¿Qué entendemos como información en la E.S.E? Correos electrónicos
Datos que poseen significado
Página Web e Intranet Imágenes, videos o audios institucionales
se gú n
Bases de datos
ISO 9001
Documentos, manuales, guías, procedimientos, protocolos Contratos Historias Clínicas
Provenientes de
Algo crítico en el Hospita
¿Qué es la seguridad de la información? Se refiere a la protección de los activos de información fundamentales para el éxito de la E.S.E San Cristobal
¿Por qué es necesario proteger nuestra información? Debido a que toda esta reside en equipos informáticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que conocemos como los sistemas de información, los cuales están sujetos a riesgos y amenazas que pueden generarse desde dentro del hospital o desde el exterior.
Físicos
Incendio
Terremoto
Hackers
Robos de identidad
Vandalismo
Inundación
Lógicos
Spam
Virus
Robo de información O espionaje
¿Qué es la norma 27001? •
Es la norma principal de la serie ISO/IEC 27000, la cual es adoptada en la Norma Técnica Distrital NTD SIG 001 de 2011 como referencia normativa del Subsistema de Gestión de la Seguridad de la Información
•
Proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
¿A qué hace referencia un SGSI? •
Podríamos definir un Sistema de Gestión de Seguridad de la Información como una herramienta de gestión que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información de nuestro hospital.
Po r
me dio
de
¿En qué puede ayudar un SGSI? Analizar y ordenar la estructura de los Sistema de Información
Facilitar definición de procedimientos de trabajo para mantener su seguridad
Disponer de controles que permitan medir la eficacia de las medidas tomadas.
Esto protegerá al hospital frente a amenazas y riesgos y así alcanzar los objetivos de negocio, manteniendo el riesgo por debajo del nivel asumible por la propia entidad.
Principios del SGSI
implica conlleva ent r
aña
Acceso a la información por parte únicamente de quienes están autorizados.
El mantenimiento de la exactitud y completitud de la información y sus métodos de proceso
El acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran
Intramural y
Extramural
Proceso general de implementación La implantación de un SGSI es una decisión estratégica que debe involucrar a toda la organización y que debe ser apoyada y dirigida desde la gerencia.
Su diseño dependerá de
OBJETIVOS Y NECESIDADES DE LA E.S.E SAN CRISTOBAL
El tiempo de implantación depende del tamaño del hospital, el estado inicial de la seguridad de la información y los recursos destinados a ello.
Proceso general de implementación Para su implantación se utiliza el modelo PHVA.
La continúa evaluación de nuestro SGSI debe estar documentada, para lo que utilizaremos los cuatro tipos distintos de documentación que representamos en esta estructura piramidal
Proceso general de implementación Se realiza un estudio de la situación del hospital desde el punto de vista de la seguridad. Hay que realizar una valoración de la información por medio de un análisis de riesgos , gestión de éstos y finalmente estableceremos unos controles que los minimicen.
Se implantan los controles de seguridad seleccionados. Estos controles se refieren a los controles más técnicos, así como a la documentación necesaria. Requiere un tiempo de concienciación y formación para dar a conocer qué se está haciendo y por qué.
Proceso general de implementaciĂłn Se evalĂşa la eficacia y el ĂŠxito de los controles implantados. Por ello, es muy importante contar con registros e indicadores que provengan de estos controles.
Se llevan a cabo las labores de mantenimiento del sistema. Para ello se cuenta con tres tipos de medidas: medidas correctoras, medidas preventivas y medidas de mejora.
¿Qué beneficios obtendremos todos? Reducción de Riesgos De información
Ahorro de costos debido a una racionalización de recursos y control de posibles riesgos
Mejora de la competitividad En el sector salud
Tener una seguridad de la información como un ciclo de vida metódico y controlado
Cumplimiento de la normatividad de seguridad de la información Dada por los entes de control