GESTIÓN DE SERVICIOS

PROCESO CÓDIGO GSGU11

TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

GUÍA SEGURIDAD EN LAS OPERACIONES

BOGOTÁ D.C.
2017

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Jefe Oficina Asesora de Jefe Oficina Tecnologías de la
Tecnologías de la Planeación Información
Información
Profesional Oficina Jefe Oficina Tecnologías de la
Asesora de Planeación Información
FECHA: FECHA: FECHA:
05/07/2016 08//08/2016 10/08/2016
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

Contenido
1. Objetivo ...................................................................................................................................... 3
2. Alcance....................................................................................................................................... 3
3. Responsabilidades ................................................................................................................... 3
4. Definiciones ............................................................................................................................... 3
5. Generalidades ........................................................................................................................... 5
6. Normas ....................................................................................................................................... 5
7. Documentación de Referencia ............................................................................................... 8
8. Registros .................................................................................................................................... 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

1. Objetivo

Definir los lineamientos para propender porque las operaciones que se ejecutan a diario a
nivel de la Oficina de Tecnologías de la Información en la Superintendencia Nacional de
Salud, se ejecuten de manera correcta y segura en las instalaciones de procesamiento de
información.

2. Alcance

Esta guía aplica para los funcionarios que laboran en la Oficina de Tecnologías de la
Información en la Superintendencia Nacional de Salud.

3. Responsabilidades

o Oficial de Seguridad de la Información: Emitir y vigilar que se cumplan las

directrices emitidas en esta guía para conservar el nivel de integridad, disponibilidad
y confidencialidad de la información de igual manera actualizar este documento de
acuerdo a las necesidades del negocio.

o Funcionarios de la Oficina de Tecnologías de la Información: Cumplir con las

condiciones de seguridad establecidas en ésta guía en el ámbito de las
aplicaciones, bases de datos, servicios, equipos entre otros que ellos gestionan,
entre otras áreas.

4. Definiciones

Activo de información: Cualquier componente (humano, tecnológico, software,

documental o de infraestructura) que soporta uno o más procesos de negocios de la Entidad
y, en consecuencia, debe ser protegido.
Autenticación: es el procedimiento de comprobación de la identidad de un usuario o
recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de
información.
Capacity Planning – Plan de Capacidad: es el proceso para determinar la capacidad de
los recursos de la plataforma tecnológica que necesita la entidad para satisfacer las
necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento
adecuado.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

Centros de cableado: son habitaciones donde se deberán instalar los dispositivos de

comunicación y la mayoría de los cables. Al igual que los centros de cómputo, los centros
de cableado deben cumplir requisitos de acceso físico, materiales de paredes, pisos y
techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad.
Centro de cómputo: es una zona específica para el almacenamiento de múltiples
computadores para un fin específico, los cuales se encuentran conectados entre sí a través
de una red de datos. El centro de cómputo debe cumplir ciertos estándares con el fin de
garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el
suministro de alimentación eléctrica y las condiciones medioambientales adecuadas.
Confidencialidad: es la garantía de que la información no está disponible o divulgada a
personas, entidades o procesos no autorizados.
Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye
policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que
pueden ser de carácter administrativo, tecnológico, físico o legal.
Custodio del activo de información: es la unidad organizacional o proceso, designado
por los propietarios, encargado de mantener las medidas de protección establecidas sobre
los activos de información confiados.
Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la
información y a los activos asociados cuando lo requieren.
Hacking ético: es el conjunto de actividades para ingresar a las redes de datos y voz de la
institución con el objeto de lograr un alto grado de penetración en los sistemas, de forma
controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas
o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la
información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.
Integridad: es la protección de la exactitud y estado completo de los activos.
Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades
de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de
información a los cuales se les concede acceso de acuerdo con las funciones realizadas.
Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro
de él.
Propietario de la información: es la unidad organizacional o proceso donde se crean los
activos de información.
Recursos tecnológicos: son aquellos componentes de hardware y software tales como:
servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles,
dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos,
entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias
para el buen funcionamiento y la optimización del trabajo al interior de la Superintendencia
Nacional de Salud.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

Registros de Auditoría: son archivos donde son registrados los eventos que se han
identificado en los sistemas de información, recursos tecnológicos y redes de datos de la
Entidad. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y
acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos,
cambios a la configuración, uso de utilidades y fallas de los sistemas.
Responsable por el activo de información: es la persona o grupo de personas,
designadas por los propietarios, encargados de velar por la confidencialidad, la integridad
y disponibilidad de los activos de información y decidir la forma de usar, identificar, clasificar
y proteger dichos activos a su cargo.
SSI: Subsistema de Seguridad de la Información.
Sistema de información: es un conjunto organizado de datos, operaciones y
transacciones que interactúan para el almacenamiento y procesamiento de la información
que, a su vez, requiere la interacción de uno o más activos de información para efectuar
sus tareas. Un sistema de información es todo componente de software ya sea de origen
interno, es decir desarrollado por la Superintendencia Nacional de Salud o de origen
externo ya sea adquirido por la entidad como un producto estándar de mercado o
desarrollado para las necesidades de ésta.
Software malicioso: es una variedad de software o programas de códigos hostiles e
intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas
operativos, redes de datos o sistemas de información.
Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los
activos de información que pueden ser explotadas por factores externos y no controlables
por la Entidad (amenazas), las cuales se constituyen en fuentes de riesgo.

5. Generalidades

Ésta guía se basa en los requerimientos establecidos por el Anexo A 12 de la Norma NTC
ISO IEC 27001:2013.

6. Normas

Gestión de la capacidad

La Oficina de Tecnologías de la Información hace un Plan de Gestión de la Capacidad con

proyección de cuatro (4) años, de igual manera hace seguimiento semestral al monitoreo
de recursos para hacer los ajustes, para asegurar el desempeño requerido del sistema y
verificar la gestión del plan para su respectivo ajuste.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

Separación de los ambientes de desarrollo, pruebas y operación

Para el desarrollo de sistemas de información para el ejercicio de las operaciones de la

Superintendencia Nacional de Salud se tienen definidos ambientes de desarrollos, pruebas
y producción cada uno en segmentos de red independientes.

Cuando se hace el paso de desarrollo a pruebas o a producción se hacen previamente unas

pruebas de seguridad y de operación.
Los cambios que se vayan a hacer a los sistemas de información en el ambiente de
producción se deben hacer previamente en el ambiente de pruebas para evaluar el impacto
del cambio.

Controles contra códigos maliciosos

Las estaciones de trabajo de los funcionarios están protegidas por software contra código
malicioso, además se cuenta con seguridad perimetral mediante firewall, por otra parte, se
tienen herramientas como anti-spam y escaneo intrínseco para la protección del correo
electrónico de la Entidad, ésta herramienta permite de igual manera denegar el acceso a la
instalación de software malicioso.

Registro de eventos

El registro de los eventos se realiza en las herramientas de administración de red y

seguridad, así como en los registros que genera cada uno de los servidores y demás
equipos activos en red, a ésta información se le genera copias de respaldo periódicas.

Protección de la información de registro

La información de registro de las herramientas de seguridad, de gestión de red, de

aplicaciones entre otras; se protege mediante el respaldo de la información

Registros del administrador y del operador

La Oficina de Tecnologías de Información cuenta con un sistema de información que audita

las actividades de los usuarios administradores y operadores de las plataformas con las
que cuenta la Entidad.

El sistema de administración de red envía notificaciones al correo del Coordinador del

Grupo de Infraestructura de TI, cuando se hacen cambios en ésta plataforma.

Sincronización de relojes

Los relojes de los sistemas de información y equipos activos en red están sincronizados
con un servidor NPT que está sincronizado con la hora legal colombiana, todo esto a fin de
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

tener un único referente en el seguimiento de eventos o actividades de los sistemas de

información.

Gestión de vulnerabilidades técnicas

La Gestión de vulnerabilidades en los sistemas de información, los dispositivos de

interconexión, la red y demás elementos que puedan afectar la seguridad de la información
de la Superintendencia Nacional de Salud está a cargo del Oficial de Seguridad de la
Información o quien haga sus veces; se debe tener en cuenta los siguientes factores:

o Se hace un análisis de vulnerabilidades a los sistemas de información y demás

componentes a nivel interno, por lo menos una vez al año, basado en el inventario
de activos de la Oficina de Tecnologías de la Información, el informe entregado
debe ser analizado por las partes interesadas y levantar acciones al respecto que
permitan mitigar riesgo de materialización de las vulnerabilidades encontradas.

o La gestión del tratamiento de las vulnerabilidades debe seguir el Procedimiento

De Gestión De Cambios – GSPD02 ó la Guía de Gestión de Incidentes de
Seguridad de la Información - GSGU08 de acuerdo a la prioridad de la
vulnerabilidad.

o Los Coordinador de cada Grupo de la Oficina de Tecnologías de la Información

debe hacer el seguimiento a la gestión de las vulnerabilidades encontradas en
cada una de las pruebas de vulnerabilidades realizadas a sus sistemas de
información en el caso de que no sea posible gestionar una vulnerabilidad se
debe expresar el motivo por el cual la vulnerabilidad no se puede cerrar a través
de un correo electrónico dirigido al Coordinador del Grupo de Administración y
Seguridad de la Información y al Oficial de Seguridad de la Información o quien
haga sus veces.

o Los parches se deben probar y evaluar antes de su instalación, para asegurarse

de que son eficaces y no producen efectos secundarios que no se puedan tolerar.

Auditorías a Sistemas de Información

o El Oficial de Seguridad de la Información o quien haga sus veces apoya la

continuidad de las operaciones de Superintendencia Nacional de Salud en el
momento de hacer las auditorías a los sistemas de información.

o Las auditorías que se hacen tienen un alcance definido.

o Las auditorías que se realizan sólo es a nivel de software en caso de que se

tenga acceso a datos se hará mediante sólo lectura.

o En caso que una auditoría a sistemas de información genere indisponibilidad de

los sistemas de información se debe hacer la auditoría en horarios no laborales.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU11
TECNOLÓGICOS
GUÍA SEGURIDAD EN LAS OPERACIONES VERSIÓN 2

o Las auditorías a los sistemas de información las debe hacer el Oficial de

Seguridad de la Información o quien haga sus veces, tomando un sistema
aleatoriamente, verificando los registros de auditoría para identificar actividades
sospechosas.

7. Documentación de Referencia

 ASMN03 Manual de Políticas de Segundo Nivel del Subsistema de Seguridad de la

Información

8. Registros

 Informe de análisis de vulnerabilidades

CONTROL DE CAMBIOS
ASPECTOS QUE DETALLES DE RESPONSABLE FECHA DEL
CAMBIARON EN EL LOS CAMBIOS DE LA SOLICITUD CAMBIO VERSIÓN
DOCUMENTO EFECTUADOS DEL CAMBIO DD/MM/AAAA
Solicitud de
creación mediante
memorando
NURC: 3-2016-
014942
Jefe Oficina de
Adopción del
Tecnologías de la 11/08/2016 1
documento Se realiza
Información
aprobación
Mediante
memorando
NURC: 3-2016-
015043
Se solicita
mediante NURC 3-
2017-017119 la
eliminación de las
pruebas de
vulnerabilidad por Jefe Oficina de
Actualización del
parte de un ente Tecnologías de la 1/11/2017 2
documento
externo. Se Información
aprueba mediante
NURC 3-2017-
018038