PRINCIPIOS BÁSICOS DE

SEGURIDAD DE LA INFORMACIÓN

Oficina Tecnologías de la Información

Guillermo Cadena Ronderos
Grupo de Administración y Seguridad de la Información
 ACUERDOS

Soy Respetuoso cuando…

 Dejo el celular sin Soy responsable cuando…

sonido

 Participo activamente
 Formulo mis
preguntas al
 Me concentro en el taller
final ?

 Dejo mi puesto en
optimas
condiciones
 AGENDA
OBJETIVO

¿ Que es Informacion?

Subsistema de Seguridad de la Información

Ancance SSI

Politicas

Normas que aplican a la seguridad de la información

Metodos para obtener Informacion

Contraseñas

Cuidado de la Informacion
 OBJETIVO

Dar a conocer los principios básicos y comportamientos que debemos

adoptar en Seguridad de la Información por parte de funcionarios y
contratistas, con el fin de mitigar los riesgos de seguridad que
vulneran la información de la SNS.
 ¿QUE ES INFORMACIÓN?

Es todo aquello que contiene datos organizados susceptibles de

tratamiento dentro de la Organización.

La información, como Activo Corporativo, puede existir de muchas formas:

• Impresa, Almacenada electrónicamente.

• Transmitida por medios electrónicos, Suministrada en una conversación
• Conocimiento de las personas.
VIDEO DE SEGURIDAD DE LA INFORMACION PARA
REFLEXIONAR
SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN

Es el conjunto de acciones y estrategias de

administración de la información que propende por
el diseño, implantación y mantenimiento de un
conjunto de políticas y procedimientos para
gestionar eficientemente la seguridad de la
información.

Busca Preservar:
• Confidencialidad
• Integridad
• Disponibilidad
 Directriz de seguridad de la información

Confidencialidad

•La información debe ser accedida sólo por

aquellas personas que lo requieran, como
una necesidad legítima para la realización
de sus funciones.
Para la
persona
correcta •La revelación no autorizada de la
información confidencialidad clasificada o
reservada, implica un grave impacto en la
SNS en términos económicos, de su imagen
y ante sus clientes.
 Directriz de seguridad de la información

Integridad
La información de la SNS debe ser precisa,
coherente y completa desde su creación hasta
su disposición final y únicamente podrá ser
modificada por las personas expresamente
autorizadas para ello.
Información
Correcta
La falta de integridad de la información puede
exponer a la Empresa a toma de decisiones
incorrectas, lo cual puede ocasionar pérdidas
de imagen o financieras.
 Directriz de seguridad de la información

Disponibilidad

La información debe estar en el momento y en

el formato que se requiera ahora y en el
futuro, al igual que los recursos necesarios
para su uso.
En el
Momento
Correcto La no disponibilidad de la información puede
resultar en pérdidas financieras, de imagen
y/o de credibilidad ante los clientes de la
Entidad.
 SEGURIDAD DE LA INFORMACIÓN

• ¿En qué SEGURIDAD

consiste? En laDE LA INFORMACIÓN
aplicación y la gestión de medidas de
seguridad adecuadas que implican analizar una amplia gama de
amenazas, con el fin de garantizar el éxito de la Entidad y la
continuidad de los procesos, minimizando los impactos que pueden
ocurrir.

• ¿Cómo se obtiene? Identificando y aplicando controles que

permitan mitigar los riesgos e integrando un Sistema de Gestión de
Seguridad de la Información SGSI que este alineado con los
procesos y el negocio de la Entidad.
ALCANCE SGSI
Busca garantizar la confidencialidad,
integridad y disponibilidad de la información a
todas las partes interesadas de la Entidad.

El cual abarca los procesos de:

• Gestión de la Participación Ciudadana en

las Instituciones del Sistema General de
Seguridad Social en Salud.
• Gestión de Atención al Usuario del
Sistema General de Seguridad Social en
Salud.
• Gestión de TIC de la Superintendencia
Nacional de Salud.
POLÍTICAS DEL SUBSISTEMA DE
SEGURIDAD DE LA INFORMACIÓN
 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La SNS está encargada de proteger los derechos en salud de los habitantes del
territorio colombiano mediante mecanismos de Inspección, Vigilancia y Control
acorde con la misión de la entidad; de acuerdo a los lineamientos establecidos en
la norma ISO NTC 27001-2013 acorde al Subsistema de Seguridad en la
Información se compromete a:
• Gestionar los riesgos en seguridad de la información que facilite la
identificación, valoración, implementación de controles, monitoreo y
seguimiento de los niveles de riesgos.
• Asegurar la confidencialidad, integridad y disponibilidad de la información de
la SNS, así como la información de terceros en su poder; acorde con el nivel
de riesgo aceptado por la Entidad.
• Mantener y evaluar el Subsistema de Seguridad en la Información.

Con el compromiso de la Alta dirección y todos los responsables de los procesos

de la Entidad, fortalecimiento de las competencias del personal en materia de
Gestión de la Seguridad de la Información.
 POLÍTICA DE PROTECCIÓN DE DATOS
La SNS es la encargada de proteger los derechos en salud de los habitantes del territorio colombiano en
cumplimiento de los principios, garantías y procedimientos previstos por el gobierno nacional para la
protección de Datos Personales, se compromete a:
• Regular la recolección, almacenamiento, uso, circulación y eliminación de datos personales de
nuestros usuarios.
• Establecer procesos y lineamientos para el tratamiento de datos personales apoyándose en el
Subsistema de Seguridad de la Información y en la gestión de Activos de Información.
• Dar cumplimiento a lo establecido en la Ley 1581 de 2012, mediante la cual se expidió el Régimen
General de Protección de Datos Personales, y demás normas que adicionen, modifiquen o deroguen la
protección de datos personales.
• Dar a conocer a todos nuestros usuarios los derechos y deberes que se derivan de la protección de
datos personales.
• Realizar socialización, divulgación y capacitación de los procesos y lineamientos establecidos para el
tratamiento de datos personales a los funcionarios de la SNS a través del equipo conformado para la
implementación del Subsistema de Seguridad de la Información.
• Recolectar, actualizar y registrar la información que reposa en base de datos personales y está sujeta a
tratamiento de la presente política.
• Solicitar autorización a los usuarios titulares de la información, para su recolección, almacenamiento,
uso, cesión, transmisión y eliminación.
 POLITICA DE GESTIÓN DE INCIDENTES
Asegurar la adecuada gestión de los incidentes que se
generen dentro de la Entidad.

• Acceso no autorizado a la información.

• Divulgación de información sensible.
• Denegación del servicio.
• Daño de la información.

Reportar los incidentes de seguridad de la Información a

través de los mecanismos autorizados.
 POLÍTICAS DE SEGUNDO NIVEL
DEL SUBSISTEMA DE SEGURIDAD
DE LA INFORMACIÓN
ASPO09
 NORMAS QUE APLICAN A LA
SEGURIDAD DE LA INFORMACIÓN
 Normas nacionales que buscan la protección
de la información
Ley 1712 – 2014 Ley de Acceso
Publico de la Información (Ley
de Transparencia). Delitos Informáticos
Ley 1273 de 2009
Decreto 1078 – 2015 Decreto
Único Reglamentario del Sector
de Tecnologías de la
Información y las Derechos de Autor
Comunicaciones. Código Penal Colombiano,
Ley 599 del 2000
Ley 527 de 1999
Se define y reglamenta el
acceso y uso de los mensajes Habeas data
de datos. Ley 1266 de 2008
Regula el manejo de la información
Decreto 2364 de 2012 personal, crediticia, y financiera de
Se reglamenta el uso de la las bases de datos de las centrales
firma electrónica. de riesgo.
Ley 734 de 2002 Ley Estatutaria 1581 de 2012
Código Disciplinario Único Disposiciones generales para la
para funcionarios públicos. Protección de Datos Personales.

Ley 1474 de 2011 Decreto 1377 (27 de Junio de 2013)

Estatuto “Por el cual se reglamenta
Anticorrupción. parcialmente la Ley 1581 de 2012”
MÉTODOS PARA OBTENER INFORMACIÓN

INGENIERIA SOCIAL

PHISHING

DUMPSTER DIVING
 INGENIERIA SOCIAL
“Es la práctica de obtener información confidencial a
través de la manipulación de las personas”.

Como Evitarlo
• Sea cauteloso al entregar información personal en rifas,
encuestas u ofertas.

• Verifique con quien habla, sobre todo si le están

preguntado datos personales o contraseñas de acceso.

• No se deje intimidar o adular para entregar información.

• Si recibe llamadas telefónicas extrañas solicite los datos

de su interlocutor (Ej: nombre, número de registro,
nombre del jefe inmediato, número telefónico/extensión) y
corrobore dicha información.
PHISHING
 PHISHING
“Duplicación ilegal de una página web que tiene como
objetivo adquirir información confidencial de manera
fraudulenta”.

Cómo Evitarlo

• Desconfié de cualquier correo electrónico que solicite datos confidenciales

como nombres de usuario, contraseñas, números de tarjeta de crédito,
etc.

• No utilice enlaces para acceder a sitios web con información

confidencial, y menos aún si proceden de mensajes de correo electrónicos
o páginas no fiables. En su lugar, se recomienda escribir en el navegador
la dirección correspondiente.
 DUMPSTER DIVING

“Buscar entre la basura información confidencial con el

fin de suplantar la identidad de alguien o realizar fraude”.

Como Evitarlo

• Destruya los documentos físicos con información confidencial o restringida

utilizando un mecanismo seguro.

• Antes de arrojar a la basura rompa los documentos que contengan

información personal o corporativa como: planos, diagramas, sentencias,
memorandos, bitácoras, extractos bancarios, recibos de pago, etc.
CONTRASEÑAS
 Contraseñas Seguras

• Inclúyales caracteres alfanuméricos y especiales (# - $ - % - *)

• Debe tener mínimo 8 caracteres.
• Utilice caracteres diferentes, no consecutivos ni idénticos.
• Memorice la contraseña y nunca la divulgue o la comparta.
• Cambie las contraseñas periódicamente.
• No utilice combinaciones obvias del teclado: asdf, aqsw, !»#$
¿ C u á n to s e
d e m o ra u n H a c ke r
e n d e s c i f ra r u n a
c o n t ra s e ñ a ?
 Construir una contraseña segura es fácil
 Seleccione una frase, tome la primera o última letra de cada palabra y agregue
caracteres especiales y alfanuméricos .

Frase: “L o m í o n o e s s u e r t e s o n b e n d i c i o n e s ”
Clave: L m n e s s b % 1 6

Frase: “A b u e n e n t e n d e d o r p o c a s p a l a b r a s ”
Clave: A % b e p p $ 1 2 0 4

 Seleccione las consonantes de una palabra y establezca un orden, agregue

caracteres especiales y alfanuméricos.
Palabra: crucigrama
Clave: * 2 3 c r c g r m *
CUIDADO DE LA
INFORMACIÓN
 Sea cuidadoso con la información que publica en redes
sociales y chat:
• Cuide sus datos personales. Nunca publique:
• La dirección de la casa ni el teléfono
• El número de cédula, fecha de nacimiento
• El lugar de trabajo
• El nombre del colegio de los niños
• Fotos de la casa, el carro, la placa.
• Planes de vacaciones

• Revise su perfil periódicamente.

• Revise la configuración de privacidad.
• Cuide los comentarios que hace de otras personas, o del trabajo.
• Piense antes de publicar fotografías.
• Acepte como amigos a personas que realmente conozca.
• Revise la información de sus hijos, el perfil, los amigos, con quiénes
comparte fotos

Fuente: http://www.humblelibertarian.com/2010/10/libertarian-virtues-of-dumpster-diving.html
 Cuidado de la Información
EN LA CASA
• Claves bancarias y claves de cuentas
de correo personal.
• Al salir de viaje tome medidas de
seguridad que mitiguen hechos
delictivos en su residencia.
• Información personal como
escrituras, pólizas de seguro,
extractos bancarios, cheques, entre
otros, requieren medidas adecuadas
de seguridad.
EN EL TRABAJO
• Claves de acceso a los aplicativos de
los sistemas de la Entidad y clave
para cuenta de correo corporativo.
• Cuando se retire de su puesto de
trabajo tome las medidas pertinentes
para asegurar la información de los
equipos bajo su responsabilidad.
• Información relacionada con la
actividad laboral (sentencias,
memorandos, resoluciones,
expedientes, archivos impresos etc.)
¡ LA INFORMACIÓN PROTEGERLA DEPENDE DE MI Y DE TODOS !
 RECUERDA QUE…
La Seguridad de la Información: Es importante para la Entidad; ya
que mitiga, protege, asegura y controla todos los riesgos, que
pueden generar grandes pérdidas que afecten los recursos de la
Superintendencia Nacional De Salud.
Referencias

• http://www.dreamstime.com/stock-image-email-icon-3d-image10691671
• https://blogcomercioelectronico.com/estatuto-consumidor-proteccion-al/
• http://vanessasarraldemetadoumental.weebly.com/comercio-
electroacutenico.html
• https://www.behance.net/gallery/24116593/Propuesta-Centro-Ciberntico-Policial-
(Col)
• http://dticucv.blogspot.com.co/2014/10/el-riesgo-de-la-ingenieria-social-en-
la.html
• https://youtu.be/KiuTyXehW-8
 SUBSISTEMA DE SEGURIDAD DE LA INFORMACION

Fecha: Junio 10 DE 2016

GRACIAS
Grupo de Administración y Seguridad de la Información
Oficina Tecnologías de la Información
Guillermo Cadena Ronderos