2,013
HOSPITAL
SAN
JUAN
DE
LURIGANCHO
i
*
Tabla de Contenido
1. Plan de Seguridad................................................................................................................................... 3
1.1 Anlisis de Riesgos...................................................................................................................... 3
1.2 Evaluacin de Riesgos................................................................................................................. 3
1.3 Evaluacin de Fallas.................................................................................................................... 6
1.4 Plan de Recuperacin de Fallas y/o Desastres...........................................................................7
1.4.1
1.4.2
1.4.3
2. Seguridad de la Informacin.................................................................................................................. 11
2.1 Acceso no autorizado .......................................................................................................... 11
2.1.1
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
2.1.2
Niveles de Acceso.................................................................................................. 11
3. Medidas Preventivas Contra Amenazas................................................................................................ 12
3.1 Extinguidores Manuales............................................................................................................. 12
3.2 Mejoramiento de Infraestructura................................................................................................ 12
3.2.1
Acervo Documentario............................................................................................. 12
3.2.2
Instalaciones elctricas.......................................................................................... 12
El Robo.................................................................................................................. 16
3.3.2
El Fraude............................................................................................................... 16
3.3.3
El Sabotaje............................................................................................................ 16
Pgina 2
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
PLAN DE SEGURIDAD
1.1 Anlisis de Riesgos
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas
negativas. Se ha de obtener una evaluacin econmica del impacto de estos sucesos negativos, este
valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, contra el
costo de volverla
a producir (reproducir),
A la hora del anlisis se ha de tener en cuenta la probabilidad de que sucedan cada uno de los problemas
posibles con el fin de que puedan ser priorizados,
realizando su costo potencial desarrollando un plan de accin adecuado.
El anlisis de riesgos supone responder a preguntas del tipo:
^ Qu puede ir mal? ^ Con qu frecuencia puede
ocurrir? S Cules seran sus consecuencias?
s Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
1.2
Evaluacin de Riesgos
Lo fundamental en la evaluacin de riesgos que se ha de llevar a cabo, se tendr en cuenta el contestar,
con la mayor fiabilidad posible, a las siguientes preguntas:
Qu se intenta proteger? S Cul es su valor para uno o para la
organizacin? s Frente a qu se intenta proteger? S Cul es la
probabilidad de un ataque?
a) Riesgos en la seguridad informtica a que se enfrenta la Institucin s Fallas elctricas, que
daen los equipos.
HOSPITAL
SAN
JUAN
DE
LURIGANCHO
los
de
v'
Fuego, que puede destruir los equipos y archivos. Robo comn, llevndose los equipos. Fallas en
equipos informticos, que daen los archivos. Errores del usuario, que daen los archivos. Accin
virus, que daen los equipos y archivos. Terremotos, que destruyen los equipos y archivos. S
Accesos no autorizados, filtrndose datos importantes. s Robo de Datos: difundindose los datos.
Fraude, desviando fondos merced a la computadora.
SI
NO
10%
Pgina 3
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
NO
NO
SI
SI
SI
Tranquilo NO SI
20 por turno
S, de acuerdo a un plan de
mantenimiento. Bueno.
S, es posible saberlo
Pgina 4
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
UM
Terremotos que destruyan los equipos y archivos
SI
NO
70%
Ninguna Bajo
SI SI
Alta
60%
NO
RIESGOS
ALTO
MEDIO
BAJO
X
X
X
Pgina 5
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
Pgina 6
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
MEDIO
BAJO
X
X
X
X
X
X
X
X
X
X
X
X
X
X
HOSPITAL SAN
JOAN:;
Plan ele Contingencia Informtico -DELLfRQANCH
HSJL
O
Pgina 7
p-'+A lyiaij
Wn
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
Ao de la Inversin para el
Desarrollo Rural y la Seguridad Alimentaria
a) Sistemas de Informacin
Se deber tener una relacin de los Sistemas de informacin con los que se cuenta, tanto
los realizados por el centro de cmputo como los hechos por las reas usuarias. Debiendo
identificar toda informacin sistematizada o no, que sea necesaria para la buena marcha
institucional.
La relacin de Sistemas de Informacin deber detallar los siguientes
datos:
> Nombre del Sistema.
> Lenguaje o Paquete con el que fue creado el Sistema, programas que lo conforman
(tanto programas fuentes como programas objetos, rutinas, macros, etc.).
> Las unidades que usan la informacin del Sistema.
> El volumen de los archivos que trabaja el Sistema.
> El volumen de transacciones diarias, semanales y mensuales que maneja el sistema.
> El equipamiento necesario para un manejo ptimo del Sistema.
> La(s) fecha(s) en las que la informacin es necesitada con carcter de urgencia.
> El nivel de importancia estratgica que tiene la informacin de este Sistema para la
Institucin.
> Equipamiento mnimo necesario para que el Sistema pueda seguir funcionando.
(Considerar su utilizacin por vahos usuarios).
> Actividades a realizar para volver a contar con el Sistema de Informacin (actividades
de Restore).
b) Equipos de Cmputo Se tendr en cuenta:
> Inventario actualizado de los equipos de manejo de informacin (computadoras,
impresoras, etc.), especificando su contenido (software que usa), su ubicacin y nivel
de uso institucional.
> Sealizacin o etiquetado de los computadores de acuerdo a la importancia de su
contenido, para ser priorizados en caso de evacuacin.
c) Obtencin y Almacenamiento de los Respaldos de Informacin
Se deber establecer los procedimientos para la obtencin de copias de Seguridad de
todos los elementos de software necesarios para asegurar la correcta ejecucin de los
Sistemas o aplicativos de la Institucin, para lo cual se debe contar con:
Backups: del Sistema Operativo, del Software, del Software Aplicativo, de los Datos, del
Hardware (Externa, Interna).
> Polticas (Normas y Procedimientos de Backups): Se debe establecer los
procedimientos, normas, y determinacin de responsabilidades en la obtencin de los
Backups mencionados anteriormente.
> Almacenamiento de los Backups en condiciones ambientales ptimas, dependiendo del
medio magntico empleado.
> Reemplazo de los Backups, en forma peridica, antes que el medio magntico de
soporte se pueda deteriorar (reciclaje o refresco).
> Pruebas peridicas de los Backups (Restore),
HOSPITAL SAN JUAN
verificando su funcionalidad, a travs de los sistemas,
DE LURGANCHO
comparando contra resultados anteriores confiables.
Plan ele Contingencia Informtico - HSJL
Pgina 8
HOSPITAL SAN JUAN
DE LURIGANCHO :
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
1.4.2.2
Entrenamiento
El personal del Hospital San Juan de Lurigancho debe tomar conciencia de que los siniestros
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y que los
entrenamientos se deben asumir con seriedad y responsabilidad, para estos efectos es
conveniente que participen los elementos directivos.
Para el cual se comunicar al personal los das de las charlas de Seguridad Institucional.
1.4.3
Actividad Despus del Desastre 1.4.3.1
Evaluacin de Daos
Inmediatamente despus que la contingencia ha concluido, se deber evaluar la magnitud
del dao que se ha producido, que sistemas estn afectados, que equipos han quedado no
operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
HOSPITAL
JUAN DE
GANCHO
LU
SAN
RI
1.4.3.2
Priorizacin de actividades del Plan de Accin.
La evaluacin de daos reales y su comparacin contra el Plan, nos dar la lista de las
actividades que debemos realizar, siempre priorizndola en vista a las Pgina
actividades
Plan ele Contingencia Informtico - HSJL
9
estratgicas y urgentes de nuestra Institucin.
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
Es importante evaluar la dedicacin del personal a actividades que no fueron afectadas, para
su asignacin temporal a actividades afectadas, en apoyo al personal de los sistemas
afectados y soporte tcnico.
1.4.3.3
Ejecucin de Actividades.
La ejecucin de actividades implica la creacin de grupos de trabajo para realizar las
actividades previamente planificadas en el Plan de accin.
Cada uno de estos equipos deber contar con un coordinador que deber reportar
diariamente el avance de los trabajos de recuperacin y, en caso de producirse algn
problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.
1.4.3.4
Evaluacin de Resultados.
Una vez concluidas las labores de recuperacin del (los) sistema(s) que fueron afectados por
la contingencia, debemos de evaluar objetivamente, todas las actividades realizadas, que tan
bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades del plan de accin, como se comportaron los equipos de
trabajo, etc.
1.4.3.5
Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, debemos optimizar el plan de accin original, mejorando
actividades que tuvieron alguna dificultad y reforzando los elementos que funcionaron
adecuadamente.
HOSPITAL SAN JUAN
OE3RJGANC
HO
2. SEGURIDAD DE LA INFORMACION
La seguridad de la informacin y por consiguiente de los equipos informticos, es una cuestin que llega
a afectar, incluso, a la vida privada de la persona, de ah que resulte obvio el inters creciente que da a
da se evidencia sobre este aspecto de la nueva sociedad informtica. La seguridad de la informacin
tiene dos aspectos importantes como:
>
>
2.1.2
Pgina 10
Niveles de Acceso
Los programas de control de acceso debern identificar a los usuarios autorizados a usar
determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
existen en los niveles de acceso estn referidas a la lectura o modificacin en sus diferentes
formas.
a) Nivel de consulta de informacin
El privilegio de lectura est disponible para cualquier usuario y slo se requiere un
conocimiento de la estructura de los datos, o del sistema de otro usuario para lograr el
acceso.
b) Nivel de mantenimiento de la Informacin
El concepto de mantenimiento de la informacin consiste en:
> Ingreso
Insertar datos nuevos pero no se modifica los ya existentes.
> Actualizacin
Modificar la informacin pero no elimina los datos.
> Borrado
Eliminacin de datos, c) Claves de Acceso
Las claves de acceso a los sistemas institucionales, a los Sistemas Operativos, a los
servidores y otros; debern ser de conocimiento del rea de Estadstica e Informtica,
bajo responsabilidad funcional. Para el buen uso de las claves de acceso en las distintas
reas del Hospital hay que tener cuenta las siguientes recomendaciones:
> Que tenga una longitud mnima de seis caracteres.
> Que mezcle letras maysculas, minsculas y nmeros.
> Que cambie peridicamente la clave de acceso al escritorio.
> Que no corresponda con las iniciales de nombre del usuario.
> Que no divulgue sus claves a terceros._________________________________
Pgina 11
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
ESPUMA
AGUA
Apaga solamente la
superficie.
Sofoca
Enfra, humedece y
apaqa totalmente.
Equipamiento
Elctrico
Conduce
electricidad y daa el
equipo.
Conductor de
electricidad.
Lquidos
Inflamables
No deja residuos y es
inofensivo.
Papel, Madera
Instalaciones Elctricas
Pueden perderse o daarse los datos que hay en memoria, se puede daar el hardware,
interrumpirse las operaciones activas y la informacin podra quedar temporal o
definitivamente inaccesible.
>
>
>
>
>
>
>
>
>
iy^lfllfttPP
'-"OSPITAI SAN JUAN
2EST mBBI^ flESSHSS DELURiGANCHO ;5ist:-
sega'
Ao de la Inversin para el
Desarrollo Rural y la Seguridad Alimentaria
Pgina 12
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
>
SAN
D
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
Lo que causa problemas en las computadoras personales son las grandes oscilaciones en el
voltaje. Por ejemplo, una cada por debajo de ios 200V y una subida por encima de los 240V.
Si la lectura del voltaje contina fluctuando, anote la medida ms alta y la ms baja. Si se
encuentran dentro de un margen del 5%, alrededor del voltaje esperado, probablemente no
causar ningn problema. Si las oscilaciones se encuentran fuera de este margen, puede ser
recomendable pedir que un electricista revise el cableado e invertir en algn equipo de
acondicionamiento de corriente (Estabilizadores).
a) Supresores de Subidas de Tensin
Una proteccin econmica ante las subidas de tensin es un supresor de subidas. Este es
un dispositivo elctrico situado entre la computadora personal y la fuente de corriente.
Incluye circuitos que recorta el voltaje cuando ste comienza a subir por encima de un
nivel aceptable. El supresor de subidas evita que las subidas de la corriente de
alimentacin peligrosas lleguen al equipo.
>
>
b) Picos
Una variacin en la corriente peligrosa y difcil de medir son los picos. Estos consisten en
una sbita subida de tensin a niveles muy altos. Muchos de estos picos son causados
por la conexin y desconexin de grandes aparatos elctricos. Los picos son de dos tipos
distintos:
Sucesos de modo normal, se miden entre los hilos activo y neutro del circuito elctrico.
Los de modo comn, entre el neutro y la tierra.
Un pico en modo normal de gran magnitud puede daar la fuente de alimentacin de la
computadora. Sin embargo, un pico en modo comn de slo unas pocas docenas de
voltios puede daar los circuitos lgicos o producir errores entre las computadoras.
Pgina 14
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
HOSPITAL SAN JUAN DELURIGANCHO
>
>
>
>
>
>
b) Grupo Electrgeno
Para obtener el rendimiento y la confiabilidad adecuada, se recomienda que se declare las especificaciones
en trminos de rendimiento . deseado, en vez de intentar especificar un determinado tamao, tipo o
marca de equipo.
HOSPITAL SAN JUAN
DE LURGANCHO
<
Ao de la Inversin para el
Desarrollo Rural y la Seguridad Alimentaria
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
S Crear un grupo de trabajo que establezca y compruebe tcnicas de seguridad para los
equipos. Este equipo debe incluir representantes de la Unidad de Estadstica e Informtica y
representantes de las reas que deseen prevenir el robo de su informacin. S Ejecutar un
anlisis de riesgos en los sistemas que abarquen prdidas
potenciales por accidentes, as como por delitos intencionados. s Compilar una lista con las
aplicaciones de la computadora identificando posibles oportunidades para delinquir y
estableciendo un sistema de defensas.
>
3.3.2
Evitar
S Depender de una sola persona para las funciones vitales. s Repetir actividades de
comprobaciones de seguridad. S Emplear inspecciones ad-hoc.
S Programar trabajo no supervisado, en horario no administrativo.
El Fraude
Cada ao, millones de dlares son sustrados de empresas y, en muchas
ocasiones, las computadoras han sido utilizadas en dicho propsito.
Sin embargo, debido a que ninguna de las partes implicadas (institucin, empleados, proveedores,
etc.), tienen algo que ganar, sino ms bien, pierden en imagen, no se da ninguna publicidad a este
tipo de situaciones.
Las tres principales reas donde se produce el fraude son: 1- Manipulacin de
informacin de entrada
Fcil de realizar y muy difcil de detectar, al ser los mtodos de validacin de entrada simples y,
en general, conocidos por un gran nmero de personas de la empresa.
SAN
DE
Pgina 16
Ao de la Inversin para el
Desarrollo Rural y la Seguridad
Alimentaria
No existe un plan idneo o una recomendacin simple para resolver el problema de la seguridad. Realmente no
es una situacin esttica o un problema "puntual", sino que requiere un constante y continuo esfuerzo y
dedicacin.
Se menciona a continuacin algunas medidas que se deben tener muy en cuenta para tratar de evitar las
acciones hostiles:
1. Mantener una buena relacin de trabajo entre todos los miembros de
cada rea fsica.
2. Mantener una buena relacin de coordinacin con la Comisara del sector
Mantener adecuados archivos de reserva (backups). No confiar de forma exclusiva en la empresa de
3. seguridad interna. Planificar para probar los respaldos (backups) de los servicios de procesamiento
de
4. datos.
5. Identificar y establecer operaciones criticas prioritarias cuando se planea el respaldo de los servicios y
la
recuperacin de otras actividades. Montar procedimientos para remitir registros de almacenamiento
6.
de archivos y recuperarlos.
Usar
rastros de auditoras o registros cronolgicos (logs) de transaccin
como medida de seguridad.
m ?p
8.
mm
H HOSPITAL SAN JUAN DE
LURIGANCHO
Pgina 17
Ao de la Inversin para el
Desarrollo Rural y la
Seguridad Alimentaria
mm
4. MEDIDAS DE PRECAUCION Y RECOMENDACION
4.1 Relacin al rea de Servidores
El acceso al rea de Servidores debe estar restringido al personal del rea de Informtica y sus
proveedores de servicios (de mantenimiento de ser el caso)
previa coordinacin.
4.2 Relacin con los Equipos de Cmputo y Terminales
Se deben evitar los grandes ventanales, porque permiten la entrada del sol y el calor, los
cuales son Inconvenientes para el equipo de cmputo, adems de ser un riesgo para la
seguridad de los mismos.
Se debe tener cuidado con los equipos que se ubican en oficinas donde existan
materiales altamente inflamables, que despiden humos txicos o bien paredes que no
queden perfectamente selladas y despidan polvo ya que se puede introducir en los
equipos y daarlos, especialmente la CPU.
El acceso a los sistemas compartidos por mltiples usuarios y a los archivos de
informacin contenidos en dichos sistemas, debe estar controlado mediante la verificacin
de la identidad de los usuarios autorizados.
Establecer controles para una efectiva disuasin y deteccin, a tiempo, de los intentos no autorizados
de acceder a los sistemas y a los archivos de informacin
que contienen.
La seguridad de las terminales de un sistema en red podrn ser controlados por medios
de anulacin del USB, cubrindose de esa manera la seguridad contra robos de la
informacin y el acceso de virus informticos.
Asignar a una sola persona la responsabilidad de la proteccin de los equipos en
cada rea.
Evitar poner encima de los equipos, tazas o botellas con contenido lquido.
4.3 Mantenimiento de Discos Magnticos y Discos Duros
En general los discos magnticos son medios de almacenamiento "delicados", pues si
sufren un pequeo golpe puede ocasionar que la informacin se dae o producir un
CRASH al sistema
No se debe mover la CPU conteniendo al disco duro cuando est encendido, porque los
cabezales de lectura-escritura pueden daar al disco.
Evitar que el equipo sea colocado en una zona donde se acumule calor, ya que se pueden
dilatar algunas piezas ms que otras, o secar los lubricantes. Modificando la alineacin
entre el disco y los cabezales de
lectura - escritura, pudindose
destruir la informacin.
Evitar,
en
lo
posible,
la
introduccin de polvo que puede
originar serios daos.
Ao de la Inversin para el
Desarrollo Rural y la
Seguridad Alimentaria
11
&
5.
SEGURIDAD EN REDES
Componentes de Seguridad
Para un intruso que busque acceder a los datos de la red, la lnea de ataque ms
prometedora ser una estacin de trabajo de la red. Debe habilitarse un sistema que
impida que usuarios no autorizados puedan conectarse a la red y copiar informacin fuera
de ella, e incluso imprimirla.
5.1
El administrador de a red tal vez tenga que clasificar a los usuarios de la red con el objeto
de adjudicarles el nivel de seguridad adecuado. A continuacin se sugiere un sistema en
tres niveles:
>
Nivel de administracin
Aquellos que disean, mantienen o ponen en marcha la red. Este debe estar
constituido slo por el administrador o por un pequeo grupo de personal de soporte y
administracin.
>
Usuarios fiables
Aquellos usuarios que cumplen las normas y cuyo trabajo se puedan beneficiar de una
mayor libertad de acceso a la red.
>
Usuarios vulnerables
Aquellos que muestran falta de competencia, son excesivamente curiosos o
beligerantes, o los que por alguna razn no se puede confiar.
Ao de la Inversin para el
Desarrollo Rural y la
Seguridad Alimentaria
>
>
>
Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle particin.
Restaurar el ltimo backup en el disco, seguidamente restaurar las modificaciones
efectuadas desde esa fecha a la actualidad.
Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado.
Ao de la Inversin para el
Desarrollo Rural y la
Seguridad Alimentaria
>
Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el
concentrador, habilitar entradas
para estaciones en las cuales se
realizarn las pruebas.
> Al final de las pruebas, luego de los
resultados de una buena lectura de informacin, habilitar las entradas al sistema para los
usuarios.
m
M
Si se presenta el caso de una o varias bases de datos no reconocidas como tal, se debe
recuperar con utilitarios.
Ao de la Inversin para el
Desarrollo Rural y la
Seguridad Alimentaria
Se contar con antivirus que aislan el virus que ingresa al sistema llevndolo a un
directorio para su futura investigacin.
El antivirus muestra el nombre del archivo infectado y quin lo us.
Si los archivos infectados son aislados y an persiste el mensaje de que existe virus en el
sistema, lo ms probable es que una de las estaciones es la que caus la infeccin,
debiendo retirarla del ingreso al sistema y proceder a su revisin.
7. PROTECCIONES ACTUALES
>
>
>
>
>
>
>
>
Generalmente, se hace una copia de los archivos que son vitales para la Institucin.
Los programas de dominio pblico y de uso compartido (Shareware), slo se usan si procede
de una fuente confiable.
Contra el robo comn, se cuenta con personal de vigilancia.
Se realiza mantenimiento de equipos de forma regular, ante cualquier eventualidad de riesgo
que pudiera ocurrir (Plan Anual de Mantenimiento Preventivo)
Los daos por virus se evitan, analizando todo el software que llega mediante antivirus
actualizados. (Antivirus Corporativo).
Ante los errores de los usuarios, se da constantes indicaciones acerca del correcto uso del
software y hardware a todo el personal que labora de manera directa con los equipos
informticos (Soporte a usuario).
Acceso no autorizado, cada usuario es responsable de los equipos de cmputo y del software
que maneja, as de los datos que procesa.
Lo referente al robo de datos, este se evita mediante la restriccin de entrada al personal no
S, yij< y . S9{>
HOSPITAL
SAN
JUAN
DELURIGANCHO
autorizado, los terminales cuentan con password al igual que los servidores.