INFORME DE AUDITORIA DEL HOSPITAL SAN MARTIN DEL MUNICIPIO DE ASTREA - CESAR PDF

Preview

Summary

INFORME DE AUDITORIA DEL HOSPITAL SAN MARTIN DEL MUNICIPIO DE ASTREA - CESAR
DOCENTE:

ING. NEHEMIAS SARABIA DIAZ
...

Description

INFORME DE AUDITORIA DEL HOSPITAL SAN MARTIN DEL MUNICIPIO DE ASTREA - CESAR

DOCENTE: ING. NEHEMIAS SARABIA DIAZ

UNIVERSIDAD POPULAR DEL CESAR FACULTAD DE INGENIERIAS Y TECNOLOGIAS PROGRAMA DE INGENIERIAS DE SISTEMAS VALLEDUPAR-CESAR 2019

CONTENIDO INTRODUCCIÓN.......................................................................................................4 DESCRIPCIÓN DE LA EMPRESA...........................................................................5 PRODUCTOS Y SERVICIOS.................................................................................5 MISIÓN...................................................................................................................5 VISIÓN...................................................................................................................5 OBJETIVOS...............................................................................................................6 OBJETIVO GENERAL...........................................................................................6 OBJETIVOS ESPECÍFICOS..................................................................................6 PLANIFICACIÓN.......................................................................................................7 PLAN DE IMPLANTACIÓN.................................................................................10 PLAN DE SEGURIDAD...........................................................................................11 DESCRIPCIÓN.....................................................................................................11 POLÍTICAS DE LA EMPRESA............................................................................11 SITUACIÓN ACTUAL..............................................................................................12 ORGANIZACIÓN DE LA EMPRESA...................................................................12 INFRAESTRUCTURA..........................................................................................13 ALCANCE DEL SGSI..........................................................................................14 DECLARACIÓN DE APLICABILIDAD...................................................................14 DEFINICIÓN DE LA POLITICA DE SEGURIDAD..................................................32 POLÍTICA DE SEGURIDAD................................................................................32 OBJETIVOS.........................................................................................................32 ALCANCE............................................................................................................33 POLÍTICAS DE SEGURIDAD.............................................................................33 ORGANIZACIÓN..............................................................................................33 GESTIÓN DE ACTIVOS...................................................................................33 RECURSOS HUMANOS..................................................................................34 SEGURIDAD FÍSICA Y DEL ENTORNO.........................................................34 COMUNICACIONES Y OPERACIONES.........................................................35 CONTROL DE ACCESOS...............................................................................36 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO...................................36 GESTIÓN DE INCIDENTES.............................................................................37

2

CONTINUIDAD DEL NEGOCIO......................................................................37 CUMPLIMIENTO..............................................................................................37 ENFOQUE DEL ANALISIS DE RIESGO................................................................38 INVENTARIO DE ACTIVOS.................................................................................38 VALORACIÓN DE ACTIVOS...............................................................................42 IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES...........................44 AMENAZAS......................................................................................................44 AMENAZAS DE EQUIPAMIENTO:.....................................................................45 AMENAZAS DE ESENCIALES: AMENAZAS DE PERSONAL:........................................................................................................47 AMENAZAS SOBRE LOS ACTIVOS DE INFORMACIÓN:...............................51 PROBABILIDAD DE OCURRENCIA DE LAS AMENAZAS:.............................51 VULNERABILIDADES.....................................................................................52 VALORACIÓN DE RIESGO.............................................................................53 SALVAGUARDAS................................................................................................55 CONCLUSIONES....................................................................................................74 REFERENCIAS.......................................................................................................75

3

INTRODUCCIÓN La información es el activo más importante de cada organización. Evidentemente se tendrán otros activos, pero todos ellos será posible adquirirlos de algún modo, sin embargo, si tenemos algún problema de seguridad con la información de la empresa no será posible volverla a adquirir. Habitualmente la gestión de la seguridad de la información en una empresa está descoordinada, no sigue un criterio común definido, cada departamento o área, especialmente el de TI, tiene sus propias políticas y procedimientos, establecidos sin una visión global de las necesidades de la organización, incluso alejadas de los objetivos del negocio. La implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) es la manera más eficaz de conseguir esta coordinación y gestión necesaria para poder orientar los esfuerzos y recursos, dedicados a la seguridad de la información, hacia una dirección que refuerce la consecución de los objetivos de la organización. Un SGSI garantiza la adecuada gestión de la seguridad en la entidad, en función del tratamiento de unos niveles de riesgo obtenidos como consecuencia de considerar todos los posibles efectos que pueden ocurrir sobre los activos de la entidad. La gestión de la seguridad debe ser un proceso de mejora continua y de constante adaptación a los cambios en la organización en cuanto a procesos de negocio y a la tecnología implicada. La seguridad de la información se desarrolla atendiendo a tres dimensiones principales:  Confidencialidad: entendida como la garantía del acceso a la información únicamente de los usuarios autorizados  Integridad: entendida como la preservación de la información de forma completa y exacta.  Disponibilidad: Entendida como la garantía del acceso a la información en el instante en que el usuario la necesita. El SGSI considera las tres dimensiones a la hora de dirigir el tratamiento de los riesgos de la empresa mediante la implantación de controles de seguridad en los activos de la organización.

4

DESCRIPCIÓN DE LA EMPRESA El Hospital San Martín de Astrea nace como un Centro Materno Infantil, asignado al Hospital Inmaculada Concepción de Chimichagua en el año 1969 y se convierte en hospital local mediante acuerdo 021 del 21 de noviembre de 1995 adscrito al Departamento administrativo de Salud del Cesar (DASALUC), y es así como inicia su proceso de descentralización el cual finaliza con la firma de sus estatutos el 6 de septiembre del 2001. Por lo tanto, se constituye en una Empresa Social del Estado con autonomía administrativa, financiera y funcional que presta servicio de atención en salud de primer nivel de complejidad. PRODUCTOS Y SERVICIOS      

programas de prevención en salud odontología atención al ciudadano apoyo diagnóstico y terapéutico hospitalización urgencias

MISIÓN El Hospital San Martín es una Empresa Social del Estado enfocado en la prestación del servicio en salud inspirada en el mejoramiento continuo, la equidad, la calidad humana, científica y técnica, pero sobre todo con un sentido social en pro del bienestar de nuestros usuarios de manera integral, bajo los principios de la eficiencia, la universalidad y solidaridad. VISIÓN Consolidarnos en el año 2020, como una entidad sólida y reconocida a nivel regional y departamental en la prestación de servicios en salud en pro de la calidad de vida de la población, acompañado de un excelente equipo humano y tecnología adecuada. A su vez cumpliremos con los estándares cada vez más exigentes en el marco del Sistema Obligatorio de la Calidad del Sistema General de Seguridad Social en Salud.

5

OBJETIVOS

OBJETIVO GENERAL Diseñar y desarrollar un Sistema de Gestión Riesgos para disminuir las vulnerabilidades y amenazas del Hospital San Martín de Astrea-Cesar basados en las normas ISO/IEC 27001:2006-2013. OBJETIVOS ESPECÍFICOS  Realizar un levantamiento de información del estado actual del Hospital San Martín de Astrea - Cesar.  Elaborar un diagnóstico de la situación actual de la seguridad de la información en el Hospital San Martín de Astrea - Cesar, por medio de los procesos descritos en la norma ISO/IEC 27001:2006-2013.  Realizar las respectivas recomendaciones de acuerdo a los resultados obtenidos de la auditoria.

PLANIFICACIÓN

6

Para la implantación de un SGSI se va a utilizar la norma ISO 27001 del cual podemos decir que un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés (Information Security Management System), consiste de una serie de actividades de gestión que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o entidad El SGSI protege los activos de información de una organización, independientemente del medio en que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores, entre otros. [ CITATION ISO19 \l 9226 ] Esta norma nos presenta un sistema de gestión basado en el ciclo de PVHA: Plan, Do, Check, Act, conocido traducido al castellano sería Planificar, Hacer, Comprobar y Mejorar.[ CITATION Iso19 \l 9226 ]

Ilustración 1 Ciclo PVHA

7

El ciclo PDCA supone la implantación de un sistema de mejora continua que requiere una constante evolución para adaptarse a los cambios producidos en su ámbito y para tratar de conseguir la máxima eficacia operativa. A continuación, vamos a describir las actividades que se realizan en cada una de las cuatro fases del ciclo PDCA.

 Planificar En esta fase tiene lugar la creación del SGSI, con la definición del alcance y la Política de Seguridad. El núcleo fundamental de esta fase y del SGSI es la realización de un análisis de riesgos que refleje la situación actual de la entidad. A partir del resultado de este análisis se definirá un plan de tratamiento de riesgos que conlleva la implantación en la organización de una serie de controles de seguridad con el objetivo de mitigar los riesgos no asumidos por la Dirección.  Hacer: Esta fase cubre la implantación del plan de tratamiento de riesgos, su ejecución. Incluye también la formación y concienciación de los empleados en materia de seguridad y la definición de métricas e indicadores que sirvan para evaluar la eficacia de los controles implantados.  Comprobar: Durante esta fase se realizan diferentes tipos de revisiones para comprobar la correcta implantación del sistema. Entre ellos, se realiza una auditoría interna independiente y objetiva, así como una revisión global del SGSI por Dirección, con el objetivo de marcarse nuevas metas a cubrir en el próximo ciclo del SGSI.  Mejorar: El resultado de las revisiones debe reflejarse en la definición e implantación de acciones correctivas, preventivas y de mejora para avanzar en la consecución de un SGSI eficaz y eficiente.

8

PLAN DE IMPLANTACIÓN Debido a que un plan de implantación basado en la norma ISO 27001 puede tener una duración de 6 a 12 meses tomáremos como referencia los tiempos dados para la entrega del documento final.

FASE Creación de plan de trabajo Definición del alcance del SGSI

INICIO 30/01/2019 30/01/2019

FIN 30/01/2019 30/01/2019

Definición de la política de seguridad

01/02/2019

06/02/2019

Identificación de los activos de 7/02/2019 información Definición del enfoque del análisis de 11/02/2019 riesgo Metodología de análisis de riesgo 14/02/2019

10/02/2019

Tratamiento de los riesgos 18/02/2019 Selección de controles 1/03/2019 Tabla 1 Tiempo de implementación

9

13/02/2019 17/02/2019 28/02/2019 08/03/2019

PLAN DE SEGURIDAD DESCRIPCIÓN Es una entidad pública descentralizada, con personería jurídica, patrimonios propios y autonomía administrativa sometida al régimen jurídico contenido en el artículo 195 de la ley 100 de 1993. Tiene como objeto la prestación de servicios de salud de primer nivel de complejidad, la promoción de la salud, prevención de enfermedades, diagnóstico, tratamiento y rehabilitación a la población del municipio de Astrea Cesar y área de influencia.[ CITATION Hos19 \l 9226 ]

POLÍTICAS DE LA EMPRESA El Hospital San Martín del Municipio de Astrea-Cesar se compromete a:  Fortalecer la prestación de los servicios de salud, mediante la implementación de un modelo de gestión clínica basado en la evidencia, en la gestión del conocimiento y en la innovación, que garantice una atención humanizada, oportuna, segura, digna y costo efectivo para todos los usuarios de la ESE, que integra la relación docencia servicio reforzando la generación del conocimientos y aprendizajes en beneficio tanto para la E.S.E como a las instituciones formadoras del recurso humano.  Garantizar una Infraestructura Hospitalaria adecuada, que permita ofertar servicios competitivos, dignos y seguros para toda la población usuaria.  Implementar y mantener un Sistema Integrado de Gestión de Calidad, basado en una transformación cultural, que oriente a la institución a la obtención de altos estándares de calidad, al reconocimiento en el medio, a la satisfacción y fidelización de sus clientes, y al mejoramiento y aprendizaje organizacional.  Contribuir a la formación y consolidación de competencias del talento humano de la ESE Hospital de Caldas, a través de la creación de un ambiente laboral de mutua confianza, con base en relaciones de trabajo respetuosas, claras, equitativas y justas, el desarrollo de un modelo de gestión por competencias y la gestión del conocimiento, que con lleven al desarrollo integral de las personas y la productividad de la empresa.  Desarrollar la tecnología en la ESE, de manera que garantice la atención de salud con seguridad mediante la actualización, mantenimiento, reposición de equipos adquisición y la estandarización del conocimiento institucional basada en la adopción de tecnología adecuada.

 Fortalecer y mantener un sistema de información modular que integre los diferentes procesos estratégicos, administrativos, financieros y asistenciales, a través de una infraestructura tecnológica innovadora y adecuada que permita a todo el personal de la ESE apropiarse de las TICS, para la gestión eficiente de los procesos y la toma asertiva y oportuna de decisiones.  Generar rentabilidad económica y social mediante la implementación de procesos eficientes, que permitan mejorar la productividad y venta de servicios, adecuada contención de los costos, reducción de gastos y manejo adecuado de los recursos.[ CITATION Hos19 \l 9226 ]

SITUACIÓN ACTUAL ORGANIZACIÓN DE LA EMPRESA

7 8

equipos de cortafuegos UPS

1 1

9 10

Red de comunicaciones internet y ethernet dentro 3 de la empresa. Cámaras de seguridad 15 Tabla 2 Elementos en el área se sistemas

ALCANCE DEL SGSI El objeto del sistema de gestión planteado es incrementar la seguridad de la información mediante el mantenimiento de la integridad, disponibilidad y confidencialidad de la información manejada y de los sistemas informáticos donde esta es depositada y manejada. DECLARACIÓN DE APLICABILIDAD El análisis de situación de la empresa respecto a la norma no es obligatorio según la ISO 27001 pero si aconsejable para entender dónde nos encontramos. El análisis diferencial nos permitirá evaluar el grado de cumplimiento de la norma y nos permitirá tener una versión preliminar de la Declaración de aplicabilidad. La nomenclatura que se va a utilizar en este análisis es la siguiente:    

Si: Cumple con el requisito o control. No: No cumple con la aplicación del control. Parcial: El control está aplicado de manera parcial. N/A: No se aplica o no se utiliza. Objetivos Observaciones Cumple 5.Política de seguridad 5.1 Política de seguridad de la información

Justificación

5.1.1 Documento de política de seguridad de la información

NO

Requerimiento ISO 27001

5.1.2 Revisión de la política de seguridad de la información

NO

Requerimiento ISO 27001

Objetivos

Observacione Cumple s 6. Organización de la seguridad de la Información 6.1 Organización interna

6.1.1 Compromiso de la dirección con la seguridad de la información 6.1.2 Coordinación de la seguridad de la información 6.1.3 Asignación de

Justificación

Existen compromisos de PARCIAL Requerimiento ISO 27001 medidas de seguridad.

Ya existen controles de seguridad.

PARCIAL

Requerimiento ISO 27001

SI

Requerimiento ISO 27001

responsabilidades para la seguridad de la información 6.1.4 Procesos de autorización para los servicios de procesamiento de información 6.1.5 Acuerdos sobre confidencialidad

Existen contratos con trabajadores, clientes y proveedores

6.1.6 Contacto con las autoridades 6.1.7 Contacto con grupos de interés especiales 6.1.8 Revisión independiente de la seguridad de la información 6.2 Terceras partes Hay informes de 6.2.1 Identificación de riesgos derivados de los los riesgos relacionados con procesos externos. las partes externas 6.2.2 Consideraciones de la seguridad cuando se trata con los clientes 6.2.3 Consideraciones Existen de la seguridad contratos de en los acuerdos confidencialidad con terceras . partes

NO

Requerimiento ISO 27001

SI

Requerimiento legal

NO

Requerimiento ISO 27001

NO

NO

PARCIAL

SI

SI

Requerimiento ISO 27001

Objetivos Observaciones Cumple 7. Gestión de activos 7.1 Responsabilidad de los activos 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso aceptable de los activos 7.2 Clasificación de la información 7.2.1 Directrices de clasificación 7.2.2 Etiquetado y manejo de información Objetivos

SI SI

Justificación

Requerimient o ISO 27001 Requerimient o ISO 27001

SI

Requerimient o ISO 27001

NO

Requerimient o ISO 27001

NO

Requerimient o ISO 27001

Observacione Cumple s 8. Seguridad de la gestión de los recursos humanos 8.1 Seguridad en actividades previas a la contratación Todas las 8.1.1 Roles y competencias SI responsabilidades están definidas. Existe un análisis de 8.1.2 Análisis y requisitos para SI selección la selección de personal. Todos los empleados y 8.1.3 Términos y proveedores condiciones de SI tienen empleo cláusulas de seguridad.

Justificación

Requerimient o ISO 27001

8.2 Seguridad durante el desempeño de funciones Ex...