ACTIVIDAD TCNICA

Nombre:ALBEIRO JIMENEZ IBAEZ

Documento de identidad:13722423

Programa:GESTION Y SEGURIDAD DE BASES DE DATOS(1017120)

PLAN DE MEJORA EN SEGURIDAD INFORMATICA EN LA SECRETARIA DE SALUD DEPARTAMENTAL DE SANTANDER

INTRODUCCIN

La seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas de la informacin del acceso, uso, divulgacin, disrupcin o destruccin no autorizada.Los trminos Seguridad de Informacin, Seguridad informtica y garanta de la informacin son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la informacin. Sin embargo, entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologas utilizadas, y las zonas de concentracin.La Seguridad de la Informacin se refiere a la Confidencialidad, Integridad y Disponibilidad de la informacin y datos, independientemente de la forma que los datos puedan tener: electrnicos, impresos, audio u otras formas.La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener programas, controles y polticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin.

Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. Integridad: Para la Seguridad de la Informacin, la integridad es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas. Disponibilidad: La Disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

Mi anlisis de norma ISO 27002 se hizo con los pocos datos que pude obtener en la Secretaria de Salud Departamental de Santander.

PLANTEAMIENTO DEL PROBLEMA

Una de las principales preocupaciones del departamento de sistemas de la Secretaria de Salud Departamental de Santander es el control de los riesgos que atentan contra la Seguridad de la Informacin de sus activos, entre estos, equipos informticos, servicios, datos, recursos humanos y equipamiento auxiliar. En una observacin, se lleg a la conclusin, que los colaboradores de la Secretaria cuentan con altos factores de inseguridad, fuga de informacin que si no se tratan adecuadamente pueden ocasionar posibles daos econmicos y de prestigio para la Secretaria.

Si no se tiene controles de buenas prcticas, normas de seguridad, podra explotar alguna amenaza y causar un riesgo a los activos. Una de las maneras de reducir los riesgos que estn afectando a los activos es de la elaboracin de normas, polticas y concientizacin a los usuarios, basados en norma de buenas prcticas de seguridad para reducir la probabilidad de ocurrencia de un impacto de los riesgos que estn expuestos los activos de informacin de la Secretaria.

OBJETIVOS DEL PLAN DE MEJORA

Impedir accesos no autorizados y violaciones de las normas reglamentos, contratos, polticas y procedimientos de los estndares de seguridad a travs del diseo de polticas y estndares de seguridad de la informacin debe ser observado por todo el personal de la Secretaria.

Promover las mejores prcticas de seguridad al desarrollo o adquisicin de sistemas de informacin

Implementar las normas de seguridad y concientizar al usuario de dichas normas para la proteccin de los activos de informacin.

IMPLEMENTACION PLAN DE MEJORA DE ACUERDO CON LA NORMA ISO 27002

El desarrollo de las polticas de Seguridad de la Informacin realizada en el departamento de sistemas de la Secretaria de Salud Departamental de Santander, proviene de la recopilacin de informacin, hallazgos y anlisis de la situacin actual del departamento basndonos en los controles de la ISO 27002 correspondientes a los once dominios de la norma:

1. POLTICA DE SEGURIDAD

Control: Se debe definir claramente todas las responsabilidades en cuanto a seguridad de la informacin

DEBILIDAD:

Manual de roles y responsabilidades obsoleto. No se cuenta con un departamento de seguridad informtica.

Que se debe hacer:

Verificar que para todos los cargos concernientes a Seguridad de la Informacin, existan roles y responsabilidades.

Crear un departamento de Seguridad Informtica.

Se deben asignar roles y funciones concernientes a la seguridad de la informacin.

2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD

Control: La gerencia debe apoyar activamente en la seguridad dentro de la organizacin a travs de direcciones claras demostrando compromisos, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de la informacin

DEBILIDAD:

No se cuenta con un comit de seguridad No se cuenta con un coordinador de seguridad No existen convenios de confidencialidad No existe programada una revisin de la seguridad de la informacin

Que se debe hacer:

Para asegurar que las actividades de seguridad sean ejecutadas se debe crear un comit de seguridad que sea el encargado de aprobar las polticas de seguridad que deben regir en la secretaria

Se debe asignar un responsable o lder del proyecto de la implantacin del sistema de seguridad de la informacin, la cual se maneja por medio de un cronograma con fechas ya establecidas para la entrega de proyectos que mitigan las amenazas.

Se debe aprobar el convenio de confidencialidad que deber ser entregado a todo el personal que maneja informacin importante de la secretaria.

Disear un cronograma donde se especifique fecha y hora de la revisin de la seguridad de la informacin.

3. TERCERAS PARTES

Control: se deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin de la organizacin de los procesos del negocio que involucran partes externas e implementar los controles apropiados antes de autorizar el acceso.

DEBILIDAD:

La Secretaria no cuenta en sus documentos con polticas que especifique controles para otorgar acceso a los recursos por parte de terceros. Solo se cuenta con polticas de antivirus.

Que se debe hacer:

Para asegurar la informacin se debe hacer un documento donde se especifique como se debe hacer el manejo con los terceros. Se debe adquirir software de seguridad y establecer sus respectivas polticas de uso.

4. CLASIFICACION Y CONTROL DE ACTIVOS

Control: Toda la informacin y los activos asociados con el proceso de informacin deben ser posedos por una parte designada de la organizacin.

DEBILIDAD:

No se pudo evidenciar controles que se deberan ejecutar en cuanto la asignacin de activos a los colaboradores secretaria. No existen responsabilidades, no est documentada las responsabilidades de los propietarios de los activos de la informacin No existe un mantenimiento peridico del inventario de activos de informacin. No se cuenta con manuales o documentos aprobados por el consejo superior sobre la clasificacin de los activos

Que se debe hacer:

Realizar una tarjeta o un archivo donde se pueda evidenciar que equipos tiene cada persona. Realizar el manual de responsabilidades para aquellas personas que manejan informacin confidencial de la secretaria. Realizar trimestralmente mantenimiento al inventario de la informacin. Realizar un manual de clasificacin de la informacin de la secretaria teniendo en cuenta el nivel de confidencialidad .

5. SEGURIDAD FISICA Y DEL ENTORNOControl: Se debe designar y aplicar proteccin fsica del fuego, inundacin, terremoto, explosin, malestar civil y otras formas de desastres natural o humanaDEBILIDAD: No se dispone de un sistema central de incendios, en las oficinas de sistemas no se cuenta con este sistema. No se realizan simulacros de evacuacin, no se cuenta con un rea especfica que se encargue de realizar este tipo de simulacros.

Que se debe hacer:

Adecuar un sitio donde se disponga una central para incendios con todos los elementos necesarios para evitar la propagacin de estos. Establecer fechas especiales para realizar simulacros que le permitan a los empleados tener conocimiento que hacer en cada caso.

6. SEGURIDAD DE LOS EQUIPOS

Control: Se deberan proteger contra intercepciones o daos el cableado de energa y telecomunicaciones que transporten datos o soporten servicios de informacin

DEBILIDAD Existe canaletas y cableado que se encuentra en mal estado.

Que se debe hacer:

Se debe realizar una revisin y asegurar la compra de los implementos necesarios para realizar la adecuacin de las canaletas daadas.

7. GESTIN DE COMUNICACIONES Y OPERACIONES.

Control: Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran.

DEBILIDAD No existen polticas definidas para la elaboracin de manuales, no obstante se tienen estndares para elaboracin de los mismos.

No se cuentan con la obligatoriedad para la elaboracin de manuales de los procesos que realiza y debera documentar la Secretaria.

Los manuales no se encuentran a disposicin del personal.

No existen polticas de segregacin de funciones

Que se debe hacer:

Establecer polticas y darlas a conocer a todos los empleados de la secretaria. Establecer una poltica de cumplimiento para elaborar los manuales de los procesos que lleva la secretaria. Socializar los manuales con todos los empleados.

8.PROTECCIN CONTRA EL CDIGO MALICIOSO Y DESCARGABLE.

Control: Se deberan implementar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concientizar a los usuarios

DEBILIDAD Se verificaron los manuales existentes y no se encontr poltica referente al a licencias de software y prohibicin del uso de software. No se encontr revisin a los correos de origen incierto.Que se debe hacer: Verificacin de archivos electrnicos de origen incierto o no autorizado, o recibidos a travs de redes no fiables, para comprobar la existencia de virus antes de usarlos. Verificacin de todo archivo adjunto a un correo electrnico o de toda descarga para buscar software malicioso antes de usarlo. Esta comprobacin se har en distintos lugares, por ejemplo, en los servidores de correo, en los computadores personales o a la entrada en la red de la secretaria. Verificacin de cdigos maliciosos en las pginas WEB. Creacin de un manual de procedimientos contra cdigo malicioso

9.PROTECCIN CONTRA EL CDIGO MALICIOSO Y DESCARGABLE.

Control: Se deben de realizar copias de respaldo de la informacin y del software, y se deben poner a prueba con regularidad de acuerdo con la poltica de respaldo acordada.

DEBILIDAD Se cuenta con manual para realizar las copias de seguridad, pero no es utilizado por todos los empleados lo que puede generar perdida de informacin.Que se debe hacer: Implementar la obligatoriedad de hacer respaldos estableciendo fechas para el mismo.

12.SEGURIDAD DE LOS ARCHIVOS DE SISTEMAS.

Control: Deberan existir procedimientos para controlar la instalacin del software en sistemas operacionales

DEBILIDADSe cuenta con manual para realizar las copias de seguridad, pero no es utilizado por todos los empleados lo que puede generar perdida de informacin.

Que se debe hacer: Implementar la obligatoriedad de hacer respaldos estableciendo fechas para el mismo.

Control: Los datos de prueba deben ser seleccionados cuidadosamente, as como protegidos y controlados..DEBILIDADSe trabaja con base de datos desactualizadas.Que se debe hacer: Actualizar las bases de datos para mejorar los rendimientos de los procesos que se implementan en la secretaria.

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Control: La implementacin de cambios debe ser controlada usando procedimientos formales de cambio.

DEBILIDAD No cuenta con polticas de control de cambios formales.

Que se debe hacer: Establecer polticas de control de cambios en los diferentes software que son desarrollados en la secretaria.

13.GESTION DE IINCIDENTES DE SEGURIDAD.

Control: Los eventos en la seguridad de informacin deben ser reportados lo ms rpido posible a travs de una gestin de canales apropiada.

DEBILIDAD

No se cuenta con polticas y procedimiento de reporte de incidentes Falta realizar procesos de concienciacin sobre la seguridad de la informacin y de reportar tales eventos, ya que no saben a quin mismo notificar estos problemas. No comunican a contratistas y terceros sobre la responsabilidad de informar un incidente de seguridad. No existe documentacin de los registros de incidentes de seguridad.

Que se debe hacer:

Establecer polticas de reportes de incidentes en la secretaria. Realizar procesos de concientizacin a los empleados sobre la importancia de seguridad de la informacin. En la induccin dar a conocer la responsabilidad de dar a conocer los incidentes que se presentan. Realizar informes que lleven detalle del incidentes, en que afecto, cual fue el impacto y como se resolvi.

CONCLUSIIONES

Luego de la observacin de la implementacin de la norma ISO 27002 para el departamento de Sistemas de la Secretaria de Salud Departamental se pudo detectar muchas deficiencias en la parte de seguridad de la informacin.

Es importante recalcar que si se cumple al 100% con las polticas desarrolladas para la Secretaria de Salud Departamental, no se garantiza que no tengan problemas de seguridad ya que no existe la seguridad al 100%; con el manual de polticas de seguridad de la informacin y con el cumplimiento de las mismas da lugar a minimizar los riesgos asociados a los activos reduciendo impactos, fuga de informacin y prdidas econmicas originados por la carencia de las normas y polticas de seguridad de la informacin.

Con la implementacin del manual de polticas de seguridad de la informacin en la Secretaria de Salud Departamental de Santander, se proporcionara una gua a seguir para trabajar en los aspectos de seguridad. El departamento de Sistemas de la Secretaria de Salud Departamental de Santander, debe afrontar con las deficiencias de seguridad de la informacin, para lo cual debe tomar seriedad sobre lo documentado y realizar proyectos de enmendadura basados en las polticas de seguridad y por ultimo debe realizar campaas de concientizacin sobre los temas abordados.

RECOMENDACIONES

Se recomienda realizar las campaas concientizacin sobre la importancia de la seguridad de la informacin, esta campaa ser dirigida al personal administrativo y contratistas. Se debe realizar difusiones de las polticas de seguridad de la informacin a todo el personal de la Secretaria de Salud Departamental. Se recomienda contar con controles de prohibiciones de los activos de informacin asignados a personal. Se recomienda contar con un documento formalmente aprobado por el Secretario de Salud en el cual conste las responsabilidades que tiene que cumplir el colaborador con respecto a los activos asignados a l. Se debe elaborar convenios sobre el buen uso de los activos y compromiso de responsabilidad de los activos de informacin. Se recomienda que en la Secretaria de Salud Departamental Santander se tenga como poltica que se cambie la contrasea cada 30 das. Se debe mantener un control estricto del acceso al cdigo fuente de los programas, para as evitar copia, modificacin o divulgacin de los mismos. Se debe controlar estrictamente los cambios realizados en el software para minimizar la corrupcin de los sistemas. Los programadores debern tener acceso nicamente a la informacin que necesiten, todo cambio provendr de un acuerdo y aprobacin previa.

BIBLIOGRAFIA

Manuales Secretaria de Salud Departamental de SantanderNorma ISO 27002Libros de Calidad.