ACTIVIDAD TÉCNICA
Nombre:
ALBEIRO JIMENEZ IBAÑEZ
Documento de identidad:
13722423
Programa:
GESTION Y SEGURIDAD DE BASES DE DATOS(1017120)
PLAN DE MEJORA EN SEGURIDAD INFORMATICA EN LA SECRETARIA DE SALUD DEPARTAMENTAL DE SANTANDER INTRODUCCIÓN La seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, disrupción o destrucción no autorizada. Los términos Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información.
Confidencialidad: La confidencialidad es la propiedad de prevenir la
divulgación de información a personas o sistemas no autorizados. Integridad: Para la Seguridad de la Información, la integridad es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas.
Disponibilidad: La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
Mi análisis de norma ISO 27002 se hizo con los pocos datos que pude obtener en la Secretaria de Salud Departamental de Santander.
PLANTEAMIENTO DEL PROBLEMA Una de las principales preocupaciones del departamento de sistemas de la Secretaria de Salud Departamental de Santander es el control de los riesgos que atentan contra la Seguridad de la Información de sus activos, entre estos, equipos informáticos, servicios, datos, recursos humanos y equipamiento auxiliar. En una observación, se llegó a la conclusión, que los colaboradores de la Secretaria cuentan con altos factores de inseguridad, fuga de información que si no se tratan adecuadamente pueden ocasionar posibles daños económicos y de prestigio para la Secretaria. Si no se tiene controles de buenas prácticas, normas de seguridad, podría explotar alguna amenaza y causar un riesgo a los activos. Una de las maneras de reducir los riesgos que están afectando a los activos es de la elaboración de normas, políticas y concientización a los usuarios, basados en norma de buenas prácticas de seguridad para reducir la probabilidad de ocurrencia de un impacto de los riesgos que están expuestos los activos de información de la Secretaria. OBJETIVOS DEL PLAN DE MEJORA
Impedir accesos no autorizados y violaciones de las normas reglamentos, contratos, políticas y procedimientos de los estándares de seguridad
a
través del diseño de políticas y estándares de seguridad de la información debe ser observado por todo el personal de la Secretaria.
Promover las mejores prácticas de seguridad al desarrollo o adquisición de sistemas de información
Implementar las normas de seguridad y concientizar al usuario de dichas normas para la protección de los activos de información.
IMPLEMENTACION PLAN DE MEJORA DE ACUERDO CON LA NORMA ISO 27002
El desarrollo de las políticas de Seguridad de la Información realizada en el departamento de sistemas de la Secretaria de Salud Departamental de Santander, proviene de la recopilación de información, hallazgos y análisis de la situación actual del departamento basándonos en los controles de la ISO 27002 correspondientes a los once dominios de la norma:
1. POLÍTICA DE SEGURIDAD
Control: Se debe definir claramente todas las responsabilidades en cuanto a seguridad de la información
DEBILIDAD:
Manual de roles y responsabilidades obsoleto. No se cuenta con un departamento de seguridad informática.
Que se debe hacer: Verificar que para todos los cargos concernientes a Seguridad de la Información, existan roles y responsabilidades.
Crear un departamento de Seguridad Informática. Se deben asignar roles y funciones concernientes a la seguridad de la información. 2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD Control: “La gerencia debe apoyar activamente en la seguridad dentro de la
organización
compromisos,
a
través
asignaciones
de
direcciones
explicitas
y
claras
demostrando
reconocimiento
de
las
responsabilidades de la seguridad de la información DEBILIDAD:
No se cuenta con un comité de seguridad No se cuenta con un coordinador de seguridad No existen convenios de confidencialidad No existe programada una revisión de la seguridad de la información
Que se debe hacer: Para asegurar que las actividades de seguridad sean ejecutadas se debe crear un comité de seguridad que sea el encargado de aprobar las políticas de seguridad que deben regir en la secretaria Se debe asignar un responsable o líder del proyecto de la implantación del sistema de seguridad de la información, la cual se maneja por medio de un cronograma con fechas ya establecidas para la entrega de proyectos que mitigan las amenazas. Se debe aprobar el convenio de confidencialidad que deberá ser entregado a todo el personal que maneja información importante de la secretaria. Diseñar un cronograma donde se especifique fecha y hora de la revisión de la seguridad de la información.
3. TERCERAS PARTES Control: “se deben identificar los riesgos para la información y los servicios de procesamiento de información de la organización de los procesos del negocio que involucran partes externas e implementar los controles apropiados antes de autorizar el acceso. DEBILIDAD:
La Secretaria no cuenta en sus documentos con políticas que especifique
controles para otorgar acceso a los recursos por parte de terceros. Solo se cuenta con políticas de antivirus. Que se debe hacer: Para asegurar la información se debe
hacer un documento donde se
especifique como se debe hacer el manejo con los terceros. Se debe adquirir software de seguridad y establecer sus respectivas políticas de uso. 4. CLASIFICACION Y CONTROL DE ACTIVOS Control: “Toda la información y los activos asociados con el proceso de información deben ser poseídos por una parte designada de la organización.” DEBILIDAD:
No se pudo evidenciar controles que se deberían ejecutar en cuanto la
asignación de activos a los colaboradores secretaria. No existen responsabilidades, no está documentada las responsabilidades
de los propietarios de los activos de la información No existe un mantenimiento periódico del inventario de activos de
información. No se cuenta con manuales o documentos aprobados por el consejo superior sobre la clasificación de los activos
Que se debe hacer:
Realizar una tarjeta o un archivo donde se pueda evidenciar que equipos
tiene cada persona. Realizar el manual de responsabilidades para aquellas personas que
manejan información confidencial de la secretaria. Realizar trimestralmente mantenimiento al inventario de la información. Realizar un manual de clasificación de la información de la secretaria teniendo en cuenta el nivel de confidencialidad .
5. SEGURIDAD FISICA Y DEL ENTORNO Control: “Se debe designar y aplicar protección física del fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastres natural o humana DEBILIDAD:
No se dispone de un sistema central de incendios, en las oficinas de
sistemas no se cuenta con este sistema. No se realizan simulacros de evacuación, no se cuenta con un área específica que se encargue de realizar este tipo de simulacros.
Que se debe hacer:
Adecuar un sitio donde se disponga una central para incendios con todos los elementos necesarios para evitar la propagación de estos. Establecer fechas especiales para realizar simulacros que le permitan a los empleados tener conocimiento que hacer en cada caso.
6. SEGURIDAD DE LOS EQUIPOS Control: ““Se deberían proteger contra intercepciones o daños el cableado de energía y telecomunicaciones que transporten datos o soporten servicios de información” DEBILIDAD Existe canaletas y cableado que se encuentra en mal estado.
Que se debe hacer:
Se debe realizar una revisión y asegurar la compra de los implementos necesarios para realizar la adecuación de las canaletas dañadas.
7. GESTIÓN DE COMUNICACIONES Y OPERACIONES.´ Control: Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo requieran. DEBILIDAD No existen políticas definidas para la elaboración de manuales, no obstante se tienen estándares para elaboración de los mismos.
No se cuentan con la obligatoriedad para la elaboración de manuales de los procesos que realiza y debería documentar la Secretaria.
Los manuales no se encuentran a disposición del personal.
No existen políticas de segregación de funciones
Que se debe hacer: Establecer políticas y darlas a secretaria.
conocer a todos los empleados de la
Establecer una política de cumplimiento para elaborar los manuales de los procesos que lleva la secretaria. Socializar los manuales con todos los empleados. 8.
PROTECCIÓN CONTRA EL CÓDIGO MALICIOSO Y DESCARGABLE.
Control: “Se deberían implementar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios
DEBILIDAD Se verificaron los manuales existentes y no se encontró política referente al a licencias de software y prohibición del uso de software. No se encontró revisión a los correos de origen incierto. Que se debe hacer: Verificación de archivos electrónicos de origen incierto o no autorizado, o recibidos a través de redes no fiables, para comprobar la existencia de virus antes de usarlos. Verificación de todo archivo adjunto a un correo electrónico o de toda descarga
para
buscar
software
malicioso
antes
de
usarlo.
Esta
comprobación se hará en distintos lugares, por ejemplo, en los servidores de correo, en los computadores personales o a la entrada en la red de la secretaria. Verificación de códigos maliciosos en las páginas WEB. Creación de un manual de procedimientos contra código malicioso
9.
PROTECCIÓN CONTRA EL CÓDIGO MALICIOSO Y DESCARGABLE.
Control: “Se deben de realizar copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada.”
DEBILIDAD
Se cuenta con manual para realizar las copias de seguridad, pero no es utilizado por todos los empleados lo que puede generar perdida de información.
Que se debe hacer:
Implementar la obligatoriedad de hacer respaldos estableciendo fechas para el mismo.
12.
SEGURIDAD DE LOS ARCHIVOS DE SISTEMAS.
Control: “Deberían existir procedimientos para controlar la instalación del software en sistemas operacionales
DEBILIDAD •
Se cuenta con manual para realizar las copias de seguridad, pero no es
utilizado por todos los empleados lo que puede generar perdida de información.
Que se debe hacer:
Implementar la obligatoriedad de hacer respaldos estableciendo fechas para el mismo.
Control: ““Los datos de prueba deben ser seleccionados cuidadosamente, así como protegidos y controlados.”. DEBILIDAD •
Se trabaja con base de datos desactualizadas.
Que se debe hacer:
Actualizar las bases de datos para mejorar los rendimientos de los procesos que se implementan en la secretaria.
SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE
Control: “La implementación de cambios debe ser controlada usando procedimientos formales de cambio.”
DEBILIDAD
No cuenta con políticas de control de cambios formales.
Que se debe hacer:
Establecer políticas de control de cambios en los diferentes software que son desarrollados en la secretaria.
13. GESTION DE IINCIDENTES DE SEGURIDAD. Control: “Los eventos en la seguridad de información deben ser reportados lo más rápido posible a través de una gestión de canales apropiada.” DEBILIDAD
No se cuenta con políticas y procedimiento de reporte de incidentes Falta realizar procesos de concienciación sobre la seguridad de la información y de reportar tales eventos, ya que no saben a quién mismo
notificar estos problemas. No comunican a contratistas y terceros sobre la responsabilidad de informar
un incidente de seguridad. No existe documentación de los registros de incidentes de seguridad.
Que se debe hacer: Establecer políticas de reportes de incidentes en la secretaria. Realizar procesos de concientización a los empleados sobre la importancia de seguridad de la información. En la inducción dar a conocer la responsabilidad de dar a conocer los incidentes que se presentan. Realizar informes que lleven detalle del incidentes, en que afecto, cual fue el impacto y como se resolvió. CONCLUSIIONES
Luego de la observación de la implementación de la norma ISO 27002 para el departamento de Sistemas de la Secretaria de Salud Departamental se pudo detectar muchas deficiencias en la parte de seguridad de la información.
Es importante recalcar que si se cumple al 100% con las políticas desarrolladas para la Secretaria de Salud Departamental, no se garantiza que no tengan problemas de seguridad ya que no existe la seguridad al 100%; con el manual de políticas de seguridad de la información y con el cumplimiento de las mismas da lugar a minimizar los riesgos asociados a
los activos reduciendo impactos, fuga de información y pérdidas económicas originados por la carencia de las normas y políticas de seguridad de la información.
Con la implementación del manual de políticas de seguridad de la información en la Secretaria de Salud Departamental de Santander, se
proporcionara una guía a seguir para trabajar en los aspectos de seguridad. El departamento de Sistemas de la Secretaria de Salud Departamental de Santander, debe afrontar con las deficiencias de seguridad de la información, para lo cual debe tomar seriedad sobre lo documentado y realizar proyectos de enmendadura basados en las políticas de seguridad y por ultimo debe realizar campañas de concientización sobre los temas abordados.
RECOMENDACIONES
Se recomienda realizar las campañas concientización sobre la importancia de la seguridad de la información, esta campaña será dirigida al personal
administrativo y contratistas. Se debe realizar difusiones de las políticas de seguridad de la información a
todo el personal de la Secretaria de Salud Departamental. Se recomienda contar con controles de prohibiciones de los activos de
información asignados a personal. Se recomienda contar con un documento formalmente aprobado por el Secretario de Salud en el cual conste las responsabilidades que tiene que
cumplir el colaborador con respecto a los activos asignados a él. Se debe elaborar convenios sobre el buen uso de los activos y compromiso
de responsabilidad de los activos de información. Se recomienda que en la Secretaria de Salud Departamental Santander se tenga como política que se cambie la contraseña cada 30 días.
Se debe mantener un control estricto del acceso al código fuente de los
programas, para así evitar copia, modificación o divulgación de los mismos. Se debe controlar estrictamente los cambios realizados en el software para minimizar la corrupción de los sistemas. Los programadores deberán tener acceso únicamente a la información que necesiten, todo cambio provendrá de un acuerdo y aprobación previa.
BIBLIOGRAFIA
Manuales Secretaria de Salud Departamental de Santander Norma ISO 27002 Libros de Calidad.