POLÍTICA DE CONTROL DE PERIFÉRICOS Y ACTIVOS PORTÁTILES
Código: |
POL-SI-002 |
Versión: |
1 |
Fecha de emisión: |
[18/06/2025] |
Responsable: |
Junta Medica RyZ DERMATECH |
1. PROPÓSITO
La Política de Control de Periféricos y Activos Portátiles de RyZ DERMATECH tiene como propósito establecer los lineamientos técnicos, administrativos y jurídicos necesarios para controlar el uso, acceso y conectividad de dispositivos periféricos y activos portátiles en todos los procesos clínico-administrativos de RyZ DERMATECH. Su objetivo principal es prevenir el acceso no autorizado, la pérdida, filtración o fuga de información sensible, y garantizar el cumplimiento de las normas sobre protección de datos personales y seguridad de la información.
2. ALCANCE
Esta política aplica a todo el personal médico, asistencial, administrativo, técnico, contratistas y proveedores que operen, manipulen o tengan contacto con estaciones de trabajo, equipos de cómputo, sistemas clínicos, servidores, redes y dispositivos móviles dentro del entorno organizacional. Igualmente, regula el ingreso y uso de dispositivos como memorias USB, discos externos, cámaras, laptops, teléfonos inteligentes, impresoras inalámbricas, tabletas y cualquier otro equipo que permita la portabilidad o almacenamiento de información de RyZ DERMATECH.
El marco normativo que fundamenta esta política incluye la ISO/IEC 27001:2023 (anexos A.8 y A.9), la Ley 1581 de 2012 sobre protección de datos personales, la Ley 1273 de 2009 sobre delitos informáticos, la Ley 2015 de 2020 sobre historia clínica electrónica, y las buenas prácticas del Reglamento General de Protección de Datos (GDPR) como referencia complementaria.
En este contexto, se define como periférico cualquier dispositivo que se conecte física o inalámbricamente a un sistema informático en RyZ DERMATECH, y como activo portátil todo equipo que pueda almacenar o transmitir información fuera del entorno fijo controlado (por ejemplo: laptop, memoria USB, cámara, Tablet). Todos estos dispositivos representan puntos críticos de exposición y deben ser controlados de forma rigurosa.
Se establece que todos los puertos USB de las estaciones de trabajo de RyZ DERMATECH, estarán bloqueados por defecto mediante configuración técnica del sistema, como medida preventiva de seguridad.
El uso de dispositivos periféricos o activos portátiles estará permitido únicamente cuando haya sido aprobado por el Responsable SGSI / DPO, a través del Formato FOR-SI-004 Autorización de Dispositivos USB, con justificación documentada, firma del solicitante y del aprobador. Todo dispositivo aprobado deberá estar cifrado, etiquetado, y registrado en el Formato FOR-SI-002- Registro de Activos de Información. En RyZ DERMATECH, queda absolutamente prohibido conectar dispositivos personales no autorizados (como teléfonos móviles, discos externos, cámaras personales), así como impresoras o periféricos inalámbricos que no estén gestionados directamente por la infraestructura tecnológica institucional. Asimismo, está prohibido almacenar información clínica o administrativa en equipos ajenos a RyZ DERMATECH, incluso de manera temporal.
Las estaciones de trabajo deben contar con:
- Usuarios únicos con clave de acceso individual
- Bloqueo automático tras 5 minutos de inactividad
- Protección mediante antivirus actualizado (Bitdefender).
- Ubicación en espacios controlados sin acceso físico por parte de pacientes o terceros.
3. SUPERVISIÓN Y RESPONSABILIDADES
El cumplimiento de esta política será supervisado mediante auditorías internas realizadas por el SGSI de RyZ DERMATECH. Cualquier incidente relacionado con el uso inadecuado de dispositivos periféricos o activos portátiles será tratado como incidente de seguridad de la información y gestionado bajo los lineamientos del Procedimiento PRO-SI-001-Gestión de Incidentes.
Las responsabilidades asociadas a esta política son las siguientes:
- El Responsable SGSI es quien configura, aplica, registra y audita las autorizaciones de dispositivos, y gestiona los controles técnicos.
- La Junta Médica Directiva / Dirección General aprueba la política y las excepciones justificadas.
- El Responsable del Tratamiento / DPO, como figura institucional que integra funciones técnicas y legales, garantiza el cumplimiento normativo de esta política, verifica el uso de medios portátiles en el tratamiento de datos personales o sensibles, y actúa como canal ante los titulares y la Superintendencia de Industria y Comercio.
- Todo el personal autorizado tiene la obligación de cumplir estrictamente con esta política, custodiar los dispositivos asignados, y reportar de inmediato cualquier pérdida, uso indebido o incidente relacionado.
4. COMPLEMENTOS DE LA POLÍTICA
Esta política se complementa con los siguientes documentos del SGSI:
- FOR-SI-004- Formato de Autorización de Uso de Dispositivos USB
- FOR-SI-002- Registro de Activos de Información
- PRO-SI-001 - Procedimiento de Gestión de Incidentes
- MAN-SI-001 - Manual de Seguridad de la Información
- REQ-SI-001 - Matriz de Evaluación de Riesgos
5. VIGENCIA, CONTROL DE CAMBIOS Y FIRMA
| Versión | Fecha de aprobación | Descripción del Cambio | Próxima revisión | Responsable |
|---|---|---|---|---|
| 1 | 18/06/2025 | Versión inicial del documento | 18/06/2026 | Junta medica / Responsable SGSI |
La presente versión 1 fue aprobada el día 18 de junio de 2025 y forma parte del Sistema de Gestión de Seguridad de la Información de RyZ DERMATECH. Cualquier modificación o actualización será registrada formalmente y estará sujeta a revisión periódica por parte del Responsable SGSI y la alta dirección de RyZ DERMATECH.
6. APROBACIÓN
Diseñado e implantado por: SISGEN AMBIENTE & SST O.M SAS. Firma Consultora Especialista.
Aprobó: RYZ DERMATECH Junta Medica Directiva.
Código: POL-SI-002
Fecha de actualización: 18/06/2025
