TRABAJO COLABORATIVO IRIESGO Y CONTROL INFORMTICO

PRESENTADO POR:ANDRES MAURICIO GOMEZCODIGO: 80204254

GRUPO: 15

PRESENTADO A:SIERRA RODRIGUEZ MANUEL ANTONIO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESPECIALIZACIN EN SEGURIDAD INFORMTICABOGOT2015

TABLA DE CONTENIDO

INTRODUCCION3OBJETIVOS4GENERAL4EXPECFICOS4DESARROLLO TRABAJO51.ANLISIS DE LA ORGANIZACIN.5

INTRODUCCION

Para realizar el trabajo colaborativo 1, se cuenta con la colaboracin del Hospital Centro Oriente II Nivel, que nos permite analizar las vulnerabilidades y riesgos informticos de sus sistemas informticos, siguiendo los lineamientos del director del curso.

Esto nos permitir verificar la eficacia de las polticas y normas de seguridad implementadas en el Hospital la cual tiene una historia desde el 2000 y ha crecido en forma en sus programas acadmicos y cada vez han implementado nuevos procesos para ponerse a la vanguardia tecnolgica, en la ejecucin de stos procesos no se puede dejar a un lado la seguridad, con el anlisis y estudio permitir verificar estos niveles de seguridad.

OBJETIVOS

GENERAL

Realizar una evaluacin general de seguridad informtica dentro del Hospital Centro Oriente II Nivel, identificando, vulnerabilidades y posibles ataques dentro de los servicios ofrecidos por la entidad.

ESPECFICOS

1. Mejorar las prcticas de manejo de los recursos tecnolgicos de manera que permita sensibilizar, no slo al personal del rea de sistemas, sino a toda la organizacin en cuanto a la necesidad de contar con mecanismos y estrategias que apoyen el aseguramiento la informacin.2.Detectar vulnerabilidades, riesgos y amenazas presentes en los sistemas de informacin presentes en el Hospital Centro Oriente II Nivel.

DESARROLLO TRABAJO 1. ANLISIS DE LA ORGANIZACIN.

PRESENTACIN:

El Hospital Centro Oriente es un hospital de segundo nivel de complejidad y como tal en su objeto misional cuenta con un servicio de ciruga general y ortopdica 24 horas del da, los 365 das del ao cumpliendo con la normatividad legal vigente en lo que hace referencia en la oportunidad, accesibilidad, seguridad y complementariedad que demande la poblacin de la localidad de Santa Fe, Mrtires y Candelaria para lo cual es pertinente contar con la Unidad Transfusional propia y a disposicin durante las 24 horas.

MisinSomos una empresa social del estado prestadora de servicios de salud de primer y segundo nivel de complejidad, integrante de la red Hospitalaria Centro Oriente Del Distrito Capital, reconocida por sus servicios humanizados e integrales que aportan a la solucin de las necesidades de la poblacin asignada y contribuyen al mejoramiento de los determinantes sociales en salud, apoyada en un recurso humano idneo y comprometido en lo social, procesos y tecnologa de punta que viene generando legitimidad y corresponsabilidad en nuestros usuarios tanto internos como externos.

VisinEn el 2016 El Hospital Centro Oriente ser reconocido por su alto grado de compromiso social en la prestacin de servicios de salud, generador de respuestas integrales a las necesidades sociales y experiencia en el abordaje amigable y diferencial de las poblaciones especiales del distrito capital, generador de conocimiento e investigacin con niveles superiores de calidad y respetuoso del medio ambiente

ORGANIGRAMA

HISTORIA

El Hospital Centro Oriente II Nivel - Empresa Social del Estado, nace jurdicamente el da 6 de octubre, a raz de la fusin de los Hospitales Empresas Sociales del Estado Guavio II Nivel, Samper Mendoza I Nivel, Perseverancia I Nivel y Unidad Bsica de Atencin la Candelaria I Nivel, a travs del Acuerdo No. 11 del 11 de Julio de 2000, del Concejo de Bogot. La imperiosa necesidad de reorganizar la prestacin de los servicios de salud dentro del Distrito Capital, bajo unos principios bsicos de competencia leal, complementariedad, eficiencia en el manejo y uso de recursos humanos, fsicos y financieros, dieron lugar al proceso de fusin de los hospitales de Bogot. El fin ltimo de dicho ejercicio era el de generar principios bsicos de viabilidad financiera y tcnica a las instituciones pblicas de salud, dentro del marco de la prestacin de los servicios en el Sistema General de Seguridad Social en Salud. La toma de decisin frente a la fusin de una parte de los Hospitales que componan la red de Centro Oriente, estuvo argumentada por estudios tcnicos y administrativos, sobre el comportamiento de la oferta y la demanda, el mercado de los prestadores en la red, la productividad, produccin y rendimientos de cada una de las instituciones fusionadas. El soporte brindado por la Secretara Distrital de Salud y el Servicio Civil Distrital fueron el apalancamiento tcnico para la definicin final

PRINCIPIOS RECTORES

Legitimidad: Entendida como el ejercicio del poder que es percibido como ajustado y por tanto obedecido sin necesidad de coaccin. En ese sentido se pretende que la existencia de la ESE Centro Oriente se justifique no en funcin exclusivamente de su origen legal, si no en funcin de la misin que desempea. Humanizacin: Hace referencia a que la atencin de los usuarios debe realizarse en el contexto de la tica y los valores, de este modo se pretende atender al paciente y suplir sus necesidades a nivel fsico, emocional, intelectual y social.

Corresponsabilidad: Entendida como la responsabilidad compartida que deben tener usuarios, comunidad y colaboradores en el cumplimiento de la misin que se ha propuesto la ESE Centro Oriente.

PRINCIPIOS CORPORATIVOS Participacin SocialTrasparenciaEmpata SocialComunicacin SinrgicaTrabajo en EquipoAutocontrol

VALORES CORPORATIVOSCompromisoRespetoToleranciaPuntualidad

OBJETIVOS ESTRATEGICOS

Lograr la sostenibilidad financiera del hospital centro oriente Implementar el sistema integrado de gestin de calidad

Garantizar la legitimidad del hospital a travs del cumplimiento de su objeto social y el fortalecimiento de la participacin comunitaria

Implementar un proceso institucional de gestin del conocimiento y memoria institucional

Generar respuestas en salud acordes a las necesidades sociales de la comunidad

POLTICAS INFORMTICAS

La Directiva del hospital Centro Oriente en el acuerdo 005 de 2005 define las Polticas Generales de Tecnologas de Informacin y Comunicaciones aplicables a las entidades del Distrito Capital, las cuales se resumen en:

Planeacin de Informtica Estandarizacin Seguridad y Control Democratizacin de la Informacin Marco Legal Calidad Racionalizacin del Gasto Cultura Informtica y Seguridad de Sistemas

La Resolucin No. 029 del 4 de Febrero de 2008 del Hospital Centro Oriente E.S.E. establece las polticas para el manejo y uso del software y hardware en el Hospital Centro Oriente II Nivel E.S.E.

ALCANCE DEL SISTEMA DE INFORMACIN.

El Sistema de Informacin consolida y procesa la informacin relativa a los aspectos administrativos y misionales, contratacin, provisin de empleos, planeacin, ejecucin contractual, proyectos, anteproyectos de presupuesto, presupuestos consolidados, presupuestos por resultados, planes de accin, indicadores de gestin y evaluacin del cumplimiento de las metas. El contenido del sistema se ampliar de acuerdo con los requerimientos presentados por la ciudadana y las necesidades detectadas por el rea de Sistemas.

ESTRUCTURA ORGANIZACIONAL DE LA DEPENDENCIA DE SISTEMAS DEL HOSPITAL CENTRO ORIENTE II NIVEL E.S.E.

SITUACION ACTUALDOTACIN DEL CENTRO DE CMPUTO

ITEM DESCRIPCION

1Aire Acondicionado

1Rac de Comunicaciones

1Servidores en RACK

1Servidor AIX PSeries

2Servidor IBM, HP ITANIUM

1Piso Falso

1Techo Falso

2Switchs

APLICATIVOS Y SISTEMAS

Nombre aplicativoFuncin

HipcratesSistema de Informacin administrativo Institucional

RED DE COMUNICACIONES

Cantidad Descripcin

11Antenas de Comunicacin

11Radios de Comunicacin ALVARION

1Radio Base

Diagrama de Conectividad.

DESARROLLO, SOPORTE Y MANTENIMIENTO

NRO. DESCRIPCION DE CONCEPTOS

1No contamos con desarrollo de aplicaciones.

2Contamos con tcnicos de soporte y mantenimiento.

PRINCIPALES PROVEEDORES

Proveedor Servicio(s) que presta

ServirteSoporte y mantenimiento al sistema de informacin institucional

ETBProveedor de Comunicaciones

GlobaltekSoporte del sistema de seguridad Perimetral

SDT IngenieraSoporte y Mantenimiento de la red del Hospital, antenas, cableado y UPS.

INFRAESTRUCTURA DE SEGURIDAD

NRO. DESCRIPCION DE CONCEPTOS

1Appliance Marca Astaro (manejo de la seguridad perimetral).

2Antivirus Corporativo Trend Micro

PLANES DE CONTINGENCIA

PLANES DE CONTINGENCIA TICS

Se cuenta con plan de contingencia para restaurar el servidor en caso de fallas con otro servidor y se cuenta con polticas de backup de informacin semanales.

PLANES DE CONTINGENCIA - OPERATIVOS

Se est trabajando con las diferentes reas sobre la consolidacin y documentacin del plan de contingencia.

A la fecha, el Hospital Centro Oriente II Nivel cuenta con los siguientes procesos para la administracin de las Tecnologas de Informacin y Comunicaciones

Nro Descripcin del activo

1Administracin del Sistema Operativo de los servidores del Hospital

2Administracin del motor de la Base de datos del hospital

3Instalacin de las bases de datos de los contratos que posee el Hospital

4Administracin de la seguridad Perimetral del Hospital

5Administracin de recursos de red

6Administracin y mantenimiento de los centros de cableado

7Desarrollo e Instalacin de programas

8Optimizacin del sistema operativo

9Limpieza Fsica del Equipo

10Instalacin de programas

ActivoTIPOVULNERABILIDAD AMENAZA

Aplicacin webAplicacin (Software)Versin de apache desactualizadaAtaque de denegacin de servicio

Aplicacin webAplicacin (Software)Campos de aplicacin no validadosAtaques de Cross site scripting

Base de datosDatos / InformacinPermisos no segregadosModificacin de informacin sensible

Concentrador VPNEquipos InformticosDesactualizacin de OpenSSLAcceso a porcin de memoria del dispositivo

CorreoDatos / InformacinServidor expuesto a internet sin anti spamAtaque de SPAM

DatacenterEquipos InformticosPuerta sin control de accesoAcceso no autorizado

Equipos clienteEquipos InformticosEquipos si antivirus o con firmas desactualizadasPropagacin de infeccin en la red

Equipos clienteEquipos InformticosSoftware de acceso remoto en los equipos clienteIngreso no protegido ni autorizado a la red corporativa

Equipos porttilesEquipos InformticosEquipos sin cifradoRobo de informacin sensible

FirewallRedesUso de protocolos de conexin no seguros, no restriccin de interfacesAcceso y manipulacin de la configuracin

Herramienta atencin clientes externosAplicacin (Software)Aplicacin expuesta a internetAtaques SQL injection

MvilesEquipos InformticosEquipo sin claveRobo de informacin sensible

RedRedesRed no segmentadaAcceso directo de estaciones cliente a servidores sin restriccin de puertos

RedRedesAutenticacin de un solo factorRobo de identidad, acceso no autorizado a la red corporativa

ServidoresEquipos InformticosNo se hace backup regularmente de los servidores crticosPerdida de informacin en caso de dao de un servidor

Conclusiones

Es imprescindible para todos los usuarios que utilizan herramientas informticas, tener conocimientos sobre las amenazas actuales y las vulnerabilidades a los que podra enfrentarse en el caso de que sufra algn ataque, ya sea, intencional, involuntario o a causa de la naturaleza, siempre se debe estar preparado con un plan estratgico, en el caso de que se produzca algn dao poderlo solucionar de forma adecuada, para que no hayan repercusiones de ningn tipo y nuestra informacin permanezca ntegra, confiable y disponible en el momento en el que se le necesite.12