La Secretaría Distrital de Salud de Bogotá es la entidad rectora de salud en Bogotá. Tiene como misión garantizar el derecho a la salud de la población a través de un modelo de atención integral y centrado en el ser humano. Su visión es ser reconocida internacionalmente por cumplir estándares superiores de calidad y garantizar el derecho a la salud de la población. El documento describe las políticas de seguridad de la información de la entidad para proteger los activos digitales y software.
1. Información de la empresa:
Nombre de la empresa: Secretaria Distrital de Salud de Bogotá
Tipo de empresa: Pública
Sector en el cual se encuentra la empresa: Gobierno
Área específica a la que pertenece la empresa: Salud
Misión de la empresa.
Somos la entidad rectora de salud en Bogotá, constituida por un equipo humano comprometido con la
excelencia, responsable de garantizar el ejercicio efectivo del derecho a la salud de toda la población, a
través de la implementación de un modelo de atención integral, equitativa, universal, participativa,
centrada en el ser humano, la responsabilidad social y la sostenibilidad ambiental.
Visión de la empresa.
Para el año 2016, la Secretaría Distrital de Salud de Bogotá, será reconocida nacional e
internacionalmente, como una entidad que cumple estándares superiores de calidad, que garantiza el
derecho efectivo y el mejoramiento de calidad de vida en salud de la población, basado en un modelo
de atención integral que responde a la estrategia de la Atención Primaria en Salud.
No. De funcionarios de la empresa: 2.100
No. De empleados o funcionarios dedicados a las áreas de sistemas, telecomunicaciones o seguridad
informática dentro de la empresa: 300
Niveles de usuario para uso, gestión y administración de sistemas operativos:
• Usuario estándar
• Usuario avanzado
• Usuario Administrador
A continuación se desarrolla el esquema documental necesario para la implementación de un SGSI bajo
la normativa certificable ISO/IEC 27001:2005.
La Política de Seguridad refleja requerimientos de orden legal, ético y de mejores prácticas en el
ejercicio de las actividades que se ejecutan a diario.
Las medidas que se implementan no sólo son soluciones técnicas, sino también reflejan reglas
claramente definidas, para dar el mejor uso a los recursos de TIC, por parte del usuario final de la
plataforma tecnológica de la SDS.
Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad de la información a nivel
global y que debe constar de los siguientes elementos:
Sensibilizar a los usuarios de la entidad acerca de los problemas de seguridad de la información.
Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la entidad,
las aplicaciones e incluso los sistemas operativos de la SDS.
Seguridad en las telecomunicaciones: tecnologías de red, servidores de la entidad, redes de
acceso, etc.
Seguridad física, o la seguridad de infraestructuras materiales: asegurar centro de cómputo,
centro de cableado, las estaciones de trabajo de los empleados, etc.
2. 1. Políticas de Seguridad en la empresa
Política de Seguridad de la Información de la Secretaria Distrital de Salud
El PSDC, propone mejorar las condiciones de salud a través de seis objetivos en el plan marco y cinco
ejes estructurantes: aseguramiento, prestación y desarrollo de servicios, salud pública e intervenciones
colectivas, vigilancia y control de riesgos profesionales, emergencias y desastres y promoción social.
Se busca optimizar la oportunidad, integridad, confidencialidad y consistencia de la información para la
toma de decisiones de gestión en salud del distrito capital, facilitar los flujos de información y
comunicaciones los niveles intrainterinstitucional, intersectorial y fortalecer la incorporación de las
tecnologías a los procesos de salud en los territorios con énfasis en la promoción de la salud, la
detección y la prevención de la enfermedad.
Formulación política CTI (Ciencia, tecnología, Información) para la salud
Según la guía de formulación, implementación y evaluación de políticas públicas distritales (2011) “La
política pública es entendida como el conjunto de decisiones políticas y acciones estratégicas que
llevan a la transformación de una realidad social, que tanto los ciudadanos y ciudadanas como quienes
representan al Estado han determinado como importante o prioritaria de transformar, dado que
subsisten en ella condiciones de desequilibrio y desigualdad que afectan la calidad de vida…”
Es así como la política de ciencia, tecnología e innovación para la salud, se constituye en un
instrumento para concertar intereses, movilizar recursos, coordinar acciones de las diferentes
instituciones, públicas y privadas, y de otros actores y sectores sociales comprometidos con los
procesos de investigación para la salud, y la socialización y uso de sus resultados para la toma de
decisiones, que favorezcan la salud de la población.
Objetivo general de la política
Formular, implementar y hacer seguimiento a la política de ciencia, tecnología e innovación para la
salud, para Bogotá D.C, que permita orientar la generación y uso del conocimiento en salud, y
contribuya a la toma de decisiones, para mejorar la salud de los habitantes de Bogotá.
Objetivos específicos
1. Fortalecer la gobernabilidad y la gobernanza para la investigación, la innovación y el desarrollo
tecnológico en salud en Bogotá.
2. Propiciar las condiciones y medios para que la SDS y la red adscrita se constituyan en una instancia
de generación, intercambio y uso del conocimiento, con el fin de impulsar un proceso constante de
avance y cualificación de su quehacer y de su impacto sobre la salud de los habitantes de la ciudad.
3. Con el concurso de todos los actores del Sistema Regional de CT+I identificar, actualizar
periódicamente e impulsar una agenda de temas prioritarios de investigación, desarrollo tecnológico e
innovación para la equidad en salud de Bogotá.
3. 4. Propiciar las condiciones que posibiliten la incorporación del conocimiento en la toma de decisiones
en la política pública, la prestación de servicios y en el cuidado de la familia y los individuos.
5. Identificar y articular nichos de innovación en salud con potencial de impactar positivamente la
equidad en salud de la ciudad.
6. Gestionar la cooperación con actores gubernamentales y no gubernamentales, distritales, regionales,
nacionales e internacionales, en busca de alianzas estratégicas que canalicen asistencia técnica,
tecnológica y de innovación para el fortalecimiento del sector salud y de la ciudad.
7. Construir una estrategia comunicativa sustentada en la apropiación social del conocimiento, para
incentivar la movilización social en Ciencia Tecnología e Innovación en Salud.
Como parte del proceso que se ha venido desarrollando para la construcción de la política en ciencia,
tecnología e innovación para la salud, en éstos momentos se está socializando por página web el plan
de CTI para la salud, acompañada de una guía de preguntas orientadora para recoger los principales
aportes y observaciones tanto al plan como a la agenda.
Normas
La Gestión de Riesgos en la Secretaria Distrital de Salud, por objeto garantizar el cumplimiento de su
misión y visión, y para ello se establecerán medidas específicas frente a los riesgos de seguridad de la
información, los proyectos estratégicos y los procesos.
Para el logro de éste sistema la Organización tomó como referencia metodológica la norma AS/NZS
4360 DE 1999 que es base de la norma de ICONTEC (NTC 5254).
La gestión de riesgos de la organización se ha dividido en tres grandes elementos
• Gestión de Activos de Información
• Análisis del Riesgo
• Tratamiento del riesgo
Activos de Información
Conforme con la norma ISO 27001, un activo de información es “cualquier cosa que tiene valor para la
organización”. No obstante, este concepto es bastante amplio, y debe ser limitado por una serie de
consideraciones:
• El impacto que para la organización supone la pérdida de cualquier principio de seguridad de
cada activo
• El tipo de información que maneja sus productores y consumidores
Políticas de seguridad de activos de información.
Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad de información.
4. Protección y respaldo de la información
• Se deberá preservar la seguridad de la información dando cumplimiento a los principios de
Confidencialidad, Integridad y Disponibilidad de la información de la institución.
• La información de la institución deberá mantenerse disponible a las personas autorizadas para
ello en el momento en que se necesite.
• La institución deberá identificar mecanismos que permitan que las actividades de respaldo y
recuperación de la información sean adecuadas.
• Los niveles de protección y clasificación establecidos para la información de la institución
deberán ser mantenidos en todo momento. (Acceso, toma de respaldo, backup, transporte,
recuperación, otros). Por lo tanto se deben mantener los controles y medidas establecidas para
esto.
• Los usuarios de la institución son responsables de alojar la información que necesita ser
respaldada en los lugares establecidos para ello.
• Los usuarios respaldarán y protegerán, con medidas que eviten accesos de personas no
autorizadas, aquellos activos digitales de información que estén almacenados en elementos de
TI de uso personal, que les hayan sido asignados. Se deberán preservar los lineamientos de
acuerdo a la sensibilidad y nivel de clasificación de seguridad.
• Los usuarios son responsables de aplicar los controles para la protección de la información
según su nivel de clasificación. Así mismo deberán alertar a la DPS cuando un activo digital de
información requiera medidas especiales de protección.
Activos de software:
Los Activos de Software se pueden aplicar a prácticamente cualquier aspecto del entorno de TI en una
organización, pero sobre todo a aquellos que tienen que ver con la gestión de licencias de software e
inventario de activos.
Entre sus ventajas destacan su capacidad para gestionar de manera coherente los documentos de prueba
de licencia, Los distintos modelos de licencia, Las distintas plataformas de software, Los medios de
instalación y copias de distribución de los productos, Las versiones y ediciones, Todo el software
instalado, Listas detalladas de versiones, parches y actualizaciones, Las licencias, Los contratos,
Medios de distribución, tanto físicos como electrónicos.
Políticas de seguridad de activos de software.
Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad activos de
software.
Los medios, documentos o licencias de software deben están custodiados por un referente y
almacenados en caja fuerte.
La gestión y/o administración de las licencias de software deben ser de responsabilidad de la
Dirección de Planeación y Sistemas.
Se debe contar con un directorio (DML) para almacenar los medios magnéticos para la
instalación de software licenciado por la SDS.