Menú
Ir arriba
Slider

POLITICA SEGURIDAD DE LA INFORMACION

 

1. DECLARACIÓN DEL COMPROMISO
La institución con el ánimo de proteger los activos de información que es generada desde sus áreas busca establecer medidas organizacionales , tecnicas , fisicos y legales que permitan proteger la información critica y de gestión para sus clientes internos y externos
PROPÓSITO
Promover el uso de tecnologías seguras mediante normas simples aplicables al usuario del sistema de información, apoyado mediante herramientas que permitan prestar servicios de salud eficientes y confiable.

DESARROLLO DE LA POLÍTICA
La política de seguridad de la información se refiere a la capacidad del sistema de información para evitar amenazas latentes en el entorno, y generar unas pautas claras para el manejo y utilización de las herramientas informáticas y la información con el fin de de garantizar una adecuado soporte para el desarrollo de los procesos institucionales.

En términos generales la política de seguridad de la información, engloba los procedimientos más adecuados para la gestión de la información en los diferentes niveles de la organización, tomando como lineamientos principales cuatro criterios, los cuales están soportados en:

Seguridad Organizacional(Metodologico)
Seguridad Lógica
Seguridad Física
Seguridad Legal

A continuación se desarrolla cada uno de ellos.

2. SEGURIDAD ORGANIZACIONAL
Dentro de ésta, se establece el marco formal de seguridad que tiene la institución, incluyendo servicios o contrataciones externas a la infraestructura de seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.

1.1 Equipos e infraestructura tecnológica

Los servicios y equipos de la red institucional son de uso exclusivo de la institución y para el desarrollo de actividades laborales
La asignación de equipos de cómputo se establece de acuerdo a lo contemplado en la matriz de criticidad.
Se garantiza el acceso a internet para soportar el desarrollo de los procesos institucionales, por ello servicios como los chats y la pagina web son restringidos por seguridad de la información empresarial y se permite su uso de acuerdo a las necesidades de los responsables de servicios.
Se cuenta con un plan de contingencia, que orienta y guía a los usuarios del sistema sobre la forma o métodos necesarios para salir avante ante cualquier eventualidad que se presente en el sistema de información sin afectar la prestación de los servicios.
El área de sistemas es la responsable de realizar las copias de seguridad para las bases de datos que se procesen en la institución de acuerdo al cronograma establecido (se anexa), la información generada en las estaciones de trabajo será responsabilidad del funcionario en ejercicio.
Se realizan respaldos de la información de acuerdo a lo contemplado en el cronograma institucional, garantizando que una copia se almacene en un lugar externo.
Las áreas en las cuales se almacena información física o electrónica, cuentan con equipos que velan por la seguridad de la misma como alarmas contra incendio, extintores, mecanismos de ventilación y los demás criterios que se definen en el manual de archivo.
En los Equipos destinados para la atención clínica de usuarios no se deben almacenar archivos personales ni administrativos.

1.2 Software

Con el fin de aprovechar las mejoras realizadas a los programas, se realiza la actualización del software utilizado por la E.S.E. siempre y cuando se cuente con condiciones básicas de seguridad para la estabilidad del sistema de información.
Se realizan revisiones o pruebas minuciosas sobre las aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo real, con el objetivo de evitar redundancias en las salidas de información u otras anomalías.
Únicamente se utiliza software certificado o en su defecto software licenciado revisado y aprobado, por personal calificado en el área.

1.3 Usuarios del sistema

La institución brinda capacitación a los usuarios del sistema de la E.S.E Hospital del Sur sobre los lineamientos de la política de seguridad Informática.
Es responsabilidad de todos los usuarios del sistema realizar el reporte fallas administrativas relacionadas con los sistemas de información y recursos informáticos.
La oficina de Archivo se responsabiliza de toda la documentación que ingrese a la entidad a través de ella, prohibiendo el recibo de documentos en otras áreas.

1.4 Restricciones de acceso a la información

No debe existir sobre el escritorio información confidencial o de importancia solo para la organización a la vista de cualquier persona, ni referencias sobre los códigos de acceso de la persona encargada de algún cargo que sea parte de la organización.
Se restringe el acceso a las dependencias de sistemas, archivo central, archivo clínico, tesorería y nómina, al personal no autorizado, con el fin de salvaguardar la información que allí se almacena.
Las puertas de acceso a dichas dependencias deben permanecer cerradas.
Sólo las personas encargadas de los procesos que se desarrollan en dichas oficinas se encuentran autorizadas para acceder a estas dependencias y por lo tanto cuando se detecte la presencia de personal no autorizado o haya indicios de que se ha producido un acceso no autorizado, se hará constar este hecho como falla administrativa en el medio correspondiente.
Cuando las personas con permisos temporales de acceso a la E.S.E. Hospital del Sur se encuentren en las respectivas dependencias de la institución, estarán en todo momento, acompañadas del personal de la E.S.E.
Cuando se solicite o requiera información por parte de clientes internos o externos, se deben aplicar los lineamientos contemplados en los procedimientos respectivos para tal fin.
El asesor de gestión de la información y el ingeniero de sistemas, realizan rondas de seguridad dos veces al año, en las cuales verifican el cumplimiento de los ítems de la política y brindan la capacitación necesaria a los funcionarios entrevistados.
Matriz de criticidad

Formato de rondas de seguridad de información

Cronograma de copias de seguridad


3. SEGURIDAD LÓGICA
Establece e integra los mecanismos y procedimientos, que permiten monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades, perfiles de seguridad, control de acceso a las aplicaciones y documentación sobre sistemas, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, selección y aceptación de sistemas, hasta el control de software malicioso.

2.1 Administración del Acceso

2.1.1 Responsabilidades de la entidad

Asignar a todos los usuarios del sistema una cuenta de acceso, identificando previamente los procesos en los cuales participa y los permisos explícitos a los sistemas a los cuales accederá. Dichas cuentas se activan en el momento en cual se valida la contratación o vinculación de los funcionarios a los procesos institucionales.
La activación y desactivación de las claves de acceso a los aplicativos de la organización, está a cargo del responsable de sistemas, al igual que su depuración. Como autocontrol, el técnico de soporte informático actualiza la primer semana de cada mes el listado de correos electrónicos y revisa que los funcionarios que salieron de la entidad se encuentren inactivos de todos los aplicativos.
El acceso a la configuración del sistema operativo de los servidores, es únicamente permitido al administrador del sistema.
Los funcionarios de la E.S.E, son usuarios limitados, estos tendrán acceso únicamente a los servicios de la red y recursos compartidos, cualquier cambio sobre los servicios a los que estos tengan acceso, será motivo de revisión y modificación de esta política.
El acceso a la red por parte de terceros es estrictamente restrictivo y permisible únicamente mediante autorización de la gerencia o convenios establecidos.
El área de sistemas e informática restringe el acceso a las bases de datos en las que se almacena la información institucional, para asegurar su correcta utilización.
La longitud mínima de caracteres permisibles en una contraseña se establece en 6 caracteres, los cuales tendrán una combinación alfanumérica, incluida en estos caracteres especiales.
La longitud máxima de caracteres permisibles en una contraseña se establece en 12 caracteres, siendo esta una combinación de Mayúsculas y minúsculas.

2.1.2 Responsabilidades del Usuario

Las contraseñas son de uso personal e intransferible, cada usuario es responsable exclusivo de mantener a salvo su contraseña, para ello debe:

Evitar guardar o escribir las contraseñas en cualquier papel o superficie o dejar constancia de ellas, a menos que ésta sea guardada en un lugar seguro.
Se debe reportar al área de sistemas, los archivos en los cuales se almacene información concerniente al desarrollo de los procesos institucionales y que se encuentre protegida mediante contraseñas, de tal forma que se guarde allí un respaldo de la contraseña y disminuir así el riesgo de pérdida de información por pérdida u olvido de la misma.
Realizar el cambio de su contraseña como mínimo cada tres meses o cuando sospeche de alguna violación.
Al dejar el puesto de trabajo, aunque sea por un momento, se deben cerrar las aplicaciones que se estén utilizando.

2.1.3 Control para las Aplicaciones
Se tiene definido y estructurado el nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, haciendo especial énfasis en los derechos de escritura, lectura, modificación, ejecución o borrado de información.

La creación de perfiles es necesaria para los aplicativos que soportan el sistema de información y que son operados por funcionarios de la entidad

Los perfiles para la E.S.E están definidos en dos grandes grupos ASISTENCIAL y ADMINISTRATIVOS

El perfil asistencial es para los integrantes del equipo de salud, quienes tienen acceso a la información clínica de los usuarios en el software, información que es necesaria para el desarrollo de sus labores.
El perfil administrativo esta definidos de acuerdo a la funciones financieras y administrativa que realicen los funcionarios responsables de estas labores, no tendrán acceso a la historia clínica del paciente.

El alcance de cada perfil es definido por los líderes de cada proceso, los cuales son parametrizados y revisados con el apoyo del administrador del sistema, al igual que el mantenimiento de los permisos funcionales del sistema generando en cada ajuste un acta que evidencie los cambios realizados.

El administrador del sistema en forma conjunta con los responsables de los servicios, documenta y enviar los requerimientos del software a los respectivos proveedores de software, el administrador del sistema los consolida a través de una matriz de requerimientos, por medio de la cual se realiza seguimiento trimestral para verificar el avance en la resolución de cada uno.

2.2 Uso del Correo Electrónico

El correo electrónico es de uso exclusivo, para los empleados de la E.S.E Hospital del Sur y para manejo de información interna, por ello la entidad está facultada para revisar las cuentas de los empleados con autorización de la gerencia cuando la situación lo amerite.
Los Funcionarios deben garantizar que su cuenta de correo se encuentra depurada, es decir, sin correos con antigüedad mayor de un mes o con un tamaño mayor de 100 MB. De lo contrario el administrador del sistema podrá eliminar sin autorización previa dichos correos y el empleado se hará acreedor a un llamado de atención
Todo uso indebido del servicio de correo electrónico, será motivo de suspensión temporal de su cuenta de correo o según sea necesario la eliminación temporal o total de la cuenta dentro del sistema.
El usuario será responsable de la información que sea enviada con su cuenta y de la información que se descargue en los equipos de la ESE desde ella.
No se permite el envío de cadenas de correo en las cuentas institucionales
No se deben abrir correos desconocidos, en otros idiomas o con mensajes incoherentes por el riesgo de virus.
Se deben enviar los correos de acuerdo a los lineamientos generales dados en el Manual para la elaboración de comunicaciones oficiales.
El correo electrónico debe ser revisado por los funcionarios por lo menos dos veces al día, no realizarlo no lo exime de la responsabilidad de conocer la información suministrada por este medio.
El área de informática emplea dispositivos de red para el bloqueo, enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de información, no autorizada hacia la red interna o desde la red interna hacia el exterior.

2.3 Virus

La institución garantiza la permanencia y actualización de plataformas de antivirus que permitan fortalecer la seguridad informática

Los Usuarios del Sistemas de información son los responsables de solicitar soporte informático en caso de encontrar situaciones sospechosas

Todos los medios extraíbles que ingresen a la institución se debe realizar previamente el proceso de vacunación

No instalar "vacunas" sin la autorización de área de Sistemas. Estas aunque parezca paradójico, pueden estar infectadas

El área de soporte técnico es el responsable de velar por la actualización del antivirus en portátiles

4. SEGURIDAD FÍSICA
Identifica los límites mínimos que se deben cumplir en cuanto a perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en la importancia de recursos utilizados

Seguridad de los Equipos

El cableado de red, se instala físicamente separado de cualquier otro tipo de cables, como de corriente o energía eléctrica, para evitar interferencias, por ello todos los puntos se encuentran certificados.
Los equipos críticos de información y proceso, se ubican en áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el personal de sistemas y las personas responsables por esos activos, quienes deberán poseer su debida identificación.
Sólo el personal de sistemas puede realizar aseo y/o limpieza a los equipos de cómputo
En ningún momento se deben dejar desprotegidos equipos que almacenen información sensible de robo, manipulación o acceso visual, sin importar el medio en el que ésta se encuentre, de forma que pueda ser alcanzada por terceros o personas que no deban tener acceso a esta información
Se realiza control exhaustivo del mantenimiento preventivo y correctivo que se les hace a los servidores.
La institución vela por el buen estado del software y hardware que soportan el sistema de información. Se lleva un registro global del mantenimiento efectuado sobre los equipos y cambios realizados desde su instalación en la hojas de vida que reposan en el software para tal fin
La institución garantiza la dotación de seguridad necesaria para proteger la integridad de los recursos tecnológicos y la información (extintores, medidores, lámparas etc.)
Se regula la energía que alimenta los equipos informáticos para disminuir el riesgo de pérdida o daño de información por alteraciones en el suministro de energía eléctrica, mediante una estación de alimentación ininterrumpida o UPS para poder proteger la información
Todos los usuarios del sistema deben velar por la seguridad de los activos informáticos
Los servidores, al igual que las estaciones de trabajo, tienen instalado y configurado correctamente software antivirus actualizable y activada la protección en tiempo real.
El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de sistemas
Por seguridad de la información no se permite el consumo de alimentos ni bebidas en los puestos de trabajo, para evitar el daño o deterioro por dicha causa.
Se deben vacunar los medios magnéticos personales que se conectan a los equipos de la red institucional
Se deben apagar lo equipos, cortapicos de energía y reguladores al terminar la jornada laboral
Se debe apagar la pantalla cuando se deje de utilizar el equipo por espacios mayores de 15 minutos.
La ubicación de los equipos de cómputo y el soporte esta priorizado de acuerdo a las jerarquías definidas en la matriz de criticidad

5. SEGURIDAD LEGAL
Integra los requerimientos de seguridad que deben cumplir todos los funcionarios y usuarios de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales en cuanto al recurso humano, sanciones aplicables ante faltas cometidas, así como cuestiones relacionadas con la legislación y contrataciones externas.

Licenciamiento de Software

Todo el software comercial que utiliza la Institución, se encuentra legalmente registrado, con sus respectivas licencias.
La adquisición de software por parte de personal que labore en la institución, no expresa el consentimiento de la institución, por ende la institución no se hace responsable de las actividades de sus empleados.
El software comercial licenciado a la E.S.E es propiedad exclusiva de la institución, la misma se reserva el derecho de reproducción de éste, sin el permiso de sus autores, respetando el esquema de cero piratería y/o distribución a terceros.
Cualquier cambio en la política de utilización de software comercial o software libre, se hará documentado y con base en las disposiciones de la respectiva licencia.
El software desarrollado internamente, por el personal que labora en la institución es propiedad exclusiva de institución
La adquisición del software libre o comercial es gestionado con las autoridades competentes y acatando sus disposiciones legales, en ningún momento se obtiene software de forma fraudulenta.
Los contratos con terceros, en la gestión o prestación de un servicio, deben especificar, las medidas necesarias de seguridad, nivel de prestación del servicio, y/o el personal involucrado en tal proceso cuando se utiliza el sistema de información institucional.
La instalación de software y hardware se realiza exclusivamente por parte del personal de sistemas.
Matriz de Calificación Política de Seguridad de la Información

  • Vigilado Supersalud
  • Gobierno En Linea
  • Red Metropolitana Salud
  • Escudo Colombia
Don't have an account yet? Register Now!

Sign in to your account