E.S.E. HOSPITAL SAN AGUSTIN. (Puerto Merizalde) · 2021. 2. 1. · Página ESE HOSPITAL SAN AGUSTIN...

E.S.E. HOSPITAL SAN AGUSTIN.

(Puerto Merizalde)

PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD

Y PRIVACIDAD DE LA INFORMACIÓN

Buenaventura, enero de 2021

ESE HOSPITAL SAN AGUSTIN NIT:800.155.000-8

VERSION: 1

CODIGO: PL-GAP-GI-04

PLAN DE SEGURIDAD INFORMATICA Página 1 de 17

D

Sede administrativa: Calle 4B No. 6-60, piso 3, Edificio

ERPA, Diag. Colegio San Rafael - Buenaventura; Teléfono: (+57) 315 556 5753 Email: [email protected]

Sede Operativa: Distrito especial de Buenaventura;

Corregimiento No.15, diag. Iglesia Católica, Puerto Merizalde. Teléfono (+57) 317 893 0255 Email: [email protected]

Web site: https://hospitalsanagistinese.gov.co @hospitalsangustinese @hospitalsangustinese @hospitalsangustinese

E.S.E. HOSPITAL SAN AGUSTIN

(Puerto Merizalde)

PLAN DE TRATAMIENTO DE RIESGOS

DE SEGURIDAD Y PRIVACIDAD

DE LA INFORMACIÓN.

El plan de tratamiento de riesgos de Seguridad y Privacidad de la información, se

direcciona como la estratégica para el desarrollo e implementación de una cultura

digital de carácter preventivo frente a los riesgos, en la plataforma informática

de la E.S.E. Hospital San Agustín de Puerto Merizalde.

Buenaventura, Enero de 2021

mailto:[email protected]


VERSION: 1



D






INTRODUCCIÓN

La E.S.E Hospital San Agustín de Puerto Merizalde.(Hsa), presenta a los grupos de

interés, y a la ciudadanía en general, el Plan de Tratamiento de Riesgos de Seguridad y

Privacidad de la Información para la vigencia 2021, donde se establece un conjunto de

actividades basadas en el ciclo PHVA (Planificar Hacer-Verificar-Actuar) para crear

condiciones de uso confiable en el entorno digital y físico de la información, mediante un

enfoque basado en la gestión de riesgos, preservando la confidencialidad, integridad y

disponibilidad de la información de la institución, para mitigar las posibles afectaciones a

los activos que apoyan la prestación del servicio de salud en el Nivel 1, en el área de los

ríos Naya, Yurumangui, Cajambre y la zona de influencia del corregimiento No. 15 del

distrito especial de buenaventura (Valle del cauca) y sobre factores que inciden en la

calidad de la información que se brinda, basado en Norma Técnica ISO31000:2011 y la

guía para la administración del riesgo y el diseño de controles en entidades públicas y lo

establecido en el Decreto 1008 de 14 de junio 2018 “Por el cual se establecen los

lineamientos generales de la política de Gobierno Digital y se subroga el capítulo 1 del

título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario

del sector de Tecnologías de la Información y las Comunicaciones”, dentro del cual se

establecen para las entidades del estado los Habilitadores Transversales: Seguridad de

la Información, Arquitectura de TI y Servicios Ciudadanos Digitales.

Este documento contiene objetivos, generalidades, contexto, contexto normativo,

definiciones, metodología de implementación y mapa de ruta con las actividades a ejecutar

con fechas y responsables.



VERSION: 1



D






OBJETIVOS ..................................................................................................................................... 4

Objetivos específicos ................................................................................................................. 4

GENERALIDADES ......................................................................................................................... 5

Contexto estratégico .................................................................................................................. 5

Establecimiento contexto ........................................................................................................... 6

REFERENCIAS NORMATIVAS ............................................................................................... 6

DEFINICIONES ........................................................................................................................... 7

Contexto - Información sobre la evaluación de riesgos ................................................. 11

Análisis de Riesgos .............................................................................................................. 11

Tratamiento de Riesgos ....................................................................................................... 11

Comunicación de Riesgos ................................................................................................... 12

Monitoreo - Información de Riesgos y revisión ................................................................ 12

MAPA DE RUTA ........................................................................................................................... 14



VERSION: 1



D






Justificación

El presente documento tiene como fin generar una cultura de prevención contra los riesgos

a los que día a día se pudieran ver sometidos los activos de información de la E.S.E.

Hospital San Agustín (Puerto Merizalde). Basados en un enfoque de planeación de gestión

del riesgo se pretende realizar una estrategia que permita diagnosticar, evaluar,

implementar y desarrollar la gestión de incidentes que afectan al activo de información e

implantar unas contramedidas en el sistema de gestión informático para disminuir la

probabilidad de su materialización.

OBJETIVOS

Objetivo General

Mantener la integridad, confidencialidad y disponibilidad de la información a través de la

gestión del riesgo asociado a la información de la E.S.E Hospital San Agustín de Puerto

Merizalde (Hsa)

Objetivos específicos

a. Validar la metodología de riesgos de la E.S.E Hospital San Agustín de Puerto

Merizalde (Hsa), para la vigencia 2021 en lo relacionado a aquellos que puedan

afectar la integridad, confidencialidad y disponibilidad de la información.

b. Identificar los riesgos en los procesos de la entidad, que puedan afectar la

integridad, confidencialidad y disponibilidad de la información.

c. Hacer seguimiento en el 2021 a los riesgos en los procesos de la E.S.E Hospital

San Agustín, que puedan afectar la integridad, confidencialidad y disponibilidad de

la información.



VERSION: 1



D






RECURSOS

La E.S.E Hospital san Agustín, cuenta con los siguientes recursos

Recursos Humanos: Gerente General, Líderes del Proceso, Profesionales, Tecnología, Personal Externo Físico: Edificación, muebles y enceres, Routers, Firewall, PC, impresoras, escáner, ups, reguladores, equipos de comunicación, red de datos y otros similares RESPONSABLES

Gerente General.

Líderes del Proceso.

Profesional de Tecnología

GENERALIDADES

Contexto estratégico

El presente plan está alineado y contribuye al logro de la misión, visión, metas y demás

elementos del direccionamiento estratégico de la E.S.E Hospital San Agustín de Puerto

Merizalde, los cuales se estipulan en el Plan Estratégico Institucional.

Articulación con el contexto estratégico

Objetivo

estratégico al

que aporta:

• Fortalecer análisis y divulgación de información relevante para grupos de interés

• Fortalecer el uso de la tecnología

• Optimizar los procesos misionales

• Mejorar los procesos administrativos

Gestión y

Desempeño

Institucional -

MIPG

• Política Gobierno Digital

• Política de Seguridad Digital

• Política de Transparencia, acceso a la información

pública y lucha contra la corrupción



VERSION: 1



D






Establecimiento contexto

El presente plan aplica en todos los procesos de Ia E.S.E Hospital San Agustín de Puerto

Merizalde (Hsa), para la Evaluación de la información, donde haya recolección,

procesamiento, almacenamiento, recuperación, intercambio y consulta de información,

para el desarrollo de la misión institucional y cumplimiento de sus objetivos estratégicos.

REFERENCIAS NORMATIVAS

Ley 44 de 1993 “por la cual se modifica y adiciona la Ley 23 de 1982 y se modifica

la Ley 29 de 1944.” (Derechos de autor).

Ley 527 de 1999 “por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.

Ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un

nuevo bien jurídico tutelado - denominado "de la protección de la información y de

los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías

de la información y las comunicaciones, entre otras disposiciones”.

Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección

de datos personales”.

Ley 1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del

Derecho de Acceso a la Información Pública Nacional y se dictan otras

disposiciones”.

Decisión Andina 351 de 2015 “Régimen común sobre derecho de autor y derechos

conexos”.

CONPES 3854 de 2016 – Política de Seguridad Digital del Estado Colombiano.

Decreto 1078 de 2015 modificado por el Decreto 1008 de 2018 - Política de

Gobierno Digital que contiene el Modelo de Seguridad y Privacidad - MSPI de

MINTIC.



VERSION: 1



D






Decreto 1499 de 2017, el cual modificó el Decreto 1083 de 2015 – Modelo Integrado

de Planeación y Gestión.

Guía para la administración del riesgo y el diseño de controles en entidades

públicas. RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL año

2018.

Norma Técnica Colombiana ISO27001:2013.

Norma Técnica Colombiana ISO31000:2013.

MODELO DE GESTIÓN DE RIESGOS DE SEGURIDAD DIGITAL (MGRSD).

DEFINICIONES

Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas) que tenga valor para la organización. (ISO/IEC 27000).

Activo de Información: En relación con la privacidad de la información, se refiere al activo que contiene información pública que el sujeto obligado genere, obtenga, adquiera, transforme o controlar en su calidad de tal. Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión, Conservados respetando aquel orden para servir como testimonio e información a la persona o institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede entender como la institución que está al servicio de la gestión administrativa, la información, la investigación y la cultura. (Ley 594 de 2000, art 3). Amenazas: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización. (ISO/IEC 27000). Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC 27000).



VERSION: 1



D






Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de auditoria y obviamente para determinar el grado en el que se cumplen los criterios de auditoria. (ISO/IEC 27000). Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales (Ley 1581 de 2012, art 3). Bases de Datos Personales: Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art 3).

Confidencialidad: propiedad de la información que la hace no disponible, es decir,

divulgada a individuos, entidades o procesos no autorizados.

Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6). Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012, art 3). Datos Personales Públicos: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013, art 3). Datos Personales Privados: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h). Datos Personales Mixtos: Para efectos de esta guía es la información que contiene datos personales públicos junto con datos privados o sensibles. Datos Personales Sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones



VERSION: 1



D






religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3).

Disponibilidad: propiedad de ser accesible y utilizable a demanda por una entidad.

Estándar: Regla que especifica una acción o respuesta que se debe seguir a una

situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir

las políticas. En este documento se habla de las Norma Técnica Colombiana

ISO31000:2013.

Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el

personal para proporcionar a la administración un aseguramiento razonable con respecto

al logro de los objetivos.

Información: Es un conjunto organizado de datos, que constituyen un mensaje sobre un

determinado ente o fenómeno. Indicación o evento llevado al conocimiento de una

persona o de un grupo. Es posible crearla, mantenerla, conservarla y transmitirla.

Integridad: propiedad de exactitud y completitud.

Sistema de Gestión de Seguridad de la Información: Parte del sistema de gestión

general del Instituto, basada en un enfoque hacia los riesgos globales del negocio, cuyos

fines son establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar

la seguridad de la información.

Política de seguridad de información: Es el instrumento que adopta una entidad para

definir las reglas de comportamiento aceptables en el uso y tratamiento de la información.

Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los

objetivos institucionales o de los procesos de la E.S.E Hospital San Agustín de Puerto

Merizalde. Se expresa en términos de probabilidad y consecuencias.

Riesgo de seguridad y privacidad: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. Se mide en términos de Contexto - Información sobre la evaluación de riesgos probabilidad y consecuencias.



VERSION: 1



D






DESARROLLO DEL PAN DE TRATAMIENTO DE RIEGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION.

La metodología de gestión de identificación, evaluación y gestión de riesgos de los

sistemas de gestión vigentes de la E.S.E. hospital san Agustín de Puerto Merizalde, se

basa en la NTC-ISO 31000, la Guía de Gestión del Riesgo del Departamento

Administrativo de la Función Pública - DAFP y la Guía de la Secretaria de Transparencia

de la Presidencia de la República, denominada Guía para la Gestión de Riesgo de

Corrupción y Modelo de Gestión de Riesgos de Seguridad Digital - MGRSD. Su propósito

es la identificación, estimación y evaluación de los riesgos del Instituto para definir un plan

de tratamiento que se ajuste a los objetivos de cada uno de los procesos.

La Gestión de Riesgos del Hsa, incluyendo los Riesgos de Seguridad y Privacidad se lleva

a cabo por los Líderes de cada proceso y lo gestionan para el cumplimiento de la misión,

la visión estratégica y los objetivos misionales, con el fin de determinar el tratamiento del

riesgo aceptable sobre cada uno de los riesgos identificados, teniendo en cuenta el

siguiente esquema:

Ciclo de la Gestión de Riesgos

Tratamiento

Monitor Análisis

Contexto



VERSION: 1



D






Contexto - Información sobre la evaluación de riesgos:

Se establece un contexto del proceso con los siguientes aspectos:

o Contexto del Proceso: Se determinan las características o aspectos esenciales

del proceso y sus interrelaciones.

o Diseño del proceso: Claridad en la descripción del alcance y objetivo del proceso.

o Interrelación con otros procesos: Relación precisa con otros procesos en cuanto

a insumos, proveedores, productos, usuarios o clientes.

o Transversalidad: Procesos que determinan lineamientos necesarios para el

desarrollo de todos los procesos de la entidad.

o Procedimientos asociados: Pertinencia en los procedimientos que desarrollan los

procesos.

o Responsables del proceso: Grado de autoridad y responsabilidad de los

funcionarios frente al proceso.

o Comunicación entre los procesos: Efectividad en los flujos de información

determinados en la interacción de los procesos.

Y luego se establece el tipo de proceso: Misional, Estratégicos, de Apoyo y Evaluación y

Control.

Análisis de Riesgos

Se realiza la identificación de causas, vulnerabilidades, amenazas (identificación,

descripción, tipo), consecuencias y se determina la clase de riesgo (probabilidad e

impacto), todo esto asociado a aquellos eventos o situaciones que afecten los activos de

información que pueden entorpecer el normal desarrollo de los procesos.

Tratamiento de Riesgos



VERSION: 1



D






El tratamiento del riesgo consiste en seleccionar y aplicar las medidas adecuadas, con el

fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos, para lo

cual se definen Medidas de Respuesta ante los Riesgos (asumir, reducir, compartir,

trasferir o evitar), luego se definen acciones de mitigación de riesgos (actividades o tareas,

responsables, plazo de ejecución y seguimiento)

Comunicación de Riesgos

Participan todos los procesos e involucran a todos los colaboradores para el levantamiento

de los mapas de riesgo, contando con el aporte de los colaboradores con mayor experticia

tanto para la identificación como para el tratamiento de riesgos.

Cuando se identifica un riesgo el Hsa, comparte u obtiene información a través de un

diálogo con las partes involucradas con respecto a la gestión del riesgo. La información

está relacionada con la existencia, la naturaleza, la forma, la probabilidad, el significado,

la evaluación, la aceptabilidad y el tratamiento de la Gestión de riesgo.

Monitoreo - Información de Riesgos y revisión

Los riesgos identificados traen consigo controles que incluyen el monitoreo de los eventos

correspondientes, invirtiendo los recursos de acuerdo a la criticidad del riesgo asociado,

las responsabilidades del monitoreo comprenden todos los aspectos del proceso para la

gestión del riesgo con el fin de:

o Garantizar que los controles son eficaces y eficientes tanto en el diseño como en

la operación.

o Obtener información adicional para mejorar la valoración del riesgo.

o Analizar y aprender lecciones a partir de los eventos.

o Detectar cambios en el contexto externo e interno, incluyendo los cambios en los

criterios de riesgo y en el riesgo mismo que puedan exigir revisión de los

tratamientos del riesgo y las prioridades.



VERSION: 1



D






PROBABILIDAD DE RIESGO

Probabilidad: La posibilidad de ocurrencia del riesgo, representa el número de veces que el riesgo se ha presentado en un determinado tiempo o pudiese presentarse.

PROBABILIDAD DE RIESGO

NIVEL DESCRIPCION

1 RARO Evento que puede ocurrir sólo en circunstancias excepcionales, entre 0 y 1 vez en 1 semestre

2 IMPOSIBLE Evento que puede ocurrir en pocas de las circunstancias, entre 2 y 5 veces en un semestre.

3 POSIBLE Evento que puede ocurrir en algunas de las circunstancias entre seis y 10 veces en 1 semestre

4 PROBABLE Evento que puede ocurrir en casi siempre entre 11 y 15 veces en 1 semestre.

5 CASI SEGURO Evento que puede ocurrir en la mayoría de las circunstancias más de 15 veces en 1 semestre

Impacto: Hace referencia a las consecuencias que puede ocasionar a la E.S.E. Hospital

San Agustín (Puerto Merizalde) la materialización del riesgo; se refiere a la magnitud de

sus efectos.

VALOR DE IMPACTO

NIVEL DESCRIPCION ESCALA

1 Insignificante

Impacta negativamente de forma leve la imagen y operación de un rol. No tiene impacto Financiero para el Hsa o sus procesos. Impacta negativamente, posibilidad de recibir multas.

>=1 y =5 y


VERSION: 1



D






3 Moderado

Afecta negativamente la imagen Institucional a nivel regional por retrasos en la prestación de los servicios y la operación no sólo del proceso evaluado sino de otros procesos. Se pueden presentar sobrecostos por reprocesos y aumento de carga operativa, no sólo en el proceso evaluado sino a otros procesos. Impacta negativamente, posibilidad de recibir una investigación disciplinaria.

>=9 y =13 y =17 y


VERSION: 1



D






No Actividad Fecha de

inicio Fecha final Responsable

Producto o resultado

esperado

Riesgos de Seguridad y Privacidad de la Información

1

Actualización metodología

de Riesgos de

Seguridad y

Privacidad.

Enero Marzo Equipo SGSI Matriz de riesgos

2

Información sobre la

Evaluación de

riesgos de

seguridad.

Marzo Mayo Equipo SGSI Comunicaciones

internas / Correo electrónico

3

Identificación y

Análisis de

Riesgos

Seguridad de la

información

Febrero Diciembre

Todas las áreas y

acompañamiento

de Equipo SGSI

Matriz de riesgos

4

Publicación de riesgos de

seguridad de

información

Abril Diciembre Equipo SGSI Link de transparencia

5

Tratamiento de Riesgos

Seguridad de la

Información

Febrero Diciembre

Todas las áreas y

acompañamiento

de Equipo SGSI

Actas de reunión /

correos electrónicos

6

Información de seguridad

Seguimiento de

Riesgos y

Revisión-

Informe

Junio Diciembre

Equipo SGSI –

Oficina de

Control Interno

Informe de riesgos



VERSION: 1



D






De esta manera, este Mapas de Rutas Tecnológicas para el tratamiento de los riesgos

de seguridad y privacidad de la información de la E.S.E. Hospital San Agustín (Puerto

Merizalde), son técnicas de planeación que tiene como objetivo principal ligar la estrategia

y las prioridades del negocio con la implementación de tecnologías que permitan impactar

los resultados.



VERSION: 1



D






REFERENCIAS BIBLIOGRÁFICAS

o Norma técnica colombiana NTC-ISO /IEC 27005

o Norma técnica colombiana NTC-ISO /IEC 27005

o Metodología para la evaluación del desempeño de controles en sistema de

gestión de seguridad de la información sobre la norma ISO/IEC 27001 de la Universidad Nacional, 2016

o Guía de gestión de riesgos, seguridad y privacidad de la información, MINTIC

o Manual integrado de gestión, SIG-UPTC, versión 31

o Procedimiento elaboración y control de documentos, SIG-UPTC, versión 13

o Guía aspectos generales de la documentación, SIG-UPTC, versión 3

o Guía para la gestión de riesgos de activos de información, SIG-UPTC, versión 7

E.S.E. HOSPITAL SAN AGUSTIN. (Puerto Merizalde) · 2021. 2. 1. · Página ESE HOSPITAL SAN AGUSTIN...

Documents

Transcript of E.S.E. HOSPITAL SAN AGUSTIN. (Puerto Merizalde) · 2021. 2. 1. · Página ESE HOSPITAL SAN AGUSTIN...