TRABAJO COLABORATIVO IRIESGO Y CONTROL INFORMTICO
PRESENTADO POR:ANDRES MAURICIO GOMEZCODIGO: 80204254
GRUPO: 15
PRESENTADO A:SIERRA RODRIGUEZ MANUEL ANTONIO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESPECIALIZACIN EN
SEGURIDAD INFORMTICABOGOT2015
TABLA DE CONTENIDO
INTRODUCCION3OBJETIVOS4GENERAL4EXPECFICOS4DESARROLLO
TRABAJO51.ANLISIS DE LA ORGANIZACIN.5
INTRODUCCION
Para realizar el trabajo colaborativo 1, se cuenta con la
colaboracin del Hospital Centro Oriente II Nivel, que nos permite
analizar las vulnerabilidades y riesgos informticos de sus sistemas
informticos, siguiendo los lineamientos del director del curso.
Esto nos permitir verificar la eficacia de las polticas y normas
de seguridad implementadas en el Hospital la cual tiene una
historia desde el 2000 y ha crecido en forma en sus programas
acadmicos y cada vez han implementado nuevos procesos para ponerse
a la vanguardia tecnolgica, en la ejecucin de stos procesos no se
puede dejar a un lado la seguridad, con el anlisis y estudio
permitir verificar estos niveles de seguridad.
OBJETIVOS
GENERAL
Realizar una evaluacin general de seguridad informtica dentro
del Hospital Centro Oriente II Nivel, identificando,
vulnerabilidades y posibles ataques dentro de los servicios
ofrecidos por la entidad.
ESPECFICOS
1. Mejorar las prcticas de manejo de los recursos tecnolgicos de
manera que permita sensibilizar, no slo al personal del rea de
sistemas, sino a toda la organizacin en cuanto a la necesidad de
contar con mecanismos y estrategias que apoyen el aseguramiento la
informacin.2.Detectar vulnerabilidades, riesgos y amenazas
presentes en los sistemas de informacin presentes en el Hospital
Centro Oriente II Nivel.
DESARROLLO TRABAJO 1. ANLISIS DE LA ORGANIZACIN.
PRESENTACIN:
El Hospital Centro Oriente es un hospital de segundo nivel de
complejidad y como tal en su objeto misional cuenta con un servicio
de ciruga general y ortopdica 24 horas del da, los 365 das del ao
cumpliendo con la normatividad legal vigente en lo que hace
referencia en la oportunidad, accesibilidad, seguridad y
complementariedad que demande la poblacin de la localidad de Santa
Fe, Mrtires y Candelaria para lo cual es pertinente contar con la
Unidad Transfusional propia y a disposicin durante las 24
horas.
MisinSomos una empresa social del estado prestadora de servicios
de salud de primer y segundo nivel de complejidad, integrante de la
red Hospitalaria Centro Oriente Del Distrito Capital, reconocida
por sus servicios humanizados e integrales que aportan a la solucin
de las necesidades de la poblacin asignada y contribuyen al
mejoramiento de los determinantes sociales en salud, apoyada en un
recurso humano idneo y comprometido en lo social, procesos y
tecnologa de punta que viene generando legitimidad y
corresponsabilidad en nuestros usuarios tanto internos como
externos.
VisinEn el 2016 El Hospital Centro Oriente ser reconocido por su
alto grado de compromiso social en la prestacin de servicios de
salud, generador de respuestas integrales a las necesidades
sociales y experiencia en el abordaje amigable y diferencial de las
poblaciones especiales del distrito capital, generador de
conocimiento e investigacin con niveles superiores de calidad y
respetuoso del medio ambiente
ORGANIGRAMA
HISTORIA
El Hospital Centro Oriente II Nivel - Empresa Social del Estado,
nace jurdicamente el da 6 de octubre, a raz de la fusin de los
Hospitales Empresas Sociales del Estado Guavio II Nivel, Samper
Mendoza I Nivel, Perseverancia I Nivel y Unidad Bsica de Atencin la
Candelaria I Nivel, a travs del Acuerdo No. 11 del 11 de Julio de
2000, del Concejo de Bogot. La imperiosa necesidad de reorganizar
la prestacin de los servicios de salud dentro del Distrito Capital,
bajo unos principios bsicos de competencia leal, complementariedad,
eficiencia en el manejo y uso de recursos humanos, fsicos y
financieros, dieron lugar al proceso de fusin de los hospitales de
Bogot. El fin ltimo de dicho ejercicio era el de generar principios
bsicos de viabilidad financiera y tcnica a las instituciones
pblicas de salud, dentro del marco de la prestacin de los servicios
en el Sistema General de Seguridad Social en Salud. La toma de
decisin frente a la fusin de una parte de los Hospitales que
componan la red de Centro Oriente, estuvo argumentada por estudios
tcnicos y administrativos, sobre el comportamiento de la oferta y
la demanda, el mercado de los prestadores en la red, la
productividad, produccin y rendimientos de cada una de las
instituciones fusionadas. El soporte brindado por la Secretara
Distrital de Salud y el Servicio Civil Distrital fueron el
apalancamiento tcnico para la definicin final
PRINCIPIOS RECTORES
Legitimidad: Entendida como el ejercicio del poder que es
percibido como ajustado y por tanto obedecido sin necesidad de
coaccin. En ese sentido se pretende que la existencia de la ESE
Centro Oriente se justifique no en funcin exclusivamente de su
origen legal, si no en funcin de la misin que desempea.
Humanizacin: Hace referencia a que la atencin de los usuarios debe
realizarse en el contexto de la tica y los valores, de este modo se
pretende atender al paciente y suplir sus necesidades a nivel
fsico, emocional, intelectual y social.
Corresponsabilidad: Entendida como la responsabilidad compartida
que deben tener usuarios, comunidad y colaboradores en el
cumplimiento de la misin que se ha propuesto la ESE Centro
Oriente.
PRINCIPIOS CORPORATIVOS Participacin SocialTrasparenciaEmpata
SocialComunicacin SinrgicaTrabajo en EquipoAutocontrol
VALORES CORPORATIVOSCompromisoRespetoToleranciaPuntualidad
OBJETIVOS ESTRATEGICOS
Lograr la sostenibilidad financiera del hospital centro oriente
Implementar el sistema integrado de gestin de calidad
Garantizar la legitimidad del hospital a travs del cumplimiento
de su objeto social y el fortalecimiento de la participacin
comunitaria
Implementar un proceso institucional de gestin del conocimiento
y memoria institucional
Generar respuestas en salud acordes a las necesidades sociales
de la comunidad
POLTICAS INFORMTICAS
La Directiva del hospital Centro Oriente en el acuerdo 005 de
2005 define las Polticas Generales de Tecnologas de Informacin y
Comunicaciones aplicables a las entidades del Distrito Capital, las
cuales se resumen en:
Planeacin de Informtica Estandarizacin Seguridad y Control
Democratizacin de la Informacin Marco Legal Calidad Racionalizacin
del Gasto Cultura Informtica y Seguridad de Sistemas
La Resolucin No. 029 del 4 de Febrero de 2008 del Hospital
Centro Oriente E.S.E. establece las polticas para el manejo y uso
del software y hardware en el Hospital Centro Oriente II Nivel
E.S.E.
ALCANCE DEL SISTEMA DE INFORMACIN.
El Sistema de Informacin consolida y procesa la informacin
relativa a los aspectos administrativos y misionales, contratacin,
provisin de empleos, planeacin, ejecucin contractual, proyectos,
anteproyectos de presupuesto, presupuestos consolidados,
presupuestos por resultados, planes de accin, indicadores de gestin
y evaluacin del cumplimiento de las metas. El contenido del sistema
se ampliar de acuerdo con los requerimientos presentados por la
ciudadana y las necesidades detectadas por el rea de Sistemas.
ESTRUCTURA ORGANIZACIONAL DE LA DEPENDENCIA DE SISTEMAS DEL
HOSPITAL CENTRO ORIENTE II NIVEL E.S.E.
SITUACION ACTUALDOTACIN DEL CENTRO DE CMPUTO
ITEM DESCRIPCION
1Aire Acondicionado
1Rac de Comunicaciones
1Servidores en RACK
1Servidor AIX PSeries
2Servidor IBM, HP ITANIUM
1Piso Falso
1Techo Falso
2Switchs
APLICATIVOS Y SISTEMAS
Nombre aplicativoFuncin
HipcratesSistema de Informacin administrativo Institucional
RED DE COMUNICACIONES
Cantidad Descripcin
11Antenas de Comunicacin
11Radios de Comunicacin ALVARION
1Radio Base
Diagrama de Conectividad.
DESARROLLO, SOPORTE Y MANTENIMIENTO
NRO. DESCRIPCION DE CONCEPTOS
1No contamos con desarrollo de aplicaciones.
2Contamos con tcnicos de soporte y mantenimiento.
PRINCIPALES PROVEEDORES
Proveedor Servicio(s) que presta
ServirteSoporte y mantenimiento al sistema de informacin
institucional
ETBProveedor de Comunicaciones
GlobaltekSoporte del sistema de seguridad Perimetral
SDT IngenieraSoporte y Mantenimiento de la red del Hospital,
antenas, cableado y UPS.
INFRAESTRUCTURA DE SEGURIDAD
NRO. DESCRIPCION DE CONCEPTOS
1Appliance Marca Astaro (manejo de la seguridad perimetral).
2Antivirus Corporativo Trend Micro
PLANES DE CONTINGENCIA
PLANES DE CONTINGENCIA TICS
Se cuenta con plan de contingencia para restaurar el servidor en
caso de fallas con otro servidor y se cuenta con polticas de backup
de informacin semanales.
PLANES DE CONTINGENCIA - OPERATIVOS
Se est trabajando con las diferentes reas sobre la consolidacin
y documentacin del plan de contingencia.
A la fecha, el Hospital Centro Oriente II Nivel cuenta con los
siguientes procesos para la administracin de las Tecnologas de
Informacin y Comunicaciones
Nro Descripcin del activo
1Administracin del Sistema Operativo de los servidores del
Hospital
2Administracin del motor de la Base de datos del hospital
3Instalacin de las bases de datos de los contratos que posee el
Hospital
4Administracin de la seguridad Perimetral del Hospital
5Administracin de recursos de red
6Administracin y mantenimiento de los centros de cableado
7Desarrollo e Instalacin de programas
8Optimizacin del sistema operativo
9Limpieza Fsica del Equipo
10Instalacin de programas
ActivoTIPOVULNERABILIDAD AMENAZA
Aplicacin webAplicacin (Software)Versin de apache
desactualizadaAtaque de denegacin de servicio
Aplicacin webAplicacin (Software)Campos de aplicacin no
validadosAtaques de Cross site scripting
Base de datosDatos / InformacinPermisos no segregadosModificacin
de informacin sensible
Concentrador VPNEquipos InformticosDesactualizacin de
OpenSSLAcceso a porcin de memoria del dispositivo
CorreoDatos / InformacinServidor expuesto a internet sin anti
spamAtaque de SPAM
DatacenterEquipos InformticosPuerta sin control de accesoAcceso
no autorizado
Equipos clienteEquipos InformticosEquipos si antivirus o con
firmas desactualizadasPropagacin de infeccin en la red
Equipos clienteEquipos InformticosSoftware de acceso remoto en
los equipos clienteIngreso no protegido ni autorizado a la red
corporativa
Equipos porttilesEquipos InformticosEquipos sin cifradoRobo de
informacin sensible
FirewallRedesUso de protocolos de conexin no seguros, no
restriccin de interfacesAcceso y manipulacin de la configuracin
Herramienta atencin clientes externosAplicacin
(Software)Aplicacin expuesta a internetAtaques SQL injection
MvilesEquipos InformticosEquipo sin claveRobo de informacin
sensible
RedRedesRed no segmentadaAcceso directo de estaciones cliente a
servidores sin restriccin de puertos
RedRedesAutenticacin de un solo factorRobo de identidad, acceso
no autorizado a la red corporativa
ServidoresEquipos InformticosNo se hace backup regularmente de
los servidores crticosPerdida de informacin en caso de dao de un
servidor
Conclusiones
Es imprescindible para todos los usuarios que utilizan
herramientas informticas, tener conocimientos sobre las amenazas
actuales y las vulnerabilidades a los que podra enfrentarse en el
caso de que sufra algn ataque, ya sea, intencional, involuntario o
a causa de la naturaleza, siempre se debe estar preparado con un
plan estratgico, en el caso de que se produzca algn dao poderlo
solucionar de forma adecuada, para que no hayan repercusiones de
ningn tipo y nuestra informacin permanezca ntegra, confiable y
disponible en el momento en el que se le necesite.12