ACTIVIDAD TCNICA

Nombre:

ALBEIRO JIMENEZ IBAEZ

Documento de identidad:

13722423

Programa:

GESTION Y SEGURIDAD DE BASES DE

DATOS(1017120)

PLAN DE MEJORA EN SEGURIDAD INFORMATICA EN LA SECRETARIA DE

SALUD DEPARTAMENTAL DE SANTANDER
INTRODUCCIN
La seguridad de la Informacin tiene como fin la proteccin de la informacin y de
los sistemas de la informacin del acceso, uso, divulgacin, disrupcin o
destruccin no autorizada.
Los trminos Seguridad de Informacin, Seguridad informtica y garanta de la
informacin son usados con frecuencia y aunque su significado no es el mismo,
persiguen una misma finalidad al proteger la Confidencialidad, Integridad y
Disponibilidad de la informacin. Sin embargo, entre ellos existen algunas
diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las
metodologas utilizadas, y las zonas de concentracin.
La Seguridad de la Informacin se refiere a la Confidencialidad, Integridad y
Disponibilidad de la informacin y datos, independientemente de la forma que los
datos puedan tener: electrnicos, impresos, audio u otras formas.
La correcta Gestin de la Seguridad de la Informacin busca establecer y
mantener programas, controles y polticas, que tengan como finalidad conservar la
confidencialidad, integridad y disponibilidad de la informacin.

Confidencialidad: La confidencialidad es la propiedad de prevenir la

divulgacin de informacin a personas o sistemas no autorizados.

Integridad: Para la Seguridad de la Informacin, la integridad es la propiedad
que busca mantener a los datos libres de modificaciones no autorizadas.

Disponibilidad: La Disponibilidad es la caracterstica, cualidad o condicin de

la informacin de encontrarse a disposicin de quienes deben acceder a ella,
ya sean personas, procesos o aplicaciones.

Mi anlisis de norma ISO 27002 se hizo con los pocos datos que pude obtener en
la Secretaria de Salud Departamental de Santander.

PLANTEAMIENTO DEL PROBLEMA

Una de las principales preocupaciones del departamento de sistemas de la
Secretaria de Salud Departamental de Santander es el control de los riesgos que
atentan contra la Seguridad de la Informacin de sus activos, entre estos, equipos
informticos, servicios, datos, recursos humanos y equipamiento auxiliar. En una
observacin, se lleg a la conclusin, que los colaboradores de la Secretaria
cuentan con altos factores de inseguridad, fuga de informacin que si no se tratan
adecuadamente pueden ocasionar posibles daos econmicos y de prestigio para
la Secretaria.
Si no se tiene controles de buenas prcticas, normas de seguridad, podra explotar
alguna amenaza y causar un riesgo a los activos. Una de las maneras de reducir
los riesgos que estn afectando a los activos es de la elaboracin de normas,
polticas y concientizacin a los usuarios, basados en norma de buenas prcticas
de seguridad para reducir la probabilidad de ocurrencia de un impacto de los
riesgos que estn expuestos los activos de informacin de la Secretaria.
OBJETIVOS DEL PLAN DE MEJORA

Impedir accesos no autorizados y violaciones de las normas reglamentos,

contratos, polticas y procedimientos de los estndares de seguridad

travs del diseo de polticas y estndares de seguridad de la informacin

debe ser observado por todo el personal de la Secretaria.

Promover las mejores prcticas de seguridad al desarrollo o adquisicin de

sistemas de informacin

Implementar las normas de seguridad y concientizar al usuario de dichas

normas para la proteccin de los activos de informacin.

IMPLEMENTACION PLAN DE MEJORA DE ACUERDO CON LA NORMA ISO

27002

El desarrollo de las polticas de Seguridad de la Informacin realizada en el

departamento de sistemas de la Secretaria de Salud Departamental de Santander,
proviene de la recopilacin de informacin, hallazgos y anlisis de la situacin
actual del departamento basndonos en los controles de la ISO 27002
correspondientes a los once dominios de la norma:

1. POLTICA DE SEGURIDAD

Control: Se debe definir claramente todas las responsabilidades en

cuanto a seguridad de la informacin

DEBILIDAD:

Manual de roles y responsabilidades obsoleto.

No se cuenta con un departamento de seguridad informtica.

Que se debe hacer:

Verificar que para todos los cargos concernientes a Seguridad de la
Informacin, existan roles y responsabilidades.

 Crear un departamento de Seguridad Informtica.

Se deben asignar roles y funciones concernientes a la seguridad de la
informacin.
2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD
Control: La gerencia debe apoyar activamente en la seguridad dentro de
la

organizacin

compromisos,

travs

asignaciones

de

direcciones

explicitas

claras

demostrando

reconocimiento

de

las

responsabilidades de la seguridad de la informacin

DEBILIDAD:

No se cuenta con un comit de seguridad

No se cuenta con un coordinador de seguridad
No existen convenios de confidencialidad
No existe programada una revisin de la seguridad de la informacin

Que se debe hacer:

Para asegurar que las actividades de seguridad sean ejecutadas se
debe crear un comit de seguridad que sea el encargado de aprobar las
polticas de seguridad que deben regir en la secretaria
Se debe asignar un responsable o lder del proyecto de la implantacin
del sistema de seguridad de la informacin, la cual se maneja por
medio de un cronograma con fechas ya establecidas para la entrega de
proyectos que mitigan las amenazas.
Se debe aprobar el convenio de confidencialidad que deber ser
entregado a todo el personal que maneja informacin importante de la
secretaria.
Disear un cronograma donde se especifique fecha y hora de la
revisin de la seguridad de la informacin.

3. TERCERAS PARTES
Control: se deben identificar los riesgos para la informacin y los servicios
de procesamiento de informacin de la organizacin de los procesos del
negocio que involucran partes externas e implementar los controles
apropiados antes de autorizar el acceso.
DEBILIDAD:

La Secretaria no cuenta en sus documentos con polticas que especifique

controles para otorgar acceso a los recursos por parte de terceros.

Solo se cuenta con polticas de antivirus.
Que se debe hacer:
Para asegurar la informacin se debe

hacer un documento donde se

especifique como se debe hacer el manejo con los terceros.

Se debe adquirir software de seguridad y establecer sus respectivas
polticas de uso.
4. CLASIFICACION Y CONTROL DE ACTIVOS
Control: Toda la informacin y los activos asociados con el proceso de
informacin deben ser posedos por una parte designada de la
organizacin.
DEBILIDAD:

No se pudo evidenciar controles que se deberan ejecutar en cuanto la

asignacin de activos a los colaboradores secretaria.

No existen responsabilidades, no est documentada las responsabilidades

de los propietarios de los activos de la informacin

No existe un mantenimiento peridico del inventario de activos de

informacin.
No se cuenta con manuales o documentos aprobados por el consejo
superior sobre la clasificacin de los activos

Que se debe hacer:

Realizar una tarjeta o un archivo donde se pueda evidenciar que equipos

tiene cada persona.

Realizar el manual de responsabilidades para aquellas personas que

manejan informacin confidencial de la secretaria.

Realizar trimestralmente mantenimiento al inventario de la informacin.
Realizar un manual de clasificacin de la informacin de la secretaria
teniendo en cuenta el nivel de confidencialidad .

5. SEGURIDAD FISICA Y DEL ENTORNO

Control: Se debe designar y aplicar proteccin fsica del fuego, inundacin,
terremoto, explosin, malestar civil y otras formas de desastres natural o
humana
DEBILIDAD:

No se dispone de un sistema central de incendios, en las oficinas de

sistemas no se cuenta con este sistema.

No se realizan simulacros de evacuacin, no se cuenta con un rea
especfica que se encargue de realizar este tipo de simulacros.

Que se debe hacer:

Adecuar un sitio donde se disponga una central para incendios con

todos los elementos necesarios para evitar la propagacin de estos.
Establecer fechas especiales para realizar simulacros que le permitan
a los empleados tener conocimiento que hacer en cada caso.

6. SEGURIDAD DE LOS EQUIPOS

Control: Se deberan proteger contra intercepciones o daos el cableado
de energa y telecomunicaciones que transporten datos o soporten
servicios de informacin
DEBILIDAD
Existe canaletas y cableado que se encuentra en mal estado.

Que se debe hacer:

Se debe realizar una revisin y asegurar la compra de los implementos

necesarios para realizar la adecuacin de las canaletas daadas.

7. GESTIN DE COMUNICACIONES Y OPERACIONES.

Control: Se deberan documentar y mantener los procedimientos de
operacin y ponerlos a disposicin de todos los usuarios que lo requieran.
DEBILIDAD
No existen polticas definidas para la elaboracin de manuales, no obstante
se tienen estndares para elaboracin de los mismos.

No se cuentan con la obligatoriedad para la elaboracin de manuales de los

procesos que realiza y debera documentar la Secretaria.

Los manuales no se encuentran a disposicin del personal.

No existen polticas de segregacin de funciones

Que se debe hacer:

Establecer polticas y darlas a
secretaria.

conocer a todos los empleados de la

 Establecer una poltica de cumplimiento para elaborar los manuales de los

procesos que lleva la secretaria.
Socializar los manuales con todos los empleados.
8.

PROTECCIN CONTRA EL CDIGO MALICIOSO Y DESCARGABLE.

Control: Se deberan implementar controles para detectar el software

malicioso y prevenirse contra l, junto a procedimientos adecuados para
concientizar a los usuarios

DEBILIDAD
Se verificaron los manuales existentes y no se encontr poltica referente al
a licencias de software y prohibicin del uso de software.
No se encontr revisin a los correos de origen incierto.
Que se debe hacer:
Verificacin de archivos electrnicos de origen incierto o no autorizado, o
recibidos a travs de redes no fiables, para comprobar la existencia de virus
antes de usarlos.
Verificacin de todo archivo adjunto a un correo electrnico o de toda
descarga

para

buscar

software

malicioso

antes

de

usarlo.

Esta

comprobacin se har en distintos lugares, por ejemplo, en los servidores

de correo, en los computadores personales o a la entrada en la red de la
secretaria.
Verificacin de cdigos maliciosos en las pginas WEB.
Creacin de un manual de procedimientos contra cdigo malicioso

9.

PROTECCIN CONTRA EL CDIGO MALICIOSO Y DESCARGABLE.

Control: Se deben de realizar copias de respaldo de la informacin y del

software, y se deben poner a prueba con regularidad de acuerdo con la
poltica de respaldo acordada.

DEBILIDAD

Se cuenta con manual para realizar las copias de seguridad, pero no es

utilizado por todos los empleados lo que puede generar perdida de
informacin.

Que se debe hacer:

Implementar la obligatoriedad de hacer respaldos estableciendo fechas

para el mismo.

12.

SEGURIDAD DE LOS ARCHIVOS DE SISTEMAS.

Control: Deberan existir procedimientos para controlar la instalacin del

software en sistemas operacionales

DEBILIDAD

Se cuenta con manual para realizar las copias de seguridad, pero no es

utilizado por todos los empleados lo que puede generar perdida de informacin.

Que se debe hacer:

Implementar la obligatoriedad de hacer respaldos estableciendo fechas

para el mismo.

Control: Los datos de prueba deben ser seleccionados cuidadosamente,

as como protegidos y controlados..
DEBILIDAD

Se trabaja con base de datos desactualizadas.

Que se debe hacer:

Actualizar las bases de datos para mejorar los rendimientos de los procesos
que se implementan en la secretaria.

SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

Control: La implementacin de cambios debe ser controlada usando

procedimientos formales de cambio.

DEBILIDAD

No cuenta con polticas de control de cambios formales.

Que se debe hacer:

Establecer polticas de control de cambios en los diferentes software que

son desarrollados en la secretaria.

13. GESTION DE IINCIDENTES DE SEGURIDAD.

Control: Los eventos en la seguridad de informacin deben ser reportados
lo ms rpido posible a travs de una gestin de canales apropiada.
DEBILIDAD

No se cuenta con polticas y procedimiento de reporte de incidentes

Falta realizar procesos de concienciacin sobre la seguridad de la
informacin y de reportar tales eventos, ya que no saben a quin mismo

notificar estos problemas.

No comunican a contratistas y terceros sobre la responsabilidad de informar

un incidente de seguridad.
No existe documentacin de los registros de incidentes de seguridad.

Que se debe hacer:

Establecer polticas de reportes de incidentes en la secretaria.
Realizar procesos de concientizacin a los empleados sobre la importancia
de seguridad de la informacin.
En la induccin dar a conocer la responsabilidad de dar a conocer los
incidentes que se presentan.
Realizar informes que lleven detalle del incidentes, en que afecto, cual fue
el impacto y como se resolvi.
CONCLUSIIONES

Luego de la observacin de la implementacin de la norma ISO 27002 para

el departamento de Sistemas de la Secretaria de Salud Departamental se
pudo detectar muchas deficiencias en la parte de seguridad de la
informacin.

Es importante recalcar que si se cumple al 100% con las polticas

desarrolladas para la Secretaria de Salud Departamental, no se garantiza
que no tengan problemas de seguridad ya que no existe la seguridad al
100%; con el manual de polticas de seguridad de la informacin y con el
cumplimiento de las mismas da lugar a minimizar los riesgos asociados a

los activos reduciendo impactos, fuga de informacin y prdidas

econmicas originados por la carencia de las normas y polticas de
seguridad de la informacin.

Con la implementacin del manual de polticas de seguridad de la

informacin en la Secretaria de Salud Departamental de Santander, se

proporcionara una gua a seguir para trabajar en los aspectos de seguridad.

El departamento de Sistemas de la Secretaria de Salud Departamental de
Santander, debe afrontar con las deficiencias de seguridad de la
informacin, para lo cual debe tomar seriedad sobre lo documentado y
realizar proyectos de enmendadura basados en las polticas de seguridad y
por ultimo debe realizar campaas de concientizacin sobre los temas
abordados.

RECOMENDACIONES

Se recomienda realizar las campaas concientizacin sobre la importancia

de la seguridad de la informacin, esta campaa ser dirigida al personal

administrativo y contratistas.
Se debe realizar difusiones de las polticas de seguridad de la informacin a

todo el personal de la Secretaria de Salud Departamental.

Se recomienda contar con controles de prohibiciones de los activos de

informacin asignados a personal.

Se recomienda contar con un documento formalmente aprobado por el
Secretario de Salud en el cual conste las responsabilidades que tiene que

cumplir el colaborador con respecto a los activos asignados a l.

Se debe elaborar convenios sobre el buen uso de los activos y compromiso

de responsabilidad de los activos de informacin.

Se recomienda que en la Secretaria de Salud Departamental Santander se
tenga como poltica que se cambie la contrasea cada 30 das.

Se debe mantener un control estricto del acceso al cdigo fuente de los

programas, para as evitar copia, modificacin o divulgacin de los mismos.

Se debe controlar estrictamente los cambios realizados en el software para
minimizar la corrupcin de los sistemas. Los programadores debern tener
acceso nicamente a la informacin que necesiten, todo cambio provendr
de un acuerdo y aprobacin previa.

BIBLIOGRAFIA

Manuales Secretaria de Salud Departamental de Santander

Norma ISO 27002
Libros de Calidad.