Primera entrega - Hospital Simn Bolivar

Primera Entrega
Proyecto del Mdulo de Gestin de Seguridad de la Informacion

Presentado Por:
Oscar Ivan Caon Rodriguez
Diego Fernando Vzquez Leguizamn
Andres Felipe Zuluaga Arias
Camilo Andres Jimenez Avila

Junio 2017

Institucin Universitaria Politcnico Grancolombiano

Posgrados Virtuales
Mdulo de Gestin de la Seguridad

1
 Primera entrega - Hospital Simn Bolivar

Contenido Commented [JS 1]: Por presentacin, solo ttulos en la

1 Definir 4 objetivos de la gestin de seguridad de la informacin orientados a apoyar la misin, visin tabla de contenido
y estrategia de la organizacin. Estos objetivos deben ser medibles, viables y reflejar que aportan al
negocio. OJO, son los objetivos de la gestin de seguridad, no objetivos del proyecto de
implementacin del SGSI. .................................................................................................................... 3
1.1 Objetivos ................................................................................................................................. 3
2 Disear una estrategia para realizar la implementacin de un plan de generacin en conciencia en
seguridad de la informacin. Dispone de una asignacin presupuestal de 4 millones para las actividades
de todo el ao y se sabe que el personal no suele asistir a capacitaciones. Indicar actividades, que
mtodos pedaggicos aplicara (Hay mejor valoracin si aplican metodologas de gestin del cambio
organizacional) y una programacin para las actividades del ao indicando costo de las mismas con base
en el presupuesto. Si la empresa tiene sedes, tnganlo presente. ........................................................ 4
2.1 Estrategia .................................................................................... Error! Bookmark not defined.
3 Disee a travs de una infografa (no presentacin de power point), un instructivo en el cual se
socialice a la organizacin los beneficios de la implementacin del sistema de gestin de seguridad de
la informacin y cmo van a estar involucrados en el mismo. Pueden remitir la infografa como archivo
anexo o la URL del mismo. ................................................................................................................... 6
3.1 Infografa .................................................................................... Error! Bookmark not defined.
4 Realice la definicin de cargos (buscar organigrama de la organizacin) que deben hacer parte del
comit o grupo asesor de seguridad. Defina las funciones de este grupo frente a seguridad y determine
para qu temas el grupo requerir asesora externa. Recuerden que el grupo se busca que sea de la alta
gerencia e involucre a las reas o procesos que mueven el negocio, en conjunto con el responsable de
seguridad. ........................................................................................................................................... 7
4.1 Organigrama de la Organizacin............................................................................................... 7
4.2 El comit de seguridad est conformado por las siguientes personas: ...................................... 7
4.3 A continuacin, presentamos las responsabilidades relacionadas del comit de seguridad de la
informacin. ........................................................................................................................................ 8
4.4 El comit de seguridad necesita asesora externa para: ............................................................ 9

2
 Primera entrega - Hospital Simn Bolivar

1 Definir 4 objetivos de la gestin de seguridad de la informacin orientados a

apoyar la misin, visin y estrategia de la organizacin. Estos objetivos deben ser
medibles, viables y reflejar que aportan al negocio. OJO, son los objetivos de la gestin
de seguridad, no objetivos del proyecto de implementacin del SGSI. Commented [JS 2]: Pueden obviar los enunciados.

1.1 Objetivos

Alcanzar para el ao 2016 cubrimiento del 100 % en las actividades de seguimiento y control en
la aplicacin de las normas que se implementaran en el proceso de la gestin de seguridad de la
informacin en el Hospital Simn Bolivar III Nivel. Ya que contara con los estndares de
confidencialidad y reserva, a lo cual los funcionarios que trabajan en el hospital tendrn como
tica propender por la reserva profesional en todos los temas clnicos y de los conceptos mdicos
que son exclusivamente del hospital, los cuales deben de ser manejados con el objeto de proteger
la dignidad y los derechos de los pacientes y as evitar incidentes o vulnerabilidades que puedan
poner en riesgo la imagen de la Institucin.

Fortalecer y mejora continua en la prestacin de los servicios de alta complejidad y cumpliendo

altos estndares de calidad, basados en las normas de la gestin de seguridad de la informacin
implementadas en el hospital. Con el fin de promover el Hospital Simn Bolivar para el ao 2017,
como prestadores de servicios de IV nivel de atencin, a nivel Nacional.

Para el ao 2017, el Hospital Simn Bolivar, en cumplimiento de los objetivos y estrategias de la

tecnologa informtica, debe adquirir, mejorar y actualizar los servicios y la infraestructura en
caminados en los estndares de la gestin de seguridad de la informacin, para atender y mejorar
las necesidades de los usuarios externos e internos.

Para el ao 2017, el Hospital Simn Bolivar, se plantea tener identificado 2 planes de mejora que
permitan identificar nuevas amenas y vulnerabilidades que pongan en riesgos los activos de
informacin que se encuentren sobre el alcance de la gestin de seguridad de la informacin. Commented [JS 3]: Varios temas:

1.Objetivo por construccin y redaccin inicia con verbo

en infinitivo
2. Se observa cmo se hace un empalme de objetivos con
la seguridad, no en todos es tan viable esa unin, por
consiguiente se puede establecer objetivos que acerquen
por medio de la seguridad al negocio a cumplir su
estrategia, es decir, que le aporten a lograrlo. Esto puede
ser ms simple.
3.No se suele emplear lo de cuando se espera lograr el
objetivo, suele ser ms de la misin/visin esta
estructura. Ya con los indicadores de gestin, ser posible
establecer esos tiempos y la medicin.

3
 Primera entrega - Hospital Simn Bolivar

2 Disear una estrategia para realizar la implementacin de un plan de generacin

en conciencia en seguridad de la informacin. Dispone de una asignacin presupuestal
de 4 millones para las actividades de todo el ao y se sabe que el personal no suele
asistir a capacitaciones. Indicar actividades, que mtodos pedaggicos aplicara (Hay
mejor valoracin si aplican metodologas de gestin del cambio organizacional) y una
programacin para las actividades del ao indicando costo de las mismas con base en
el presupuesto. Si la empresa tiene sedes, tnganlo presente.

2.1 Programa de Concientizacin

Muchos de los alcances y temas relacionados con la seguridad de la informacin son totalmente
desconocidos para muchas personas; se ha establecido que la mayora de las brechas de seguridad,
aprovechadas en ciberataques, son a nivel interno en las mismas compaas. El mtodo elegido y conocido
como Ingeniera Social es el ms usado ya que resulta ms sencillo obtener una contrasea de un usuario
en vez de vulnerar los sistemas de seguridad y inscripcin. En algunos puestos de trabajo se tiene la mala
prctica de anotar contraseas en notas sobre la pantalla o el teclado.

Existe una gran cantidad de actividades y obsequios que ayudan en la concientizacin de los usuarios con
los temas de la seguridad de la informacin, y aunque el dinero es un recurso importante, la buena
administracin que se le dar a este y la creatividad hacen la diferencia entre el programa de
concientizacin y una capacitacin ordinaria.

A continuacin, se presenta una pequea lista de las actividades a llevar a cabo de manera semestral y las
que se realizan nicamente una vez al ao:

Fecha Actividad Costo

ene-17 Definir una mascota o personaje para la campaa. $ 800.000

ene-17 Definir un eslogan para la campaa. $ 0

semestral Protectores y fondos de pantalla semestralmente. $ 0

ene-17 Video con presentacin de la campaa. $ 0

Presentacin animada en Power Point o

semestral infografas. $ 0

1ra mitad del ao creacin y entrega de

ene-17 recordatorios. $ 800.000

2da mitad del ao creacin y entrega de

jun-17 recordatorios. $ 800.000

semestral Desarrollar trivias. $ 0

4
 Primera entrega - Hospital Simn Bolivar

Elaborar juegos como monopolio o lbum de

figuras con temas relacionados por supuesto con
semestral seguridad de la informacin. $ 0

Sesin de stand up comedy o cuentacuentos con

temas relacionados con seguridad de la
ene-17 informacin. $ 100.000

Sesin de stand up comedy o cuentacuentos con

temas relacionados con seguridad de la
jun-17 informacin. $ 100.000

ene-17 Refrigerios sesin 1. $ 700.000

ene-17 Refrigerios sesin 2. $ 700.000

Total $ 4.000.000

Son este tipo de actividades las que quedan guardadas en la memoria de las personas. La manera en que
se hace llegar el mensaje al pblico influye para plasmar en el subconsciente de las personas mejores
actitudes, actitudes como lo es la cultura de la seguridad de la informacin.

La gestin de la seguridad de la informacin debe ser un rea convencida de que crear cultura de
seguridad de la informacin mediante el juego y las actividades ldicas es ms viable y genera ms inters
y retentiva entre el pblico.

2.2 CAMBIO ORGANIZACIONAL. Commented [JS 4]: No me queda del todo claro este
punto. Se plantea que evalen metodologas de gestin de
cambio organizacional, pero lo que aqu aparece dista de
eso. Revisen por favor.
Finalmente se prev un cambio a nivel organizacional en el hospital en el cual se asignarn varias reas
del hospital a diferentes analistas de seguridad de la informacin que se encargaran de realizar consultora
y control interno en el manejo seguro de la informacin.

Dichos analistas tienen la potestad de solicitar informacin operativa y sugerir mejores prcticas para
minimizar brechas de seguridad. Se restringe solo el acceso de informacin financiera y de informacin
de pacientes y trabajadores.

Analista 1: Sera la persona designada para gestionar la seguridad de la informacin en la subgerencia

cientfica, subgerencia administrativa y subgerencia financiera

Analista 2: Sera la persona designada para gestionar la seguridad de la informacin en la oficina detencin
al usuario y participacin social, oficina de asesora jurdica, oficina de gestin pblica, oficina de control
interno disciplinario y oficina de asesora de planeacin.

Analista 3: Sera la persona que se encargue de ayudar a la gerencia con asesoras en temas de seguridad
de la informacin a nivel administrativo.

Analista 4: Sera la persona encargada de apoyar a la junta directiva con los temas de seguridad de la
informacin, debe tener un perfil gerencial y manejar conocimiento general del hospital.

5
 Primera entrega - Hospital Simn Bolivar

El objetivo principal del grupo de analistas es dar apoyo y asesorar a cada una de las partes involucradas
del hospital; por ende, no pretende realizar auditoras y fiscalizacin de procesos.

3 Disee a travs de una infografa (no presentacin de power point), un instructivo

en el cual se socialice a la organizacin los BENEFICIOS DE LA IMPLEMENTACIN
DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN y cmo van a
estar involucrados en el mismo. Pueden remitir la infografa como archivo anexo o la URL
del mismo.

https://www.canva.com/design/DACXTkDZ3Gs/SlnddM_Gbd9FDS3Vf7aRsA/edit?layouts=&utm_source
=onboarding

6
 Primera entrega - Hospital Simn Bolivar

4 Realice la definicin de cargos (buscar organigrama de la organizacin) que

deben hacer parte del comit o grupo asesor de seguridad. Defina las funciones de este
grupo frente a seguridad y determine para qu temas el grupo requerir asesora externa.
Recuerden que el grupo se busca que sea de la alta gerencia e involucre a las reas o
procesos que mueven el negocio, en conjunto con el responsable de seguridad.

4.1 Organigrama de la Organizacin

4.2 El comit de seguridad est conformado por los siguientes cargos: Commented [JS 5]: cargos

1. Gerente (presidente del comit)

2. Representante Oficina de gestin pblica (Responsable del comit)
3. Representante Revisor Fiscal (secretario del Comit)
4. Representante junta directiva
5. Representante Oficina de planeacin
6. Representante Oficina Jurdica
7. Representante Subgerencia Cientfica

7
 Primera entrega - Hospital Simn Bolivar

8. Representante Subgerencia Financiera Commented [JS 6]: No olviden colocar al responsable de

seguridad, al final es quien lleva el ritmo del comit
9. Responsable de Seguridad de la informacin

4.3 A continuacin, presentamos las responsabilidades relacionadas del comit de

seguridad de la informacin.

1. Dar a conocer de forma clara conceptos de seguridad de la informacin y su importancia a todos

los miembros del hospital (capacitacin y\ o sensibilizacin).
2. Identificar los posibles incidentes y vulnerabilidades de seguridad presentados por los empleados
o agentes externos con fines de investigar.
3. Realizar trimestralmente auditoria buscando vulnerabilidades a los sistemas que conforman la
red de datos y activos fsicos del hospital.
4. Analizar y evaluar los procesos de seguridad fsica, personal y sistemtica de la informacin
almacenada en medios, con el fin de realizar ajustes.
5. Informar mensualmente al consejo directivo y gerencia las actividades q puede ser objeto de
vulnerabilidad con el fin de realizar ajustes segn el caso.
6. Promover la implementacin de protocolos para el intercambio de informacin con entes
externos.
7. Analizar los perfiles de los funcionarios, con el fin de asignar los niveles de seguridad en el acceso
a la informacin.
8. Establecer los protocolos de conducta en casos de violacin al sistema de gestin de seguridad de
la informacin establecido en el hospital, por los funcionarios.
9. Dirigir la inclusin de las polticas, normas y procedimientos de seguridad de la informacin en
todas las reas del hospital a fin de garantizar la calidad del servicio y xito del sistema.
10. Acompaar el modelo de control y seguimiento que permita medir el nivel de interiorizacin de
las medidas adoptadas en el (CSI)
11. Liderar la coordinacin de los miembros representantes dcada proceso en pro de las actividades
q se deben tener en cuenta para la seguridad de la informacin; en el cumplimento de las metas
trazadas (misin y visin)
12. Revisar y proponer la actualizacin del marco jurdico alineado a las normas del estado
Colombiano.

8
 Primera entrega - Hospital Simn Bolivar

13. Participar en la toma de decisiones en la adquisicin de equipos, herramientas tecnolgicas y en

el desarrollo de proyectos.
14. investigar medidas y protocolos de seguridad de la informacin con el fin de proponer medidas
q permitan prevenir ataques cibernticos que generen dao, prdida o secuestro de informacin

4.4 El comit de seguridad necesita asesora externa para:

1. Actualizar el marco normativo; los protocolos; procesos y procedimientos para mayor

competitividad con los problemas del medio para optimizar los resultados del SGSI asegurando
el xito.
2. Orientacin en el estudio y diseos de nuevas polticas de seguridad, que permitan minimizar los
riegos de vulnerabilidad en el hospital.
3. Actualizarse con respecto a los nuevos riesgos de ataques a la seguridad de la informacin q no
haya sido evidenciado o identificado.
4. Obtener nuevas estrategias para optimizacin de los recursos tecnolgicos y manejo de la
informacin (almacenamiento; prioridad; clasificacin etc.).
5. Estrategias de implementacin probadas; q puedan ser adoptadas para mejorar los procesos de
salvaguardar la informacin en el hospital.