Propuesta de Sistema de Gestión de Seguridad de la Información de la empresa

[pic 1]

Propuesta de Sistema de Gestión de Seguridad de la Información de la empresa

Julieth Kristina Ortíz Rojas

Holger Humberto Jaimes Sandoval

Universidad Cooperativa De Colombia

Asignatura Gestión De Seguridad De La Información

Programa Maestría En Gestión De Tecnologías De La Información

Bucaramanga, Santander, 2021

Tabla de contenido

1        Alcance propuesto de SGSI        3

2        Política general del SGSI        4

3        Metodología de gestión de riesgos a utilizar        8

4        Identificación de activos de información de acuerdo a su nivel de dependencia        9

5        Identificación de 15 escenarios de riesgo        10

6        Determinación de parámetros de probabilidad, impacto y criterios de aceptación del riesgo        12

7        Valoración del riesgo        13

8        Plan de tratamiento de riesgos        14

9        Declaración de aplicabilidad        15

Referencias        16

1. Alcance propuesto de SGSI

1. Política general del SGSI

La E.S.E. Hospital Integrado San Vicente de Paul, es una entidad de primer nivel de atención descentralizada municipal, hoy en día posee las siguientes políticas para su mejoramiento ante la preservación de los datos de esta institución:

Es la directriz global que establece qué se quiere proteger, por qué se requiere la protección y cómo se deben proteger los activos y sistemas informáticos del Ministerio de Salud y Protección Social, la definición y actualización de la política está orientada a los procesos del Ministerio (misionales, apoyo, estratégicos y evaluación). Los principales objetivos de esta política son:

∙ Contar con plataformas apropiadas que protejan los mecanismos de tratamiento, almacenamiento y comunicación donde están contenidos y soportados los servicios de consulta, registro, validación y realización de trámites del Ministerio de Salud y protección Social.

∙ Capacitar e instruir al personal para lograr seres competentes y comprometidos con una cultura de seguridad de la información reflejada en la aceptación y aplicación de las directrices de seguridad.

∙ Implementar una metodología de gestión de riesgos de seguridad de la información como herramienta para actuar proactivamente ante la presencia de situaciones que puedan afectar la continuidad, confidencialidad e integridad de la información Ministerio de Salud y Protección Social.

Los datos que se maneja en el Ministerio de Salud y Protección Social, solamente podrá ser utilizada con fines de interés público de conformidad con la constitución y las leyes. Todos los servidores públicos, contratistas y terceros que conforman las diferentes áreas del Ministerio deberán clasificar la información que tengan bajo su custodia en alguna de las categorías establecidas. La información confidencial de terceros que por cualquier circunstancia se conozca por parte del Ministerio, debe ser tratada bajo los mismos lineamientos establecidos para el tratamiento de la información confidencial del Ministerio..

Los centros de cómputo y procesamiento de información son áreas de acceso restringido por tal motivo el ingreso y permanencia debe ser controlado y supervisado. La empresa debe garantizar que la informacion que se de en la entidad no caiga en manos de personas que puedan deslegitimar el buen nombre de la misma.  El acceso no autorizado a los sistemas de información y uso indebido de los recursos informáticos de la entidad está prohibido. Se nombre de la institución. Considera que hay uso indebido de la información y de los recursos, cuando la persona incurre en cualquiera de las siguientes conductas:

1. Suministrar información confidencial o que tenga carácter reservado a quien no tenga derecho a conocerla.
2. Usar la información con el fin de obtener beneficio propio o de terceros.
3. Ocultar la información maliciosamente causando cualquier perjuicio.
4. Hacer pública la información sin la debida autorización.
5. Hurtar software del Ministerio (copia o reproducción entre usuarios finales).
6. Realizar copias no autorizadas de software del Ministerio, dentro y fuera de sus instalaciones.
7. Falsificar y duplicar un producto informático de Ministerio.
8. Descargar software, a través de Internet sin la debida autorización.
9. Intentar modificar, reubicar o sustraer equipos de cómputo, software, Información o periféricos sin la debida autorización.
10. Capturar sin autorización la información de los accesos de otros usuarios a los sistemas.
11. Transgredir o burlar los mecanismos de autenticación u otros sistemas de seguridad.
12. Utilizar la infraestructura del Ministerio (computadores, software, información o redes) para acceder a recursos externos con propósitos ilegales o no autorizados.
13. Enviar cualquier comunicación electrónica fraudulenta.
14. Apropiarse los aplicativos, desarrollos o información del Ministerio y publicarla como propio.
15. Adueñarse del trabajo de otros individuos, o de alguna manera apropiarse del trabajo ajeno.
16. Usar cualquier medio para dañar o perjudicar de alguna manera los recursos disponibles electrónicamente.
17. Lanzar cualquier tipo de virus, gusano o programa de computador cuya intención sea hostil o destructiva.
18. Descargar o publicar material ilegal, o implique la vulneración de derechos de terceros, o material nocivo usando un recurso del Ministerio.
19. Uso personal de cualquier recurso informático del Ministerio para acceder, descargar, imprimir, almacenar, redirigir, transmitir o distribuir material prohibido.
20. Acceder sin autorización a información o documentos públicos que tengan carácter reservado por disposición constitucional o legal.
21. Violar cualquier Ley o Regulación Nacional respecto al uso de sistemas de información.

¿quienes hacen parte de de la politica de seguridad de la informacion? , las directrices siendo la mayor prioridad teniendo en cuenta su especialización para su definición, puesto que ellas elaboran y mantienen  las áreas de seguridad, según el dinamismo de la misión del ministerio y por segunda medida las  personas encargadad de los estándares y guías, que formen la calidad de la entidad de salud a continuación se describen algunas de ellas. políticas específicas para funcionario y contratistas:

...