tc1 riesgos
DESCRIPTION
Trabajo Colaborativo 1 riesgos y control informaticoTRANSCRIPT
TRABAJO COLABORATIVO IRIESGO Y CONTROL INFORMTICO
PRESENTADO POR:ANDRES MAURICIO GOMEZCODIGO: 80204254
GRUPO: 15
PRESENTADO A:SIERRA RODRIGUEZ MANUEL ANTONIO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNADESPECIALIZACIN EN SEGURIDAD INFORMTICABOGOT2015
TABLA DE CONTENIDO
INTRODUCCION3OBJETIVOS4GENERAL4EXPECFICOS4DESARROLLO TRABAJO51.ANLISIS DE LA ORGANIZACIN.5
INTRODUCCION
Para realizar el trabajo colaborativo 1, se cuenta con la colaboracin del Hospital Centro Oriente II Nivel, que nos permite analizar las vulnerabilidades y riesgos informticos de sus sistemas informticos, siguiendo los lineamientos del director del curso.
Esto nos permitir verificar la eficacia de las polticas y normas de seguridad implementadas en el Hospital la cual tiene una historia desde el 2000 y ha crecido en forma en sus programas acadmicos y cada vez han implementado nuevos procesos para ponerse a la vanguardia tecnolgica, en la ejecucin de stos procesos no se puede dejar a un lado la seguridad, con el anlisis y estudio permitir verificar estos niveles de seguridad.
OBJETIVOS
GENERAL
Realizar una evaluacin general de seguridad informtica dentro del Hospital Centro Oriente II Nivel, identificando, vulnerabilidades y posibles ataques dentro de los servicios ofrecidos por la entidad.
ESPECFICOS
1. Mejorar las prcticas de manejo de los recursos tecnolgicos de manera que permita sensibilizar, no slo al personal del rea de sistemas, sino a toda la organizacin en cuanto a la necesidad de contar con mecanismos y estrategias que apoyen el aseguramiento la informacin.2.Detectar vulnerabilidades, riesgos y amenazas presentes en los sistemas de informacin presentes en el Hospital Centro Oriente II Nivel.
DESARROLLO TRABAJO 1. ANLISIS DE LA ORGANIZACIN.
PRESENTACIN:
El Hospital Centro Oriente es un hospital de segundo nivel de complejidad y como tal en su objeto misional cuenta con un servicio de ciruga general y ortopdica 24 horas del da, los 365 das del ao cumpliendo con la normatividad legal vigente en lo que hace referencia en la oportunidad, accesibilidad, seguridad y complementariedad que demande la poblacin de la localidad de Santa Fe, Mrtires y Candelaria para lo cual es pertinente contar con la Unidad Transfusional propia y a disposicin durante las 24 horas.
MisinSomos una empresa social del estado prestadora de servicios de salud de primer y segundo nivel de complejidad, integrante de la red Hospitalaria Centro Oriente Del Distrito Capital, reconocida por sus servicios humanizados e integrales que aportan a la solucin de las necesidades de la poblacin asignada y contribuyen al mejoramiento de los determinantes sociales en salud, apoyada en un recurso humano idneo y comprometido en lo social, procesos y tecnologa de punta que viene generando legitimidad y corresponsabilidad en nuestros usuarios tanto internos como externos.
VisinEn el 2016 El Hospital Centro Oriente ser reconocido por su alto grado de compromiso social en la prestacin de servicios de salud, generador de respuestas integrales a las necesidades sociales y experiencia en el abordaje amigable y diferencial de las poblaciones especiales del distrito capital, generador de conocimiento e investigacin con niveles superiores de calidad y respetuoso del medio ambiente
ORGANIGRAMA
HISTORIA
El Hospital Centro Oriente II Nivel - Empresa Social del Estado, nace jurdicamente el da 6 de octubre, a raz de la fusin de los Hospitales Empresas Sociales del Estado Guavio II Nivel, Samper Mendoza I Nivel, Perseverancia I Nivel y Unidad Bsica de Atencin la Candelaria I Nivel, a travs del Acuerdo No. 11 del 11 de Julio de 2000, del Concejo de Bogot. La imperiosa necesidad de reorganizar la prestacin de los servicios de salud dentro del Distrito Capital, bajo unos principios bsicos de competencia leal, complementariedad, eficiencia en el manejo y uso de recursos humanos, fsicos y financieros, dieron lugar al proceso de fusin de los hospitales de Bogot. El fin ltimo de dicho ejercicio era el de generar principios bsicos de viabilidad financiera y tcnica a las instituciones pblicas de salud, dentro del marco de la prestacin de los servicios en el Sistema General de Seguridad Social en Salud. La toma de decisin frente a la fusin de una parte de los Hospitales que componan la red de Centro Oriente, estuvo argumentada por estudios tcnicos y administrativos, sobre el comportamiento de la oferta y la demanda, el mercado de los prestadores en la red, la productividad, produccin y rendimientos de cada una de las instituciones fusionadas. El soporte brindado por la Secretara Distrital de Salud y el Servicio Civil Distrital fueron el apalancamiento tcnico para la definicin final
PRINCIPIOS RECTORES
Legitimidad: Entendida como el ejercicio del poder que es percibido como ajustado y por tanto obedecido sin necesidad de coaccin. En ese sentido se pretende que la existencia de la ESE Centro Oriente se justifique no en funcin exclusivamente de su origen legal, si no en funcin de la misin que desempea. Humanizacin: Hace referencia a que la atencin de los usuarios debe realizarse en el contexto de la tica y los valores, de este modo se pretende atender al paciente y suplir sus necesidades a nivel fsico, emocional, intelectual y social.
Corresponsabilidad: Entendida como la responsabilidad compartida que deben tener usuarios, comunidad y colaboradores en el cumplimiento de la misin que se ha propuesto la ESE Centro Oriente.
PRINCIPIOS CORPORATIVOS Participacin SocialTrasparenciaEmpata SocialComunicacin SinrgicaTrabajo en EquipoAutocontrol
VALORES CORPORATIVOSCompromisoRespetoToleranciaPuntualidad
OBJETIVOS ESTRATEGICOS
Lograr la sostenibilidad financiera del hospital centro oriente Implementar el sistema integrado de gestin de calidad
Garantizar la legitimidad del hospital a travs del cumplimiento de su objeto social y el fortalecimiento de la participacin comunitaria
Implementar un proceso institucional de gestin del conocimiento y memoria institucional
Generar respuestas en salud acordes a las necesidades sociales de la comunidad
POLTICAS INFORMTICAS
La Directiva del hospital Centro Oriente en el acuerdo 005 de 2005 define las Polticas Generales de Tecnologas de Informacin y Comunicaciones aplicables a las entidades del Distrito Capital, las cuales se resumen en:
Planeacin de Informtica Estandarizacin Seguridad y Control Democratizacin de la Informacin Marco Legal Calidad Racionalizacin del Gasto Cultura Informtica y Seguridad de Sistemas
La Resolucin No. 029 del 4 de Febrero de 2008 del Hospital Centro Oriente E.S.E. establece las polticas para el manejo y uso del software y hardware en el Hospital Centro Oriente II Nivel E.S.E.
ALCANCE DEL SISTEMA DE INFORMACIN.
El Sistema de Informacin consolida y procesa la informacin relativa a los aspectos administrativos y misionales, contratacin, provisin de empleos, planeacin, ejecucin contractual, proyectos, anteproyectos de presupuesto, presupuestos consolidados, presupuestos por resultados, planes de accin, indicadores de gestin y evaluacin del cumplimiento de las metas. El contenido del sistema se ampliar de acuerdo con los requerimientos presentados por la ciudadana y las necesidades detectadas por el rea de Sistemas.
ESTRUCTURA ORGANIZACIONAL DE LA DEPENDENCIA DE SISTEMAS DEL HOSPITAL CENTRO ORIENTE II NIVEL E.S.E.
SITUACION ACTUALDOTACIN DEL CENTRO DE CMPUTO
ITEM DESCRIPCION
1Aire Acondicionado
1Rac de Comunicaciones
1Servidores en RACK
1Servidor AIX PSeries
2Servidor IBM, HP ITANIUM
1Piso Falso
1Techo Falso
2Switchs
APLICATIVOS Y SISTEMAS
Nombre aplicativoFuncin
HipcratesSistema de Informacin administrativo Institucional
RED DE COMUNICACIONES
Cantidad Descripcin
11Antenas de Comunicacin
11Radios de Comunicacin ALVARION
1Radio Base
Diagrama de Conectividad.
DESARROLLO, SOPORTE Y MANTENIMIENTO
NRO. DESCRIPCION DE CONCEPTOS
1No contamos con desarrollo de aplicaciones.
2Contamos con tcnicos de soporte y mantenimiento.
PRINCIPALES PROVEEDORES
Proveedor Servicio(s) que presta
ServirteSoporte y mantenimiento al sistema de informacin institucional
ETBProveedor de Comunicaciones
GlobaltekSoporte del sistema de seguridad Perimetral
SDT IngenieraSoporte y Mantenimiento de la red del Hospital, antenas, cableado y UPS.
INFRAESTRUCTURA DE SEGURIDAD
NRO. DESCRIPCION DE CONCEPTOS
1Appliance Marca Astaro (manejo de la seguridad perimetral).
2Antivirus Corporativo Trend Micro
PLANES DE CONTINGENCIA
PLANES DE CONTINGENCIA TICS
Se cuenta con plan de contingencia para restaurar el servidor en caso de fallas con otro servidor y se cuenta con polticas de backup de informacin semanales.
PLANES DE CONTINGENCIA - OPERATIVOS
Se est trabajando con las diferentes reas sobre la consolidacin y documentacin del plan de contingencia.
A la fecha, el Hospital Centro Oriente II Nivel cuenta con los siguientes procesos para la administracin de las Tecnologas de Informacin y Comunicaciones
Nro Descripcin del activo
1Administracin del Sistema Operativo de los servidores del Hospital
2Administracin del motor de la Base de datos del hospital
3Instalacin de las bases de datos de los contratos que posee el Hospital
4Administracin de la seguridad Perimetral del Hospital
5Administracin de recursos de red
6Administracin y mantenimiento de los centros de cableado
7Desarrollo e Instalacin de programas
8Optimizacin del sistema operativo
9Limpieza Fsica del Equipo
10Instalacin de programas
ActivoTIPOVULNERABILIDAD AMENAZA
Aplicacin webAplicacin (Software)Versin de apache desactualizadaAtaque de denegacin de servicio
Aplicacin webAplicacin (Software)Campos de aplicacin no validadosAtaques de Cross site scripting
Base de datosDatos / InformacinPermisos no segregadosModificacin de informacin sensible
Concentrador VPNEquipos InformticosDesactualizacin de OpenSSLAcceso a porcin de memoria del dispositivo
CorreoDatos / InformacinServidor expuesto a internet sin anti spamAtaque de SPAM
DatacenterEquipos InformticosPuerta sin control de accesoAcceso no autorizado
Equipos clienteEquipos InformticosEquipos si antivirus o con firmas desactualizadasPropagacin de infeccin en la red
Equipos clienteEquipos InformticosSoftware de acceso remoto en los equipos clienteIngreso no protegido ni autorizado a la red corporativa
Equipos porttilesEquipos InformticosEquipos sin cifradoRobo de informacin sensible
FirewallRedesUso de protocolos de conexin no seguros, no restriccin de interfacesAcceso y manipulacin de la configuracin
Herramienta atencin clientes externosAplicacin (Software)Aplicacin expuesta a internetAtaques SQL injection
MvilesEquipos InformticosEquipo sin claveRobo de informacin sensible
RedRedesRed no segmentadaAcceso directo de estaciones cliente a servidores sin restriccin de puertos
RedRedesAutenticacin de un solo factorRobo de identidad, acceso no autorizado a la red corporativa
ServidoresEquipos InformticosNo se hace backup regularmente de los servidores crticosPerdida de informacin en caso de dao de un servidor
Conclusiones
Es imprescindible para todos los usuarios que utilizan herramientas informticas, tener conocimientos sobre las amenazas actuales y las vulnerabilidades a los que podra enfrentarse en el caso de que sufra algn ataque, ya sea, intencional, involuntario o a causa de la naturaleza, siempre se debe estar preparado con un plan estratgico, en el caso de que se produzca algn dao poderlo solucionar de forma adecuada, para que no hayan repercusiones de ningn tipo y nuestra informacin permanezca ntegra, confiable y disponible en el momento en el que se le necesite.12