POLITICA DE LA SEGURIDAD DE LA INFORMACIÓN

OBJETIVO

Establecer los lineamientos respecto a la disponibilidad, integridad y confidencialidad, de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizada, daño o pérdida u otros factores disfuncionales, igualmente el uso adecuado y responsable de todos los recursos informáticos 

ALCANCE

Aplica para todos los trabajadores y estudiantes en práctica formativa sin importar la modalidad de contratación, que estén involucrados con el manejo de información y presten sus servicios o tengan algún tipo de relación con la Clínica Cristo Rey. 

DEFINICIONES

Activo: Conjunto de bienes y derechos tangibles e intangibles de propiedad de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios, en el ambiente informático llámese activo a los bienes de información y procesamiento, que posee la institución. Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. 

Administración Remota: Forma de administrar (manejar o controlar) equipos informáticos o servicios físicamente separados. 

Amenaza: Evento que puede desencadenar un incidente en la institución, produciendo daños materiales o pérdidas inmateriales en sus activos. Antivirus: Son una herramienta simple cuyo objetivo es detectar y eliminar virus informáticos. 

Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema 

Información: Comunicación o representación de conocimiento a partir de datos, en cualquier forma con inclusión de formas textuales, numéricas y gráficas, en cualquier medio ya sea físico o magnético.  

Sistema de información: Conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento y transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales. 

Custodia documental:Acción de vigilar o cuidar la información tanto física como magnética. 

Backup: Duplicado de los datos que se hace para poder recuperarlos ante cualquier pérdida o incidente. 

Habeas Data:Garantía constitucional que protege a las personas contra el uso abusivo de información personal, sobre todo cuando esta ha sido obtenida de forma ilícita o fraudulenta. 

Clasificación según riesgo: Según el criterio de riesgos implícitos en su uso, del Decreto 4725 de 2005, la tecnología se clasifica de la siguiente manera: 

  • Equipos de muy alto riesgo: Clase III 
  • Equipos de alto riesgo: Clase IIB 
  • Equipos de riesgo medio: Clase IIA 
  • Equipos de riesgo bajo: Clase I 

Gestión de la tecnología: Todas aquellas actividades que capaciten a una organización para ser mejor uso de la ciencia y la tecnología generada tanto de forma interna como externa. Este conocimiento conduce hacia una mejora de sus capacidades de innovación que promueva la eficacia y la eficiencia. 

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN 

Confidencialidad: Garantizar que la información sea accesible a las personas autorizadas. 

Integridad: Salvaguardar la exactitud y totalidad de la información y los métodos de procedimiento. 

Disponibilidad: Garantizar el acceso y los recursos toda vez que lo requieran a los usuarios autorizados. 

Autenticidad: Asegurar la validez de la información en tiempo, forma y distribución, certificando el origen de la información, validando el emisor para evitar suplantación. 

Auditabilidad: Define que todos los procesos de un sistema deben de ser registrados para su posterior control. 

Legalidad: Cumplimiento de las leyes, normas y reglamentaciones a las que esté sujeto el organismo. 

RESPONSABLES
  • Coordinador Gestión TIC. 
  • Gestión Documental 
NORMATIVIDAD VIGENTE

CIRCULAR 001 DEL 31 DE MARZO DE 2020: Lineamientos para la administración de expedientes y comunicaciones oficiales. 

DECRETO 1287 DE SEPTIEMBRE 24 DE 2020: Por el cual se reglamenta el Decreto Legislativo 491 de 28 de marzo de 2020, en lo relacionado con la seguridad de los documentos firmados durante el trabajo en casa, en el marco de la Emergencia Sanitaria. 

DECRETO 491 DE MARZO 28 DE 2020: Por el cual se adoptan medidas de urgencia para garantizar la atención y la prestación de los servicios por parte de las autoridades y los particulares que cumplan funciones públicas y se toman medidas para la protección laboral y de los contratistas de prestación de servicios de las entidades públicas, en el marco del Estado de Emergencia Económica, Social y Ecológica. 

ACUERDO 004 DEL 30 DE ABRIL DE 2019: Por el cual se reglamenta el procedimiento para la elaboración, aprobación, evaluación y convalidación, implementación, publicación e inscripción en el Registro único de Series Documentales – RUSD de las Tablas de Retención Documental – TRD y Tablas de Valoración Documental – TVD. 

DECRETO 1499 DEL 11 DE SEPTIEMBRE DE 2017: Modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015. 

LEY 1755 DEL 30 DE JUNIO DE 2015 ARTÍCULO 1 Y 2: Regula el derecho fundamental de petición y se sustituye un título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo. 

DECRETO 1081 DEL 26 DE MAYO DE 2015: Compilan las normas expedidas por el Gobierno Nacional en virtud de la potestad reglamentaria, referidas a la transparencia y el derecho de acceso a la información pública nacional. 

DECRETO 1080 DEL 26 DE MAYO DE 2015: Compila las normas expedidas por el Gobierno Nacional en virtud de la potestad reglamentaria, referidas a sistema nacional de archivos, transferencias secundarias y disposiciones finales en materia archivística. 

CIRCULAR EXTERNA 003 DE FEBRERO 27 DE 2015: Directrices para la elaboración de Tablas de Retención Documental. 

ACUERDO 003 DE 17 DE FEBRERO DE 2015: Se determinan lineamientos generales para las entidades del Estado en cuanto a la gestión de documentos electrónicos generados como resultado del uso de medios electrónicos de conformidad con lo establecido en el Capítulo IV de la Ley 1437 de 2011, se reglamenta el artículo 21 de la Ley 594 de 2000 y el Capítulo IV del Decreto 2609 de 2012. 

LEY 1712 DEL 6 MARZO DE 2014: Crea la Ley de Transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones. El objeto de la ley es regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información. 

ACUERDO 007 DEL 15 DE OCTUBRE DE 2014: Desarrolla artículos de la Ley 594 de 2000 relacionados con la creación, organización, preservación y control de los archivos, teniendo en cuenta los principios de procedencia y orden original, el ciclo vital de los documentos y la normatividad archivística. 

ACUERDO 006 DEL 15 DE OCTUBRE DE 2014: Desarrolla los artículos 46, 47 y 48 del Título XI «Conservación de Documentos» de la Ley 594 de 2000. 

DECRETO 1515 DEL 19 DE JULIO DE 2013: Reglamenta la Ley 80 de 1989 en lo concerniente a las transferencias secundarias y de documentos de valor histórico al Archivo General de la Nación, a los archivos generales de los entes territoriales, se derogan los decretos 1382 de 1995, 998 de 1997 y se dictan otras disposiciones. 

DECRETO 1377 DEL 27 DE JUNIO DE 2013: Reglamenta parcialmente la Ley 1581 de 2012, en cuanto al tratamiento de datos en el ámbito personal o doméstico, la recolección de datos personales, las políticas de tratamiento de la información, la responsabilidad demostrada en el manejo de la información, entre otros aspectos. 

ACUERDO 05 DE MARZO 15 DE 2013: Establece los criterios básicos paro la clasificación, ordenación y descripción de los archivos en las entidades públicas y privadas que cumplen funciones públicas y se dictan otras disposiciones. 

ACUERDO 4 DE 15 DE MARZO DE 2013: Reglamenta parcialmente los Decretos 2578 y 2609 de 2012 y modifica el procedimiento para la elaboración, presentación, evaluación, aprobación e implementación de las Tablas de Retención Documental y las Tablas de Valoración Documental. 

LEY 1581 DEL 17 DE OCTUBRE DE 2012: Dictan disposiciones generales para la protección de datos personales. 

LEY 1564 DE JULIO 12 DE 2012: Las disposiciones del Código de Procedimiento Civil señalan las distintas clases de documentos. Son documentos los escritos, impresos, planos, dibujos, cuadros, fotografías, cintas cinematográficas, discos, grabaciones magnetofónicas, radiografías, talones, contraseñas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga carácter representativo o declarativo, y las inscripciones en lápidas, monumentos, edificios o similares; también define documento auténtico, documentos, rotos o alterados y alcance probatorio. 

LEY 1437 DEL 18 DE ENERO DE 2011: Expide el nuevo Código de Procedimiento Administrativo y de lo Contencioso Administrativo aplicable a las actuaciones administrativas que adelanten los órganos y dependencias de las ramas del Poder Público en todos los órdenes, a partir del 2 de julio de 2012. Artículo 24. Informaciones y documentos reservados. 

ACUERDO 42 DEL 31 DE OCTUBRE DE 2002: Establece criterios para la organización de los archivos de gestión en las entidades públicas y las privadas que cumplen funciones públicas, se regula el Inventario Único Documental y se desarrollan los artículos 21, 22, 23 y 26 de la Ley General de Archivos. 

ACUERDO 38 DEL 20 DE SEPTIEMBRE DE 2002: Desarrolla el artículo 15 de la Ley General de Archivos 594 de 2000 – Responsabilidad del servidor público frente a los documentos y archivos. 

LEY 527 DE AGOSTO 19 DE 1999: Se define y reglamenta el acceso y uso de mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. 

DESARROLLO DE LA POLÍTICA

6.1 JUSTIFICACIÓN DE LA POLÍTICA: 

Con el fin de garantizar la seguridad de la información manipulada dentro y fuera de la institución; la Clínica Cristo Rey se compromete a la implementación del  Sistema de Gestión de la información, que brinde la orientación estratégica y permita la adquisición, instalación, uso de equipos y recursos tecnológicos y físicos necesarios para salvaguardar la totalidad de la información tanto de los pacientes como de la administración de la clínica, cumpliendo con los estándares de calidad y con la normatividad legal vigente. 

6.2 ORIENTACIÓN ESTRATÉGICA:  

Esta política aplica para todos los objetivos estratégicos de la clínica. 

6.3 POLÍTICA:  

La Clínica Cristo Rey, estamos comprometidos con la seguridad de la información por medio de identificación de necesidades custodiando la seguridad de la información digital y física, ofreciendo un sistema de información oportuno, confiable, y disponible por medio de mantenimientos y renovación tecnológica garantizando la continuidad de nuestros procesos. 

6.3.1 Políticas de seguridad de equipos 

 Los equipos son la parte fundamental para el almacenamiento y gestión de la información. La función del área de gestión TIC´S es velar que los equipos funcionen adecuadamente y establecer medidas preventivas y correctivas en caso de robo, incendio, desastres naturales, fallas eléctricas y cualquier otro factor que atente contra la infraestructura informática. Comprende las siguientes condiciones: 

  1. Todo equipo de cómputo, periférico o accesorio que esté o sea conectado a la Red de la Clínica Cristo Rey, sea propiedad o no de la institución debe de sujetarse a las normas y procedimientos de instalación establecidos por el área de TIC´S, de lo contrario no le será permitido conectar su equipo o dispositivo. Para los equipos que no sean propios de la Clínica Cristo Rey, se debe diligenciar un formato donde su propietario asuma la total responsabilidad sobre su equipo mientras esté conectado a la red eléctrica y de datos de la institución, ya que esta no se hace responsable de daños físicos o lógicos que puedan sufrir los equipos o periféricos de terceros.
  1. Gestión TIC´S tendrá registro de todos los equipos que son propiedad de la Clínica Cristo Rey, Si se requiere hacer un traslado de computador, periférico o accesorio, debe contar con el consentimiento del área Propiedad Planta y Equipo.
  1. Cualquier equipo, periférico o accesorio de propiedad de la Clínica Cristo Rey que necesite ser retirado de la Institución tendrá que autorizarlo la Gestión TIC´S y Propiedad Planta y Equipo y Gerencia.
  1. Todo equipo de la Institución, debe estar ubicado en un área que cumpla con los requerimientos de: seguridad física, condiciones ambientales adecuadas, seguridad y estabilidad en la parte eléctrica, garantías que deben proporcionarse en conjunto con el área de mantenimiento de la Clínica Cristo Rey.
  1. Todo equipo de cómputo perteneciente a la Clínica Cristo Rey, deberá contar con un dispositivo de protección eléctrica, ya sea estabilizador de corriente o UPS, que resguarde al equipo ante un cambio brusco en la corriente eléctrica de la entidad o del sector donde se ubica.

Por lo anterior: 

  • Todo equipo de cómputo propiedad de la institución, y que no cuente con alguno de estos dispositivos de protección, no puede ponerse en funcionamiento. Si el colaborador conectara el equipo, será el directo responsable de los daños que puedan ocurrirle a este.
  • En caso de que se necesite poner en funcionamiento un equipo que no tenga UPS o estabilizador, podrá hacerse de manera temporal y con el acompañamiento de un colaborador del área de Gestión TIC´S.
  1. Los usuarios responsables de los equipos en cada dependencia deberán dar cumplimiento con las normas y estándares de instalación con las que fue entregado el equipo, y deberán pedir aprobación de actualización o instalación de cualquier software, reubicación del equipo, reasignación, y todo aquello que implique cambios respecto a su instalación, asignación, función y misión original. Los equipos de cómputo no deben moverse o reubicarse sin la aprobación previa del área de Gestión TIC´S, que evaluará la viabilidad de dicho cambio.
  1. La protección física y la limpieza externa de los equipos corresponde al colaborador de sistema al que se le asigne la tarea, y la custodia y cuidado en el sitio de trabajo le corresponde al colaborador que lo manipula y quién debe notificar las eventualidades, tales como daños, pérdidas y demás en el menor tiempo posible al área de Gestión TIC´S. Está totalmente prohibido el consumo o ubicación de alimentos cerca de los equipos e impresoras, así como pegar distintivos, calcomanías y demás. En caso de que ocurra un incidente producido por el derrame de algún tipo de alimentos sobre un equipo, periférico o accesorio, este debe apagarse y desconectarse de inmediato e informar oportunamente al área de Gestión TIC´S quien hará el mantenimiento necesario e informará a quien corresponda para que se tomen las medidas correctivas necesarias.
  1. No se permite el uso de dispositivos de almacenamiento extraíble tales como memorias USB, CD o DVD, nuevas tecnologías en los equipos de la Clínica Cristo Rey, salvo en aquellos casos en donde por fuerza mayor se requiera y previamente evaluado y aprobado por el área de Gestión TIC´S. Para garantizar lo anterior, el área de Gestión TIC´S bloquea los puertos USB (solamente para el uso de memorias), y las unidades de CD/DVD, si algún usuario necesita que ese bloqueo sea levantado, deberá solicitarlo al área de Gestión TIC´S, que a su vez hará llegar la solicitud a la Gerencia para su evaluación y decisión. Esta medida aplica para colaboradores y contratistas que prestan los servicios en la Institución y que de una u otra manera tengan acceso a los equipos de la Clínica.
  1. Toda instalación de equipo, mantenimiento o proceso de soporte técnico a nivel de hardware, sin importar su nivel de complejidad, debe ser única y exclusivamente realizado por personal del área de Gestión TIC´S. Bajo ningún concepto se autoriza que personal ajeno al área de Gestión TIC´S manipule los equipos de la Clínica Cristo Rey.
  1. Los equipos de cómputo de la Clínica Cristo Rey no deben ser alterados ni mejorados (cambios de procesador, adición de memoria o tarjetas) bajo ninguna causa. Está totalmente prohibido a los usuarios destapar o desarmar los equipos o impresoras bajo cualquier motivo, sin exclusión. El único personal autorizado para esta labor es el área de Gestión TIC´S. De detectarse que se está presentando esta conducta se informará y se tomarán las medidas correctivas necesarias.
  1. Los analistas del área de Gestión TIC´S son los únicos autorizados para manejar, mantener y velar por la integridad y seguridad de los servidores centrales de la institución, a su vez de mantener las claves de estos.
  1. Los equipos propiedad de la clínica deben usarse solamente para las actividades propias de la institución, por lo tanto, los usuarios no deben usarlos para asuntos personales.
  1. La adquisición de nueva infraestructura de procesamiento de la información (hardware, software, aplicaciones e instalaciones físicas) o la actualización de la existente, deberá ser autorizada por el área de Gestión TIC´S y el jefe del área afectada.
  1. Todo equipo que sea asignado a un colaborador o contratista, deberá ser entregado al terminar el contrato a la coordinación de propiedad planta y el equipo deberá ser revisado por el área de gestión TIC, todo el funcionamiento del mismo.
  1. Todo equipo de cómputo que esté asignado a áreas asistenciales y requiera ser retirado del servicio para mantenimiento, reparación, reubicación o reemplazo, debe previamente pasar por un proceso de desinfección en sitio, con el fin de prevenir posible contaminación.

6.4 LÍNEAS DE ACCIÓN:  

6.4.1 Riesgos Informáticos 

La ISO 27001 (Organización Internacional de Estandarización) define el riesgo informático como: “La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generando así pérdidas o daños.” 

En una entidad, los riesgos informáticos, son latentes día a día y pueden afectar gravemente la seguridad y la estabilidad de los sistemas de información, estos pueden presentarse en diversas áreas como lo ilustra la siguiente tabla. 

 

Origen Tecnológico: 

Cuando la infraestructura informática o los mecanismos de protección de la institución fallan.  Ej. Caída inesperada de alguno de los servidores, cambios bruscos en el fluido  eléctrico de la institución 

Origen Humano:  Cuando los usuarios cometen errores (voluntarios o no) al utilizar los recursos informáticos de la institución.  Errores en el diligenciamiento de información por parte de los usuarios de la red de la institución, mal manejo de los equipos, pueden causar serias inconsistencias en el sistema. 

Lorem fistrum por la gloria de mi madre esse jarl aliqua llevame al sircoo. De la pradera ullamco qué dise usteer está la cosa muy malar.

Los problemas de seguridad en sistemas basados en redes son generados principalmente por los empleados de la organización, estos se pueden tipificar en tres grandes grupos: 

  • Problemas por ignorancia
  • Problemas por ociosidad
  • Problemas por malicia

Entre estas razones, la ignorancia es la más fácil de manejar. Desarrollando tácticas de entrenamiento, capacitación y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan controles, que les recuerden cosas que ellos deberían conocer. 

La ociosidad será siempre un riesgo latente, pero se encuentra que éste es un problema menor cuando los usuarios “chocan” con los límites que ponen los sistemas de seguridad. 

La malicia, se debe combatir creando una cultura en la organización que aliente la lealtad de los empleados. 

6.4.2 Responsabilidades de la oficina de Sistemas de Información 

  • Ser el eje para todos los procesos de seguridad y ser capaz de guiar y aconsejar a los usuarios de la institución sobre cómo desarrollar procedimientos para la protección de los recursos. 
  • Desarrollar procedimientos de seguridad detallados que fortalezcan la política de seguridad informática institucional. 
  • Promover la creación y actualización de las políticas de seguridad informática, debido al comportamiento cambiante de la tecnología que trae consigo nuevos riesgos y amenazas. 
  • Atender y responder inmediatamente las notificaciones de sospecha de un incidente de seguridad o de incidentes reales. 
  • Elaborar un Plan de Contingencia, con la finalidad de dar una respuesta rápida, que sirva para la investigación de la eventualidad ocurrida y para la corrección del proceso mismo. 
  • Establecer vínculos con otras oficinas de sistemas de otras empresas, capacitarse y actualizarse en temas de seguridad con el objetivo de ampliar sus conocimientos y aplicar soluciones a problemas de seguridad del entorno institucional. 

Políticas de seguridad de equipos 

Los equipos son la parte fundamental para el almacenamiento y gestión de la información. La función de la Oficina de TIC´S es velar que los equipos funcionen adecuadamente y establecer medidas preventivas y correctivas en caso de robo, incendio, desastres naturales, fallas eléctricas y cualquier otro factor que atente contra la infraestructura informática. Comprende las siguientes políticas: 

  1. Todo equipo de cómputo, periférico o accesorio que esté o sea conectado a la Red de la Clínica Cristo Rey, sea propiedad o no de la institución debe de sujetarse a las normas y procedimientos de instalación establecidos por la oficina de TIC´S, de lo contrario no le será permitido conectar su equipo o dispositivo. Para los equipos que no sean propios de la Clínica Cristo Rey, se debe diligenciar un formato donde su propietario asuma la total responsabilidad sobre su equipo mientras esté conectado a la red eléctrica y de datos de la institución, ya que esta no se hace responsable de daños físicos o lógicos que puedan sufrir los equipos o periféricos de terceros. 
  2. Gestión TIC´S tendrá registro de todos los equipos que son propiedad de la Clínica Cristo Rey, Si se requiere hacer un traslado de computador, periférico o accesorio, debe contar con el consentimiento de la oficina Propiedad Planta y Equipo. 
  3. Cualquier equipo, periférico o accesorio de propiedad de la Clínica Cristo Rey que necesite ser retirado de la Institución tendrá que autorizarlo la Gestión TIC´S y Propiedad Planta y Equipo. 
  4. Todo equipo de la Institución debe estar ubicado en un área que cumpla con los requerimientos de: seguridad física, condiciones ambientales adecuadas, seguridad y estabilidad en la parte eléctrica, garantías que deben proporcionarse en conjunto con el área de mantenimiento de la Clínica Cristo Rey. 
  5. Todo equipo o periférico perteneciente a la red de la Clínica Cristo Rey, deberá contar con un dispositivo de protección eléctrica, ya sea estabilizador de corriente o UPS, que resguarde al equipo ante un cambio brusco en la corriente eléctrica de la entidad o del sector donde se ubica. Por lo anterior: 
  6. Todo equipo propiedad de la institución, y que no cuente con alguno de estos dispositivos de protección, no puede ponerse en funcionamiento. Si el colaborador conectara el equipo, será el directo responsable de los daños que puedan ocurrirle a este. 
  7. En caso de que se necesite poner en funcionamiento un equipo que no tenga UPS o estabilizador, podrá hacerse de manera temporal y con el acompañamiento de un colaborador de la oficina de Gestión TIC´S. 
  8. Los usuarios responsables de los equipos en cada dependencia deberán dar cumplimiento con las normas y estándares de instalación con las que fue entregado el equipo, y deberán pedir aprobación de actualización o instalación de cualquier software, reubicación del equipo, reasignación, y todo aquello que implique cambios respecto a su instalación, asignación, función y misión original. Los equipos de cómputo no deben moverse o reubicarse sin la aprobación previa de la oficina de Gestión TIC´S, que evaluará la viabilidad de dicho cambio. 
  9. La protección física y la limpieza externa de los equipos corresponde al colaborador de sistema al que se le asigne la tarea, y la custodia y cuidado en el sitio de trabajo le corresponde al colaborador que lo manipula y quién debe notificar las eventualidades, tales como daños, pérdidas y demás en el menor tiempo posible a la oficina de Gestión TIC´S. Está totalmente prohibido el consumo o ubicación de alimentos cerca de los equipos e impresoras, así como pegar distintivos, calcomanías y demás. En caso de que ocurra un incidente producido por el derrame de algún tipo de alimentos sobre un equipo, periférico o accesorio, este debe apagarse y desconectarse de inmediato e informar oportunamente a la oficina de Gestión TIC´S quien hará el mantenimiento necesario e informará a quien corresponda para que se tomen las medidas correctivas necesarias. 
  10. No se permite el uso de dispositivos de almacenamiento extraíble tales como memorias USB, CD o DVD, nuevas tecnologías en los equipos de la Clínica Cristo Rey, salvo en aquellos casos en donde por fuerza mayor se requiera y previamente evaluado y aprobado por la oficina de Gestión TIC´S. Para garantizar lo anterior, la oficina de Gestión TIC´S bloquea los puertos USB (solamente para el uso de memorias), y las unidades de CD/DVD, si algún usuario necesita que ese bloqueo sea levantado, deberá solicitarlo a la oficina de Gestión TIC´S, que a su vez hará llegar la solicitud a la Gerencia para su evaluación y decisión. Esta medida aplica para colaboradores y contratistas que laboren en la Institución y que de una u otra manera tengan acceso a los equipos de la Clínica. 
  11. Toda instalación de equipo, mantenimiento o proceso de soporte técnico a nivel de hardware, sin importar su nivel de complejidad, debe ser única y exclusivamente realizado por personal de la oficina de Gestión TIC´S. Bajo ningún concepto se autoriza que personal ajeno a la oficina de Gestión TIC´S manipule los equipos de la Clínica Cristo Rey. 
  12. Los equipos de cómputo de la Clínica Cristo Rey no deben ser alterados ni mejorados (cambios de procesador, adición de memoria o tarjetas) bajo ninguna causa. Está totalmente prohibido a los usuarios destapar o desarmar los equipos o impresoras bajo cualquier motivo, sin exclusión. El único personal autorizado para esta labor es el de la oficina de Gestión TIC ́S. De detectarse que se está presentando esta conducta se informará y se tomarán las medidas correctivas necesarias. 
  13. Los colaboradores de La oficina de Gestión TIC´S son los únicos autorizados para manejar, mantener y velar por la integridad y seguridad de los servidores centrales de la institución, a su vez de mantener las claves de estos. 
  14. Los equipos propiedad del Hospital deben usarse solamente para las actividades propias de la Clínica Cristo Rey, por lo tanto, los usuarios no deben usarlos para asuntos personales. 
  15. La adquisición de nueva infraestructura de procesamiento de la información (hardware, software, aplicaciones e instalaciones físicas) o la actualización de la existente, deberá ser autorizada por la Oficina de Gestión TIC´S y el jefe de la oficina afectada. 
  16. Todo equipo que sea asignado a un colaborador o contratista deberá ser entregado al responsable de este, en las mismas condiciones en que lo recibió, como parte de las actividades definidas en la terminación del contrato o cambio de cargo. 
  17. Todo equipo de cómputo que esté asignado a áreas asistenciales y requiera ser retirado del servicio para mantenimiento, reparación, reubicación o reemplazo, debe previamente pasar por un proceso de desinfección en sitio, con el fin de prevenir posible contaminación. 

6.4.3 Políticas de seguridad de usuarios 

Los usuarios son las personas que utilizan la estructura tecnológica de la Institución, ya sean equipos, recursos de red o gestión de la información. Gestión TIC´S establece normas que buscan reducir los riesgos a la información o infraestructura informática. Estas normas incluyen restricciones, autorizaciones, denegaciones, perfiles de usuario, protocolos y todo lo necesario que permita un buen nivel de seguridad informática. 

Todos los colaboradores y contratistas de la Clínica Cristo Rey deberán cumplir con estos requerimientos de seguridad de la Información. Igualmente, durante el proceso de vinculación deberán recibir inducción sobre lo establecido en este Documento y sobre la responsabilidad del cumplimiento de las políticas, procedimientos y estándares definidos por la Clínica. 

La información almacenada en los equipos de cómputo de la Clínica es propiedad de la Clínica Cristo Rey y cada usuario es responsable por proteger su integridad, confidencialidad y disponibilidad. No es permitido divulgar, alterar, borrar, eliminar información sin la debida autorización. 

Las claves o los permisos de acceso que les sean asignados a los colaboradores y/o contratista, son responsabilidad exclusiva de cada uno de ellos y no deben utilizar la identificación o contraseña de otro usuario, excepto cuando los colaboradores de Sistemas la soliciten para la reparación o el mantenimiento de algún servicio o equipo. 

  1. Los permisos a usuarios son personales e intransferibles y serán acordes a las funciones que desempeñen y no deberán tener permisos adicionales a estos. Estos permisos se conceden a solicitud escrita del jefe de la Oficina quien debe velar por su adecuado manejo.
  2. Los usuarios deben renovar periódicamente su clave de acceso al sistema, esto deben solicitarlo a la oficina de Sistemas de Información quienes le facilitarán el acceso y lo acompañarán en el proceso. Esta totalmente prohibido: El intento o violación de los controles de seguridad establecidos; El uso sin autorización de los activos informáticos; El uso no autorizado o impropio de la conexión al Sistema; el uso indebido de las contraseñas, firmas, o dispositivos de autenticación e identificación; acceder a servicios informáticos utilizando cuentas, claves, contraseñas de otros usuarios. Aún con la autorización expresa del usuario propietario de la misma.
  3. El usuario será el directo responsable de cualquier daño producido por medidas o decisiones mal tomadas, mantenimientos, reparaciones o instalaciones realizados por él, que no fueran informadas o consultadas a Gestión TIC´S.
  4. Los usuarios son responsables de todas las actividades llevadas a cabo con su código de usuario. Si detectan actividades irregulares con su código, tienen que solicitar una auditoría a la oficina de Gestión TIC´S que se encargará de dar soporte e informar al usuario la actividad completa en el período y módulos solicitados y de igual manera informará que medidas se deben tomar al respecto. (Investigación preliminar, cambio de usuario, proceso disciplinario).
  5. Informar inmediatamente a la oficina de Sistemas de Información cualquier anomalía, aparición de virus o programas sospechosos e intentos de intromisión y no intente distribuir este tipo de información interna o externamente.
  6. En caso de presentarse un problema crítico a nivel informático en horario no laboral afectando el normal funcionamiento de la Clínica Cristo Rey, Gestión TIC´S dispone de un colaborador para atender y solucionar estos inconvenientes que está debidamente reportado a las gestoras clínicas quien es el encargado de localizarlo.
  7. Está prohibido intentar sobrepasar los controles de los sistemas, o tratar de saltar los bloqueos de acceso a internet (cambio de dirección IP, cambio de nombre de equipo, etc.) o introducir intencionalmente software malintencionado que impida el normal funcionamiento de los sistemas.
  8. No se permitirá el almacenamiento y/o procesamiento de información propiedad de la clínica, en equipos o dispositivos de propiedad de los colaboradores o contratistas. Todos los contratistas y colaboradores deben firmar una cláusula de confidencialidad, que permita a la Clínica proteger la información. 

 

6.4.4 Política de seguridad de software 

  1. Gestión TIC´S es la única responsable de la instalación de software informático y de telecomunicaciones. 
  2. En los equipos de cómputo de la Clínica Cristo Rey, no se permite la instalación de software que no cuente con el licenciamiento apropiado. Está prohibido el uso de aplicaciones ilegales y el uso de “Cracks”, “Keygens” y demás aplicativos.
  3. Está totalmente prohibido la instalación de juegos, programas de mensajería o aplicativos que no estén relacionados con las labores institucionales que se realizan en la Clínica Cristo Rey.
  4. Con el propósito de proteger la integridad de los equipos y sistemas informáticos y de telecomunicaciones, es obligatorio que todos y cada uno de estos dispongan de software de seguridad (antivirus, filtros de contenido web, controles de acceso, entre otros). Equipo que no cuente con estos aplicativos de seguridad, no puede conectarse a la red de la institución.
  5. Las medidas de protección lógica (a nivel de software) son responsabilidad del personal de Gestión TIC´S y el correcto uso de los sistemas corresponde a quienes se les asigna y les compete notificar cualquier eventualidad a la oficina de Sistemas de Información.
  6. La adquisición y actualización de software para los equipos de cómputo y de telecomunicaciones se llevará a cabo de acuerdo al calendario y requerimientos que sean propuestos por Gestión TIC´S y a la disponibilidad presupuestal con el que se cuente.
  7. Es obligación de todos los usuarios que manejen información masiva y/o crítica, salvaguardar toda su información en el drive del correo electrónico suministrado.
  8. Gestión TIC´S administra los diferentes tipos de licencias de software con la que cuenta la Clínica Cristo Rey y vigilará su vigencia de acuerdo a sus fechas de caducidad. 

 

6.4.5 Políticas de seguridad de la red e internet 

  1. Toda cuenta de acceso al sistema, a la red y direcciones IP, será asignada por la oficina de Gestión TIC de la Clínica Cristo Rey previa solicitud por ticket.
  2. Se prohíbe utilizar la red y los equipos de la Clínica Cristo Rey para cualquier actividad que sea lucrativa o comercial de carácter individual, privado o para negocio particular.
  3. En lo relacionado con el uso de correo electrónico, no está permitido el uso del correo personal. Los correos institucionales deben ser para uso exclusivo de las actividades de la Clínica Cristo Rey.
  4. Para garantizar la seguridad de la información y el equipo informático, Gestión TIC´S establece filtros y medidas para regular el acceso a contenidos en el cumplimiento de esta normatividad: 

     Se prohíbe: 

  • Utilizar los servicios de comunicación, incluyendo el correo electrónico o cualquier otro recurso, para intimidar o insultar a otras personas, o interferir con el trabajo de los demás. 
  • Utilizar los recursos de la Clínica Cristo Rey para el acceso no autorizado a redes y sistemas remotos. 
  • Acceder remotamente a los equipos de la Clínica Cristo Rey, los únicos colaboradores autorizados para realizar estas prácticas son los de Gestión TIC´S, al momento de dar soporte a los usuarios en horario extralaboral. 
  • Provocar deliberadamente el mal funcionamiento de computadoras, estaciones o terminales periféricos de redes y sistemas, mediante técnicas, comandos o programas a través de la red. 
  • Monopolizar los recursos en perjuicio de otros usuarios, incluyendo: el envío de mensajes masivamente a todos los usuarios de la red, iniciación y facilitaciones de cadenas, creación de procesos innecesarios, generar impresiones en masa, uso de recursos de impresión no autorizado. 
  • Poner información en la red que infrinja el derecho a la intimidad de los demás colaboradores y/o contratistas. 
  • Utilizar los servicios de la red para la descarga, uso, intercambio y/o instalación de juegos, música, películas, imágenes protectoras o fondos de pantalla, software de libre distribución, información y/o productos que de alguna manera atenten contra la propiedad intelectual de sus actores o que contenga archivos ejecutables. 
  • El intercambio no autorizado de información de propiedad de la Clínica, de sus usuarios y/o sus colaboradores, con terceros. 
  • El acceso a cuentas de correos personales de ningún tipo desde la red de la Clínica y solo se podrán utilizar las cuentas de correo electrónico suministradas por la Institución. Algunos ejemplos de los sistemas de correos electrónicos personales no autorizados son Yahoo!, Hotmail, Gmail. 
  • Utilizar los servicios para acceder a páginas de radio o TV en línea, descargar archivos de música o video, visitar sitios de pornografía, ocio, entre otros que estén fuera de las funciones del usuario. 
  1. Los servicios bancarios vía web a nombre de la Clínica Cristo Rey solamente podrán ser utilizados por el jefe de tesorería y únicamente en el equipo que este tenga asignado. Gestión TIC´S, tendrá habilitado otro equipo para esta tarea a fin de dar apoyo y soporte cuando se solicite.
  2. El acceso a la red interna se permitirá siempre y cuando se cumpla con los requisitos de seguridad necesarios, y éste será permitido únicamente por Gestión TIC´S.
  3. El uso de carpetas compartidas está prohibido para todos los colaboradores y/o contratistas, ya que, en caso de infiltrarse un virus o programa malicioso, usa este medio para propagarse. Las únicas carpetas compartidas que pueden existir en la red de la Clínica Cristo Rey son las copias de seguridad programadas, tanto de base de datos como de información de los usuarios. Está prohibido el uso abusivo de estos recursos por parte de los usuarios en forma tal que afecte negativamente el rendimiento de la red.
  4. Cualquier alteración del tráfico entrante o saliente a través de los dispositivos de acceso a la red, será motivo de verificación y tendrá como resultado directo la realización de una auditoría de seguridad y un reporte de los hallazgos a la oficina de Control Interno y Control Interno disciplinario para que se tomen las medidas pertinentes.