Вы находитесь на странице: 1из 16

ABC DE SEGURIDAD DE LA INFORMACIÓN EN LA SUPERSALUD

SUPERINTENDENCIA NACIONAL DE SALUD

OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN

SEPTIEMBRE 2017

COFL02 Página 1 de 16
CONTENIDO

1. PRESENTACIÓN............................................................................................................................ 3
2. OBJETIVO GENERAL ..................................................................................................................... 3
3. DEFINICIONES .............................................................................................................................. 3
4. CONTEXTO DE LA ORGANIZACIÓN .............................................................................................. 9
5. LIDERAZGO ................................................................................................................................ 10
6. PLANIFICACIÓN.......................................................................................................................... 11
7. SOPORTE.................................................................................................................................... 12
8. OPERACIÓN ............................................................................................................................... 13
9. EVALUACIÓN DEL DESEMPEÑO ................................................................................................. 14
10. MEJORA ................................................................................................................................. 14
ANEXO A ............................................................................................................................................ 15

COFL02 Página 2 de 16
1. PRESENTACIÓN

La Información que gestiona una Entidad pública en cualquiera de sus soportes, se


considera un bien público. En ese sentido la información también se considera como
un activos de información el cual debe protegerse adecuadamente.

Una adecuada gestión de activos de información, parte del concepto fundante de


seguridad de la información la cual se desarrolla mediante el principio rector de la
gestión de riesgo, y comprende el conjunto de medidas, procedimientos y controles
establecidos para el correcto manejo, gestión y control de la información, en todo
su ciclo de vida, así como para garantizar sus propiedades fundamentales; la
preservación de la confidencialidad, integridad y disponibilidad de la información
que se complementan con otras propiedades como autenticidad, responsabilidad,
no repudio, trazabilidad y fiabilidad.

Partiendo del hecho de que la seguridad de la información se basa en la existencia


de un conjunto de políticas, normas, procedimientos y buenas prácticas que sean el
soporte administrativo y tecnológico en la Entidad, por ende Superintendencia
Nacional de Salud a través de la Oficina de Tecnologías de la Información ha
implementado el Subsistema de Seguridad de la Información basado en la norma
internacional ISO 27001 vigente.

2. OBJETIVO GENERAL

Establecer los lineamientos principales de la Seguridad de la Información en la


Superintendencia Nacional de Salud.

3. DEFINICIONES

Las siguientes definiciones son extraídas de ISO 27000.

Acción correctiva: Acción para eliminar la causa de una no conformidad y prevenir


su repetición. Va más allá de la simple corrección.

Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.

COFL02 Página 3 de 16
Activo: En relación con la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organización.

Alcance: Ámbito de la organización que queda sometido al SSI.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños


a un sistema o a la organización.

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y


determinar el nivel de riesgo.

Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa algún tipo de


escalas de valoración para situar la gravedad del impacto y la probabilidad de
ocurrencia.

Análisis de riesgos cuantitativo: Análisis de riesgos en función de las pérdidas


financieras que causaría el impacto.

Auditor: Persona encargada de verificar, de manera independiente, el


cumplimiento de unos determinados requisitos.

Auditor de primera parte: Auditor interno que audita la organización en nombre de


ella misma.

Auditor de segunda parte: Auditor que audita una organización en nombre de otra.
Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando
una administración pública ordena una auditoriía de una empresa.

Auditor de tercera parte: Auditor que audita una organización en nombre de una
tercera parte independiente que emite un certificado de cumplimiento.

Auditor líder: Auditor responsable de asegurar la conducción y realización eficiente


y efectiva de la auditoría, dentro del alcance y del plan de auditoría acordado.

Auditoría: Proceso sistemático, independiente y documentado para obtener


evidencias de auditoria y evaluarlas objetivamente para determinar el grado en el
que se cumplen los criterios de auditoría.

Autenticación: Provisión de una garantía de que una característica afirmada por


una entidad es correcta.

COFL02 Página 4 de 16
Autenticidad: Propiedad de que una entidad es lo que afirma ser.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a
mantener claros los objetivos de la auditoría, sirve de evidencia del plan de
auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y
su carga de trabajo. Este tipo de listas también se pueden utilizar durante la
implantación del SSI para facilitar su desarrollo.

Compromiso de la Dirección: Alineamiento firme de la Dirección de la


organización con el establecimiento, implementación, operación, monitorización,
revisión, mantenimiento y mejora del SSI. La versión de 2013 de ISO 27001 lo
engloba bajo la cláusula de Liderazgo.

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser


revelada a individuos, entidades o procesos no autorizados.

Control: Las políticas, los procedimientos, las prácticas y las estructuras


organizativas concebidas para mantener los riesgos de seguridad de la información
por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo
de salvaguarda o contramedida. En una definición más simple, es una medida que
modifica el riesgo.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado
antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha
materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o


acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo
no la corrige.

Control disuasorio: Control que reduce la posibilidad de materialización de una


amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir
de su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o
acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Corrección: Acción para eliminar una no conformidad detectada. Si lo que se


elimina es la causa de la no conformidad, véase acción correctiva.

COFL02 Página 5 de 16
Declaración de aplicabilidad: Documento que enumera los controles aplicados
por el SSI de la organización -tras el resultado de los procesos de evaluación y
tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones
de controles del anexo A de ISO 27001.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe


las operaciones o servicios habituales de una organización durante el tiempo
suficiente como para verse la misma afectada de manera significativa.

Directiva: Una descripción que clarifica qué debería ser hecho y cómo, con el
propósito de alcanzar los objetivos establecidos en las políticas.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando


lo requiera una entidad autorizada.

Entidad de certificación: Una empresa u organismo acreditado por una entidad de


acreditación para auditar y certificar según diversas normas (ISO 27001, ISO 9001,
ISO 14000, etc.) a empresas usuarias de sistemas de gestión.

Estimación de riesgos: Proceso de comparar los resultados del análisis de riesgos


con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable
o tolerable.

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de


riesgos.

Fase 1 de auditoría: Etapa de la auditoría de primera certificación en la que,


fundamentalmente a través de la revisión de documentación, se analiza en SSI en
el contexto de la política de seguridad de la organización, sus objetivos, el alcance,
la evaluación de riesgos, la declaración de aplicabilidad y los documentos
principales, estableciendo un marco para planificar la fase 2.

Fase 2 de auditoría: Etapa de la auditoría de primera certificación en la que se


comprueba que la organización se ajusta a sus propias políticas, objetivos y
procedimientos, que el SSI cumple con los requisitos de ISO 27001 y que está
siendo eficaz.

Gestión de claves: Controles referidos a la gestión de claves criptográficas.

COFL02 Página 6 de 16
Gestión de incidentes de seguridad de la información: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la
información.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una


organización con respecto al riesgo. Se compone de la evaluación y el tratamiento
de riesgos.

Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos.

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que
puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de
reputación, implicaciones legales, etc-.

Incidente de seguridad de la información: Evento único o serie de eventos de


seguridad de la información inesperados o no deseados que poseen una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la información.

Inventario de activos: Lista de todos aquellos recursos (físicos, de información,


software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SSI, que tengan valor para la organización y necesiten por tanto ser protegidos de
potenciales riesgos.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es


una agrupación de entidades nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares (normas).

No repudio: Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un


servicio de seguridad que permite probar la participación de las partes en una
comunicación.

Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue
haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor
niegue su recepción (cuando realmente lo ha recibido).

Objetivo: Declaración del resultado o fin que se desea lograr mediante la


implementación de procedimientos de control en una actividad determinada.

Parte interesada: Persona u organización que puede afectar a, ser afectada por o
percibirse a sí misma como afectada por una decisión o actividad.

COFL02 Página 7 de 16
Plan de continuidad del negocio: Plan orientado a permitir la continuación de las
principales funciones del negocio en el caso de un evento imprevisto que las ponga
en peligro.

Plan de tratamiento de riesgos: Documento que define las acciones para


gestionar los riesgos de seguridad de la información inaceptables e implantar los
controles necesarios para proteger la misma.

Proceso: Conjunto de actividades interrelacionadas o interactuantes que


transforman unas entradas en salidas.

Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para


gestionar un riesgo.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una


vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Segregación de tareas: Reparto de tareas sensibles entre distintos empleados


para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o
por negligencia.

Seguridad de la información: Preservación de la confidencialidad, integridad y


disponibilidad de la información.

Selección de controles: Proceso de elección de los controles que aseguren la


reducción de los riesgos a un nivel aceptable.

SSI: Subsistema de Seguridad de la Información. Conjunto de elementos


interrelacionados o interactuantes (estructura organizativa, políticas, planificación
de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza
una organización para establecer una política y unos objetivos de seguridad de la
información y alcanzar dichos objetivos, basándose en un enfoque de gestión del
riesgo y de mejora continua.

Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la


implementación de controles.

COFL02 Página 8 de 16
Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociadas de modo
inequívoco a un individuo o entidad.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.

4. CONTEXTO DE LA ORGANIZACIÓN

La Superintendencia Nacional de Salud establece su contexto de acuerdo a los


usuarios que atiende y a la normatividad que la regula, de igual manera se
establecen las necesidades y expectativas de las partes interesadas en cuanto al
Subsistema de Seguridad de la Información de la Entidad.

El Contexto de la Organización está establecido en la Guía Metodológica de Análisis


de Riesgos de Seguridad y Privacidad de la Información -- ASGU05

4.1. ALCANCE DEL SUBSISTEMA DE SEGURIDAD DE LA


INFORMACIÓN

El Subsistema de Seguridad de la Información busca preservar la confidencialidad,


integridad y disponibilidad de la información a todas las partes interesadas de la
Entidad; el cual abarca los procesos de Gestión de la Participación Ciudadana en
las instituciones del Sistema General de Seguridad Social en Salud, Gestión de
Atención al Usuario del Sistema General de Seguridad Social en Salud, Gestión de
servicios tecnológicos, Provisión de soluciones tecnológicas, Auditoría a los sujetos
Vigilados, Supervisión a los sujetos vigilados de la Superintendencia Nacional de
Salud, Evaluación integral de riesgos de sujetos vigilados, Evaluación y aprobación
de acuerdos de reestructuración de pasivos, Adopción y seguimiento de acciones
y medidas especiales y Gestión del procedimiento administrativo en la ciudad de
Bogotá DC.

COFL02 Página 9 de 16
4.2. SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN

La Superintendencia Nacional de Salud mediante la Resolución 2116 de 2014,


conformó el Subsistema de Seguridad en la Información el cual se enmarca dentro
de los principios y requisitos de la Norma ISO 27001.

5. LIDERAZGO

5.1. LIDERAZGO Y COMPROMISO


La Alta Dirección de la Superintendencia Nacional de salud demuestra su
compromiso con el Subsistema de Seguridad de la Información, estableciendo los
objetivos de seguridad de la información en la Entidad, destinando recursos
económicos para el mismo, asignando los roles y responsabilidades en cuanto a
seguridad de la información, promoviendo la mejora continua, entre otras
actividades en las que muestra el apoyo al SSI.

5.2. POLÍTICA
La Entidad adopta la Política del Subsistema de Seguridad de la Información –
ASPO05 mediante la Resolución 1521 de 2014, en donde se reconoce el valor y la
importancia de la información como activo de la organización.

5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA


ORGANIZACIÓN.

La Entidad tiene definidos los siguientes roles en cuanto a Seguridad de la


Información.

COFL02 Página 10 de 16
CIO: Decreto 415 de 2016

Comité de Seguridad de la Información: Resolución 2659 de 2015

Coordinador - Grupo de Administración y Seguridad de la Información:


Resolución 1110 de 2015

6. PLANIFICACIÓN

6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

La Entidad tiene definida la Política de Administración del Riesgo - ASPO07 así


como la Guía metodológica para el Análisis de Riesgos de Seguridad y Privacidad
de la Información- ASGU05 donde se establecen los parámetros para la valoración
y tratamiento de los riesgos de seguridad de la Información de la Entidad.

6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES


PARA LOGRARLOS

COFL02 Página 11 de 16
Los objetivos del Subsistema de Seguridad de la Información están disponibles en
el Plan Gerencial y Despliegue de Objetivos del Subsistema de Seguridad en la
Información -FPFT02 – FPFT03 los cuales están alineados con la Política del
Subsistema de Seguridad de la Información de la Entidad vigente.

7. SOPORTE

7.1. RECURSOS
La Entidad designa cada vigencia los recursos necesarios para el adecuado
funcionamiento del Subsistema de Seguridad de la Información, esto es evidenciado
mediante los recursos asignados al Proyecto de Inversión.

7.2. COMPETENCIA
Las competencias requeridas para los funcionarios de cada dependencia en la
Entidad están establecidas en el Manual de Funciones de la Entidad cada uno de
los cargos de la misma están establecidos en éste documento, así como el nivel de
estudios y experiencia que debe tener.

7.3. TOMA DE CONCIENCIA

Cada vigencia el Grupo de Administración y Seguridad de la Información plantea el


Programa Anual de Capacitaciones en Seguridad, el cual contempla entre otras,
capacitaciones especificas en temas de seguridad de la información a toda la
entidad y campañas de sensibilización; de igual manera el Grupo de Administración
y Seguridad de la Información participa en las charlas de inducción a los nuevos
funcionarios de la Entidad, en la cual se sensibiliza a los funcionarios acerca de los
lineamientos que da el Subsistema de Seguridad de la Información.

COFL02 Página 12 de 16
7.4. COMUNICACIÓN

El Grupo de Administración y Seguridad de la Información ha dispuesto del correo


electrónico seguridad.informacion@supersalud.gov.co para comunicarse desde y
hacia los usuarios del Subsistema de Seguridad de la Información así mismo hace
uso de los procedimientos Comunicación Organizacional Integral - COPD01 y
Publicación de Contenidos en Intranet - COPD02.

7.5. INFORMACIÓN DOCUMENTADA


Toda la información referente documentada del Subsistema de Seguridad de la
Información se ha creado siguiendo el procedimiento dispuesto por el Sistema
Integrado de Gestión Elaboración y control de documentos y registros - ASPD01

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL OPERACIONAL


El Subsistema de Seguridad de la Información plantea el Plan Gerencial y
Despliegue de Objetivos del Subsistema de Seguridad en la Información - FPFT02
– FPFT03 para cada vigencia; en donde se plasma el modo de operación para el
subsistema a fin de cumplir con los objetivos de seguridad de la información en la
entidad.

8.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA


INFORMACIÓN
La Entidad realiza la valoración de riesgo de seguridad de la información de acuerdo
a la periodicidad definida en la Guía metodológica para el análisis de riesgos de
seguridad y privacidad de la información - ASGU05 o cuando ocurran cambios
significativos.

8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA


INFORMACIÓN

COFL02 Página 13 de 16
Los planes de tratamiento de los riesgos de seguridad de la información están
documentados en Riesgos de Seguridad de la Información y plan de tratamiento de
Seguridad de la Información - ASFT22.

9. EVALUACIÓN DEL DESEMPEÑO

9.1. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

El desempeño del Subsistema de Seguridad de la Información se lleva a cabo


mediante el seguimiento a los indicadores de gestión del Sistema Integrado de
acuerdo al procedimiento MEDICIÓN DE LA GESTIÓN INSTITUCIONAL - ASPD02
y los indicadores internos del Grupo de Administración y Seguridad de la
Información.

9.2. AUDITORÍA INTERNA

Las auditorías internas del subsistema de seguridad de la información se realizan


dando cumplimiento al procedimiento Planeación de las Auditorías Integrales de
Gestión y IGPD01 y al procedimiento Ejecución de Auditorias Integrales de Gestión
- IGPD02, de acuerdo a los cronogramas que tiene la Oficina de Control Interno.

9.3. REVISIÓN POR LA DIRECCIÓN


De acuerdo a las disposiciones de la Entidad, ésta revisión periódica se lleva a
cabo dando cumplimiento al procedimiento Revisión por la Dirección - ASPD04.

10. MEJORA

COFL02 Página 14 de 16
10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS

El tratamiento de hallazgos del subsistema en cuanto a No Conformidades y


Acciones Correctivas se realiza conforme al procedimiento Tratamiento Del
Servicio No Conforme Y De No Conformidades - PMPD01.

10.2. MEJORA CONTINUA

De igual manera el Subsistema de Seguridad está en constante mejora conforme


a los factores tanto internos como externos que afectan al subsistema.

ANEXO A

El Subsistema de Seguridad de la Información, recopila toda la información de


cumplimiento de la norma en el micrositio del subsistema.

COFL02 Página 15 de 16
COFL02 Página 16 de 16