COFL02 Página 1 de 16

ABC DE SEGURIDAD DE LA INFORMACIÓN EN LA SUPERSALUD

SUPERINTENDENCIA NACIONAL DE SALUD

OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN

SEPTIEMBRE 2017

COFL02 Página 2 de 16

CONTENIDO

1. PRESENTACIÓN ............................................................................................................................ 3

2. OBJETIVO GENERAL ..................................................................................................................... 3

3. DEFINICIONES .............................................................................................................................. 3

4. CONTEXTO DE LA ORGANIZACIÓN .............................................................................................. 9

5. LIDERAZGO ................................................................................................................................ 10

6. PLANIFICACIÓN.......................................................................................................................... 11

7. SOPORTE.................................................................................................................................... 12

8. OPERACIÓN ............................................................................................................................... 13

9. EVALUACIÓN DEL DESEMPEÑO ................................................................................................. 14

10. MEJORA ................................................................................................................................. 14

ANEXO A ............................................................................................................................................ 15

COFL02 Página 3 de 16

1. PRESENTACIÓN

La Información que gestiona una Entidad pública en cualquiera de sus soportes, se considera un bien público. En ese sentido la información también se considera como un activos de información el cual debe protegerse adecuadamente. Una adecuada gestión de activos de información, parte del concepto fundante de seguridad de la información la cual se desarrolla mediante el principio rector de la gestión de riesgo, y comprende el conjunto de medidas, procedimientos y controles establecidos para el correcto manejo, gestión y control de la información, en todo su ciclo de vida, así como para garantizar sus propiedades fundamentales; la preservación de la confidencialidad, integridad y disponibilidad de la información que se complementan con otras propiedades como autenticidad, responsabilidad, no repudio, trazabilidad y fiabilidad. Partiendo del hecho de que la seguridad de la información se basa en la existencia de un conjunto de políticas, normas, procedimientos y buenas prácticas que sean el soporte administrativo y tecnológico en la Entidad, por ende Superintendencia Nacional de Salud a través de la Oficina de Tecnologías de la Información ha implementado el Subsistema de Seguridad de la Información basado en la norma internacional ISO 27001 vigente.

2. OBJETIVO GENERAL

Establecer los lineamientos principales de la Seguridad de la Información en la

Superintendencia Nacional de Salud.

3. DEFINICIONES

Las siguientes definiciones son extraídas de ISO 27000.

Acción correctiva: Acción para eliminar la causa de una no conformidad y prevenir

su repetición. Va más allá de la simple corrección.

Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.

COFL02 Página 4 de 16

Activo: En relación con la seguridad de la información, se refiere a cualquier

información o elemento relacionado con el tratamiento de la misma (sistemas,

soportes, edificios, personas...) que tenga valor para la organización.

Alcance: Ámbito de la organización que queda sometido al SSI.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños

a un sistema o a la organización.

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y

determinar el nivel de riesgo.

Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa algún tipo de

escalas de valoración para situar la gravedad del impacto y la probabilidad de

ocurrencia.

Análisis de riesgos cuantitativo: Análisis de riesgos en función de las pérdidas

financieras que causaría el impacto.

Auditor: Persona encargada de verificar, de manera independiente, el

cumplimiento de unos determinados requisitos.

Auditor de primera parte: Auditor interno que audita la organización en nombre de

ella misma.

Auditor de segunda parte: Auditor que audita una organización en nombre de otra.

Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando

una administración pública ordena una auditoriía de una empresa.

Auditor de tercera parte: Auditor que audita una organización en nombre de una

tercera parte independiente que emite un certificado de cumplimiento.

Auditor líder: Auditor responsable de asegurar la conducción y realización eficiente

y efectiva de la auditoría, dentro del alcance y del plan de auditoría acordado.

Auditoría: Proceso sistemático, independiente y documentado para obtener

evidencias de auditoria y evaluarlas objetivamente para determinar el grado en el

que se cumplen los criterios de auditoría.

Autenticación: Provisión de una garantía de que una característica afirmada por

una entidad es correcta.

COFL02 Página 5 de 16

Autenticidad: Propiedad de que una entidad es lo que afirma ser.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a

mantener claros los objetivos de la auditoría, sirve de evidencia del plan de

auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y

su carga de trabajo. Este tipo de listas también se pueden utilizar durante la

implantación del SSI para facilitar su desarrollo.

Compromiso de la Dirección: Alineamiento firme de la Dirección de la

organización con el establecimiento, implementación, operación, monitorización,

revisión, mantenimiento y mejora del SSI. La versión de 2013 de ISO 27001 lo

engloba bajo la cláusula de Liderazgo.

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser

revelada a individuos, entidades o procesos no autorizados.

Control: Las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la información

por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo

de salvaguarda o contramedida. En una definición más simple, es una medida que

modifica el riesgo.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado

antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha

materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o

acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo

no la corrige.

Control disuasorio: Control que reduce la posibilidad de materialización de una

amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir

de su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o

acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Corrección: Acción para eliminar una no conformidad detectada. Si lo que se

elimina es la causa de la no conformidad, véase acción correctiva.

COFL02 Página 6 de 16

Declaración de aplicabilidad: Documento que enumera los controles aplicados

por el SSI de la organización -tras el resultado de los procesos de evaluación y

tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones

de controles del anexo A de ISO 27001.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe

las operaciones o servicios habituales de una organización durante el tiempo

suficiente como para verse la misma afectada de manera significativa.

Directiva: Una descripción que clarifica qué debería ser hecho y cómo, con el

propósito de alcanzar los objetivos establecidos en las políticas.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando

lo requiera una entidad autorizada.

Entidad de certificación: Una empresa u organismo acreditado por una entidad de

acreditación para auditar y certificar según diversas normas (ISO 27001, ISO 9001,

ISO 14000, etc.) a empresas usuarias de sistemas de gestión.

Estimación de riesgos: Proceso de comparar los resultados del análisis de riesgos

con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable

o tolerable.

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de

riesgos.

Fase 1 de auditoría: Etapa de la auditoría de primera certificación en la que,

fundamentalmente a través de la revisión de documentación, se analiza en SSI en

el contexto de la política de seguridad de la organización, sus objetivos, el alcance,

la evaluación de riesgos, la declaración de aplicabilidad y los documentos

principales, estableciendo un marco para planificar la fase 2.

Fase 2 de auditoría: Etapa de la auditoría de primera certificación en la que se

comprueba que la organización se ajusta a sus propias políticas, objetivos y

procedimientos, que el SSI cumple con los requisitos de ISO 27001 y que está

siendo eficaz.

Gestión de claves: Controles referidos a la gestión de claves criptográficas.

COFL02 Página 7 de 16

Gestión de incidentes de seguridad de la información: Procesos para detectar,

reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la

información.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo. Se compone de la evaluación y el tratamiento

de riesgos.

Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos.

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que

puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de

reputación, implicaciones legales, etc-.

Incidente de seguridad de la información: Evento único o serie de eventos de

seguridad de la información inesperados o no deseados que poseen una

probabilidad significativa de comprometer las operaciones del negocio y amenazar

la seguridad de la información.

Inventario de activos: Lista de todos aquellos recursos (físicos, de información,

software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del

SSI, que tengan valor para la organización y necesiten por tanto ser protegidos de

potenciales riesgos.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es

una agrupación de entidades nacionales de normalización cuyo objetivo es

establecer, promocionar y gestionar estándares (normas).

No repudio: Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un

servicio de seguridad que permite probar la participación de las partes en una

comunicación.

Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue

haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor

niegue su recepción (cuando realmente lo ha recibido).

Objetivo: Declaración del resultado o fin que se desea lograr mediante la

implementación de procedimientos de control en una actividad determinada.

Parte interesada: Persona u organización que puede afectar a, ser afectada por o

percibirse a sí misma como afectada por una decisión o actividad.

COFL02 Página 8 de 16

Plan de continuidad del negocio: Plan orientado a permitir la continuación de las

principales funciones del negocio en el caso de un evento imprevisto que las ponga

en peligro.

Plan de tratamiento de riesgos: Documento que define las acciones para

gestionar los riesgos de seguridad de la información inaceptables e implantar los

controles necesarios para proteger la misma.

Proceso: Conjunto de actividades interrelacionadas o interactuantes que

transforman unas entradas en salidas.

Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para

gestionar un riesgo.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele

considerarse como una combinación de la probabilidad de un evento y sus

consecuencias.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Segregación de tareas: Reparto de tareas sensibles entre distintos empleados

para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o

por negligencia.

Seguridad de la información: Preservación de la confidencialidad, integridad y

disponibilidad de la información.

Selección de controles: Proceso de elección de los controles que aseguren la

reducción de los riesgos a un nivel aceptable.

SSI: Subsistema de Seguridad de la Información. Conjunto de elementos

interrelacionados o interactuantes (estructura organizativa, políticas, planificación

de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza

una organización para establecer una política y unos objetivos de seguridad de la

información y alcanzar dichos objetivos, basándose en un enfoque de gestión del

riesgo y de mejora continua.

Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la

implementación de controles.

COFL02 Página 9 de 16

Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la

información o un sistema de tratamiento de la información sean asociadas de modo

inequívoco a un individuo o entidad.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una

o más amenazas.

4. CONTEXTO DE LA ORGANIZACIÓN

La Superintendencia Nacional de Salud establece su contexto de acuerdo a los

usuarios que atiende y a la normatividad que la regula, de igual manera se

establecen las necesidades y expectativas de las partes interesadas en cuanto al

Subsistema de Seguridad de la Información de la Entidad.

El Contexto de la Organización está establecido en la Guía Metodológica de Análisis

de Riesgos de Seguridad y Privacidad de la Información -- ASGU05

4.1. ALCANCE DEL SUBSISTEMA DE SEGURIDAD DE LA

INFORMACIÓN

El Subsistema de Seguridad de la Información busca preservar la confidencialidad,

integridad y disponibilidad de la información a todas las partes interesadas de la

Entidad; el cual abarca los procesos de Gestión de la Participación Ciudadana en

las instituciones del Sistema General de Seguridad Social en Salud, Gestión de

Atención al Usuario del Sistema General de Seguridad Social en Salud, Gestión de

servicios tecnológicos, Provisión de soluciones tecnológicas, Auditoría a los sujetos

Vigilados, Supervisión a los sujetos vigilados de la Superintendencia Nacional de

Salud, Evaluación integral de riesgos de sujetos vigilados, Evaluación y aprobación

de acuerdos de reestructuración de pasivos, Adopción y seguimiento de acciones

y medidas especiales y Gestión del procedimiento administrativo en la ciudad de

Bogotá DC.

COFL02 Página 10 de 16

4.2. SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN

La Superintendencia Nacional de Salud mediante la Resolución 2116 de 2014,

conformó el Subsistema de Seguridad en la Información el cual se enmarca dentro

de los principios y requisitos de la Norma ISO 27001.

5. LIDERAZGO

5.1. LIDERAZGO Y COMPROMISO

La Alta Dirección de la Superintendencia Nacional de salud demuestra su

compromiso con el Subsistema de Seguridad de la Información, estableciendo los

objetivos de seguridad de la información en la Entidad, destinando recursos

económicos para el mismo, asignando los roles y responsabilidades en cuanto a

seguridad de la información, promoviendo la mejora continua, entre otras

actividades en las que muestra el apoyo al SSI.

5.2. POLÍTICA

La Entidad adopta la Política del Subsistema de Seguridad de la Información –

ASPO05 mediante la Resolución 1521 de 2014, en donde se reconoce el valor y la

importancia de la información como activo de la organización.

5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA

ORGANIZACIÓN.

La Entidad tiene definidos los siguientes roles en cuanto a Seguridad de la

Información.

COFL02 Página 11 de 16

CIO: Decreto 415 de 2016

Comité de Seguridad de la Información: Resolución 2659 de 2015

Coordinador - Grupo de Administración y Seguridad de la Información:

Resolución 1110 de 2015

6. PLANIFICACIÓN

6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

La Entidad tiene definida la Política de Administración del Riesgo - ASPO07 así

como la Guía metodológica para el Análisis de Riesgos de Seguridad y Privacidad

de la Información- ASGU05 donde se establecen los parámetros para la valoración

y tratamiento de los riesgos de seguridad de la Información de la Entidad.

6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES

PARA LOGRARLOS

COFL02 Página 12 de 16

Los objetivos del Subsistema de Seguridad de la Información están disponibles en

el Plan Gerencial y Despliegue de Objetivos del Subsistema de Seguridad en la

Información -FPFT02 – FPFT03 los cuales están alineados con la Política del

Subsistema de Seguridad de la Información de la Entidad vigente.

7. SOPORTE

7.1. RECURSOS

La Entidad designa cada vigencia los recursos necesarios para el adecuado

funcionamiento del Subsistema de Seguridad de la Información, esto es evidenciado

mediante los recursos asignados al Proyecto de Inversión.

7.2. COMPETENCIA

Las competencias requeridas para los funcionarios de cada dependencia en la

Entidad están establecidas en el Manual de Funciones de la Entidad cada uno de

los cargos de la misma están establecidos en éste documento, así como el nivel de

estudios y experiencia que debe tener.

7.3. TOMA DE CONCIENCIA

Cada vigencia el Grupo de Administración y Seguridad de la Información plantea el

Programa Anual de Capacitaciones en Seguridad, el cual contempla entre otras,

capacitaciones especificas en temas de seguridad de la información a toda la

entidad y campañas de sensibilización; de igual manera el Grupo de Administración

y Seguridad de la Información participa en las charlas de inducción a los nuevos

funcionarios de la Entidad, en la cual se sensibiliza a los funcionarios acerca de los

lineamientos que da el Subsistema de Seguridad de la Información.

COFL02 Página 13 de 16

7.4. COMUNICACIÓN

El Grupo de Administración y Seguridad de la Información ha dispuesto del correo

electrónico seguridad.informacion@supersalud.gov.co para comunicarse desde y

hacia los usuarios del Subsistema de Seguridad de la Información así mismo hace

uso de los procedimientos Comunicación Organizacional Integral - COPD01 y

Publicación de Contenidos en Intranet - COPD02.

7.5. INFORMACIÓN DOCUMENTADA

Toda la información referente documentada del Subsistema de Seguridad de la

Información se ha creado siguiendo el procedimiento dispuesto por el Sistema

Integrado de Gestión Elaboración y control de documentos y registros - ASPD01

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL OPERACIONAL

El Subsistema de Seguridad de la Información plantea el Plan Gerencial y

Despliegue de Objetivos del Subsistema de Seguridad en la Información - FPFT02

– FPFT03 para cada vigencia; en donde se plasma el modo de operación para el

subsistema a fin de cumplir con los objetivos de seguridad de la información en la

entidad.

8.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA

INFORMACIÓN

La Entidad realiza la valoración de riesgo de seguridad de la información de acuerdo

a la periodicidad definida en la Guía metodológica para el análisis de riesgos de

seguridad y privacidad de la información - ASGU05 o cuando ocurran cambios

significativos.

8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA

INFORMACIÓN

COFL02 Página 14 de 16

Los planes de tratamiento de los riesgos de seguridad de la información están

documentados en Riesgos de Seguridad de la Información y plan de tratamiento de

Seguridad de la Información - ASFT22.

9. EVALUACIÓN DEL DESEMPEÑO

9.1. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

El desempeño del Subsistema de Seguridad de la Información se lleva a cabo

mediante el seguimiento a los indicadores de gestión del Sistema Integrado de

acuerdo al procedimiento MEDICIÓN DE LA GESTIÓN INSTITUCIONAL - ASPD02

y los indicadores internos del Grupo de Administración y Seguridad de la

Información.

9.2. AUDITORÍA INTERNA

Las auditorías internas del subsistema de seguridad de la información se realizan

dando cumplimiento al procedimiento Planeación de las Auditorías Integrales de

Gestión y IGPD01 y al procedimiento Ejecución de Auditorias Integrales de Gestión

- IGPD02, de acuerdo a los cronogramas que tiene la Oficina de Control Interno.

9.3. REVISIÓN POR LA DIRECCIÓN

De acuerdo a las disposiciones de la Entidad, ésta revisión periódica se lleva a

cabo dando cumplimiento al procedimiento Revisión por la Dirección - ASPD04.

10. MEJORA

COFL02 Página 15 de 16

10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS El tratamiento de hallazgos del subsistema en cuanto a No Conformidades y Acciones Correctivas se realiza conforme al procedimiento Tratamiento Del Servicio No Conforme Y De No Conformidades - PMPD01.

10.2. MEJORA CONTINUA

De igual manera el Subsistema de Seguridad está en constante mejora conforme a los factores tanto internos como externos que afectan al subsistema.

ANEXO A

El Subsistema de Seguridad de la Información, recopila toda la información de

cumplimiento de la norma en el micrositio del subsistema.

COFL02 Página 16 de 16