Primera entrega - Hospital Simn Bolivar

Primera Entrega
Proyecto del Mdulo de Gestin de Seguridad de la Informacion

Institucin Universitaria Politcnico Grancolombiano

Posgrados Virtuales
Mdulo de Gestin de la Seguridad

1
Primera entrega - Hospital Simn Bolivar

Contenido
1 Definir 4 objetivos de la gestin de seguridad de la informacin orientados a
apoyar la misin, visin y estrategia de la organizacin. Estos objetivos deben ser
medibles, viables y reflejar que aportan al negocio. OJO, son los objetivos de la
gestin de seguridad, no objetivos del proyecto de implementacin del SGSI.......3
1.1 Objetivos........................................................................................................ 3
2 Disear una estrategia para realizar la implementacin de un plan de
generacin en conciencia en seguridad de la informacin. Dispone de una
asignacin presupuestal de 4 millones para las actividades de todo el ao y se
sabe que el personal no suele asistir a capacitaciones. Indicar actividades, que
mtodos pedaggicos aplicara (Hay mejor valoracin si aplican metodologas de
gestin del cambio organizacional) y una programacin para las actividades del
ao indicando costo de las mismas con base en el presupuesto. Si la empresa
tiene sedes, tnganlo presente............................................................................... 3
2.1 Estrategia...................................................................................................... 3
3 Disee a travs de una infografa (no presentacin de power point), un
instructivo en el cual se socialice a la organizacin los beneficios de la
implementacin del sistema de gestin de seguridad de la informacin y cmo
van a estar involucrados en el mismo. Pueden remitir la infografa como archivo
anexo o la URL del mismo....................................................................................... 4
3.1 Infografa....................................................................................................... 4
4 Realice la definicin de cargos (buscar organigrama de la organizacin) que
deben hacer parte del comit o grupo asesor de seguridad. Defina las funciones
de este grupo frente a seguridad y determine para qu temas el grupo requerir
asesora externa. Recuerden que el grupo se busca que sea de la alta gerencia e
involucre a las reas o procesos que mueven el negocio, en conjunto con el
responsable de seguridad....................................................................................... 4
4.1 Organigrama de la Organizacin...................................................................4
4.2 El comit de seguridad est conformado por las siguientes personas:..........5
4.3 A continuacin, presentamos las responsabilidades relacionadas del comit
de seguridad de la informacin............................................................................... 5
4.4 El comit de seguridad necesita asesora externa para:................................6

2
 Primera entrega - Hospital Simn Bolivar

1 Definir 4 objetivos de la gestin de seguridad de la informacin orientados a apoyar la

misin, visin y estrategia de la organizacin. Estos objetivos deben ser medibles,
viables y reflejar que aportan al negocio. OJO, son los objetivos de la gestin de
seguridad, no objetivos del proyecto de implementacin del SGSI.

1.1 Objetivos

Para el ao 2017, tener un cubrimiento del 100 % en las actividades de

seguimiento y control en la aplicacin de las normas que se implementaran
en el proceso de la gestin de seguridad de la informacin en el Hospital
Simn Bolivar III Nivel. Ya que contara con los estndares de confidencialidad
y reserva, a lo cual los funcionarios que trabajan en el hospital tendrn como
tica propender por la reserva profesional en todos los temas clnicos y de los
conceptos mdicos que son exclusivamente del hospital, los cuales deben de
ser manejados con el objeto de proteger la dignidad y los derechos de los
pacientes y as evitar incidentes o vulnerabilidades que puedan poner en
riesgo la imagen de la Institucin.

Fortalecimiento y mejora continua en la prestacin de los servicios de alta

complejidad y cumpliendo altos estndares de calidad, basados en las
normas de la gestin de seguridad de la informacin implementadas en el
hospital. Con el fin de promover el Hospital Simn Bolivar para el ao 2017,
como prestadores de servicios de IV nivel de atencin, a nivel Nacional.

Para el ao 2017, el Hospital Simn Bolivar, en cumplimiento de los objetivos

y estrategias de la tecnologa informtica, debe adquirir, mejorar y actualizar
los servicios y la infraestructura en caminados en los estndares de la gestin
de seguridad de la informacin, para atender y mejorar las necesidades de
los usuarios externos e internos.

Para el ao 2017, el Hospital Simn Bolivar, se plantea tener identificado 2

planes de mejora que permitan identificar nuevas amenas y vulnerabilidades
que pongan en riesgos los activos de informacin que se encuentren sobre el
alcance de la gestin de seguridad de la informacin.

3
 Primera entrega - Hospital Simn Bolivar

2 Disear una estrategia para realizar la implementacin de un plan de generacin en

conciencia en seguridad de la informacin. Dispone de una asignacin presupuestal de
4 millones para las actividades de todo el ao y se sabe que el personal no suele asistir
a capacitaciones. Indicar actividades, que mtodos pedaggicos aplicara (Hay mejor
valoracin si aplican metodologas de gestin del cambio organizacional) y una
programacin para las actividades del ao indicando costo de las mismas con base en
el presupuesto. Si la empresa tiene sedes, tnganlo presente.

2.1 Programa de Concientizacin

Muchos de los alcances y temas relacionados con la seguridad de la informacin

son totalmente desconocidos para muchas personas; se ha establecido que la
mayora de las brechas de seguridad, aprovechadas en ciberataques, son a nivel
interno en las mismas compaas. El mtodo elegido y conocido como Ingeniera
Social es el ms usado ya que resulta ms sencillo obtener una contrasea de un
usuario en vez de vulnerar los sistemas de seguridad y inscripcin. En algunos
puestos de trabajo se tiene la mala prctica de anotar contraseas en notas sobre
la pantalla o el teclado.
Existe una gran cantidad de actividades y obsequios que ayudan en la
concientizacin de los usuarios con los temas de la seguridad de la informacin, y
aunque el dinero es un recurso importante, la buena administracin que se le dar a
este y la creatividad hacen la diferencia entre el programa de concientizacin y una
capacitacin ordinaria.
A continuacin, se presenta una pequea lista de las actividades a llevar a cabo de
manera semestral y las que se realizan nicamente una vez al ao:

Fecha Actividad Costo

Definir una mascota o personaje para la

ene-17 campaa. $ 800.000

ene-17 Definir un eslogan para la campaa. $ 0

semestral Protectores y fondos de pantalla semestralmente. $ 0

ene-17 Video con presentacin de la campaa. $ 0

Presentacin animada en Power Point o

semestral infografas. $ 0

1ra mitad del ao creacin y entrega de

ene-17 recordatorios. $ 800.000

2da mitad del ao creacin y entrega de

jun-17 recordatorios. $ 800.000

4
 Primera entrega - Hospital Simn Bolivar

semestral Desarrollar trivias. $ 0

Elaborar juegos como monopolio o lbum de

figuras con temas relacionados por supuesto con
semestral seguridad de la informacin. $ 0

Sesin de stand up comedy o cuentacuentos con

temas relacionados con seguridad de la
ene-17 informacin. $ 100.000

Sesin de stand up comedy o cuentacuentos con

temas relacionados con seguridad de la
jun-17 informacin. $ 100.000

ene-17 Refrigerios sesin 1. $ 700.000

ene-17 Refrigerios sesin 2. $ 700.000

Total $ 4.000.000

Son este tipo de actividades las que quedan guardadas en la memoria de las
personas. La manera en que se hace llegar el mensaje al pblico influye para
plasmar en el subconsciente de las personas mejores actitudes, actitudes como lo
es la cultura de la seguridad de la informacin.
La gestin de la seguridad de la informacin debe ser un rea convencida de que
crear cultura de seguridad de la informacin mediante el juego y las actividades
ldicas es ms viable y genera ms inters y retentiva entre el pblico.

2.2 CAMBIO ORGANIZACIONAL.

Finalmente se prev un cambio a nivel organizacional en el hospital en el cual se

asignarn varias reas del hospital a diferentes analistas de seguridad de la
informacin que se encargaran de realizar consultora y control interno en el manejo
seguro de la informacin.
Dichos analistas tienen la potestad de solicitar informacin operativa y sugerir
mejores prcticas para minimizar brechas de seguridad. Se restringe solo el acceso
de informacin financiera y de informacin de pacientes y trabajadores.
Analista 1: Sera la persona designada para gestionar la seguridad de la informacin
en la subgerencia cientfica, subgerencia administrativa y subgerencia financiera
Analista 2: Sera la persona designada para gestionar la seguridad de la informacin
en la oficina detencin al usuario y participacin social, oficina de asesora jurdica,
oficina de gestin pblica, oficina de control interno disciplinario y oficina de
asesora de planeacin.
Analista 3: Sera la persona que se encargue de ayudar a la gerencia con asesoras
en temas de seguridad de la informacin a nivel administrativo.

5
 Primera entrega - Hospital Simn Bolivar

Analista 4: Sera la persona encargada de apoyar a la junta directiva con los temas
de seguridad de la informacin, debe tener un perfil gerencial y manejar
conocimiento general del hospital.
El objetivo principal del grupo de analistas es dar apoyo y asesorar a cada una de
las partes involucradas del hospital; por ende, no pretende realizar auditoras y
fiscalizacin de procesos.

3 Disee a travs de una infografa (no presentacin de power point), un instructivo en el

cual se socialice a la organizacin los beneficios de la implementacin del sistema de
gestin de seguridad de la informacin y cmo van a estar involucrados en el mismo.
Pueden remitir la infografa como archivo anexo o la URL del mismo.

3.1 Infografa

https://www.easel.ly/infographic/n7sru4

4 Realice la definicin de cargos (buscar organigrama de la organizacin) que deben

hacer parte del comit o grupo asesor de seguridad. Defina las funciones de este grupo
frente a seguridad y determine para qu temas el grupo requerir asesora externa.
Recuerden que el grupo se busca que sea de la alta gerencia e involucre a las reas o
procesos que mueven el negocio, en conjunto con el responsable de seguridad.

4.1 Organigrama de la Organizacin

6
 Primera entrega - Hospital Simn Bolivar

4.2 El comit de seguridad est conformado por las siguientes personas:

Gerente (presidente del comit)

Representante Oficina de gestin pblica (Responsable del comit)
Representante Revisor Fiscal (secretario del Comit)
Representante junta directiva
Representante Oficina de planeacin
Representante Oficina Jurdica
Representante Subgerencia Cientfica
Representante Subgerencia Financiera

4.3 A continuacin, presentamos las responsabilidades relacionadas del

comit de seguridad de la informacin.

Aplicar las polticas y esquemas de seguridad de la informacin en el

hospital.
Desarrollar y administrar el presupuesto para la seguridad de la informacin.
Dar a conocer de forma clara conceptos de seguridad de la informacin a los
empleados del hospital (campaas de concientizacin).
Monitorea el cumplimiento de las polticas de seguridad.
Brinda proteccin e investiga incidentes y vulnerabilidades de seguridad
presentados por los empleados o agentes externos.

7
Primera entrega - Hospital Simn Bolivar

Realiza trimestralmente auditoria buscando vulnerabilidades a los sistemas

que conforman la red de datos y activos fsicos del hospital.
Comprueba que cada activo de informacin este asignado individualmente a
los funcionarios del hospital verificando que cumple con los requerimientos
de seguridad como polticas de seguridad, perfiles de acceso, actas de
confidencialidad.
Analiza y evala la funcin de los procesos de seguridad fsica, seguridad
personal y seguridad de la informacin almacenada en medios fsicos, con el
fin de realizar ajustes.
Informa mensualmente al consejo directivo y gerencia las actividades
realizadas con el fin de realizar ajustes segn el caso.
Crea e implementa un registro con relacin al acceso de los funcionarios
donde se encuentren, las bases de datos, informacin fsica (archivo)
medicamentes de uso controlado, realizando revisin peridica de los
registros.
Crea e implementa protocolos referentes al intercambio de informacin con
entidades externas.
Monitorea permanente a los controles de seguridad fsica donde este
almacenado los activos de informacin.
Realiza anlisis de los perfiles de los funcionarios del hospital al ingreso de
los sistemas de informacin, con el fin de asignar los niveles de acceso a la
informacin.
Verifica que los empleados mantengan la confidencialidad de las
contraseas, aplicaciones del sistema y la restriccin de las reas no
autorizadas
Revista permanente de la clasificacin de la informacin con el fin de validar
que se cumpla con los lineamientos del hospital.
Analiza y toma decisiones donde se presente violacin a los protocolos de
seguridad por parte de los empleados.
Mediante lista de chequeo comprueba la confidencialidad, integridad y
disponibilidad de la informacin de las reas del hospital.
Planea las fases que va a desarrollar y a ejecutar el (CSI).
Proporciona apoyo a las diferentes reas en tema de seguridad.
Incorpora las polticas, normas y procedimientos de seguridad de la
informacin en todas las reas del hospital.
Implementa un modelo de control y seguimiento que permita medir el nivel
de interiorizacin de las medidas adoptadas en el (CSI)
Coordina con la alta direccin y los dueos de los diferentes procesos, la
actividad de seguridad de la informacin en el cumplimento de las metas
trazadas (misin y visin)
Realiza trimestralmente pruebas de vulnerabilidad sobre las diferentes reas
para detectar vulnerabilidades y as realizar acciones de mejora a nivel de
seguridad de la informacin.
Garantiza y actualiza el marco jurdico con el fin que este alineado a las
normas del estado colombiano.
Participa en la toma de decisiones en la adquisicin de equipos, herramientas
tecnolgicas y en el desarrollo de proyectos.
Coordina con el rea de sistemas el bloqueo de pginas de internet con el fin
de prevenir ataques cibernticos que generen dao o perdida de informacin.

8
 Primera entrega - Hospital Simn Bolivar

Registra en las reas de sistemas, archivo y reas restringidas del hospital el

uso de celulares evitando fuga de informacin que puedan ser usadas en
contra del hospital por clientes, proveedores o competencia.

4.4 El comit de seguridad necesita asesora externa para:

Realizar mejoras y actualizar los procedimientos y procesos para ser ms

competitivos en los resultados de seguridad de informacin, lo que
significada incrementar los beneficios y asegurar el xito.
Obtener actualizaciones de la realidad de los diferentes procesos y el marco
normativo.
Orientacin en el estudio y diseos de nuevas polticas de seguridad, que
permitan minimizar los costos y aumentar la ganancia.
Dar solucin a diferentes problemas del entorno y determinar qu soluciones
pueden ser ms efectivas en seguridad de la informacin.
Aporta los conocimientos suficientes para implementar una estrategia que
permita minimizas al mximo posibles riegos en los activos de la entidad.
Obtiene soluciones integrales en el mbito de calidad, permitiendo
sistematizar y actualizar conceptos con el fin de lograr resultados sostenibles
y adaptables a la instruccin.
Asesora en la administracin de seguridad fsica, evaluacin de riesgos,
preparacin en escenarios de incidentes o vulnerabilidades desarrollo y
ejecucin de un plan que permita resolver dar optima solucin minimizando
costos.
Desarrolla planes que permitan minimizar los riesgos de seguridad que
pueden generar prdidas con el fin de aumentar el capital.
Asesora en el planeacin y ejecucin de la inversin del presupuesto en
temas de seguridad de la informacin que permitan cumplir con los planes
estratgicos