Politicas y normas de la seguridad Informatica

Elaboro Reviso Aprobó Nombre: Nelson Vargas M. Nombre: Susana Avendaño Nombre: Patricio Sarabia

Cargo: Profesional de Tecnologías de la Información.

Cargo: Jefa de Tecnologías de las Información.

Cargo: Subdirector Administrativo.

Firma

Firma

Firma

POLITICAS Y

NORMAS DE LA

SEGURIDAD

INFORMATICA Hospital de Urgencia Asistencia Publica Alejandro del Rio.

DEPARTAMENTO TI. El departamento TI o Informática busca poder

encontrar las mejoras en sus distintas divisiones, y

que conozcan más nuestra labor. Y así poder

ayudarlos a encontrar las mejoras en su trabajo por el

bien de nuestra institución.

HOSPITAL DE URGENCIA ASISTENCIA PÚBLICA

Versión 1

TECNOLOGIAS DE LA INFORMACION Diciembre 2017

POLITICAS DE SEGURIDAD DE TECNOLOGIAS DE LA INFORMACION vigencia 3 años

POLITICAS Y NORMAS DE TECNOLOGIA DE LA INFORMACION 1 | 37

INDICE

Tabla de contenido INTRODUCCION ................................................................................................................................... 4

Visión ................................................................................................................................................... 5

Misión .............................................................................................................................................. 5

¿Que son las normas de seguridad? ................................................................................................... 5

¿Que son las políticas de seguridad? .................................................................................................. 5

OBJETIVOS ........................................................................................................................................... 6

Políticas de seguridad de correos electrónicos. .................................................................................. 7

Objetivo. .......................................................................................................................................... 7

Roles y responsabilidades. .............................................................................................................. 7

Reglas de las políticas. ..................................................................................................................... 7

1. Uso del correo electrónico. .................................................................................................... 7

2. Creación y eliminación de casillas. .......................................................................................... 8

3. Mensajes masivos. .................................................................................................................. 8

4. Información del remitente. ..................................................................................................... 8

5. prohibición de usar cuentas ajenas. ........................................................................................ 8

6. restricciones al contenido de mensajes. ................................................................................. 9

7. Privacidad de los mensajes electrónicos. ................................................................................ 9

Políticas de seguridad en la identificación y autenticación de usuarios. .......................................... 10

Objetivo. ........................................................................................................................................ 10

Roles y responsabilidades. ............................................................................................................ 10

Reglas de la política. ...................................................................................................................... 11

1. Identificación y contraseña requerida. ................................................................................. 11

2. Protección de estaciones de trabajo. .................................................................................... 11

3. Protección de los datos, uso de cuentas y contraseñas. ....................................................... 11

4. Recordatorio de contraseñas. ............................................................................................... 11

Políticas de seguridad de pantallas y escritorios limpios. ................................................................. 12

Objetivo. ........................................................................................................................................ 12


Reglas de las políticas. ................................................................................................................... 12

1. Ubicación y protección de equipamiento ............................................................................. 12

2. Equipamientos desatendido por el usuario .......................................................................... 12

3. Escritorio y pantallas limpias ................................................................................................. 12

Políticas de seguridad de Recursos Humanos. .................................................................................. 14

Objetivo. ........................................................................................................................................ 14



Versión 1




Reglas de la Política. ...................................................................................................................... 14

1. No Divulgación de información ............................................................................................. 14

2. Propiedad Intelectual ............................................................................................................ 15

3. Normas de seguridad para RRHH. ......................................................................................... 15

4. Políticas ya realizadas a la seguridad de la información en RR.HH. ...................................... 15

Políticas de seguridad de servicio de internet. ................................................................................. 16

Objetivo. ........................................................................................................................................ 16



1. Consideraciones .................................................................................................................... 16

2. Normas de uso de la Red ....................................................................................................... 17

3. Acceso autorizado y monitoreado. ....................................................................................... 18

5. Información obtenida. ........................................................................................................... 18

6. Plan de contingencia ante caídas de sistemas y redes .......................................................... 18

Políticas de seguridad en la clasificación y manejo de la información. ............................................ 20

Objetivo. ........................................................................................................................................ 20



1. Responsabilidades. ................................................................................................................ 20

2. Categorías de la clasificación de la información. .................................................................. 21

Políticas de seguridad en la respuesta de incidentes de seguridad. ................................................. 22

Objetivo. ........................................................................................................................................ 22



1. Comité de seguridad de la información. ............................................................................... 22

2. Gestión de incidentes de seguridad. ..................................................................................... 22

Políticas de seguridad física. ............................................................................................................. 24

Objetivo. ........................................................................................................................................ 24


Reglas de políticas. ........................................................................................................................ 24

1. Reglas generales de acceso. .................................................................................................. 24

2. Sala de Data Center ............................................................................................................... 25

3. Suministro Eléctrico............................................................................................................... 25

4. Humedad, Ventilación y Aire Acondicionado. ....................................................................... 25

5. Prevención por Daño de Fuego y Agua ................................................................................. 25

6. Como parte del rol de Guardias y Vigilantes se considera. ................................................... 25

7. Prevención de TI. ................................................................................................................... 26

Políticas de seguridad para el control de acceso físico de personas y equipos. ............................... 27


Versión 1




Objetivo. ........................................................................................................................................ 27



1. Personal. ................................................................................................................................ 27

2. Visitas. ................................................................................................................................... 27

3. Áreas que contienen Información Sensible........................................................................... 27

4. Registro del Acceso ............................................................................................................... 27

5. Accesos Revocados ................................................................................................................ 28

6. Salas de Computadores y Comunicaciones ........................................................................... 28

7. Traslados de equipos. ............................................................................................................ 28

8. Robo o pérdida de equipos. .................................................................................................. 28

9. Normas para equipos externos. ............................................................................................ 29

Normas para solicitud de teléfonos IP. ............................................................................................. 30

Normas preventiva de mantención de equipamiento computacional. ............................................ 31

Normas de regulación de estaciones de trabajo............................................................................... 32

Normas de manejo de impresoras. ................................................................................................... 33

Normas de administración de respaldos automáticos. .................................................................... 34

Derechos y responsabilidades de los usuarios. ................................................................................. 35

Sistemas y software utilizados en el HUAP. ...................................................................................... 36


Versión 1




INTRODUCCION

La red del Hospital cuenta con al menos 1000 equipos conectados en la red. Entre

computadores, teléfonos IP, impresoras y equipos médicos, y un gran número de servidores

contados entre sí.

La infraestructura tecnológica del hospital tiene como objetivo fundamental: soportar los

procesos de trabajo que permiten ofrecer servicios eficaces tanto a sus funcionarios como

a los pacientes.

Un fallo en el mantenimiento de TI, incluyendo las aplicaciones y acceso a Internet que

deben estar disponibles y funcionando de forma óptima, se traduce en un impacto negativo

para el hospital. Una vez, que hemos comprendido la relación que existe entre los procesos

de trabajo, los servicios que se ofrecen en la institución y los elementos de la infraestructura

tecnológica, esta unidad de informática se planteó la necesidad de garantizar la

disponibilidad de todos los sistemas de información de gestión clínica y departamental del

hospital, aplicando políticas de seguridad globales, e involucrando en este proyecto a la

Dirección, Jefes de servicios médicos y administrativos, personal desde auxiliar a

profesionales.

Aplicar todas estas medidas de seguridad no es suficientes, es necesario aplicar políticas y normas de seguridad internas activas implicando a todos los estamentos del hospital Por esto se crearon los siguientes protocolos y normas de seguridad en el Hospital.


Versión 1




Visión Constituir un nivel de seguridad, altamente aceptable, mediante el correcto funcionamiento de la normativa y políticas de seguridad informática, basado en el sistema de gestión de seguridad de la información, a través de la utilización de técnicas y herramientas que contribuyen a optimizar la administración de los recursos informáticos del Hospital de Urgencia Asistencia Pública.

Misión Establecer las directrices necesarias para el correcto funcionamiento de un sistema de gestión para la seguridad de la información, enmarcando su aplicabilidad en un proceso de desarrollo continuo y actualizable, apegado a los estándares para este fin.

¿Que son las normas de seguridad?

Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional.

¿Que son las políticas de seguridad?

Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos.


Versión 1




OBJETIVOS

Definir la misión de seguridad informática de la organización en conjunto con las autoridades de la misma.

Aplicar una metodología de análisis de riesgo para evaluar la seguridad informática en la organización.

Definir las Políticas de seguridad informática de la organización.

Definir los procedimientos para aplicar la Política de seguridad informática.

Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las políticas dentro de la misión establecida.

Priorizar respuesta a incidentes de seguridad, para atender los problemas relacionados a la seguridad informática dentro de la organización.

Crear y vigilar los lineamientos necesarios que conlleven a tener los servicios de seguridad en la organización.

Crear un grupo de seguridad informática en la organización.


Versión 1




Políticas de seguridad de correos electrónicos. Objetivo.

El uso y administración del correo electrónico por parte de funcionarios y terceros autorizados. La mensajería tanto interna como hacia el exterior del HUAP.

Roles y responsabilidades.

Representante de comité de seguridad de la información. Generar las condiciones que permitan el tráfico y manejo seguro de la información que es enviada y recibida a través del correo. Recepcionar alertas de seguridad. Departamento de informática. Habilitar mecanismos tecnológicos de manera de prevenir el uso de técnicas de ataque a sistemas de correo electrónico. Velar por la disponibilidad del servicio de correo parmente.

Reglas de las políticas.

1. Uso del correo electrónico.

1.1. Los correos solo serán autorizados mediante la jefatura de la unidad. 1.2. El correo solo debe ser usado para materias relacionadas con la función desempeñada. 1.3 El servicio de correo permite enviar archivos anexados de hasta 5 MB aprox. usando un cliente de correo (Outlook) y de hasta 5 MB usando la interface Web en: http://webmail.redsalud.gob.cl. 1.4. Interface web: El usuario podrá acceder al correo institucional, desde cualquier punto con acceso a internet, ingresando a la siguiente dirección http://webmail.redsalud.gob.cl. 1.5. Cabe señalar que para este caso los usuarios podrán acceder a los mensajes recibidos, desde el Momento en que ejecute la aplicación web mail, los correos abiertos anteriormente con gestor de correo Outlook no serán visualizados en la aplicación web, solo los últimos 14 días del servidor de correo. 1.6. Al configurar Outlook en POP3 este automáticamente generara un archivo pst, dentro de la unidad local de disco duro, el cual no deberá ser borrado o perderá sus correos almacenados. 1.7. Para el caso de los computadores de escritorio los buzones administrativos no tienen cuota Definida. Pero para el caso de aplicación Webmail Los buzones tienen una cuota máxima de hasta 150 MB por usuario, por lo tanto, el usuario deberá eliminar periódicamente los mensajes leídos de Modo tal que no exceda esa cuota. 1.8. Informática no da soporte a correos personales, ya que no se puede responder por administración de cuentas de correo que no están asociadas al HUAP. (Como Hotmail, gmail, yahoo, vtr, etc).

http://webmail.redsalud.gob.cl/

http://webmail.redsalud.gob.cl/


Versión 1




2. Creación y eliminación de casillas.

2.1. Se solicitan las cuentas de correo a informática mediante ([email protected]). Al cual deben enviar un correo completando el siguiente formulario. Solicitud de correos electrónicos: Nombre Completo: Rut: Planta (profesional-Técnico-Administrativo-Auxiliar): Calidad Jurídica (Contrata-Titular-Honorario): Unidad: Descripción del cargo (Jefatura-enfermera-secretaria-etc.): Reemplazante (si-no): 2.2. Al configurar la cuenta de correo, al usuario se le solicita que cambie la contraseña que viene por defecto. La contraseña debe contar con letras mayúsculas y minúsculas además de dígitos. 2.3. Las contraseñas se bloquean con un estimativo de 3 meses por seguridad. Lo cual se debe solicitar reseteo al departamento TI y volver a cambiar la contraseña por el usuario. 2.4. La contraseña es intransferible y no debe ser confiada a ninguna otra persona, no compartirla De modo que algún extraño pueda usarla para enviar mensajes con otros propósitos. El departamento TI no se hace responsable por el uso que el usuario final le dé a esta cuenta de Correo electrónico. 2.5. Para la eliminación de la cuenta, se solicita a las jefaturas dar de bajas cuentas de correo cuando alguien funcionario ya no pertenezca a la institución. 2.6. TI cuenta con una base de datos con todo los usuarios del HUAP, para poder tener un mayor control en el caso de no enviar la información solicitada en el punto anterior. 3. Mensajes masivos.

3.1. Se encuentra Prohibido él envió de mensajes en grupos o listas de destinatarios, funcionarios o externos, que no sea del ámbito de trabajo. 3.2. Los correos de distribución son creados y administrados solo por el departamento TI, por lo cual si se solicita agregar o eliminar usuarios deberá ser solicitado por jefatura. 4. Información del remitente.

4.1. Se le debe solicitar al departamento TI, la creación de su pie de firma, donde se debe incluir el nombre y apellido del remitente, su cargo, el área a la que pertenece, su dirección de correo y anexo. 5. prohibición de usar cuentas ajenas.

5.1. Los usuarios tienen prohibido enviar o recibir mensajes electrónicos, usando la identidad de otro usuario.

mailto:[email protected]


Versión 1




6. restricciones al contenido de mensajes.

6.1. El Administrador del Servicio de Correo electrónico no podrá interceptar, editar, monitorear o eliminar ningún mensaje de correo de ningún usuario, salvo autorización expresa de (este o su superior, o en los siguientes casos: o - El usuario haya incurrido en actos ilegales o - Requerimiento expreso de Autoridades pertinentes o - Para identificar o resolver problemas técnicos o - El mensaje comprometa el normal funcionamiento del servicio. El Administrador del Sistema es la única persona que eventualmente podría tener acceso a los Mensajes de los usuarios y únicamente en los casos referidos arriba. 6.2. Procure no descargar archivos con extensión .exe, .vbs, avi, protectores de pantalla, etc. que no provenga de un usuario conocido, pues aunque es probable que no sean virus, pueden ser Programas dañinos. En estos casos, se les recomienda borrar inmediatamente el mensaje. 7. Privacidad de los mensajes electrónicos.

7.1. Los usuarios deben tratar los correos electrónicos como de uso interno. Si se desea enviar información privada entre el remitente y el destinatario, se debe explicitar como RESERVADO O CONFIDENCIAL. 7.2. Está prohibido enviar archivos adjuntos, información confidencial a personas no autorizadas.


Versión 1




Políticas de seguridad en la identificación y autenticación de usuarios. Objetivo.

El departamento TI considera que todos los sistemas computacionales que permita acceder a la información que este administra, deben contar con un sistema de identificación de usuarios que permita garantizar que solo personal debidamente autorizado tiene acceso a la información considerando además solo el acceso a través de clave seguras. Esta es aplicable a todos los usuarios del HUAP, ya sean funcionarios de planta, contrata, honorarios y otros trabajadores, incluyendo las empresas que presten servicios en el HUAP.

Roles y responsabilidades. Jefe Departamento TI: Actuar de forma coordinada con el Departamento de RRHH, para la oportuna creación, modificación y eliminación de cuentas de usuario asociadas al personal del HUAP.

Establecer mecanismos de información para permitir a los usuarios supervisar la actividad normal de su cuenta, así como alertarlos oportunamente sobre actividades inusuales. Proponer controles y resguardo de claves de acceso con privilegios

Gestionar los accesos de usuarios a las aplicaciones en las que tienen derechos de administración, resguardarlas contraseñas de administración.

Gestionar los accesos de usuarios a las aplicaciones en las que tienen derechos de administración, resguardar las contraseñas de administración. Velar por que el desarrollo de las aplicaciones se realice en concordancia con los requisitos descritos en esta política.

Mantener un registro actualizado de las reasignaciones. Autorizar la asignación de usuarios y contraseñas para personal externo a la institución, cuando corresponda.

Encargado de Seguridad de la Información: Aprobar controles y resguardo de claves de acceso con privilegios. Gestionar la resolución de incidencias en el manejo de las cuentas de usuarios. Jefe de Departamento o Subdepartamento: Solicitar formalmente a la jefatura del departamento TI, cada vez que sea necesario realizar algún cambio en el perfil de privilegios de acceso para una cuenta de usuario de su dependencia. Departamento de RRHH: Actuar en forma coordinada con el Departamento de Tecnologías de Información, para notificar de las altas, bajas y traslados de miembros del personal. Funcionarios: Cada miembro del personal debe tener asignada una cuenta de usuario segura (con su correspondiente usuario y contraseña), para acceder a los recursos y


Versión 1




activos de información de la red informática institucional, y asumirá la responsabilidad de la correcta utilización de esta credencial.

Reglas de la política. 1. Identificación y contraseña requerida. 1.1. Antes de tener acceso a cualquier recurso de la red, todos los usuarios deben ser identificados por RR.HH. 1.2. Los equipos actualmente cuentan con Active Directory que es administrado por el departamento TI, Para tener un mayor control con los equipos de cada unidad y usuario. Se crea la cuenta dependiendo de su rol en la institución. 2. Protección de estaciones de trabajo.

2.1. Cada estación de trabajo aparte de tener su dominio definido por el active directory, cuenta con carpetas compartidas según necesidad del área. Las cuales se almacenan en un servidor dentro del departamento TI, que cuentan con contraseñas. Así como el servidor de carpetas compartidas cuenta con la contraseña para poder ingresar a dicha carpeta, también se les crea un acceso directo conectando una unidad de red directa a la carpeta solicitada, para no tener acceso a otras carpetas dentro del servidor. 2.2. El SSMC, entrega un informe cada cierto tiempo si es que se encontrara alguna carpeta en la red sin contraseña, esto a modo de seguridad. 3. Protección de los datos, uso de cuentas y contraseñas.

3.1. Las cuentas de usuarios y contraseñas, son entregadas a los funcionarios a cargo del equipo. Por lo tanto, el traspaso de éstas a usuarios o personas ajenas al establecimiento, pueden causar daños irreparables al equipo y los equipos de la red. 3.2. Los equipos instalados, con las aplicaciones y configuraciones originales instaladas no deben ser alterados sin acuerdo con el Departamento de Informática. 3.3. El uso de Antivirus esta normado según la máquina que le fue asignada y éste no debe ser alterado o cambiado unilateralmente. 4. Recordatorio de contraseñas. 4.1. Queda absolutamente prohibido anotar contraseñas de acceso en lugares públicos. 4.2. Cualquier contraseña encontrada en estos medios, será informada y podrá ser motivo de sanción.


Versión 1




Políticas de seguridad de pantallas y escritorios limpios. Objetivo.

El propósito de esta política es reducir los riesgos de acceso no autorizados, pérdida o daño en la información durante y fuera de las horas normales de trabajo. Esto aplica a pantallas y escritorios donde se procese información.

Roles y responsabilidades. Departamento de Tecnología de la información. Definir respecto a cómo tratar información que se manejan en los escritorios de los funcionarios y de acuerdo a la clasificación de la información definida por el HUAP. Implementar directrices de seguridad definidas para el manejo de la información.

Reglas de las políticas. 1. Ubicación y protección de equipamiento

1.1. Las áreas de trabajo de los usuarios deben localizarse preferentemente en ubicaciones que no queden expuestas al acceso de personas externas. 1.2. Los equipos que queden ubicados cerca de zonas de atención o tránsito de público deben situarse de forma que las pantallas no puedan ser visualizadas por personas no autorizadas y deben ser aseguradas, en lo posible, mediante candado de seguridad u otro medio que impida que sean sustraídos. 1.3. No se deben ingerir alimentos o bebidas cerca de los equipos o dispositivos de procesamiento de información, así como colocar o manipular líquidos en su cercanía. 1.4. Cuando sea aplicable, en los lugares donde se almacene información sensible, se deben implementar condiciones ambientales mínimas para el resguardo de los activos de la información como temperatura y humedad. 2. Equipamientos desatendido por el usuario

2.1. Toda vez que el usuario se ausente de su lugar de trabajo debe bloquear su estación de trabajo de forma de proteger el acceso a las aplicaciones y servicios de la institución. 2.2. Las estaciones de trabajo y equipos portátiles deben tener aplicado el estándar relativo protector de pantalla definido por informática, de forma que se active ante un tiempo sin uso. 3. Escritorio y pantallas limpias

3.1. Toda vez que el usuario se ausenta de su lugar de trabajo, junto con suspender la sesión de su equipo, debe guardar en lugar seguro cualquier documento, medio magnético u óptico removible que contenga información confidencial. 3.2. Al finalizar la jornada laboral, el usuario debe guardar en un lugar seguro los documentos y medios de contengan información confidencial o de uso interno, además de desconectarse de los computadores centrales, servidores y estaciones de trabajo de oficina cuando la sesión es finalizada.


Versión 1




3.3. Si el usuario está ubicado cerca de zonas de atención de público, al ausentarse de su lugar de trabajo debe guardar también los documentos y medios que contengan información de uso interno. 3.4. Los equipos como impresoras multifuncionales deben estar ubicados en lugar con acceso controlado y cualquier documentación confidencial o sensible se debe retirar inmediatamente del equipo.


Versión 1




Políticas de seguridad de Recursos Humanos. Objetivo.

La gestión de la seguridad de la información, depende principalmente de las personas que componen el servicio en este caso (RRHH). La información solo tiene sentido cuando es utilizada por las personas y son estas, quienes en el último término, deben gestionar adecuadamente este importante recurso en la institución. Por lo tanto, no se puede proteger adecuadamente la información sin una correcta gestión por parte de recursos humanos.

Roles y responsabilidades.

Departamento de RRHH Verificar antecedentes laborales y académicos del postulante. Contratar nuevos funcionarios por la Ley 18.834 y personal Honorario Suma Alzada. Emisión de prórrogas de contratos. Entregar información objetiva en respuesta a solicitudes de referencias de ex-funcionarios Del HUAP realizadas por entidades u organizaciones externas.

Jefe Directo Una vez que un funcionario deja de desempeñar funciones o prestar servicios para el HUAP, el jefe directo debe informar a las entidades y organizaciones externas con las que el funcionario mantenía contacto a nombre de la institución, que el ex-funcionario ya no cuenta con la autorización para actuar en representación de la misma. Competencias o funciones del departamento TI. Proteger los activos de la información con los que cuenta RR.HH es una tarea que no solo debe implicar al departamento TI, sino que debe ser compartida por las dos partes. Cada área juega un papel. TI se ocupa de la información, de sus sistemas y de sus equipos. Pero sin duda una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los recursos humanos, aspectos como la formación de los empleados, la capacitación y la selección de nuevos miembros, la gestión de empleados que abandonan la institución o la implementación de las normativas internas, son fundamentales en el tema que nos ocupa.

Reglas de la Política. 1. No Divulgación de información 1.1. Todos los funcionarios estarán sujetos a cláusulas de confidencialidad dadas por la criticidad y sensibilidad de la información que éstos manejen. En el caso del personal externo, y si el tipo de trabajo a realizar lo amerita, éstos deberán firmar un contrato de no divulgación de la información.


Versión 1




2. Propiedad Intelectual 2.1. Todos los productos, creaciones, desarrollos, campañas, trabajos, investigaciones, etc. logrados por un funcionario durante la vigencia de su contrato en el HUAP, serán de propiedad de la Institución. 3. Normas de seguridad para RRHH. 3.1. Es responsabilidad de cada funcionario estudiar y cumplir las políticas de seguridad de la información, así como por parte de informática entregar charlas o entrenamientos en materia de seguridad. 3.2. Es obligación de todo funcionario el informar las vulnerabilidades detectadas y violaciones de seguridad de la información al superior directo, para el reportarlo al departamento de TI. 3.3. Ningún funcionario puede violar los sistemas computacionales y redes de cualquier organización o individuo, ya sea dentro o fuera del horario de trabajo con recursos del HUAP. 4. Políticas ya realizadas a la seguridad de la información en RR.HH.

4.1. El área de recursos humanos cuenta con diversas carpetas compartidas que están almacenadas en nuestro servidor, para mayor protección de la información. 4.2. Gestionar respaldos de la información considerada como vital e importante, previamente por la jefatura del servicio.


Versión 1




Políticas de seguridad de servicio de internet. Objetivo.

Debido al creciente número de computadores instalados y haciendo uso de Internet compartida, el HUAP, ha decidido establecer políticas a seguir en el uso de Internet. Por lo que es necesario contemplar una serie de pautas de uso aceptable para el normal funcionamiento de la red.

Objetivo General: Mantener una red de comunicación expedita y segura para el normal funcionamiento del quehacer laboral. Objetivos Específicos: Resguardar la seguridad de la red de Intrusiones maliciosas, infecciones de virus y un control adecuado de la navegación Web y Spam de correos.

Roles y responsabilidades. Departamento de TI. Evaluar y autorizar las excepciones al software de navegación y a la configuración de este software. Definir estándar de software del cliente para navegación en Internet. Controlar la navegación de Internet. Informar al Comité de Seguridad las situaciones anómalas acontecidas. Enviar avisos por violación a las normas, políticas, procedimientos, estándares. Se debe mencionar que los bloqueos de páginas web en todo los equipos del HUAP los realiza Minsal y no informática. Funcionarios. Todo funcionario del HUAP tiene la obligación de informar al Encargado de Seguridad cualquier actividad que contravenga lo aquí estipulado o que simplemente le resulte sospechosa.

Reglas de las políticas.

1. Consideraciones 1.1. La red a la que pertenece el Hospital es una red nacional, que comunica los establecimientos de salud, llamada red MINSAL, ruta 5D.

La red actual del Hospital tiene un ancho de banda de 100 Mbytes, que le fue asignado por la Unidad de Administradora de Proyectos del Ministerio de Salud (MINSAL).

Actualmente existen alrededor de 600 computadores conectadas a la red del Hospital.

Existen 2 sistemas de control del uso de la red.

El primero de ellos lo establece el Ministerio por la aplicación Fortinet.


Versión 1




El segundo filtro, es nivel local que se trata de bloquear y averiguar sobre aplicaciones que levanten servidores proxy que le permita ver al usuario las paginas bloqueadas por el MINSAL.

1.2. La red cuenta con dos tipos de cuenta para privilegios en la red.

La primera es la que usa toda la red en la institución al configurarle una ip estática, la cual viene con bloqueos como redes sociales, youtube, radios y diversos bloqueos que no afecta con el trajo diario en sus labores.

La segunda se le llama ip de periodista que consta con algunos privilegios dentro de la red en los bloqueos de páginas web. pero aun así el Minsal bloquea algunos contenidos en la web (se asigna solamente por solicitud de directivos). Las cuales son limitadas ya que se satura la disponibilidad de la red.

1.3. La otra forma de entrar a la red del HUAP desde afuera, es mediante VPN las que se solicitan al Servicio de Salud por parte de informática. 2. Normas de uso de la Red

Generalidades de uso.

La red debe usarse para fines de uso laboral.

Las anormalidades de funcionamiento deberán informarse al Departamento de TI.

La detección de irregularidades en el uso de la red serán informados a las jefaturas correspondientes para seguir las conductas establecidas.

Usos de la red. Queda expresamente prohibidas las acciones de:

Tratar de hacer daño y/o intervenir a sistemas o equipos conectados a la red del establecimiento.

Diseminar virus y cualquier tipo de programas dañinos para sistemas de procesos de información. Se debe revisar con un antivirus actualizado todos los dispositivos de almacenamiento externo antes de su utilización dentro de la red hospitalaria.

Utilizar los medios de la red con fines comerciales no institucionales.

Congestionar intencionalmente enlaces de comunicaciones o sistemas de información, con archivos o programas que no son de uso en ambiente laboral.

Instalar periféricos, routers, equipos portátiles u otros que no sean del establecimiento, sin las autorizaciones pertinentes y conductos regulares.

El ingreso a páginas con contenido pornográfico y la utilización de recursos institucionales para la distribución o reproducción de este tipo de material.

El uso de juegos de conexión en línea y cualquier otro que se instale en el computador institucional.

Se recomienda, por el rendimiento de la red:

No instalar extensiones en los navegadores para poder desbloquear páginas.

No utilizar los servicios de Radio o TV en línea.

Utilizar el mínimo de ventanas de navegación en forma simultánea. Y si no está navegando cerrar el explorador.


Versión 1




3. Acceso autorizado y monitoreado.

3.1. Al interior del HUAP los usuarios solamente podrán conectarse a Internet usando los medios dispuestos por la institución y no podrán acceder a través de otros canales de Proveedores de Servicios de Internet, como aplicaciones proxi externas. 3.2. Todo usuario que requiera acceso a Internet desde la red del HUAP, deberá ser autorizado por la Jefa de Informática, mediante solicitud del área solicitante. 3.3. HUAP se reserva el derecho de restringir el acceso de los usuarios a ciertos sitios Web, así como también la restricción parcial o total de acceso a Internet de los mismos, a través del departamento TI. 3.4. Toda información entrante o saliente a Internet puede ser monitoreada y/o registrada para su posterior revisión sin previo aviso. 4. Software Cliente para Navegación Internet. 4.1. Sólo se pueden utilizar los browsers aprobados por el Comité de Seguridad de la Información, definidos como estándares del HUAP. 4.2. Todos los browsers deben ser configurados de acuerdo al área que se solicite, ya que dependiendo del sistema que ocupe, es el navegador que se le debe instalar. 5. Información obtenida.

5.1. Está prohibido visitar sitios de entretenimiento, redes sociales y divulgar información interna del HUAP sin la debida autorización del departamento TI, y además de su jefatura. 5.2. Todos los archivos traídos desde Internet, deben ser examinados por un software antivirus proporcionado y administrado por el Departamento de Tecnologías de Información 5.3. Cualquier actualización automática de información o software desde Internet hacia los computadores personales, debe ser realizada sólo por Departamento de Tecnologías de Información. 5.4. Todos los accesos a Internet deben pasar previamente por un filtro que permitirá discriminar y validar si se está infringiendo las disposiciones definidas por el HUAP. 6. Plan de contingencia ante caídas de sistemas y redes

El objetivo es establecer los mecanismos que permitan la ejecución de acciones orientadas a mantener en condiciones de operatividad y funcionalidad la infraestructura Informática del Hospital, facilitando con ello el cumplimiento de sus propósitos y objetivos. 6.1. Los servicios del Hospital, deberán solicitar soporte técnico vía ticket mediante soporte nivel 1, si el problema es muy grave y se necesita de ayuda inmediata lo puede hacer vía telefónica o correo electrónico, el soporte será entregado por personal técnico especializado quienes deberán brindar la asistencia y solucionar las incidencias reportadas por el usuarios. 6.2. Niveles de Servicio Se define como tiempo de solución al tiempo que transcurre desde que el técnico llega donde está ubicado el equipo del cual fue reportado el incidente hasta que fue restaurado el servicio. El incidente puede ser solucionado ya sea porque se realizó el soporte correctivo necesario o porque reemplazo temporalmente el equipo defectuoso.


Versión 1




6.3. Si el problema es definitivamente la red del HUAP, el departamento TI, se reporta a Entel que es nuestro proveedor del servicio de la red. 6.4. Plan de contingencia Florence Para esta contingencia existe un protocolo llamado “Protocolo del plan de contingencia en caso de impedimento de funcionamiento del sistema Florence en la unidad e emergencia”. El objetivo es definir y estandarizar las tareas y actividades de cada uno de los actores del sector de urgencia, ante el evento de ocurrir una contingencia que impida el funcionamiento del sistema Florence total o parcialmente. La idea es garantizar que la atención no se vea interrumpida ni mermada con la ocurrencia de esta contingencia. Responsable de la ejecución.

Enfermeros Jefes de turno.

Administrativos en turno en Admisión.

Enfermero selector.

Médicos y Odontólogos.

Administrativos Gestión de Usuarios.

Auxiliares y Técnicos Paramédicos (Servicio de urgencia y dental).

Administrativos de archivo de DAU (of 7).

Soporte Nivel Nº1.

Mantención.

Central Telefónica.

Estadísticas. En el protocolo de contingencia de Florence podremos ver los siguientes escenarios de cómo proceder en cada caso. Escenario Nº1: Corte de luz en toda la unidad por más de 15 minutos. Escenario Nº2: Caída del sistema Florence en toda la unidad de emergencia por más de 15 minutos. Escenario Nº3: Caída del sistema Florence o corte de energía en dental o urgencia por más de 15 minutos. Escenario Nº4: Caída del sistema Florence o corte de energía en admisión por más de 15 minutos.


Versión 1




Políticas de seguridad en la clasificación y manejo de la información. Objetivo. Se prevén medidas de seguridad a ser seguidas por todos los miembros que componen la institución con el propósito de proteger la información y normar los niveles de acceso y confidencialidad, a ser observadas y cumplidas por los involucrados en el uso y mantenimiento de los activos de informáticas en la organización.

Roles y responsabilidades. Este Procedimiento establece la Clasificación y Tratamiento de la información manejada por el HUAP, independientemente del soporte en el que se encuentre información, puede ser en documentos, sistemas de información, redes, sistemas de comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicio postal y cualquier otro elemento sensible. Recordar que todos los computadores en el HUAP son de bien público, por lo tanto toda la información que contenga el equipo le pertenece a la institución y esta no es personal. Es aplicable a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios y terceros (proveedores, compra de servicios, etc.), que presten servicios a la institución.

Reglas de las políticas. 1. Responsabilidades. 1.1. Responsabilidad de TI

Deberá establecer un plan de análisis de riesgo institucional.

Velará para que los equipos estén libres de vulnerabilidades a fin de reducir los riesgos a que puedan someterse.

Conformara un equipo de seguridad de la información con un miembro de cada departamento que pueda velar por la aplicación de las medidas de seguridad.

Velará por la seguridad de la información que se genere día a día.

Deberá almacenar en un lugar seguro todos los backups o copia de seguridad.

Se encargará de monitorear el uso indebido de todos los equipos tecnológicos por parte de los usuarios de la institución.

Velará por la instalación de programas que garanticen la seguridad de la información.

Asegurará que los encargados de áreas que manejan plataformas de datos electrónicos, se rijan por las políticas establecidas en este manual.

1.2. Responsabilidad de los usuarios.

Solo utilizará el correo electrónico Institucional para recibir y/o enviar correspondencia relacionadas con su trabajo.

Se asegurará de salvar y proteger la información que maneja.

No podrá transferir a terceros informaciones consideradas como confidenciales sin autorización previa.


Versión 1




Guardará la información de trabajo en la carpeta asignada para respaldo automático, garantizando así la integridad de la información.

Deberá borrar todos aquellos correos que no deban permanecer en los buzones ni en la papelera.

No deberá compartir la o las contraseña que le fueron asignadas.

No hará uso indebido de la información institucional que maneja. 2. Categorías de la clasificación de la información. La información se clasifica mediante su estado y nivel de confidencialidad, siendo: 2.1. Información Interna.

En tránsito: la información de uso interno, como son los respaldos a los actos administrativos. Ejemplo: acta, minuta, circular interna.

Producto final: documentos que soportan información, como son las Leyes, reglamentos, resoluciones, decretos, ordinarios etc.

2.2. Confidencialidad

Información confidencial: En general es aquella información con datos sensibles que pudieran afectar la integridad de los procesos y/o de las personas.

Información pública: Es aquella información cuya difusión pública ha sido aprobada. dicha autorización deberá ser otorgada por el propietario de la información.


Versión 1




Políticas de seguridad en la respuesta de incidentes de seguridad. Objetivo. Establecer las actividades necesarias en el HUAP, para la detección oportuna y tratamiento de debilidades o eventos que comprometan la seguridad de los Activos de Información de la Institución.

Roles y responsabilidades. Funcionarios: Informar cualquier evento o debilidad que pueda afectar la segundad de la información. Encargado de Seguridad de la información: es responsable de la aplicación de este procedimiento. Gestionar los eventos, debilidades e incidentes de seguridad de la información.

Reglas de la política. 1. Comité de seguridad de la información.

1.1 Todo el personal del HUAP, en coordinación con sus jefaturas, es responsable de notificar cualquier tipo de evento que pueda afectar el funcionamiento normal del Sistema de Seguridad de la Información de la Institución. Esta notificación se hará mediante correo electrónico, con los antecedentes del evento, a soporte HUAP ([email protected]) quien registrará el evento y derivará al Encargado de Seguridad. 1.2. Según el impacto del incidente, el Encargado de Seguridad de la Información debe contactar a la persona que reporto el incidente y a la jefatura del área relevante en un plazo no superior a 48 hr, para recolectar toda la información necesaria para el análisis del evento, registrando todos los antecedentes 1.3. Hecha la recolección de información sobre el incidente, el Encargado de Seguridad debe analizar los antecedentes. El resultado de dicho análisis puede tener las siguientes opciones:

El evento no corresponde a una amenaza: se cierra el registro de eventos, informando a la persona que reportó.

El evento correspondo a una debilidad: se gestiona las actividades de mitigación (con los dueños de los activos comprometidos, el área o unidad de competencia y/o Comité de Seguridad), dejando registro del incidente.

El evento ocurrió y debe ser gestionado como incidente: se activa el proceso de Gestión de Incidentes de Seguridad.

2. Gestión de incidentes de seguridad. 2.1. Disponibilidad de plataformas computacionales, comunicaciones e información, necesarias para soportar las operaciones definidas como de misión crítica en los tiempos esperados y acordados.

mailto:[email protected]


Versión 1




2.2. Tener equipos informáticos de respaldo o evidencia de los proveedores de equipos externos, de la disponibilidad de estos y tiempos necesarios para su instalación, en préstamo, arriendo o sustitución. 2.3. Existencia de documentación de los procedimientos manuales a seguir por los distintos procesos en el caso de urgencia cuando se cae el sistema o la red, durante el periodo de la contingencia y entrenamiento a los usuarios en estos procedimientos. 2.4. Existencia de respaldo, para restaurar equipos, aplicativos, sistemas operativos, bases de datos, archivos de información, entre otros. 2.5. Disponibilidad de copias de respaldo para restablecer las operaciones en las áreas de misión crítica definidas.


Versión 1




Políticas de seguridad física. Objetivo. Definir las directrices y requisitos para los perímetros de seguridad, controles de ingreso y protección física para resguardar las áreas donde se almacena o procese información sensible, y existen medios de procesamiento de información.

Roles y responsabilidades. Departamento de Administración de seguridad (Guardias del HUAP). Generar y difundir las directrices para la seguridad de los perímetros físicos del HUAP. Implementar cuando sea requerido los controles de acceso físico a áreas críticas.

Autoridades y Jefaturas de División. Definir las áreas críticas de su dependencia. Gestionar y controlar los accesos a áreas críticas de su dependencia

Data Center (SSMC). Data center es un área que pertenece al SSMC dentro del HUAP. Por lo tanto el encargado de data center debe contar con sus propios protocolos de seguridad para el ingreso a su área. Recursos Físicos. Designar personal responsable de los tableros de distribución eléctrica y UPS. Prevención de riesgo. En cada área de la entidad considerada críticas deberán existir elementos de control de incendio. En caso de que equipos del departamento TI, sufran algún desperfecto que causara algún incendio. Proveer de señalizaciones e información con cada estamento de la institución, y para vías de escape.

Departamento TI. Garantizar que el acceso físico a las instalaciones de equipos computacionales y de telecomunicaciones, las cual se realizaran bajo medidas de seguridad que permitan que únicamente el personal autorizado pueda manipular o tener contacto con los equipos activos y sensibles para la operación.

Reglas de políticas. 1. Reglas generales de acceso. 1.1. El personal del HUAP y externos que trabajan habitualmente en la institución, deben portar siempre su credencial en un lugar visible. 1.2. El acceso de personal interno o externo a una dependencia restringida, debe quedar registrado, detallando nombre, empresa, motivo del ingreso, fecha y hora del ingreso y egreso. Durante su permanencia debe estar siempre acompañado por personal debidamente autorizado.


Versión 1




1.3. Cuando un funcionario termina su relación laboral en el HUAP, sus permisos de acceso a dependencias deben ser revocados y su credencial debe ser retenida. 2. Sala de Data Center

2.1. Data center le corresponde al SSMC y ellos cuentan con sus propias políticas de seguridad. Pero cuentan con nuestra disposición para cualquier necesidad que se les presente. 3. Suministro Eléctrico. 3.1. Disponer de un adecuado suministro de energía de respaldo, necesario y suficiente para mantener los sistemas críticos a través de UPS y grupos electrógenos. 3.2. Identificar en forma adecuada la toma de energía conectadas a UPS para evitar conectar otro tipo de elementos. 3.3 Los tableros de distribución eléctrica deben mantenerse protegidos, no deben estar expuestos al público en general, donde puedan ser dañados o manipulados 3.4. Solicitar a recursos físicos nos avise con anticipación los cortes proyectados, para tener el tiempo de informar a los usuarios que guarden su información. Y una vez realizado se procede a apagar los equipos y desenchufar de la parte eléctrica. 3.5. Cuando los cortes no son contemplados por recursos físicos, se procede a la revisión de la sala de servidores además de los equipos que se reporten con problemas. 3.6. Revisar los servidores que se encuentran en cada piso que cuenten con UPS, los cuales se solicitara ayuda a eléctricos del HUAP. 3.7. Revisar servidores internos y UPS que cuenta el departamento TI. 4. Humedad, Ventilación y Aire Acondicionado.

4.1. Las condiciones ambientales de la sala deben cumplir con los requerimientos mínimos de temperatura y humedad de los equipos que alberga. 4.2. Instalaciones con sala de servidores deben contar con aire acondicionado. 5. Prevención por Daño de Fuego y Agua

5.1. Frente a una emergencia, la prioridad de salvamento serán siempre las personas, sin embargo es conveniente y necesario que el personal sea instruido (Prevención de riesgo) y entrenado en métodos de control de pérdidas para rescatar elementos que puedan ser de suma importancia para la labor del usuario. 6. Como parte del rol de Guardias y Vigilantes se considera.

6.1. Conocer la ubicación y disposición de los espacios físicos de las salas como, Data Center y la sala de Equipos de Comunicaciones, así como la importancia de prevenir accesos no autorizados a las mismas. 6.2. Reconocer elementos computacionales, discos portables o removibles y computadores portátiles y periféricos de fácil transporte, para prevenir robos.


Versión 1




7. Prevención de TI.

7.1. Los lugares de trabajo deben localizarse preferentemente en ubicaciones que no queden expuestas al acceso de personas externas a la institución. De esta forma se protege tanto al equipamiento tecnológico como los documentos que pudiera estar utilizando el funcionario. 7.2. Los activos de información que requieren protección especial se deben aislar de accesos no autorizados. 7.3. Las centrales de conexión o centros de cableado deben ser catalogados como zonas de alto riesgo, con limitación y control de acceso. 7.4. Los equipos como, (PC, servidores, equipos de comunicaciones, entre otros) no deben moverse o reubicarse sin la aprobación previa de TI. 7.5. Los funcionarios se comprometen a no utilizar la red de energía para conectar equipos eléctricos diferentes a su equipo de trabajo que generen caídas de la energía. 7.6. Los particulares en general, entre ellos, los familiares de los funcionarios, no están autorizados para utilizar los recursos informáticos de la entidad. 7.7. Los equipos cuentan todos con candado de seguridad para proveer la opción de robos de equipamiento en la institución.


Versión 1




Políticas de seguridad para el control de acceso físico de personas y equipos.

Objetivo. El Departamento de Tecnologías de Información se considera una dependencia sensible que requiere controles de acceso de acuerdo a dicha sensibilidad, al igual que otras dependencias del HUAP que contengan información confidencial. Esta política regirá independiente de la propiedad de la unidad de TI, (interna o externa).

Roles y responsabilidades. Representante del Comité de Seguridad de la Información Aprobar condiciones de seguridad para todo equipamiento que tenga información clasificada como confidencial. Definir los niveles de seguridad asociados a cada área, así como los controles adecuados en cada nivel. Departamento de Tecnologías de Información Actualizar inventario de equipos de computacionales. Autorizar traslado de equipos de computación o de comunicaciones

Reglas de la política. 1. Personal.

1.1. El personal del HUAP y el personal de terceros autorizados, deben portar siempre su identificación en un lugar visible. 2. Visitas.

2.1. A las visitas autorizadas a ingresar al HUAP, se les debe exigir su identificación y firma en el registro de ingreso en el caso de zonas restringidas. Se les debe entregar una tarjeta de visita que señale el área a la que se le autoriza, la que se debe portar en un lugar visible. 3. Áreas que contienen Información Sensible.

3.1. El acceso a oficinas, o áreas de trabajo que contengan información sensible debe estar físicamente restringido. 3.2. El Comité de Seguridad de la Información debe definir los niveles de seguridad asociados a cada área, así como los controles adecuados en cada nivel. 4. Registro del Acceso

4.1. El acceso de personal interno o externo a una dependencia restringida, debe quedar registrado, detallando nombre, empresa, motivo del ingreso, fecha y hora


Versión 1




del ingreso y egreso. Durante su permanencia debe estar siempre acompañado por personal debidamente autorizado. 5. Accesos Revocados

5.1. Cuando un trabajador termina su relación laboral, sus permisos de acceso a dependencias deben ser revocados. Por lo mismo, la lista de personas y permisos debe ser actualizada periódicamente, por RR.HH. 6. Salas de Computadores y Comunicaciones

6.1. Todo equipamiento que tenga información confidencial, debe estar configurado con el estándar de condiciones de seguridad definidas en el HUAP y aprobadas por el Departamento de Tecnologías de Información. 6.2. Las dependencias que contengan computadores multi-usuario y equipos de comunicaciones (switches y routers) y consolas de administración, deben ser monitoreados por el departamento TI. 7. Traslados de equipos.

7.1. Todo traslado de Equipamiento Computacional desde su ubicación original dentro de la misma unidad o dependencia a otra debe ser comunicado y coordinado con el departamento de Informática del HUAP. 7.2. De generarse problemas con los traslados de equipamiento informático realizados sin conocimiento y coordinación con el departamento de informática, será de total responsabilidad del jefe de área. 7.3. Los pasos a seguir para el procedimiento de traslado de los equipos son las siguientes:

Se envía solicitud mediante jefatura.

Se analiza factibilidad técnica (Existencia red de datos, eléctrica, etc.)

Si cuenta con toda las características mencionadas se realiza el cambio.

Si no es el caso se le entrega un informe a su jefatura con lo que debe requerir para efectuar el cambio deseado.

8. Robo o pérdida de equipos. 8.1. A partir de las políticas definidas, el departamento de informática, determinara los pasos a seguir para el inventario de los equipos que se reporten como sustraídos o robados. 8.2. El usuario de un equipo asignado deberá reportar dentro de veinticuatro (24) horas cualquier pérdida o sustracción del mismo, tanto a su jefatura como al área de informática. 8.3. Informática se encargara de realizar los procesos pertinentes para que se establezca responsabilidad ante dicha pérdida.

Se realiza una denuncia ante carabineros.

En el caso de equipos con proyectos externos, con el número de parte de carabinero se le reporta a la empresa.

8.4. A todo equipamiento que se encuentre en arriendo se le realizara un sumario por el robo o pérdida del equipo al usuario involucrado.


Versión 1




9. Normas para equipos externos.

9.1. En el caso de personal externo como empresa privada o auditores, que porten su propio notebook, se accederá a configurar la red y las aplicaciones que estimen convenientes. Previamente sea justificado por la jefatura del área que lo esté solicitando, solo si el equipo se usa para fines laborales. 9.2. A los equipos portátiles personales no se les brindará soporte de ninguna índole: ni hardware ni de software, porque no son responsabilidad de la entidad por ende el dueño debe hacerse cargo y responsable de su computador. 9.3. La dirección IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorización del departamento TI, porque esto ocasionaría conflictos de IP’S y esto alteraría el flujo de la red.


Versión 1




Normas para solicitud de teléfonos IP.

Los teléfonos Ip serán solicitados mediante la jefatura de la unidad solicitante a la jefa de informática que evaluara su factibilidad.

Todo teléfono entregado visualizara el nombre del usuario, cargo o unidad donde se desempeña el usuario, todo bajo solicitud por su jefatura al encargado de informática.

El teléfono no se puede cambiar su ubicación de instalación sin previa información y autorización del departamento de informática el cual revaluara la factibilidad técnica, operativa y económica para realizar su traslado.

La solicitud de salida a celular, a red fija, cambios de nombre o número de anexo, deben ser solicitado de la jefa del área a la Jefatura del departamento TI.


Versión 1




Normas preventiva de mantención de equipamiento computacional.

Aplicar procedimientos a los equipos que se encuentren en el HUAP, a partir de las normas establecidas y especificaciones para realizar un correcto mantenimiento preventivo y correctivo de los computadores para mantener un óptimo estado de funcionamiento y poder detectar a tiempo cualquier indicio de falla o dañó en sus componentes.

Retiro y traslado de equipamiento computacional a dependencia de informática.

Verificación del incidente informado por el usuario.

Si incidente corresponde a Plataforma Computacional

Respaldo de Información

Instalación de Sistema Operativo, Programas Ofimática, Antivirus

Configuración de parámetros de Red área local, sistemas informáticos y Periféricos anexados a Equipo.

Entrega de Equipo a usuario, chequeo de información y conectividad.

Si incidente corresponde a Hardware

Se genera Ticket a mesa de ayuda correspondiente al equipo con problemas coordinando visita técnica o reposición de Equipo.


Versión 1




Normas de regulación de estaciones de trabajo.

Cualquier departamento o unidad que solicite la compra o ampliar el convenio de arriendo de algún equipo computacional deberá ser solicitado al Departamento de Informática, el cual les dará las prioridades que se deben tener en cuenta al momento de gestionar una compra.

Cualquier departamento o Unidad que desee adquirir un Equipo computacional deberá informar al Departamento de Informática, con el objetivo de verificar si hay punto de dato en el caso que quisiese incorporarse a la Red y revisar si los enchufes eléctricos cumplen con las normas aceptables para los Equipos.

La entrega del equipo debe ser aprobada por el subdirector administrativo o director.

La marca de los equipos o componentes deberán tener presencia y permanencia, como también su asistencia técnica.

En toda compra se deberá solicitar la Licencia de uso, documentación y garantía respectiva del Sistema Operativo que el Departamento de Informática estime conveniente.

Al adquirir o arrendar Estaciones de Trabajo estas deberán cumplir con los requisitos propuestos por el departamento TI, esto con el objeto de mantener una estandarización de los computadores.


Versión 1




Normas de manejo de impresoras.

Buscando regular la impresión de documentos innecesarios por parte de los usuarios de las impresoras asignadas y establecer un control interno, se han establecido los siguientes lineamientos:

TI se encargará de monitorear el uso de las impresoras de red.

TI, llevara un control de impresiones por usuario de cada estamento, para tener un control de sus copias.

Todo los reportes como problemas con los tóner, maquinas con problemas, etc. Sera reportada al departamento de TI.

Las impresoras a color solo serán utilizadas para imprimir documentos que exclusivamente requieran ser impresos a color, no para hacer pruebas ni borradores.

Coordinara con los encargados de las áreas la concientización del personal para su área sobre el uso indebido de las impresoras.

No se imprimirán trabajos que no tengan relación con la institución.

Cada área solicitara el papel de impresión a utilizar y será responsable del uso del mismo.

Se reportara bajo informes el uso indebido de las impresoras.

No podrán imprimir documentos personales, ni a terceras personas en los equipos de la institución.

Hará buen uso del material de trabajo disponible en el área para sus impresiones.


Versión 1




Normas de administración de respaldos automáticos.

Se cuenta con un servidor de respaldos dentro del departamento de TI, la finalidad de este servidor es poder contar con una aplicación que procese respaldos automáticos mensualmente.

Los respaldos automáticos son solicitados mediante la dirección.

Se le asignara al usuario una carpeta en el escritorio donde deberá ingresar los documentos más relevantes para su labor.

No se respaldara (música, videos, fotos o material que no corresponde a lo laboral.

Se respaldara el pst del usuario, para tener un respaldo de su correo electrónico (Outlook).

En cada estación de trabajo se instala la aplicación cobian backp 10, esta aplicación solo el departamento TI, tendrá acceso a ella.

El respaldo se realiza una vez al mes, se estima pertinente que se realicen en distintas fechas y en la hora de colación del usuario para no afectar la lentitud en la red.


Versión 1




Derechos y responsabilidades de los usuarios. Cualquier usuario que tenga una Estación de Trabajo o algún dispositivo computacional tiene derechos y responsabilidades sobre ella, a continuación se detallan: • Todos los usuarios podrán solicitar la asistencia técnica al Departamento de TI, en el momento en que los dispositivos presenten algún desperfecto en el funcionamiento. • Todos podrán solicitar algún informe sobre el funcionamiento de su estación de trabajo o dispositivo computacional si se estima que presenta anomalías y afecta directamente sobre el funcionamiento diario de su gestión. • Cada usuario tiene derecho de privacidad sobre su información que se encuentre en su estación de trabajo. • Todos los usuarios deberán velar por el adecuado uso de la Estación Trabajo que le fue asignado para su labor diaria. Esto significa que son responsable tanto de los accesorios como del software instalado autorizado por el Departamento de TI. • Ningún usuario podrá instalar Software de carácter personal y que además no posean licencia de uso en la estación de trabajo que le fue asignado. • Los usuarios no podrán ingerir ningún tipo de alimento y/o bebida cuando estén trabajando en la Estación de Trabajo. Cualquier problema por causa de lo descrito anteriormente será responsabilidad del usuario. • Ningún usuario podrá dejar la Estación de Trabajo encendida después de la hora laboral salvo excepciones, como personal de turnos o administrativos de turno. • Cualquier usuario que cuente con una Estación de Trabajo y se le sorprenda haciendo uso de sitios Web o aplicaciones que transmitan música o video usando la conexión a Internet, en primera instancia se le notificará al usuario y al jefe directo de dicha anomalía y si persisten se le bloqueara el acceso a Internet. • El usuario puede solicitar un informe a informática para dar de baja sus equipos.


Versión 1




Sistemas y software utilizados en el HUAP.

El Hospital cuenta con diversos sistemas y software que son instalados según su área. Cuando un usuario lo requiera se instalarán las Aplicaciones de Propósito Específico previa autorización y justificación de dicha solicitud.

Software:

Orden (Antiguo HIS - Actual RP)

Florence Clínico (HIS)

Florence Gestión (HIS)

Rpec RNI (Registro Nacional de inmunizaciones)

Winsis (Biblioteca)

Winsig (Evaluador de costos de pacientes)

SIRH (Sistema de RRHH)

Sistema de Facturación de cobranza (Cliper)

Sistemas:

Abex - Pharmakeia URL - http://10.9.83.120/

Documento Tributario (factura electrónica) URL

https://facture.aspandino.com/suite50/dbnWeb/dbnLogin.aspx?ReturnUrl=%2fsuite50%2fdefault.aspx

Help Desk Equipos Médicos (sistema de ticket) URL - http://10.6.15.217/rrff/

Help Desk Recursos Físicos(sistema de ticket) URL - http://10.6.14.22/infraestructura/

Sistema de Inventario URL - http://10.6.15.86/ocsreports/

Sistema de Laboratorio URL - http://10.6.14.114/ASP/WEBLAB/INICIO.ASP

Sistema de Rayos URL - http://10.6.16.28/ZFP?lights=off

http://10.9.83.120/



http://10.6.15.217/rrff/

http://10.6.14.22/infraestructura/

http://10.6.15.86/ocsreports/

http://10.6.14.114/ASP/WEBLAB/INICIO.ASP

http://10.6.16.28/ZFP?lights=off


Versión 1




Sistema de Telemedicina URL - http://10.6.16.13/Portal/Login.aspx?ReturnUrl=%2fportal

RNQ (Sistema de Quemados) URL - http://10.6.14.14:8080/rnqs/

Sigfe URLhttp://www.sigfe.gob.cl/sigfe/faces/autenticacion?_afrLoop=394572255413219&_a

frWindowMode=0&_adf.ctrl-state=15tj69p48n_4

SISQ (Sistema gestión de calidad) URL - http://sisq.minsal.cl/Inicio.htm

Sistema de Ticket Informática URL - http://10.6.15.250/otrs/

Sistema Gesra (Gestión cama) URL - http://10.6.14.43/GestionCama/login.aspx

IAmetrics (GRD) URL - http://10.84.71.80/iametrics/privateaccountsite/login/index

Carta de Resguardo (Gestión cama) URL - http://10.6.14.14:8080/CartaRespaldo/

ClinicalKey (buscador para docencia) URL https://www.clinicalkey.es/#!/

SIAPER (sistema de información del personal del estado) URL - http://siaper.contraloria.cl/opencms/opencms/siaper/index.html

SIPA (Sistema integrado paciente y agenda) URL - http://10.6.14.15/Sipa/vista.aspx

SIDOT (Sistema integrado de donación y trasplante) URL - https://sidot.minsal.cl/login

SUR-VIH URL - https://survih.minsal.cl/Login.aspx?ReturnUrl=%2f

AUTOCONSULTA (Information de RRHH al usuario) URL - http://10.6.15.15/autoconsulta/

http://10.6.16.13/Portal/Login.aspx?ReturnUrl=%2fportal

http://10.6.14.14:8080/rnqs/

http://www.sigfe.gob.cl/sigfe/faces/autenticacion?_afrLoop=394572255413219&_afrWindowMode=0&_adf.ctrl-state=15tj69p48n_4

http://www.sigfe.gob.cl/sigfe/faces/autenticacion?_afrLoop=394572255413219&_afrWindowMode=0&_adf.ctrl-state=15tj69p48n_4

http://sisq.minsal.cl/Inicio.htm

http://10.6.15.250/otrs/

http://10.6.14.43/GestionCama/login.aspx

http://10.84.71.80/iametrics/privateaccountsite/login/index

http://10.6.14.14:8080/CartaRespaldo/

https://www.clinicalkey.es/#!/

http://siaper.contraloria.cl/opencms/opencms/siaper/index.html

http://10.6.14.15/Sipa/vista.aspx

https://sidot.minsal.cl/login

https://survih.minsal.cl/Login.aspx?ReturnUrl=%2f

http://10.6.15.15/autoconsulta/

Documents

Politicas y normas de la seguridad Informatica