ABC DE SEGURIDAD DE LA INFORMACIÓN EN LA SUPERSALUD

SUPERINTENDENCIA NACIONAL DE SALUD

OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN

SEPTIEMBRE 2017

COFL02 Página 1 de 16
 CONTENIDO

1. PRESENTACIÓN............................................................................................................................ 3
2. OBJETIVO GENERAL ..................................................................................................................... 3
3. DEFINICIONES .............................................................................................................................. 3
4. CONTEXTO DE LA ORGANIZACIÓN .............................................................................................. 9
5. LIDERAZGO ................................................................................................................................ 10
6. PLANIFICACIÓN.......................................................................................................................... 11
7. SOPORTE.................................................................................................................................... 12
8. OPERACIÓN ............................................................................................................................... 13
9. EVALUACIÓN DEL DESEMPEÑO ................................................................................................. 14
10. MEJORA ................................................................................................................................. 14
ANEXO A ............................................................................................................................................ 15

COFL02 Página 2 de 16
 1. PRESENTACIÓN

La Información que gestiona una Entidad pública en cualquiera de sus soportes, se

considera un bien público. En ese sentido la información también se considera como
un activos de información el cual debe protegerse adecuadamente.

Una adecuada gestión de activos de información, parte del concepto fundante de

seguridad de la información la cual se desarrolla mediante el principio rector de la
gestión de riesgo, y comprende el conjunto de medidas, procedimientos y controles
establecidos para el correcto manejo, gestión y control de la información, en todo
su ciclo de vida, así como para garantizar sus propiedades fundamentales; la
preservación de la confidencialidad, integridad y disponibilidad de la información
que se complementan con otras propiedades como autenticidad, responsabilidad,
no repudio, trazabilidad y fiabilidad.

Partiendo del hecho de que la seguridad de la información se basa en la existencia

de un conjunto de políticas, normas, procedimientos y buenas prácticas que sean el
soporte administrativo y tecnológico en la Entidad, por ende Superintendencia
Nacional de Salud a través de la Oficina de Tecnologías de la Información ha
implementado el Subsistema de Seguridad de la Información basado en la norma
internacional ISO 27001 vigente.

2. OBJETIVO GENERAL

Establecer los lineamientos principales de la Seguridad de la Información en la

Superintendencia Nacional de Salud.

3. DEFINICIONES

Las siguientes definiciones son extraídas de ISO 27000.

Acción correctiva: Acción para eliminar la causa de una no conformidad y prevenir

su repetición. Va más allá de la simple corrección.

Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.

COFL02 Página 3 de 16
Activo: En relación con la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas...) que tenga valor para la organización.

Alcance: Ámbito de la organización que queda sometido al SSI.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños

a un sistema o a la organización.

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y

determinar el nivel de riesgo.

Análisis de riesgos cualitativo: Análisis de riesgos en el que se usa algún tipo de

escalas de valoración para situar la gravedad del impacto y la probabilidad de
ocurrencia.

Análisis de riesgos cuantitativo: Análisis de riesgos en función de las pérdidas

financieras que causaría el impacto.

Auditor: Persona encargada de verificar, de manera independiente, el

cumplimiento de unos determinados requisitos.

Auditor de primera parte: Auditor interno que audita la organización en nombre de

ella misma.

Auditor de segunda parte: Auditor que audita una organización en nombre de otra.
Por ejemplo, cuando una empresa audita a su proveedor de outsourcing, o cuando
una administración pública ordena una auditoriía de una empresa.

Auditor de tercera parte: Auditor que audita una organización en nombre de una
tercera parte independiente que emite un certificado de cumplimiento.

Auditor líder: Auditor responsable de asegurar la conducción y realización eficiente

y efectiva de la auditoría, dentro del alcance y del plan de auditoría acordado.

Auditoría: Proceso sistemático, independiente y documentado para obtener

evidencias de auditoria y evaluarlas objetivamente para determinar el grado en el
que se cumplen los criterios de auditoría.

Autenticación: Provisión de una garantía de que una característica afirmada por

una entidad es correcta.

COFL02 Página 4 de 16
Autenticidad: Propiedad de que una entidad es lo que afirma ser.

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a
mantener claros los objetivos de la auditoría, sirve de evidencia del plan de
auditoría, asegura su continuidad y profundidad y reduce los prejuicios del auditor y
su carga de trabajo. Este tipo de listas también se pueden utilizar durante la
implantación del SSI para facilitar su desarrollo.

Compromiso de la Dirección: Alineamiento firme de la Dirección de la

organización con el establecimiento, implementación, operación, monitorización,
revisión, mantenimiento y mejora del SSI. La versión de 2013 de ISO 27001 lo
engloba bajo la cláusula de Liderazgo.

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser

revelada a individuos, entidades o procesos no autorizados.

Control: Las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la información
por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo
de salvaguarda o contramedida. En una definición más simple, es una medida que
modifica el riesgo.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado
antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha
materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o

acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo
no la corrige.

Control disuasorio: Control que reduce la posibilidad de materialización de una

amenaza, p.ej., por medio de avisos o de medidas que llevan al atacante a desistir
de su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o
acto deliberado. Impide que una amenaza llegue siquiera a materializarse.

Corrección: Acción para eliminar una no conformidad detectada. Si lo que se

elimina es la causa de la no conformidad, véase acción correctiva.

COFL02 Página 5 de 16
Declaración de aplicabilidad: Documento que enumera los controles aplicados
por el SSI de la organización -tras el resultado de los procesos de evaluación y
tratamiento de riesgos- y su justificación, así como la justificación de las exclusiones
de controles del anexo A de ISO 27001.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe

las operaciones o servicios habituales de una organización durante el tiempo
suficiente como para verse la misma afectada de manera significativa.

Directiva: Una descripción que clarifica qué debería ser hecho y cómo, con el
propósito de alcanzar los objetivos establecidos en las políticas.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando

lo requiera una entidad autorizada.

Entidad de certificación: Una empresa u organismo acreditado por una entidad de

acreditación para auditar y certificar según diversas normas (ISO 27001, ISO 9001,
ISO 14000, etc.) a empresas usuarias de sistemas de gestión.

Estimación de riesgos: Proceso de comparar los resultados del análisis de riesgos

con los criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable
o tolerable.

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de

riesgos.

Fase 1 de auditoría: Etapa de la auditoría de primera certificación en la que,

fundamentalmente a través de la revisión de documentación, se analiza en SSI en
el contexto de la política de seguridad de la organización, sus objetivos, el alcance,
la evaluación de riesgos, la declaración de aplicabilidad y los documentos
principales, estableciendo un marco para planificar la fase 2.

Fase 2 de auditoría: Etapa de la auditoría de primera certificación en la que se

comprueba que la organización se ajusta a sus propias políticas, objetivos y
procedimientos, que el SSI cumple con los requisitos de ISO 27001 y que está
siendo eficaz.

Gestión de claves: Controles referidos a la gestión de claves criptográficas.

COFL02 Página 6 de 16
Gestión de incidentes de seguridad de la información: Procesos para detectar,
reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la
información.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo. Se compone de la evaluación y el tratamiento
de riesgos.

Identificación de riesgos: Proceso de encontrar, reconocer y describir riesgos.

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que
puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de
reputación, implicaciones legales, etc-.

Incidente de seguridad de la información: Evento único o serie de eventos de

seguridad de la información inesperados o no deseados que poseen una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
la seguridad de la información.

Inventario de activos: Lista de todos aquellos recursos (físicos, de información,

software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del
SSI, que tengan valor para la organización y necesiten por tanto ser protegidos de
potenciales riesgos.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es

una agrupación de entidades nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares (normas).

No repudio: Según [CCN-STIC-405:2006]: El no repudio o irrenunciabilidad es un

servicio de seguridad que permite probar la participación de las partes en una
comunicación.

Según [OSI ISO-7498-2]: Servicio de seguridad que previene que un emisor niegue
haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor
niegue su recepción (cuando realmente lo ha recibido).

Objetivo: Declaración del resultado o fin que se desea lograr mediante la

implementación de procedimientos de control en una actividad determinada.

Parte interesada: Persona u organización que puede afectar a, ser afectada por o
percibirse a sí misma como afectada por una decisión o actividad.

COFL02 Página 7 de 16
Plan de continuidad del negocio: Plan orientado a permitir la continuación de las
principales funciones del negocio en el caso de un evento imprevisto que las ponga
en peligro.

Plan de tratamiento de riesgos: Documento que define las acciones para

gestionar los riesgos de seguridad de la información inaceptables e implantar los
controles necesarios para proteger la misma.

Proceso: Conjunto de actividades interrelacionadas o interactuantes que

transforman unas entradas en salidas.

Propietario del riesgo: Persona o entidad con responsabilidad y autoridad para

gestionar un riesgo.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias.

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

Segregación de tareas: Reparto de tareas sensibles entre distintos empleados

para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o
por negligencia.

Seguridad de la información: Preservación de la confidencialidad, integridad y

disponibilidad de la información.

Selección de controles: Proceso de elección de los controles que aseguren la

reducción de los riesgos a un nivel aceptable.

SSI: Subsistema de Seguridad de la Información. Conjunto de elementos

interrelacionados o interactuantes (estructura organizativa, políticas, planificación
de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza
una organización para establecer una política y unos objetivos de seguridad de la
información y alcanzar dichos objetivos, basándose en un enfoque de gestión del
riesgo y de mejora continua.

Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la

implementación de controles.

COFL02 Página 8 de 16
Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociadas de modo
inequívoco a un individuo o entidad.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una
o más amenazas.

4. CONTEXTO DE LA ORGANIZACIÓN

La Superintendencia Nacional de Salud establece su contexto de acuerdo a los

usuarios que atiende y a la normatividad que la regula, de igual manera se
establecen las necesidades y expectativas de las partes interesadas en cuanto al
Subsistema de Seguridad de la Información de la Entidad.

El Contexto de la Organización está establecido en la Guía Metodológica de Análisis

de Riesgos de Seguridad y Privacidad de la Información -- ASGU05

4.1. ALCANCE DEL SUBSISTEMA DE SEGURIDAD DE LA

INFORMACIÓN

El Subsistema de Seguridad de la Información busca preservar la confidencialidad,

integridad y disponibilidad de la información a todas las partes interesadas de la
Entidad; el cual abarca los procesos de Gestión de la Participación Ciudadana en
las instituciones del Sistema General de Seguridad Social en Salud, Gestión de
Atención al Usuario del Sistema General de Seguridad Social en Salud, Gestión de
servicios tecnológicos, Provisión de soluciones tecnológicas, Auditoría a los sujetos
Vigilados, Supervisión a los sujetos vigilados de la Superintendencia Nacional de
Salud, Evaluación integral de riesgos de sujetos vigilados, Evaluación y aprobación
de acuerdos de reestructuración de pasivos, Adopción y seguimiento de acciones
y medidas especiales y Gestión del procedimiento administrativo en la ciudad de
Bogotá DC.

COFL02 Página 9 de 16
 4.2. SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN

La Superintendencia Nacional de Salud mediante la Resolución 2116 de 2014,

conformó el Subsistema de Seguridad en la Información el cual se enmarca dentro
de los principios y requisitos de la Norma ISO 27001.

5. LIDERAZGO

5.1. LIDERAZGO Y COMPROMISO

La Alta Dirección de la Superintendencia Nacional de salud demuestra su
compromiso con el Subsistema de Seguridad de la Información, estableciendo los
objetivos de seguridad de la información en la Entidad, destinando recursos
económicos para el mismo, asignando los roles y responsabilidades en cuanto a
seguridad de la información, promoviendo la mejora continua, entre otras
actividades en las que muestra el apoyo al SSI.

5.2. POLÍTICA
La Entidad adopta la Política del Subsistema de Seguridad de la Información –
ASPO05 mediante la Resolución 1521 de 2014, en donde se reconoce el valor y la
importancia de la información como activo de la organización.

5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA

ORGANIZACIÓN.

La Entidad tiene definidos los siguientes roles en cuanto a Seguridad de la

Información.

COFL02 Página 10 de 16
CIO: Decreto 415 de 2016

Comité de Seguridad de la Información: Resolución 2659 de 2015

Coordinador - Grupo de Administración y Seguridad de la Información:

Resolución 1110 de 2015

6. PLANIFICACIÓN

6.1. ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

La Entidad tiene definida la Política de Administración del Riesgo - ASPO07 así

como la Guía metodológica para el Análisis de Riesgos de Seguridad y Privacidad
de la Información- ASGU05 donde se establecen los parámetros para la valoración
y tratamiento de los riesgos de seguridad de la Información de la Entidad.

6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANES

PARA LOGRARLOS

COFL02 Página 11 de 16
Los objetivos del Subsistema de Seguridad de la Información están disponibles en
el Plan Gerencial y Despliegue de Objetivos del Subsistema de Seguridad en la
Información -FPFT02 – FPFT03 los cuales están alineados con la Política del
Subsistema de Seguridad de la Información de la Entidad vigente.

7. SOPORTE

7.1. RECURSOS
La Entidad designa cada vigencia los recursos necesarios para el adecuado
funcionamiento del Subsistema de Seguridad de la Información, esto es evidenciado
mediante los recursos asignados al Proyecto de Inversión.

7.2. COMPETENCIA
Las competencias requeridas para los funcionarios de cada dependencia en la
Entidad están establecidas en el Manual de Funciones de la Entidad cada uno de
los cargos de la misma están establecidos en éste documento, así como el nivel de
estudios y experiencia que debe tener.

7.3. TOMA DE CONCIENCIA

Cada vigencia el Grupo de Administración y Seguridad de la Información plantea el

Programa Anual de Capacitaciones en Seguridad, el cual contempla entre otras,
capacitaciones especificas en temas de seguridad de la información a toda la
entidad y campañas de sensibilización; de igual manera el Grupo de Administración
y Seguridad de la Información participa en las charlas de inducción a los nuevos
funcionarios de la Entidad, en la cual se sensibiliza a los funcionarios acerca de los
lineamientos que da el Subsistema de Seguridad de la Información.

COFL02 Página 12 de 16
 7.4. COMUNICACIÓN

El Grupo de Administración y Seguridad de la Información ha dispuesto del correo

electrónico seguridad.informacion@supersalud.gov.co para comunicarse desde y
hacia los usuarios del Subsistema de Seguridad de la Información así mismo hace
uso de los procedimientos Comunicación Organizacional Integral - COPD01 y
Publicación de Contenidos en Intranet - COPD02.

7.5. INFORMACIÓN DOCUMENTADA

Toda la información referente documentada del Subsistema de Seguridad de la
Información se ha creado siguiendo el procedimiento dispuesto por el Sistema
Integrado de Gestión Elaboración y control de documentos y registros - ASPD01

8. OPERACIÓN

8.1. PLANIFICACIÓN Y CONTROL OPERACIONAL

El Subsistema de Seguridad de la Información plantea el Plan Gerencial y
Despliegue de Objetivos del Subsistema de Seguridad en la Información - FPFT02
– FPFT03 para cada vigencia; en donde se plasma el modo de operación para el
subsistema a fin de cumplir con los objetivos de seguridad de la información en la
entidad.

8.2. VALORACIÓN DE RIESGOS DE LA SEGURIDAD DE LA

INFORMACIÓN
La Entidad realiza la valoración de riesgo de seguridad de la información de acuerdo
a la periodicidad definida en la Guía metodológica para el análisis de riesgos de
seguridad y privacidad de la información - ASGU05 o cuando ocurran cambios
significativos.

8.3. TRATAMIENTO DE RIESGOS DE LA SEGURIDAD DE LA

INFORMACIÓN

COFL02 Página 13 de 16
Los planes de tratamiento de los riesgos de seguridad de la información están
documentados en Riesgos de Seguridad de la Información y plan de tratamiento de
Seguridad de la Información - ASFT22.

9. EVALUACIÓN DEL DESEMPEÑO

9.1. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

El desempeño del Subsistema de Seguridad de la Información se lleva a cabo

mediante el seguimiento a los indicadores de gestión del Sistema Integrado de
acuerdo al procedimiento MEDICIÓN DE LA GESTIÓN INSTITUCIONAL - ASPD02
y los indicadores internos del Grupo de Administración y Seguridad de la
Información.

9.2. AUDITORÍA INTERNA

Las auditorías internas del subsistema de seguridad de la información se realizan

dando cumplimiento al procedimiento Planeación de las Auditorías Integrales de
Gestión y IGPD01 y al procedimiento Ejecución de Auditorias Integrales de Gestión
- IGPD02, de acuerdo a los cronogramas que tiene la Oficina de Control Interno.

9.3. REVISIÓN POR LA DIRECCIÓN

De acuerdo a las disposiciones de la Entidad, ésta revisión periódica se lleva a
cabo dando cumplimiento al procedimiento Revisión por la Dirección - ASPD04.

10. MEJORA

COFL02 Página 14 de 16
 10.1. NO CONFORMIDADES Y ACCIONES CORRECTIVAS

El tratamiento de hallazgos del subsistema en cuanto a No Conformidades y

Acciones Correctivas se realiza conforme al procedimiento Tratamiento Del
Servicio No Conforme Y De No Conformidades - PMPD01.

10.2. MEJORA CONTINUA

De igual manera el Subsistema de Seguridad está en constante mejora conforme

a los factores tanto internos como externos que afectan al subsistema.

ANEXO A

El Subsistema de Seguridad de la Información, recopila toda la información de

cumplimiento de la norma en el micrositio del subsistema.

COFL02 Página 15 de 16
COFL02 Página 16 de 16