnic

o e

xte

rno

Red c

able

ada e

xpuesta

para

el serv

icio

no a

uto

rizado.

SIS

TEM



Servidores 2 2

Computadores 2 2

Portátiles 2 2



PERSO

NAL



Usuarios 4 3

DATO

S E

INFO

RM

ACIÓ

N


Bases de Datos 1 1


Página Web 4 1



Según los resultados obtenidos de la matriz de Nivel de Infraestructura

se puede observar en un alto porcentaje de vulnerabilidad en el área de

sistemas por red cableada expuesta y dependencia a servicio técnico






externo, en cual afecta también al personal interno y los usuarios y a

cierta área de los datos e información.

CUADRO 20. NIVEL DE LAS POLÍTICAS

POLITICAS

Falta d

e n

orm

as y

regla

s c

lara

s (

no

institu

cio

nalizar

el estu

dio

de los r

iesgos)

Falta d

e m

ecanis

mos d

e v

erificació

n d

e

norm

as y

regla

s /

análisis

inadecuado d

e

dato

s de c

ontr

ol

Ausencia

de d

ocum

enta

ció

n

Falta d

e d

efinic

ión d

e p

erf

il ,

privilegio

s y

restr

iccio

nes d

e p

ers

onal

Falta d

e d

efinic

ión d

e p

olíticas d

e

seguridad c

orp

ora

tiva.

SIS

TEM

AS

Programas de Comunicación 2 2 2 5 3

Programas de Producción de Datos

2 2 2 5 3

Servidores 2 2 2 3 3

Computadores 2 2 2 3 3

Portátiles 2 2 2 3 3

Equipo de red Inalámbrica 2 2 2 2 2

Equipo de red cableado 2 2 2 2 2

PERSO

NAL

Personal Interno 4 4 4 5 4

Personal Técnico Externo 4 4 4 5 4

Usuarios 4 4 4 5 4

DATO

S E

INFO

RM

ACIÓ

N

Correo Electrónico 1 1 1 1 1

Bases de Datos 2 2 1 1 1

Bases de Datos Externos 2 2 1 1 1

Página Web 1 1 1 1 1

Navegación en Internet 1 1 1 1 1

Sistema de Información

Institucional 3 3 4 4 4






Los resultados obtenidos de la matriz de las políticas se pueden ver en

un alto porcentaje de vulnerabilidad en cuanto al riesgo de definición

de perfil y de políticas… en las áreas de sistemas, personal y datos e

información.

CUADRO 21. NIVEL DE REDES

REDES

Red inalá

mbri

ca e

xpuesta

al acceso n

o a

uto

rizado.

Acceso e

lectr

ónic

o n

o

auto

rizado a

sis

tem

as

inte

rnos.

SIS

TEM



Servidores 4 4

Computadores 4 4

Portátiles 4 4



PERSO

NAL



Usuarios 2 4

DATO

S E

INFO

RM

ACIÓ

N


Bases de Datos 3 3


Página Web 1 1








Con respecto a los resultados obtenidos de la matriz de redes se puede

observar en un alto porcentaje en toda el área de sistemas ya puede

ser vulnerable a la red inalámbrica expuesta a acceso no autorizado.

CUADRO 22. NIVEL DE ACCESO

ACCESO

Manejo

inadecuado d

e

contr

aseñas (

insegura

s,

no

cam

bia

r, c

om

part

idas,

entr

e o

tras.

Com

part

ir c

ontr

aseñas o

perm

isos a t

erc

ero

s n

o

auto

rizados.

SIS

TEM



Servidores 4 4

Computadores 4 4

Portátiles 4 4



PERSO

NAL



Usuarios 2 2

DATO

S E

INFO

RM

ACIÓ

N


Bases de Datos 4 4


Página Web 4 4








Según los resultados obtenidos en la matriz nivel de acceso , se puede

observar en un alto porcentaje que el área de sistemas puede ser

vulnerable a riesgos por compartir contraseñas con terceros no

autorizados, esto afecta el área de personal interno y usuarios por

consiguiente afecta el nivel de datos e información en su totalidad.

En base a los datos obtenidos en el análisis de riesgo, se determinara un

control para el sistema propiamente dicho, el cual será la base para poder mitigar, implementar y controlar aquellos más relevantes como un

alto nivel de impacto. Aquellos riesgos de menor impacto no serán analizados, porque su intervención es más elemental o puede ser

innecesario realizarlos.

9. CONCLUSIONES

El manejo inadecuado de los recursos en el Sistema de Información, se

presenta en un mayor grado por la falta de capacitación de sensibilización de riesgos, por consiguiente se deben definir políticas de seguridad claras

para cada uno de los activos, personal interno, externo y usuarios del hospital.

El control de acceso impuesto a usuarios o sistemas favorecen en alta

medida a la disminución de los riesgos presentados ante los tres pilares de seguridad: confidencialidad, disponibilidad e integridad, la inclusión de

estas medidas son positivas siempre y cuando exista un seguimiento en las tareas de los usuarios y el funcionamiento de los sistemas.

El masivo uso actual de los sistemas hace prioritario conocer que tan

vulnerables pueden ser estos. El presente plan muestra cómo se puede identificar y valorar los riesgos actuales en los sistemas mencionados. Y

cuáles pueden ser los controles recomendados con el fin de disminuirlos.

Con el uso de las tecnologías las cuales apoyan los procesos en las

instituciones, aparecen riesgos que deben ser detectados, valorados y tratados de inmediato o en ocasiones antes que estos se manifiesten, de

no hacerlo se verán expuestos a daños y pérdidas considerables.






CUADRO 23. CONTROL DE RIESGOS

AREA ACTIVO AMENAZA CONTROLES

Sistemas

Portátil

Expansión de

virus en la red

Configuración de acceso limitado a redes.

Monitoreo de puertos

Computador

Pérdida del

equipos.

Emisión de guía de uso de PC. Formato de reportes de daño

y/o pérdida del equipo. Seguro de equipo contra

robo. Copia de respaldo de documentos.

Mantener servicios de sincronización en la nube.

Cifrar información sensible del equipo.

Intromisiones de otros usuarios al

equipo.

Educación en medidas de seguridad e informática. Configuración de acceso

limitado a redes. Creación de contraseñas

robustas.

Acceso por

entidades externas a información

sensible o privada

Monitoreo de conexiones

activas. Monitoreo de modificación de archivos.

Respaldos de seguridad.

Uso delincuencial

de datos

Respaldos de seguridad

expansión de virus en la red

Configuración de acceso limitado a redes. Verificación de terminales

Monitoreo de puertos.

Servidor Uso no

autorizado a servidores

Monitoreo de puertos

Recuperación del sistema.






AREA ACTIVO AMENAZA CONTROLES

Sistemas

Portátiles y/o Computadoras

Robo equipo

Monitoreo de puertos.

Determinación de niveles de responsabilidad y acceso. Planificación y seguimiento de

las tareas de soporte técnico interno.

Robo información

Encriptar información en los discos duros de los equipos

Respaldar información automática en servidores. Implementar contraseña de

arranque en la BIOS de los equipos.

Implementar contraseña de inicio de sesión en los equipos

Infiltración de Virus

Adquirir antivirus con licenciamiento empresarial Mantener antivirus actualizado

en los equipos. Tener antivirus activo en todos

los equipos. Bloquear panel de configuración de antivirus

para usuarios finales

Perdida de información

por error de Hardware

Respaldar información

automática en servidores Adquirir equipos de cómputo de

alta calidad con perfil empresarial.

Hacer renovación tecnología con un mínimo de 4 años

Realizar mantenimiento preventivo en los equipos al

menos 2 veces al año en equipos de escritorio.






Perdida de

información por error de Usuario

Respaldar información

automática en servidores Brindar capacitaciones periódicas a los usuarios en la

importación del manejo de la información.

10. BIBLIOGRAFÍA

Mintic - http://www.mintic.gov.co/

http://estrategia.gobiernoenlinea.gov.co/623/articles-

8258_recurso_1.pdf

Mintic - http://www.mintic.gov.co/

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html


http://www.mintic.gov.co/

http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf

http://estrategia.gobiernoenlinea.gov.co/623/articles-8258_recurso_1.pdf

http://www.mintic.gov.co/

http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Documento Plan de Tratamiento de Riesgos de Seguridad y ...

Documents

Transcript of Documento Plan de Tratamiento de Riesgos de Seguridad y ...