POLTICAS DE SEGURIDAD INFORMTICA CENTRO HOSPITAL LUIS ANTONIO MONTERO I.

INTRODUCCIN Los requerimientos de seguridad que involucran las nuevas tecnologas de la informacin, en pocos aos han cobrado gran importancia y ms an con la globalizacin del internet, que conlleva a nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha generado la aparicin de nuevas amenazas en los sistemas computarizados. El Centro Hospital Luis Antonio Montero, dentro de su Sistema de Gestin de la Informacin ha encaminado todos los esfuerzos para asegurar un entorno informtico institucional, mediante la simple administracin del recurso humano y tecnolgico. El presente documento que se presenta polticas de seguridad, integra estos esfuerzos de una manera conjunta. ste pretende, ser el medio de comunicacin en el cual se establecen las reglas, normas, controles y procedimientos que regulen la forma en que la institucin, prevenga, proteja y maneje los riesgos de seguridad en diversas circunstancias. Las normas y polticas expuestas en este documento sirven de referencia, en ningn momento pretenden ser normas absolutas, las mismas estn sujetas a cambios en cualquier momento. Toda persona que utilice los servicios que ofrece la red de la institucin, deber conocer y aceptar el reglamento vigente sobre su uso, el desconocimiento del mismo, no exonera de responsabilidad al usuario,

Las Polticas de Seguridad Son una forma de comunicacin con el personal, ya que las mismas constituyen un canal formal de actuacin, en relacin con los recursos y servicios informticos de la institucin. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que la institucin protege uno de sus activos de mayor importancia como lo es la informacin Como parte integral del Sistema de Gestin de la Informacin (SGI), las polticas de seguridad, tratan de definir; Qu?, Por qu?, De qu? y Cmo? se debe proteger la informacin. Glosario de Trminos Activo en el ambiente informtico llmese activo a los bienes de informacin y procesamiento, que posee la institucin. Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Administracin Remota: Forma de administrar los equipos informticos o servicios de la institucin, a travs de terminales o equipos remotos, fsicamente separados de la institucin. Amenaza: Es un evento que puede desencadenar un incidente en la institucin, produciendo daos materiales o prdidas inmateriales en sus activos. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Confidencialidad: Proteger la informacin de su acceso no autorizado. Esto significa que la informacin debe estar protegida de ser copiada por cualquiera que no est explcitamente autorizado por el propietario de dicha informacin. Desastre o Contingencia: interrupcin de la capacidad de acceso a la informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de la institucin. Disponibilidad: Los recursos de informacin sean accesibles, cuando estos sean necesitados. Soporte Tcnico: Personal designado o encargado de velar por el correcto funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina dentro de la institucin. Riesgo: posibilidad de que se produzca un incidente

OBJETIVO Dotar de la informacin necesaria a los usuarios y empleados del Centro Hospital Luis Antonio Montero, de las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la red de la institucin, as como la informacin que es procesada y almacenada en estos.

Polticas Instalacin de equipo de cmputo. Todo el equipo de cmputo (computadores de escritorio, porttiles, servidores), que est o sea conectado a la Red, que sea de propiedad de la institucin o propiedad de terceros debe cumplir con las normas mnimas de seguridad para la conexin, como son antivirus con base de datos actualizada, direccin IP otorgada por el administrador de red, grupo de trabajo o dominio. El Administrador de red deber llevar un registro de todos los equipos propiedad del Centro Hospital Luis Antonio Montero. El equipo de la institucin que sea de propsito especfico (servidor) Requiere estar ubicado en un rea que cumpla con los requerimientos de: Seguridad fsica, condiciones ambientales, alimentacin elctrica, y tendr acceso a l nicamente el administrador de red. Los responsables de cada dependencia debern notificar al administrador de red cuando se requiera una instalacin para reubicar un equipo y todo aquello que implique movimientos en su ubicacin. La proteccin fsica de los equipos de cmputo corresponde a quienes se les asigna dicho equipo. Mantenimiento de equipo de cmputo. A la dependencia de mantenimiento hospitalario le corresponde la realizacin Del mantenimiento preventivo y correctivo de los equipos, la conservacin de su Instalacin y, la verificacin de la seguridad fsica. El mantenimiento diario (limpieza externa) de los equipos de cmputo es responsabilidad del usuario a cargo del mismo. A la dependencia de Mantenimiento hospitalario le queda estrictamente prohibido dar mantenimiento a equipos de cmputo que no sean de propiedad de la institucin, salvo que la gerencia lo autorice en forma escrita. Actualizacin de hardware y software de los equipos de cmputo Todo el equipo de cmputo (computadores de escritorio, porttiles), y los de telecomunicaciones que sean de propiedad del Centro Hospital deben Desempeo. Se actualizados tanto en su parte fsica (hardware) como en la parte lgica (software) cuando estos lo requieran, para garantizar su optimo desempeo,

Reubicacin de los equipos de cmputo. La reubicacin de los equipos de cmputo se realizar previa notificacin al administrador de red especificando los motivos de la reubicacin, adems el sitio en donde ser reubicado el equipo deber cumplir con las normas para su instalacin (conexiones elctricas, puntos de red). Tambin se debern notificar los cambios o reubicacin de partes de hardware (monitores, mouse, impresoras, reguladores, ups). Control de acceso a los equipos de cmputo. Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su Competencia hacer buen uso de los mismos, por lo tanto el usuario debe poseer una clave personal para acceder al sistema. Debido a la inseguridad e inestabilidad de los sistemas operativos y su conectividad en la red, el administrador de red tiene la facultad de restringir los sistemas operativos a modo usuario (sin privilegios de administrador del sistema). El acceso a los equipos especializados de cmputo (servidores, enrutadores cableados o inalmbricos) ser exclusivamente del administrador de red. Acceso local a la red. El administrador de red es el responsable de proporcionar a los usuarios el acceso a los recursos informticos compartidos (impresoras, unidades de almacenamiento, software, internet, intranet).

Acceso a los sistemas del rea financiera (facturacin, tesorera). Tendrn acceso a estos sistemas solo el personal designado en estas areas y que estn registrados en la base de datos del sistema, o el personal que este autorizado por la gerencia.

Utilizacin de los recursos de la red

Los recursos disponibles a travs de la Red sern de uso exclusivo para Asuntos relacionados con las actividades del centro Hospital.

Es deber de la institucin capacitar al personal para garantizar el adecuado manejo de la red El acceso a internet estar disponible para algunos usuarios y restringido nicamente a pginas gubernamentales y de correo electrnico. Se prohbe en los equipos de cmputo de propiedad del centro hospital, los archivos de video, msica, imgenes, presentaciones de poder Pont que no tengan relacin con la institucin.
Adquisicin e instalacin de software.

Todo software que adquiera o instale en la institucin debe contar con las respectivas licencias, registradas y vigentes ante las compaas que lo desarrollan, salvo el software libre. Para proteger la integridad de los sistemas informticos todos los equipos deben tener instalado software de seguridad (antivirus) Todas las aplicaciones informticas (programas, bases de datos, sistemas operativos, Interfaces) desarrollados con los recursos del centro hospital se mantendrn Como propiedad de la institucin respetando la propiedad intelectual del mismo. Copias de seguridad Es obligacin y responsabilidad de todos los usuarios que manejen informacin, realizar copias de seguridad utilizando la aplicacin informtica que el administrador de red les suministre, ya que la informacin se considera como un activo de la institucin que debe preservarse. Es responsabilidad del administrador de red proveer de asesora a los usuarios en la realizacin de las copias de seguridad, como tambin de monitorear semanalmente si se cumple este proceso. En caso de prdida de informacin por diferentes circunstancias, el administrador de red es el encargado de aplicar protocolos para recuperar dicha informacin, adems de detectar y corregir las fallas que ocasionaron tal incidente.

Planes de contingencia
Cada una de las dependencias deber de emitir los planes de contingencia a seguir, en caso de que la informacin no est disponible en lnea a causa de fallas en la red. Debido al alto grado de confidencial de la informacin que el centro hospital maneja, el personal deber actuar de acuerdo a los cdigos de tica profesional.

Sanciones.
Cualquier violacin a las polticas y normas de seguridad deber ser sancionada Las sanciones pueden ser desde una llamada de atencin o informar al usuario hasta La cancelacin del contrato dependiendo de la gravedad de la falta y de la malicia o Perversidad que sta manifiesta.

Referencias
1. Cano, Heinz J. (1998). Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI). Universidad de los Andes, Colombia. 2. Organization for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems. 1992. 3. Swanson, et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies.