DISTRIMED LTDA UNA OPCION DIFERENTE EN EL SUMINISTRO DE MEDICAMENTOS GENERICOS Y ESPECIALIZADOS

DOYLE E. LINERO JULIETTE K. PAREDES A. YEINIS P. VALDES P. FRANCISCO JAIR

PRESENTACIN

DISTRIMED LTDA es una empresa privada encargada de la venta y comercializacin de medicamentos hospitalarios contemplados en el plan obligatorio de salud (genrico y comercial) insumo y equipos mdicos y odontolgicos y dems especialidades en el rea de la salud.

INTRODUCCION

El establecimiento de una poltica de seguridad informtica es una necesidad para las empresas que utilizan las redes como una forma de mejora en procesos y de poder competir en un mundo globalizado. Las polticas vienen a representar una forma de hacer y manejar a consciencia todos los aspectos tecnolgicos de la organizacin ya que de no hacerlo as podran ocasionar serios problemas a la organizacin.

Cuando hablamos de Informtica nos referimos a todos los recursos que estn relacionados con el manejo de la informacin y, como es sabido, la informacin viene a representar el motor en la era digital en la que nos estamos moviendo. Dada la importancia de esta informacin para todos los procesos en un organizacin ser necesario mantenerla segura, para que se encuentre en donde se necesita, en el momento que se necesita y en las condiciones que es requerida. Estos recursos informticos pueden sufrir diferentes daos los cuales pueden provenir tanto del interior como del exterior de la organizacin. Por ejemplo: Robo, destruccin, uso no autorizado. Deben existir controles que de alguna manera realicen actividades de prevencin, deteccin y correccin de cualquier problema con los recursos informticos. Las estadsticas de ataques informticos muestran que ms del 70% provienen de gente que se encuentra dentro de la organizacin, la cual tiene el conocimiento de las vulnerabilidades de los sistemas y de cuales son los datos ms sensibles en una organizacin.

OBJETIVOS

OBJETIVO GENERAL

Elaborar y presentar el manual de polticas de seguridad informtica que debe implementar DISTRIMED LTDA.

OBJETIVOS ESPECIFICOS

Salvaguardar los datos e informacin contra los riesgos de destruccin

prdida, integridad, disponibilidad y repudio, con las polticas, normas y procedimientos de las leyes vigentes y reglamentaciones implantados por los organismos regula torios.

utilizar y disponer e de una adecuada informacin de funciones para el

acceso a cualquier dato o informacin de DISTRIMED LTDA.

Mantener las Polticas de Seguridad informtica actualizada, para que

de este modo est protegida toda la informacin y no sea vulnerada por terceros.

POLITICAS DE SEGURIDAD INFORMTICA PARA DISTRIMED LTDA

1) Las personas autorizadas son las que hacen uso de los archivos y

programas:

1.1)

Todas las personas que trabajan para Avatar distrimed ltda, as como los terceros que prestan servicios, debern tener acceso slo a la informacin necesaria para el desarrollo de sus actividades laborales y con el nico propsito del cumplimiento de las mismas.

1.2)

Todo usuario que requiera acceder a datos o informacin de distrimed ltda, deber poseer un cdigo de usuario que lo acredite frente al mismo, el cual ser exigido previo a su ingreso y validado por un mecanismo de comprobacin que certifique la validez del mismo. Dicho cdigo es personal e intransferible siendo su propietario responsable por su uso y toda actividad realizada con la misma.

1.3) or ningn motivo los archivos y programas dpueden ser utilizados por personal ajeno a distrimed,esto incluye a familiares, amigos y allegados del personal.

2) La informacin que se enva por lo red llega al destinatario

correctamente:

2.1) Antes de proporcionar cualquier informacin por medio telefnico o electrnico, todo servidor de ditrimed ltda debe verificar la identidad del receptor, exigindole el nmero de identificacin interno y formulndole preguntas de seguridad que el sistema de verificacin le proporcione.

2.2) En general todo empleado debe estar alerta y cuidar los lugares que visita, personas extraas que lo observar, estar atento ante posibles seguimientos e interceptaciones con el fin de obtener informacin relacionada con las actividades y procesos de distrimed ltda.

3) Inventario de Activos

Se identificarn los activos importantes asociados a cada sistema de informacin, sus respectivos propietarios y su ubicacin, para luego elaborar un inventario con dicha informacin.

3.1) Clasificacin de la Informacin

Para clasificar un Activo de Informacin, se evaluarn las tres caractersticas de la informacin en las cuales se basa la seguridad: confidencialidad, integridad y

disponibilidad. A continuacin se establece el criterio de clasificacin de la informacin en funcin a cada una de las mencionadas caractersticas: Confidencialidad:
Informacin que puede ser conocida y utilizada sin autorizacin por

cualquier persona, sea empleado dela organizacin o no. PUBLICO

Informacin que puede ser conocida y utilizada por todos los empleados de

la organizacin y algunas entidades externas debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves

3.2) Reservada Uso Interno

Informacin que slo puede ser conocida y utilizada por un grupo de

empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas a la empresa.

3.3) Reservada Confidencial

Informacin que slo puede ser conocida y utilizada por un grupo muy

reducido de empleados, generalmente de la alta direccin del Organismo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al mismo.

3.4) Reservada Secreta

Integridad:

 Informacin cuya modificacin no autorizada puede repararse fcilmente, o

no afecta las operaciones dentro de la organizacin.

Informacin cuya modificacin no autorizada puede repararse aunque

podra ocasionar prdidas leves para la empresa, o terceros.

Informacin cuya modificacin no autorizada es de difcil reparacin y

podra ocasionar prdidas significativas para la organizacin, y/o terceros

Informacin

cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves a la organizacin o a terceros.

Disponibilidad:
Informacin cuya inaccesibilidad no afecta la operatoria del Organismo.

Informacin cuya inaccesibilidad permanente durante (definir un plazo no

menor a una semana) podra ocasionar prdidas significativas para la organizacin y/o clientes.

Informacin cuya inaccesibilidad permanente durante. (definir un plazo no

menor a un da) podra ocasionar prdidas significativas a la organizacin o a terceros.

Informacin cuya inaccesibilidad permanente durante (definir un plazo no

menor a una hora) podra ocasionar prdidas significativas a la organizacin, al Sector Pblico Nacional o a terceros

4) SEGURIDAD DEL PERSONAL:

La seguridad de la informacin se basa en la capacidad para preservar su integridad, confidencialidad y disponibilidad, por parte de los elementos involucrados en su tratamiento: Equipamiento, software, procedimientos, as como de los recursos humanos que utilizan dichos componentes. En este sentido, es fundamental educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situacin de revista, acerca de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en materia de seguridad y asuntos de confidencialidad.

4.1) Control y Poltica del Personal: Se llevarn a cabo controles de verificacin del personal en el momento en que se solicita el puesto.

4.2) Compromiso de Confidencialidad: Como parte de sus trminos y condiciones inciales de empleo, los empleados, cualquiera sea su situacin de revista, firmarn un Compromiso de Confidencialidad o no divulgacin, en lo que respecta al tratamiento de la informacin del Organismo. La copia firmada del compromiso deber ser retenida en forma segura por el rea de Recursos Humanos u otra competente. Asimismo, mediante el Compromiso de Confidencialidad el empleado declarar conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de

control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad Del empleado.

4.3) Trminos y Condiciones de Empleo: Los trminos y condiciones de empleo establecern la responsabilidad del empleado en materia de seguridad de la informacin. Cuando corresponda, los trminos y condiciones de empleo establecern que estas responsabilidades se extienden ms all de los lmites de la sede del Organismo y del horario normal de trabajo. Los derechos y obligaciones del empleado relativos a la seguridad de la informacin, por ejemplo en relacin con las leyes de Propiedad Intelectual o la legislacin de proteccin de datos, se encontrarn aclarados e incluidos en los trminos y condiciones de empleo.

4.5) Capacitacin del Usuario: Formacin y Capacitacin en Materia de Seguridad de la Informacin Todos los empleados del Organismo y, cuando sea pertinente, los usuarios externos y los terceros que desempeen funciones en el organismo, recibirn una adecuada capacitacin y actualizacin peridica en materia de la poltica, normas y procedimientos del Organismo. Esto comprende los requerimientos de seguridad y las responsabilidades legales, as como la capacitacin referida al uso correcto de las instalaciones de procesamiento de informacin y el uso correcto de los recursos en general, como por ejemplo su estacin de trabajo. El Responsable del rea de Recursos Humanos ser el encargado de coordinar las acciones de capacitacin que surjan de la presente Poltica.

4.6) Respuesta a Incidentes y Anomalas en Materia de Seguridad: Comunicacin de Incidentes Relativos a la Seguridad Los incidentes relativos a la seguridad sern comunicados a travs de canales gerenciales apropiados tan pronto como sea posible. Se establecer un procedimiento formal de comunicacin y de respuesta a incidentes, indicando la accin que ha de emprenderse al recibir un informe sobre incidentes. Dicho

procedimiento deber contemplar que ante la deteccin de un supuesto incidente o violacin de la seguridad, el Responsable de Seguridad Informtica sea informado tan pronto como se haya tomado conocimiento. Este indicar los recursos necesarios para la investigacin y resolucin del incidente, y se encargar de su monitoreo. Asimismo, mantendr al Comit de Seguridad al tanto de la ocurrencia de incidentes de seguridad. Comunicacin de Anomalas del Software Se establecern procedimientos para la comunicacin de anomalas de software, los cuales debern contemplar: Registrar los sntomas del problema y los mensajes que aparecen en pantalla. Establecer las medidas de aplicacin inmediata ante la presencia de una anomala. Alertar inmediatamente al Responsable de Seguridad Informtica o del Activo de que se trate. Se prohbe a los usuarios quitar el software que supuestamente tiene una anomala, a menos que estn autorizados formalmente para hacerlo. La recuperacin ser realizada por personal experimentado, adecuadamente habilitado

Utiliza Firewalls Utiliza y actualiza Antispyware

cin de informacin (Criptografa)

de datos desde laptops

NOTA: MIRA SI LA SGTE INFORMACIN TE SIRVE, YO CREO Q SI. ESPERO Y SIRVA DE ALGO, ESO ME LO PASARON DE UN TRABAJO EN OTRA COSA

1.1.OTROS ASPECTOS LEGALES IMPORTANTES EN LA SEGURIDAD

INFORMTICA
Salvaguardar la seguridad Reconocer los derechos de terceros Evitar causar daos a los derechos de propiedad intelectual Reconocer los derechos individuales y colectivos a la privacidad de la

informacin
Conocer y comprender la legislacin, normativas y estndares aplicables, y

hacer que los profesionales informticos las cumplan en su trabajo

Reconocer los derechos humanos bsicos y evitar aquellas acciones que

tengan un efecto adverso sobre dichos derechos

2. LEY DE DELITOS INFORMTICOS EN COLOMBIA

La Ley 1273 de 2009 cre nuevos tipos penales relacionados con delitos informticos y la proteccin de la informacin y de los datos con penas de prisin de hasta 120 meses y multas de hasta 1500 salarios mnimos legales mensuales vigentes.

El 5 de enero de 2009, el Congreso de la Repblica de Colombia promulg la Ley 1273 Por medio del cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado De la Proteccin de la informacin y de los datosy se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. Dicha ley tipific como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurdicamente para evitar incurrir en alguno de estos tipos penales. No hay que olvidar que los avances tecnolgicos y el empleo de los mismos para apropiarse ilcitamente del patrimonio de terceros a travs de clonacin de tarjetas bancarias, vulneracin y alteracin de los sistemas de cmputo para recibir servicios y transferencias electrnicas de fondos mediante manipulacin de programas y afectacin de los cajeros automticos, entre otras, son conductas cada vez ms usuales en todas partes del mundo. Segn la Revista Cara y Sello, durante el 2007 en Colombia las empresas perdieron ms de 6.6 billones de pesos a raz de delitos informticos. De ah la importancia de esta ley, que adiciona al Cdigo Penal colombiano el Ttulo VII BIS denominado "De la Proteccin de la informacin y de los datos" que divide en dos captulos, a saber: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informticos y De los atentados informticos y otras infracciones. El captulo primero adiciona el siguiente articulado (subrayado fuera del texto): - Artculo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMTICO. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes. - Artculo 269B: OBSTACULIZACIN ILEGTIMA DE SISTEMA INFORMTICO O RED DE TELECOMUNICACIN. El que,sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informtico, a los datos informticos all contenidos, o a una red de telecomunicaciones, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de

100 a 1000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. - Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden judicial previa intercepte datos informticos en su origen, destino o en el interior de un sistema informtico, o las emisiones electromagnticas provenientes de un sistema informtico que los trasporte incurrir en pena de prisin de treinta y seis (36) a setenta y dos (72) meses. - Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes. - Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes. - Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes. Al respecto es importante aclarar que la Ley 1266 de 2008 defini el trmino dato personal como cualquier pieza de informacin vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurdica. Dicho artculo obliga a las empresas un especial cuidado en el manejo de los datos personales de sus empleados, toda vez que la ley obliga a quien sustraiga e intercepte dichos datos a pedir autorizacin al titular de los mismos. - Artculo 269G: SUPLANTACIN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilcito y sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o ventanas emergentes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena ms grave. En la misma sancin incurrir el que modifique el sistema de resolucin de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente

en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena ms grave. La pena sealada en los dos incisos anteriores se agravar de una tercera parte a la mitad, si para consumarlo el agente ha reclutado vctimas en la cadena del delito. Es primordial mencionar que este artculo tipifica lo que comnmente se denomina phishing, modalidad de estafa que usualmente utiliza como medio el correo electrnico pero que cada vez con ms frecuencia utilizan otros medios de propagacin como por ejemplo la mensajera instantnea o las redes sociales. Segn la Unidad de Delitos Informticos de la Polica Judicial (Dijn) con esta modalidad se robaron ms de 3.500 millones de pesos de usuarios del sistema financiero en el 2006. Un punto importante a considerar es que el artculo 269H agrega como circunstancias de agravacin punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere: Sobre redes o sistemas informticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor pblico en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la informacin o por quien tuviere un vnculo contractual con este. 4. Revelando o dando a conocer el contenido de la informacin en perjuicio de otro. 5. Obteniendo provecho para s o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administracin, manejo o control de dicha informacin, adems se le impondr hasta por tres aos, la pena de inhabilitacin para el ejercicio de profesin relacionada con sistemas de informacin procesada con equipos computacionales.
1.

Es de anotar que estos tipos penales obligan tanto a empresas como a personas naturales a prestar especial atencin al tratamiento de equipos informticos as como al tratamiento de los datos personales ms teniendo en cuenta la circunstancia de agravacin del inciso 3 del artculo 269H que seala por quien tuviere un vnculo contractual con el poseedor de la informacin. Por lo tanto, se hace necesario tener unas condiciones de contratacin, tanto con

empleados como con contratistas, claras y precisas para evitar incurrir en la tipificacin penal. Por su parte, el captulo segundo establece: - Artculo 269I: HURTO POR MEDIOS INFORMTICOS Y SEMEJANTES. El que, superando medidas de seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema informtico, una red de sistema electrnico, telemtico u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticacin y de autorizacin establecidos, incurrir en las penas sealadas en el artculo 240 del Cdigo Penal, es decir, penas de prisin de tres (3) a ocho (8) aos. - Artculo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con nimo de lucro y valindose de alguna manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena ms grave, incurrir en pena de prisin de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mnimos legales mensuales vigentes. La misma sancin se le impondr a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisin del delito descrito en el inciso anterior, o de una estafa. Si la conducta descrita en los dos incisos anteriores tuviere una cuanta superior a 200 salarios mnimos legales mensuales, la sancin all sealada se incrementar en la mitad. As mismo, la Ley 1273 agrega como circunstancia de mayor punibilidad en el artculo 58 del Cdigo Penal el hecho de realizar las conductas punibles utilizando medios informticos, electrnicos telemticos. Como se puede apreciar, la Ley 1273 es un paso importante en la lucha contra los delitos informticos en Colombia, por lo que es necesario que se est preparado legalmente para enfrentar los retos que plantea. En este sentido y desde un punto de vista empresarial, la nueva ley pone de presente la necesidad para los empleadores de crear mecanismos idneos para la proteccin de uno de sus activos ms valiosos como lo es la informacin. Las empresas deben aprovechar la expedicin de esta ley para adecuar sus contratos de trabajo, establecer deberes y sanciones a los trabajadores en los reglamentos internos de trabajo, celebrar acuerdos de confidencialidad con los mismos y crear puestos de trabajo encargados de velar por la seguridad de la informacin.

Por otra parte, es necesario regular aspectos de las nuevas modalidades laborales tales como el teletrabajo o los trabajos desde la residencia de los trabajadores los cuales exigen un nivel ms alto de supervisin al manejo de la informacin. As mismo, resulta conveniente dictar charlas y seminarios al interior de las organizaciones con el fin de que los trabajadores sean conscientes del nuevo rol que les corresponde en el nuevo mundo de la informtica. Lo anterior, teniendo en cuenta los perjuicios patrimoniales a los que se pueden enfrentar los empleadores debido al uso inadecuado de la informacin por parte de sus trabajadores y dems contratistas. Pero ms all de ese importante factor, con la promulgacin de esta ley se obtiene una herramienta importante para denunciar los hechos delictivos a los que se pueda ver afectado, un cambio importante si se tiene en cuenta que anteriormente las empresas no denunciaban dichos hechos no slo para evitar daos en su reputacin sino por no tener herramientas especiales.