ACTIVIDAD 1 - PROYECTO GRUPAL

Nombre de la entrega:
CONSTRUCCIÓN DE LA ESTRUCTURA BASE DEL SGSI PARA LA
ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE
SEGURIDAD SOCIAL EN SALUD–ADRES

Estudiantes:
CLAUDIA PATRICIA SANDOVAL OROZCO – CODIGO: 1922010032
WILDER JEFRY GOMEZ RIVERA – CODIGO: 1922010127
JEIMY PAOLA ARIZA – CODIGO: 1912010794

POLITÉCNICO GRAN COLOMBIANO.

ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN
TEORÍA DE SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ D.C.
2019
 TABLA DE CONTENIDO

INTRODUCCION.............................................................................................................................3
GLOSARIO.......................................................................................................................................4
1. Identificar las partes interesadas (internas y externas) de una organización. Mínimo
tres internas y tres externas...........................................................................................................5
2. Determinar cómo influye cada parte interesada en la seguridad de la organización, es
decir, justificar por qué es una parte interesada relevante para la gestión de la seguridad. 5
3. Definir y explicar mecanismos de identificación de las expectativas de seguridad de
las partes interesadas...................................................................................................................10
4. Definir cuatro objetivos de la gestión de seguridad de la información orientados a
apoyar la misión, visión y estrategia de la organización. Estos objetivos deben ser
medibles, viables y reflejar qué aportan al negocio. Atención: son los objetivos de la
gestión de seguridad, no los objetivos del proyecto de implementación del SGSI..............13
CONCLUSIONES..........................................................................................................................14
Referencia Bibliografía.................................................................................................................15
 INTRODUCCION

La entidad ADRES tiene como misión Administrar  los recursos que hacen parte
del Fondo de Solidaridad y Garantías (Fosyga), los del Fondo de Salvamento y
Garantías para el Sector Salud (FONSAET), por lo anterior es de vital
importancia para la entidad la información como uno de los activos más
valiosos y primordiales para la entidad, donde las partes interesadas se
convierten en un eje fundamental para la seguridad de la información y juegan un
papel importante al planificar los procesos cotidianos de la entidad esto con el fin
de garantizar que las partes interesadas estén conformes y establecer un marco
de confianza en el ejercicios de sus deberes con los servicios que presta ADRES.

En este documento se plantea la descripción global de las partes interesadas y se

establecen los diferentes tipos de usuarios que reciben directamente los servicios
o trámites prestados por la entidad, incluyendo aún a quienes interactúan en el
ejercicio de recibir información general que suministra por la entidad.
 GLOSARIO

Parte interesada. Es una persona u organización que puede afectar, verse

afectada o percibirse como afectada por una decisión o actividad relevantes a los
Sistemas de Gestión de la Entidad.
Parte interesada interna. Son las que se encuentran más apegadas a las
organizaciones.
Parte interesada externa. Son aquellas que tienen algún interés en las
organizaciones pero no está tan apegadas a ellas.
Seguridad de la información. Es la disciplina que nos habla de los riesgos, de
las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas
normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías
para elevar el nivel de confianza en la creación, uso, almacenamiento,
transmisión, recuperación y disposición final de la información
Caracterizar. Hace referencia a identificar las particularidades de los ciudadanos,
usuarios o partes interesadas con los cuales interactúa cada una de las entidades
de la administración pública, con el fin de segmentarlos en grupos que compartan
atributos similares y a partir de allí gestionar acciones.
Usuarios. Quien usa ordinariamente algo, hace mención a la persona que utiliza
algún tipo de objeto o que es destinataria de un servicio, ya sea privado o público.
Ciudadanos. Hace alusión a quien ejerce su ciudadanía, condición que
caracteriza a la antedicha categoría cívica y que puede definirse como una serie
de reconocimientos expresados en derechos y obligaciones, tanto individuales
como sociales. En el ámbito cotidiano se usa la palabra ciudadano para hacer
referencia a las personas que viven en una ciudad.
 1. Identificar las partes interesadas (internas y externas) de una organización.
Mínimo tres internas y tres externas.

Para efectos de cualquier sistema de gestión basado en una norma ISO

270001, se consideran partes interesadas todas las personas u organizaciones
que, públicas o privadas, internas o externas, de alguna forma aunque sea
tangencial, pueden influir o impactar en el objetivo de nuestro sistema.
Partes Interesadas internas son:
- Funcionarios públicos
- Contratistas
- Dirección General (alta dirección)
- Dirección de Gestión de Tecnologías de Información y Comunicación
- Dirección de Talento Humano
- Oficina Asesora Jurídica
- Oficial de seguridad de la información
- Equipo de Gestión del Modelo de Seguridad y Privacidad de la Información

Partes Interesadas Externas son:

- Ciudadanía, comunidad en general

- Entidades y empresas
- Proveedores
- Gobierno Nacional
- Ministerio de Salud y Protección Social
- Entes de control externos

2. Determinar cómo influye cada parte interesada en la seguridad de la

organización, es decir, justificar por qué es una parte interesada relevante
para la gestión de la seguridad.

PARTES INTERESADAS INTERNAS

Funcionarios públicos y Contratistas

Es una parte interesada de la entidad ya que es de su necesidad contar con los
sistemas de información y servicios tecnológicos que les permita agilizar su
trabajo y que la información registrada a través de estos sea
resguardada bajo los criterios de confidencialidad, integridad y
disponibilidad, donde a través del manual de políticas específicas de seguridad y
privacidad de la información, se tiene como responsabilidades para su interés las
siguientes [ CITATION ADM19 \l 3082 ]:
  Cumplir y propender por el cumplimiento de las Políticas de Seguridad y
Privacidad de la información de la entidad

 Reportar los incidentes de Seguridad y Privacidad de la Información a la

mayor brevedad mediante los canales establecidos para ello.

 Utilizar los sistemas de información, credenciales de acceso, el acceso a la

red y la información únicamente para las funciones a su cargo.

 Incorporar la Seguridad de Información como parte de las actividades y

tareas bajo su responsabilidad.

 Utilizar únicamente software y demás recursos tecnológicos autorizados

Dirección General (Alta Dirección)

Es una parte interesada de gran importancia ya que debe mostrar resultados
positivos de acuerdo a la seguridad de la información y velar por que los objetivos
del SGSI sean compatibles con la planeación estratégica de la entidad, a través
del manual de políticas específicas de seguridad y privacidad de la información, se
tiene como funciones esenciales entre otras, las siguientes que influyen en sus
interés [ CITATION ADM19 \l 3082 ]:
 Dirigir y evaluar la ejecución de las políticas, planes, programas y
proyectos de la ADRES y orientar el cumplimiento de sus objetivos y
funciones.

 Orientar y dirigir la gestión de la información y las comunicaciones

mediante procesos tecnológicos que garanticen la integridad y consistencia
de la información.

 Realizar la revisión del Sistema de Gestión de Seguridad de la

Información, promoviendo la mejora continua y alineamiento con las
directrices gubernamentales en torno a la ciberseguridad.

 Revisar, aprobar la Política General de Seguridad y Privacidad de la

Información, así como el Manual de Políticas Específicas de Seguridad y
Privacidad de la Información.

 Determinar el nivel de riesgo de seguridad de la información que es

aceptable para la Entidad conforme con lo definido dentro del Sistema de
Administración de Riesgos Integrados de la Entidad que se ha definido
para tal fin.

Dirección de Gestión de Tecnologías de Información y Comunicación

Es considerada una parte interesada vital en la entidad debido a la necesidad de
garantizar la disponibilidad de los sistemas de información y la integridad,
disponibilidad y confidencialidad de la infraestructura de TI y por ende de la
información almacenada en ella. Para su necesidad y el cumplimiento de sus
funciones en relación con el Modelo de Seguridad y Privacidad de la Información-
MSPI de acuerdo al manual de políticas específicas de seguridad y privacidad de
la información [ CITATION ADM19 \l 3082 ] que tienen como objeto:
 Impartir los lineamientos en materia tecnológica para definir políticas,
estrategias y prácticas que soporten la gestión del Sector.

 Garantizar la aplicación de los estándares, buenas prácticas y principios

para el suministro de la información a cargo de las entidades del Sector.

 Aplicar los lineamientos y procesos de arquitectura tecnológica del

Ministerio de las tecnologías de la Información y las Telecomunicaciones
en materia de software, hardware, redes y telecomunicaciones, acorde
con los parámetros gubernamentales para su adquisición, operación,
soporte especializado y mantenimiento.

 Gestionar la operación, disponibilidad, continuidad y prestación de los

servicios requeridos para soportar la plataforma tecnológica y de apoyo
de la infraestructura de información y comunicaciones en los procesos
de la Entidad.

 Asesorar en la definición de los estándares de datos de los sistemas

de información y de seguridad informática de competencia de la Entidad.

 Impartir lineamientos tecnológicos para el cumplimiento de estándares

de seguridad, ciberseguridad, privacidad, calidad y oportunidad de la
información de la Entidad y la interoperabilidad de los sistemas que la
soportan, así como el intercambio permanente de información.

Dirección de Talento Humano

Es también considerada una parte interesada importante, debido a que tiene la
responsabilidad en la ejecución de capacitaciones en seguridad que tiene la
entidad y el establecimiento de estatutos y normas en los contratos del antes,
durante y después de la vinculación de los funcionarios, con el fin de preservar la
seguridad de toda la información de la entidad.

Oficina Asesora Jurídica

Es otra oficina considerada una parte interesada importante, ya que a través del
SGSI debe garantizar el cumplimiento de la normatividad vigente relacionada. Su
necesidad de acuerdo con sus funciones con el SGSI se tiene:
  Conocer e interpretar la normatividad vigente relacionada con seguridad de
la información bajo el contexto de la entidad.

 Hacer cumplir en la entidad la normatividad vigente

Oficial de seguridad de la información

El rol de esta persona es considerada una parte interesada debido a que es
responsable táctico del Sistema de Gestión de Seguridad de la Información-
SGSI y debe reportar al nivel directivo asignado o en su defecto a la
Dirección General sobre las políticas, objetivos y cumplimiento, teniendo como
necesidad acorde a sus responsabilidades al manual de políticas específicas de
seguridad y privacidad de la información [ CITATION ADM19 \l 3082 ]:
 Definir la misión de la seguridad informática y de la información de la
Entidad en conjunto con las autoridades del nivel directivo de esta.

 Planificar, desarrollar, controlar y gestionar las políticas,

procedimientos, manuales, guías y acciones con el fin de mejorar la
Seguridad y Privacidad de la información dentro de sus pilares
fundamentales de confidencialidad, integridad y disponibilidad y así mismo
dar cumplimiento a lo definido dentro de la Política de Gobierno Digital.

 Asesorar en la elaboración y Aplicar la metodología de análisis de

riesgo de seguridad de la información con base en lo establecido en la
Guía para la administración del riesgo y el diseño de controles.

 Definir y generar las métricas de seguridad de la información establecidas

en el SGSI.

 Gestionar el análisis, mitigación y/o cierre de las vulnerabilidades de

seguridad de la información.

Equipo de Gestión del Modelo de Seguridad y Privacidad de la Información

Este equipo de gestión es parte interesada ya que es responsable de asesorar
de manera integral al Oficial de Privacidad en el desarrollo del Modelo de
Seguridad y Privacidad de la Información dentro de la Entidad, con el propósito
de asegurar que toda la información más relevante de la entidad esté
disponible oportunamente. Teniendo como responsabilidades acorde a su
interés de acuerdo con el manual de políticas específicas de seguridad y
privacidad de la información, tiene [ CITATION ADM19 \l 3082 ]:
 Apoyar al Oficial de Seguridad de la información en las acciones a
desarrollar frente al Modelo al interior de la entidad. Tales como: (i)
Establecer, mantener y actualizar las políticas de seguridad de la
 información, la metodología para la gestión de riesgos, la metodología para
la identificación y clasificación de los activos y la documentación propia del
Modelo de Seguridad y Privacidad de la Información -MSPI. (ii) Desarrollar
y liderar la implementación de indicadores de seguridad adecuado para
evaluar la efectividad y desempeño del modelo dentro de la Entidad.

 Trabajar en forma articulada, activa y permanente con los líderes de

procesos críticos en la ejecución y desarrollo de todas las
actividades designadas para la implementación, sostenibilidad y
mejora del Modelo de Seguridad y Privacidad de la Información -MSPI de la
Entidad.

 Asesorar al Equipo Oficial de protección de datos frente al

cumplimiento de los deberes y responsabilidades de la Entidad de
acuerdo al régimen de protección de datos personales.

PARTES INTERESADAS EXTERNAS

Ciudadanía, comunidad en general:

Es de una parte interesada de gran importancia ya que su necesidad consiste en
que la entidad fortalezca la seguridad en la información suministrada.
Garantizar la protección de los datos personales de la comunidad en
general, conforme al procesamiento de la información dentro de las diferentes
líneas misionales de la entidad.

Entidades y Empresas:
Es una parte interesada donde el objetivo es implementar Sistemas de
Información, herramientas o servicios para el intercambio de información
entre entidades.
Tiene como necesidad, la articulación interinstitucional mediante el
establecimiento de acuerdos de cooperación e interoperabilidad.

Proveedores:

Es una parte interesada ya que su necesidad es establecer los mecanismos de

control en las relaciones con terceros a los que provean bienes o servicios.
Teniendo en cuenta las siguientes directrices [ CITATION ADM19 \l 3082 ]:
 - Validar la inclusión de Acuerdos de Niveles de Servicios en los contratos
suscritos con terceros, en especial los celebrados con persona jurídica.

- Es responsabilidad del propietario del activo de información del cual

se va a compartir información evaluar los riesgos que se puedan
presentar en el momento de entrega de información al tercero.

Gobierno Nacional y Ministerio de Salud y Protección Social:

El gobiernos nacional junto con el Ministerio de Salud y Protección Social

corresponde a una parte interesada externa muy importante, debido a que son
organismos con competencia para establecer un marco normativo de
funcionamiento de la entidad con el fin de que las entidades del estado
implementen sistemas de gestión que les permitan fortalecer la seguridad de la
información.

Entes de control externos:

Corresponden a una parte interesada externa, debido a que son entes de
vigilancia y control que supervisan las actividades de la entidad con el fin de
asegurar el cumplimiento de la normatividad en lo relacionado con la seguridad de
la información para el desarrollo de sus funciones.

3. Definir y explicar mecanismos de identificación de las expectativas de

seguridad de las partes interesadas.

Tabla 1: Expectativas y mecanismos de las partes interesadas

PARTE EXPECTATIVAS MECANISMOS
INTERESADA
-Funcionarios Comunicación efectiva y Política General de
asertiva en el marco del Seguridad y Privacidad de la
públicos desarrollo de las información
funciones.
-Contratistas Manual de políticas
Fortalecimiento específicas de privacidad de
-Dirección General permanentemente frente al la información
Modelo de Seguridad y
(alta dirección)
Privacidad de la Encuestas de satisfacción a
Información – MSPI y las los funcionarios
-Dirección de buenas prácticas en el uso
Gestión de de las tecnologías de Comités de seguridad de la
información. Lograr la información
Tecnologías de
adopción de buenas
Información y
 prácticas que permitan
Comunicación garantizar la
confidencialidad,
disponibilidad e integridad
-Dirección de de la información.
Talento Humano
Lograr la adopción de
-Oficina Asesora buenas prácticas que
permitan garantizar la
Jurídica confidencialidad,
disponibilidad e integridad
-Oficial de de la información.
seguridad de la
Mitigar los riesgos por
información
-Equipo de Gestión
perdida, o uso indebido de
del Modelo de la información cumpliendo
Seguridad y con la normatividad
Privacidad de la vigente
Información
Fomentar alianzas con Acuerdos de cooperación
Entidades y Empresas con:
privadas comprometidas
con la misionalidad de la . Registraduría
Entidades y entidad.
Empresas (Clientes) . Migración Colombia
Lograr la adopción de
buenas prácticas que .Dirección de planeación
permitan garantizar la
confidencialidad, .Entes territoriales
disponibilidad e integridad
de la información. .Ministerios del Gobierno
Nacional.
Mitigar los riesgos por
perdida, o uso indebido de
la información cumpliendo
con la normatividad
vigente.
Cumplir tanto la Política Manual de Servicio al
General como Políticas ciudadano y protocolo de
Ciudadanía, Específicas de Seguridad atención
comunidad en de la Información
general reduciendo las
probabilidades de
afectación a la
información.
Gobierno y Acompañamiento en el Comunicación parmente
 análisis de la
infraestructura con el fin Respuesta requerimientos
de identificar específicos
vulnerabilidades en la
implementación del Informes
Modelo de Seguridad y
Privacidad de la Gobierno Digital
Información.
Gobierno en línea
Fortalecer los canales de
comunicación con las
diferentes Entidades
Ministerio de Salud
competentes, para el
y Protección Social
oportuno reporte de
ataques cibernéticos y
Entes de control
así poder actuar a
externos
tiempo para su mitigación.

Robustecer la
comunicación entre La
Fiscalía General de la
Nación y la ADRES para
proceder de manera
oportuna frente a
posibles delitos que
atente con la Seguridad
de la Información de la
Entidad.
Conocer tanto la Política Reuniones anuales y
Proveedores General como Políticas periódicas
Específicas de Seguridad
y Privacidad de la Registro de contratistas
información de la Entidad.
Sistema electrónico de
contratación pública SECOP
Colombia Compra Eficiente

Fuente: Elaboración propia

 4. Definir cuatro objetivos de la gestión de seguridad de la información
orientados a apoyar la misión, visión y estrategia de la organización. Estos
objetivos deben ser medibles, viables y reflejar qué aportan al negocio.
Atención: son los objetivos de la gestión de seguridad, no los objetivos del
proyecto de implementación del SGSI.

Objetivos del SGSI

- Prevenir y garantizar el acceso a la información de ADRES de acuerdo

con los niveles de la organización y criterios de seguridad que
establezca la Entidad, la normatividad aplicable y/o las partes interesadas.

- Mantener la integridad de la información de la entidad, teniendo en cuenta

los requisitos de seguridad aplicables y los resultados de la valoración y el
tratamiento de los riesgos identificados

- Asegurar que la información de ADRES esté disponible para los usuarios o

procesos autorizados en el momento en que así lo requieran

- Concientizar al personal de la organización en seguridad de la

información y buenas prácticas de seguridad para la prevención de
incidentes que afecten la continuidad de las operaciones
 CONCLUSIONES

 El presente trabajo nos dio la oportunidad como grupo de trabajo, en

entender la importancia que tiene poder identificar las partes
interesadas de una entidad, para de esta manera poder identificar
sus requisitos, teniendo como referencia la norma “ISO
270001:2013” donde se enfoca en entender el sentido común y a la
ruta de los procesos y la interrelación que se da entre ellos.

 Personalmente pensamos que el tema de las partes interesadas

juntamente con sus necesidades y expectativas son una parte
fundamental del SGSI, ya que es muy importante que como
profesionales en seguridad de la información tengamos claridad
sobre las partes interesadas de la entidad para empezar nuestra ruta
de trabajo y tener la claridad del impacto que tiene el sistema ante
los servicios de la entidad.

 Fue un ejercicio grupal muy significativo para el aprendizaje

profesional, ya que nos abre aún más la perspectiva de que como
profesionales debemos brindar confianza y un valor agregado a
nuestras partes interesadas.

 Por otro lado al desarrollar este trabajo entendimos que las partes
interesadas juegan un papel fundamental en el apoyo, la asignación
de recursos, así como también la implementación de controles y
participación de cada uno ya que son patrocinadores y su apoyo a la
gestión de la seguridad es determinante como un factor de éxito.
 Referencia Bibliografía

1. ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE

SEGURIDAD SOCIAL EN SALUD ADRES. (28 de Marzo de 2019). MANUAL
DE POLÍTICASESPECÍFICAS DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN. Recuperado el 14 de Septiembre de 2019, de MANUAL DE
POLÍTICASESPECÍFICAS DE SEGURIDAD Y PRIVACIDAD DE LA
INFORMACIÓN: https://www.adres.gov.co/Portals/0/manuales/Man%20PESPI
%20V1.0.pdf
2. ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE
SEGURIDAD SOCIAL EN SALUD ADRES. (28 de Marzo de 2019). POLÍTICA
GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN.
Recuperado el 14 de Septiembre de 2019, de POLÍTICA GENERAL DE
SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN:
https://www.adres.gov.co/Portals/0/manuales/PGSPI%20V2.0.pdf