Upload
lephuc
View
236
Download
0
Embed Size (px)
Citation preview
Identificar el GAP de Seguridad de la Información en el Proceso de TI de Odontología de Marlon Becerra, Sede Chicó – Bogotá, basado en los estándares NTC
ISO/IEC 27005 y GTC ISO/IEC 27002
Darwin Fabian Illera Caballero
Sandra Milena Leon
Jose Manuel Eraso
Universidad Católica de Colombia
Facultad de Ingeniería
Programa de Especialización en Seguridad de la Información
Bogotá D.C – 2017
Identificar el GAP de Seguridad de la Información en el Proceso de TI de Odontología de Marlon Becerra, Sede Chicó – Bogotá, basado en los estándares NTC
ISO/IEC 27005 y GTC ISO/IEC 27002
Darwin Fabian Illera Caballero
Sandra Milena Leon
Jose Manuel Eraso
Trabajo de grado para obtener el título de especialista en Seguridad de la Información.
Asesor: Edwin Barbosa Guevara
Ingeniero de Sistemas
Universidad Católica de Colombia
Facultad de Ingeniería
Programa de Especialización en Seguridad de la Información
Bogotá D.C. – 2017
3
Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Bogotá D.C., junio de 2017.
4
Dedicatoria
A Dios, por darnos la oportunidad de vivir y por estar con nosotros en cada paso que
damos, por iluminar nuestras mentes y por haber puesto en el camino a aquellas personas que
han sido soporte y compañía durante todo el periodo de estudio por haber creído en nuestra idea,
y confiado en nosotros mismos y en la capacidad argumentativa para el sostenimiento de esta, en
el desarrollo de nuestro proyecto.
5
Agradecimientos
Queremos dar gracias a Dios por cada logro que nos permite alcanzar. También agradecer
a todas las personas que nos han acompañado en nuestras vidas de manera significativa y en el
transcurso de nuestra carrera. Personas que nos han aportado su saber (familia, maestros, amigos,
compañeros) quienes, con paciencia, vieron en nosotros lo mejor que había, que nos han hecho
crecer tanto personal como profesionalmente y que no hubiese sido posible sin su apoyo.
Agradecemos por estar aún presentes en esta fase de elaboración y desarrollo del propósito que
queremos llevar a cabo.
Queremos resaltar a todos de los docentes de la Universidad Católica de Colombia
quienes nos guiaron, compartiendo conocimientos y anécdotas para impulsarnos cada día a ser
mejores personas y mejores profesionales. Por su disposición para enseñarnos y guiarnos de la
manera adecuada durante este proceso de investigación y realización de nuestro proyecto.
Finalmente agradecer a nuestros compañeros con quienes hemos compartido este lapso y
de alguna manera nos aportaron con su conocimiento y experiencias demostrando que el trabajo
en equipo es compartir conocimiento y desarrollar ideas las cuales ayudan en nuestras vidas.
6
Tabla de contenido
Dedicatoria .......................................................................................................................... 4
Resumen ............................................................................................................................ 15
Introducción ...................................................................................................................... 17
1. Generalidades del trabajo de grado ......................................................................... 19
1.1. Línea de investigación ......................................................................................... 19
1.2. Planteamiento del problema ................................................................................ 19
1.2.1. Antecedentes del problema........................................................................... 20
1.2.2. Pregunta de investigación. ............................................................................ 20
1.3. Justificación ......................................................................................................... 21
1.4. Objetivos ............................................................................................................. 22
1.4.1. Objetivo general. .......................................................................................... 22
1.4.2. Objetivos específicos. ................................................................................... 22
1.5. Alcance ................................................................................................................ 22
2. Marcos de referencia ............................................................................................... 23
2.1. Marco conceptual ................................................................................................ 23
2.2. Marco teórico ...................................................................................................... 25
2.2.1. Norma ISO/IEC 27001. ................................................................................ 26
2.2.2. Guía ISO/IEC 27002. ................................................................................... 27
2.2.3. Norma ISO/IEC 27005. ................................................................................ 29
2.2.4. Otros estándares. .......................................................................................... 31
2.3. Marco legal .......................................................................................................... 32
3. Metodología ............................................................................................................ 33
3.1. Fases del trabajo de grado ................................................................................... 33
3.2. Instrumentos o herramientas utilizadas ............................................................... 35
7
3.2.1. Investigación de Campo. .............................................................................. 35
3.2.2. Recolección de Registros. ............................................................................ 35
3.2.3. Procesamiento de la Información. ................................................................ 35
4. Desarrollo ................................................................................................................ 39
4.1. Fase 1. Levantamiento de la información ........................................................... 39
4.1.1. Cuestionarios. ............................................................................................... 39
4.1.2. Observación de Actividades y documentación existente. ............................ 39
4.2.3. Diagnóstico actual de seguridad de la información en OMB ....................... 53
4.3. Fase 2. Gestión del riesgo ................................................................................... 60
4.3.3. Identificación de activos de información. .................................................... 60
4.3.4. Identificación de las vulnerabilidades. ......................................................... 65
4.3.5. Identificación de las amenazas. .................................................................... 66
4.3.6. Identificación del impacto. ........................................................................... 68
4.3.7. Evaluación de la frecuencia. ......................................................................... 71
4.3.8. Identificación de riesgos. .............................................................................. 73
4.3.9. Estimación del Riesgo. ................................................................................. 76
4.3.10. Evaluación del Riesgo. ................................................................................. 78
4.4. Fase 3. Selección de pŕacticas de seguridad ........................................................ 81
4.5. Fase 4. Entrega del proyecto ............................................................................... 87
5. Referencias .............................................................................................................. 88
6. Conclusiones ........................................................................................................... 89
7. Recomendaciones ................................................................................................... 91
Bibliografía ....................................................................................................................... 93
Anexos .............................................................................................................................. 95
8
Lista de figuras
Figura 1. Riesgos .......................................................................................................................... 24
Figura 2. SGSI .............................................................................................................................. 27
Figura 3. Diagrama EDT............................................................................................................... 33
Figura 4. Niveles de clasificación de la información en OMB. .................................................... 44
Figura 5. Etiquetado de la información en OMB. ......................................................................... 45
Figura 6. Indicador de incidentes resueltos por el proceso de TI en el año 2016 ......................... 52
Figura 7. Porcentaje de prácticas GTC ISO/IEC 27002 que se cumplen en OMB ...................... 57
Figura 8. Cumplimiento de prácticas GTC ISO/IEC 27002 según su dominio, actualmente
implementados en OMB ................................................................................................... 58
Figura 9. Porcentaje de prácticas GTC ISO/IEC 27002 existentes en el proceso de TI. .............. 59
Figura 10. Riesgos hallados .......................................................................................................... 81
Figura 11. Porcentaje de prácticas GTC ISO/IEC 27002 que se cumplirían en OMB ................. 82
Figura 12. Cumplimiento de prácticas GTC ISO/IEC 27002 según su dominio, actualmente
implementadas en OMB .................................................................................................... 86
Figura 13. Cumplimiento mínimo de prácticas GTC ISO/IEC 27002 según su dominio, para la
mitigación de riesgos en el proceso TI de OMB. .............................................................. 86
Figura 14. Representación de respuestas al cuestionario. ............................................................. 96
Figura 15. Selección de prácticas de seguridad de la información para el proceso TI en OMB .. 98
9
Lista de tablas
Tabla 1. -------------------------------------------------------------------------------------------------------- 34
Tabla 2. -------------------------------------------------------------------------------------------------------- 48
Tabla 3. -------------------------------------------------------------------------------------------------------- 53
Tabla 4. -------------------------------------------------------------------------------------------------------- 60
Tabla 5. -------------------------------------------------------------------------------------------------------- 62
Tabla 6. -------------------------------------------------------------------------------------------------------- 62
Tabla 7. -------------------------------------------------------------------------------------------------------- 63
Tabla 8. -------------------------------------------------------------------------------------------------------- 63
Tabla 9. -------------------------------------------------------------------------------------------------------- 65
Tabla 10. ------------------------------------------------------------------------------------------------------- 66
Tabla 11. ------------------------------------------------------------------------------------------------------- 69
Tabla 12. ------------------------------------------------------------------------------------------------------- 71
Tabla 13. ------------------------------------------------------------------------------------------------------- 74
Tabla 14. ------------------------------------------------------------------------------------------------------- 76
Tabla 15. ------------------------------------------------------------------------------------------------------- 78
Tabla 16. ------------------------------------------------------------------------------------------------------- 82
10
Glosario
Activo: es el conjunto de los bienes y derechos tangibles e intangibles de propiedad de
una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios,
en el ambiente informático llámese activo a los bienes de información y procesamiento, que
posee la institución. Recurso del sistema de información o relacionado con éste, necesario para
que la organización funcione correctamente y alcance los objetivos propuestos.
Administración Remota: forma de administrar los equipos informáticos o servicios de la
Odontología de Marlon Becerra, a través de terminales o equipos remotos, físicamente separados
de la institución.
Almacenamiento: conservar la información en lugares definidos y en condiciones
óptimas.
Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
Antispam: es lo que se conoce como método para prevenir el correo basura.
Archivo Log: ficheros de registro o bitácoras de sistemas, en los que se recoge o anota
los pasos que dan (lo que hace un usuario, como transcurre una conexión, horarios de conexión,
terminales o IP´s involucradas en el proceso, etc.)
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Ciberdelincuentes: son personas que realizan actividades delictivas en internet como
robar información, acceder a redes privadas, estafas, y todo lo que tiene que ver con los delitos e
ilegalidad.
Confidencialidad: garantizar que toda la información este protegido del uso no
autorizado, revelaciones accidentales, espionaje industrial, violación de la privacidad y otras
11
similares originadas de terceros no autorizados. Proteger la información de su revelación no
autorizada. Esto significa que la información debe estar protegida de ser copiada por cualquiera
que no esté explícitamente autorizado por el propietario de dicha información.
Criticidad: importancia que tiene un recurso para la Institución.
Custodia: ésta se constituye en todos los esfuerzos encaminados a restringir y limitar el
acceso a la información.
Dato: es la materia prima para la producción de información, puede ser un número, una
palabra, una imagen, etc.
Data center: se denomina centro de procesamiento de datos a aquella ubicación donde se
concentran los recursos necesarios para el procesamiento de la información de una organización.
Disponibilidad: garantizar que la información y la capacidad de su procesamiento
manual y automático, esté disponible para usuarios autorizados y sean resguardados y
recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa
significativamente la marcha de los procesos.
Documento: es toda información y su medio de soporte (papel, vídeo, cinta magnética o
en cualquier otro medio).
Documento externo: es el generado por organismos externos a la organización, los
cuales establecen condiciones que debe cumplir Odontología de Marlon Becerra, para el normal
desarrollo del sistema de gestión de calidad.
Documento interno: es el documento generado e implementado dentro de la
organización para interactuar directamente en el Sistema de Gestión de Calidad, Acreditación y
el sistema de gestión documental.
12
Encriptación: es el proceso mediante el cual cierta información o "texto plano" es
cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para
su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o
transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros.
Gestión información (GI): es un conjunto de procesos por los cuales se controla el ciclo
de vida de la información, desde su obtención - por creación o captura, hasta su disposición final
archivada o eliminada. Los procesos también comprenden la extracción, combinación,
depuración y distribución de la información a los interesados. Los objetivos de la gestión de la
información es garantizar la integridad, disponibilidad y confidencialidad de la información.
Impacto: consecuencia de la materialización de una amenaza.
Información: conjuntos de datos procesados que dentro de un contexto dado tiene un
significado para alguien.
Información confidencial: es toda aquella información que por su naturaleza no puede
ser revelada a terceros y por lo tanto no es pública.
Integridad: asegurar que sea procesada toda la información necesaria y suficiente para el
funcionamiento de la organización únicamente en los sistemas informáticos y procesos
transaccionales. Proteger la información de alteraciones no autorizadas por la organización.
ISO (Organización Internacional de Estándares): institución mundialmente
reconocida y acreditada para normar en temas de estándares en una diversidad de áreas,
aceptadas y legalmente reconocidas.
OMB: Odontología de Marlon Becerra.
Oportunidad: garantizar que la información se encuentra disponible en los tiempos
requeridos.
13
Outsourcing: contrato por servicios a terceros, tipo de servicio prestado por personal
ajeno a la institución.
Ransomware: es un software malicioso que al infectar nuestro equipo le da al
ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar
nuestros archivos quitándonos el control de toda la información y datos almacenados. El virus
lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace
generalmente en moneda virtual.
Responsabilidad: en términos de seguridad, significa determinar que individuo en la
institución, es responsable directo de mantener seguros los activos de cómputo e información.
Riesgo: posibilidad de que se produzca un Impacto determinado en un activo, en un
dominio o en toda la organización.
Seguridad: proteger la información de usos indebidos preservando su confidencialidad,
integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una
organización.
Servicio: conjunto de aplicativos o programas informáticos, que apoyan la labor
educativa, académica y administrativa, sobre los procesos diarios que demanden información o
comunicación de la institución.
SGSI: Sistema de gestión de seguridad de la información.
Soporte técnico: personal designado o encargado de velar por el correcto funcionamiento
de las estaciones de trabajo, servidores, o equipo de oficina dentro de la institución.
Terceros: entidades o personas que no sean trabajadores ni proveedores de la
organización.
14
Usuario: defínase a cualquier persona jurídica o natural, que utilice la información y/o
los servicios informáticos de la red institucional y tenga una especie de vinculación con la
institución.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un
activo.
15
Resumen
El proyecto Identificar el GAP de Seguridad de la Información surge como una iniciativa
para determinar las falencias que se puedan hallar en el proceso de TI en
ODONTOLOGÍA DE MARLON BECERRA (OMB) sede Chicó – Bogotá, resaltando la
sensibilidad de la información que se maneja en la compañía al desempeñarse en el sector
salud. Actualmente en la clínica hay controles que no cuentan con la suficiencia para
garantizar que la información se mantenga segura, lo cual ha permitido incidentes de
disponibilidad, integridad y confidencialidad de la misma. Con este proyecto se busca que
OMB tenga una base que le permita conocer los riegos de seguridad a los que encuentra
expuesta la información en el proceso de TI, basado en el estándar NTC ISO/IEC 27005.
Palabras clave: Seguridad de la información, Gestión de riegos de seguridad, Incidentes de seguridad.
16
Abstract
The identify GAP of information security project emerges as an initiative to determine
the failures that can be found in the IT process in ODONTOLOGÍA DE MARLON BECERRA
(OMB) headquarters Chicó - Bogotá, highlighting the sensitivity of the information that is
handled in the company as it is performed in the health sector. Currently there are controls in the
clinic that do not have the sufficiency to guarantee that the information remains secure, which
has allowed incidents of availability, integrity and confidentiality of the same. With this project,
it is intended that OMB have a base that allows it to know the security risks to which the
information is exposed in the IT process, based on the NTC ISO / IEC 27005 standard.
Keywords: Information security, Security risk management, Security incidents
17
Introducción
La tecnología ha venido presentando cambios, impactos y avances sumamente
importantes para la humanidad, de la misma manera también han evolucionado las formas de
acceso a sistemas de información, este aspecto entre muchos otros, ha obligado al sector
tecnológico a crear estrategias para la protección de su información debido a que regularidad se
presentan vulnerabilidades en los sistemas de información.
Lo anterior ha llevado a las empresas a implementar sistemas de seguridad para la
protección de toda información que se maneja en la cotidianidad o archivada para futuras
consultas, mostrando así una imagen confiable dentro y fuera de la organización. Teniendo en
cuenta estos aspectos de gran importancia este proyecto busca analizar los riegos de seguridad de
la información para el proceso de TI en la Clínica OMB, esto permitirá realizar un análisis de
cómo se maneja la información en el proceso de TI y poder así detectar las posibles
vulnerabilidades y falencias en la gestión de la información y mecanismos de seguridad que
implementa. Adicional a lo anterior, se sugerirán algunas prácticas estipuladas en la guía GTC
ISO/IEC 27002 para la mitigación de los riesgos detectados, con esto se logrará que la clínica
además de ser reconocida por su servicio y marca sea también reconocida por el tratamiento de
seguridad que le da a la información de los pacientes, cumpliendo con la protección de los datos
según el Habeas Data.
En la mayoría de empresas, la seguridad de la información es vista como un gasto poco o
nada necesario, y no cómo una inversión que, a corto, mediano o largo plazo ayuda a prevenir
perdidas tanto económicas como de imagen corporativa. Se adquieren mecanismos de seguridad
como Firewalls, antivirus y AntiSpam entre otros, con el fin de proteger los sistemas
informáticos, pero no se toman en cuenta realizar un análisis de riesgos previo que sea el apoyo
18
para los mecanismos o controles de seguridad implementados, obviando así amenazas
potenciales, que si se materializaran podrían conllevar a pérdida, daño o fuga de información
crítica para la compañía. Un ejemplo claro podrían ser los empleados que tienen acceso a la
información y sistemas informáticos que, de manera maliciosa o no intencional, pueden llegar a
perjudicar a la empresa.
Por consiguiente, este proyecto está orientado hacia la detección de riesgos de seguridad
de la información en el proceso de TI en OMB.
19
1. Generalidades del trabajo de grado
1.1. Línea de investigación
Software inteligente y convergencia tecnológica.
1.2. Planteamiento del problema
ODONTOLOGÍA DE MARLON BECERRA es una clínica especializada en estética
dental, con una trayectoria de 27 años en el mercado, liderada en su mayor parte por el Dr.
Marlon Becerra Díaz, quien es altamente reconocido como uno de los odontólogos estéticos
líderes en todo el país. Como director de Odontología de Marlon Becerra, tiene bajo su dirección
a más de 400 especialistas de alto nivel en 17 clínicas a nivel nacional, orientados hacia la
excelencia bajo una nueva forma de ver la salud oral y un compromiso ético con sus pacientes.
En el mes de septiembre del año 2016, se presentó un ataque de rasomware, a través de
email enviado a una cuenta de correo electrónico corporativa, desconociendo esta amenaza un
trabajador abrió el archivo adjunto y en consecuencia es infectado el servidor secundario, esto
ocasionó que todo el sistema odontológico de la clínica quedara inutilizado no pudiendo ingresar
a la base de datos por espacio de dos horas.
El proceso de TI en OMB se encuentra expuesto a numerosas vulnerabilidades y
consecuente a ello, a múltiples riesgos de seguridad de la información; ya que en la clínica no
existe una política y un sistema efectivo para el aseguramiento de la información, exponiendo así
datos sensibles y confidenciales, y activos de información, a incidentes considerables en cuanto
a disponibilidad, confidencialidad e integridad.
20
1.2.1. Antecedentes del problema.
En enero del 2016 en el área de Radiología de OMB sede Chicó-Bogotá, se presentó un
contagio de una variante de troyano introducido durante una actualización de software de
radiología por parte de un proveedor, generando daño en el sistema operativo del equipo, y en el
software mismo, se procedió a formatear la máquina y consecuencia de esto, se perdieron las
licencias del software de la radiología, conllevando a la no atención de pacientes por dos días
mientras se restauraba todo. Por lo anterior se procedió a generar siempre el acompañamiento
por parte de un colaborador del área de sistemas a los diferentes proveedores que requieren el
acceso a la parte tecnológica de la clínica, de igual manera revisar los medios de almacenamiento
externos que son propiedad de terceros para evitar el contagio de cualquier amenaza.
En el mes de octubre del año 2015, el servidor del software de odontología alojado en el
Datacenter de la clínica OMB sede Chicó, presentó fallo en la fuente de poder, generando un
constante reinicio de las aplicaciones odontológicas, afectando el desempeño de las actividades
diarias de todo el personal de la clínica, incluyendo la atención de los pacientes. Después de este
incidente se procedió a la compra de un nuevo servidor teniendo en cuenta que tenga una fuente
redundante, para que no se repita este tipo de problemas.
1.2.2. Pregunta de investigación.
¿Existe alguna metodología para identificar los riesgos que llegasen a afectar la seguridad
de la información manejada en el proceso de TI en OMB, debilitando la integridad,
confidencialidad, y disponibilidad de dicha información?
21
1.3. Justificación
El activo más preciado en una organización es la información, y tomando en cuenta que
OMB maneja datos sensibles de sus pacientes, éstos demandan mayor cuidado. En el mundo de
los negocios cada día toma más importancia la competitividad y están directamente ligados a los
cambios que surgen gracias a los avances tecnológicos; estos avances muchas veces acarrean
consigo vulnerabilidades por lo cual demanda mayor cuidado en el tratamiento de los datos
manejados por la organización independiente del tipo de negocio. Es importante mencionar que
en la seguridad de la información se tiene en cuenta tres pilares fundamentales: confidencialidad,
integralidad y disponibilidad, para que estos sean cumplidos se debe realizar una adecuada
gestión todos los recursos que intervienen en el tratamiento de la información de la compañía.
A raíz de un ataque presentado por rasomware, (también conocido como rogueware o
scareware) en el servidor del software de odontología de OMB, se produjo indisponibilidad del
servicio que presta dicho software durante dos horas; ya que la clínica no cuenta con servidores
de contingencia, en este lapso no se pudo acceder a los registros de salud de los pacientes,
tampoco se pudo realizar facturación por la atención prestada, generando una perdida claramente
económica e incertidumbre del destino de la información secuestrada. Además, conllevó a una
interrupción en las labores de empleados administrativos y profesionales de la salud.
Lo anterior muestra la necesidad que existe en OMB de identificar los riesgos asociados a
los activos de información que posee y posteriormente implementar controles en seguridad de la
información a fin de minimizar incidentes como los ya presentados u otros de mayor impacto.
Este proyecto está orientado a determinar los riesgos de seguridad de la información asociados a
los activos en el proceso de TI en OMB, y a una posterior sugerencia de mejores prácticas
tomadas de la guía GTC ISO/IEC 27002 que puedan ayudar a mitigar los riesgos hallados.
22
1.4. Objetivos
1.4.1. Objetivo general.
Determinar el GAP de seguridad de la información para el proceso TI en OMB, sede
Chicó – Bogotá, basado en el estándar ISO/IEC 27005 y la guía GTC ISO/IEC 27002.
1.4.2. Objetivos específicos.
§ Analizar el manejo de la información en el proceso de TI, desde el punto de vista
de políticas y prácticas orientadas a la seguridad de la información.
§ Determinar los riesgos asociados a los activos de información en el proceso de TI,
basados en el estándar ISO/IEC 27005.
§ Sugerir prácticas de seguridad tomadas de la guía GTC ISO/IEC 27002 que
pudieran llegar a mitigar los riesgos asociados a los activos de información en el proceso de TI.
1.5. Alcance
El alcance del proyecto no contempla los controles relacionados con continuidad del
negocio ni la recuperación de desastres. Por otra parte, el diseño de los controles y la
implementación de los mismos será de competencia y responsabilidad de Odontología de Marlon
Becerra.
23
2. Marcos de referencia
2.1. Marco conceptual
La International Organization for Standardization (ISO, 2013) define:
La seguridad de la información, según ISO/IEC 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización. Para garantizar que la seguridad de la información es
gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos
relevantes adoptados para garantizar su:
§ Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
§ Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
§ Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
La información, junto a los procesos y sistemas que la utilizan, son activos fundamentales
de una organización. La seguridad de la información sensible puede llegar a ser esencial para
conservar los niveles de rentabilidad, competitividad, conformidad legal e imagen empresarial
necesarios para alcanzar los objetivos de la organización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información se encuentran expuestos a un número
elevado de amenazas que, siendo aprovechadas cualquiera de las vulnerabilidades existentes,
pueden enfrentar a activos críticos de información a formas diversas de fraude, sabotaje,
24
espionaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de
servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los
riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro
de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y
fallos técnicos. Ver Figura 1.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones
variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el
máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los
aspectos fundamentales en los que un Sistema de Gestión de Seguridad de la Información (SGSI)
es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí
mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con
la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y
servicios.
Figura 1. Riesgos Tomada de: www.ISO27000.es.
25
El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y
la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y
en una medición de la eficacia de los mismos.
El sistema de gestión de la seguridad de la información (SGSI) ayuda a establecer estas
políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto
de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización
ha decidido asumir.
2.2. Marco teórico
“En la actualidad es muy común que una compañía decida implementar un proyecto de
gestión de seguridad de la información, ya sea para formalizar lo que tiene o desarrollar algo
desde un punto cero, por lo general se hace para cumplir alguna regulación, proporcionar un
valor agregado a sus clientes o porque la(s) competencia(s) de la organización la induce a
gestionar la seguridad de la información de su compañía de manera integral. En las etapas
iniciales surgen preguntas como: ¿Qué estándar se debería seguir?, ¿Que estándares existen?, ¿Es
requerido implementar más de uno? (AMAYA, 2012)
Antes de atreverse a responder estas preguntas, es relevante tener en cuenta que el
objetivo de la seguridad de la información es minimizar los riesgos en la integridad, la
confidencialidad y la disponibilidad de la misma en la organización. Alcanzar este logro se
fundamenta en una gestión de riesgos adecuada, que envuelve la identificación y valoración de
los riesgos y las medidas de control, preventivas y correctivas, sobre todos los medios por los
cuales fluya la información (servidores, equipos de comunicación, aplicaciones, computadoras
personales, personas, archivos físicos, etc.), los cuales son llamados activos de información.).
26
Ahora que se ha aclarado el objetivo, es hora de pensar en estándares o guías que faciliten
la implementación de seguridad de la información, para lo cual las preguntas anteriormente
planteadas podrían ser resumidas en una: ¿Cuál es el mejor estándar para implementar en mi
empresa? Aunque esta pregunta no tiene única respuesta, pues está asociada a la realidad de cada
compañía, es en esta parte en donde aparecen una diversidad de estándares, nombres, siglas y
guías que, de no ser cuidadosos en su elección, se convierten su búsqueda y selección en una
tarea tediosa (AMAYA, 2012). Entre los estándares relacionados con seguridad de la
información más destacados se encuentran los siguientes:
2.2.1. Norma ISO/IEC 27001.
El portal Normas-ISO.com proporciona la siguiente aproximación de esta norma:
La Organización Internacional de Estandarización (ISO), a través de las normas recogidas
en ISO / IEC 27000, establece una implementación efectiva de la seguridad de la información
empresarial desarrolladas en las normas ISO/IEC 27001 e ISO/IEC 27002.
Los requisitos de la Norma ISO 27001 nos aportan un sistema de gestión de la seguridad
de la información (SGSI), consistente en medidas orientadas a proteger la información,
indistintamente del formato de la misma, contra cualquier amenaza, de forma que garanticemos
en todo momento la continuidad de las actividades de la empresa.
Los Objetivos del SGSI son preservar la:
§ Confidencialidad
§ Integridad
§ Disponibilidad de la Información
El sistema de gestión de la seguridad de la información que propone la Norma ISO 27001
se puede resumir en las siguientes fases que se detallan en la Figura 2.
27
Para lograr que se tenga un sistema de seguridad de la información adecuada se deben
tener en cuenta un conjunto de controles en los cuales se deben incluir políticas, procesos,
procedimientos entre otros.
2.2.2. Guía ISO/IEC 27002.
La International Organization for Standardization (ISO, 2013) define:
ISO/IEC 27002 Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información. No es certificable. Está
diseñada para uso por parte de las organizaciones, como referencia para la selección de controles
dentro del proceso de implementación de un sistema de gestión de la seguridad de la información
Figura 2. SGSI Tomado de: http://www.normas-iso.com/iso-27001
28
(SGSI) con base en la ISO/IEC 27001, o como un documento guía para organizaciones que
implementan controles de seguridad de la información comúnmente aceptados. Esta guía está
prevista para uso en el desarrollo de directrices de gestión de la seguridad de la información
específicas para la industria y las organizaciones, teniendo en cuenta su(s) entorno(s)
específico(s) de riesgo de seguridad de la información. Actualmente, la última edición de 2013
este estándar ha sido actualizado a un total de 14 Dominios, 35 Objetivos de Control y 114
Controles.
Los activos de información son objeto de amenazas tanto deliberadas como accidentales,
mientras que los procesos, sistemas, redes y personas relacionadas tienen vulnerabilidades
inherentes. Los cambios en los procesos y sistemas del negocio u otros cambios externos (como
nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de la información. Por
tanto, dada la multitud de formas en las que las amenazas pueden aprovecharse de las
vulnerabilidades para perjudicar la organización, siempre hay presencia de riesgos de seguridad
de la información. Una seguridad de la información eficaz reduce estos riesgos protegiendo a la
organización contra amenazas y vulnerabilidades, y en consecuencia reduce los impactos en sus
activos.
En un sentido general, la eficacia en la seguridad de la información también asegura a la
dirección y a otras partes interesadas, que los activos de la organización están razonablemente
seguros y protegidos contra daño, y de esta manera actúa como un facilitador del negocio.
Los controles se pueden seleccionar de esta guía o de otros grupos de control, o se pueden
diseñar nuevos controles para satisfacer necesidades específicas. La selección de controles
depende de las decisiones organizacionales basadas en los criterios para la aceptación de riesgos,
las opciones para tratamiento de riesgos y el enfoque general para la gestión de riesgos aplicado
29
a la organización, y debería estar sujeta a toda la legislación y reglamentación nacionales e
internacionales pertinentes. La selección de los controles también depende de la forma en la que
los controles interactúan para defender en profundidad.
Algunos de los controles de esta guía se pueden considerar como principios de
orientación para gestión de la seguridad de la información y aplicables a la mayoría de
organizaciones. Las prácticas seleccionadas para mitigar los riesgos de seguridad de la
información del proceso TI en OMB se relacionan en el anexo 3 Selección de prácticas de
seguridad de la información para el proceso TI en OMB entregado al cliente.
2.2.3. Norma ISO/IEC 27005.
Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de
información. La norma suministra las directrices que se deben realizar para llevar a cabo
el proceso de gestión del riesgo, y es aplicable a todo tipo de organizaciones que tengan
la intención de gestionar los riesgos que amenacen la seguridad de la información de su
organización.
El estándar ISO/IEC 27005 No recomienda una metodología concreta, por lo cual,
dependerá de la organización escoger la metodología que mejor se acople a sus objetivos
de negocio. Es por esto que se hace necesario definir y seguir una metodología que se
adapte al entorno o contexto a abarcar; es aquí donde una organización toma lo que puede
ser la decisión más importante en el proceso de gestión del riesgo, ya que elegir el
camino menos adecuado traerá como resultado menos eficiencia, y por lo tanto mayor
costo y esfuerzo para lograr el objetivo, que consiste en manejar el riesgo de una manera
más económica de lo que costaría recuperarse de un incidente de seguridad.
30
La norma ISO 27005 cuenta con 7 pasos los cuales son:
§ Establecimiento del contexto
§ Identificación del riesgo
§ Estimación del riesgo
§ Evaluación del riesgo
§ Tratamiento del riesgo
§ Aceptación del riesgo
§ Comunicación del riesgo
Es necesario un enfoque sistemático para la gestión del riesgo en la seguridad de la
información para identificar las necesidades de la organización con respecto a los requisitos de
seguridad de la información y para crear un sistema de gestión de la seguridad de la información
(SGSI) eficaz. Este enfoque debería ser adecuado para el entorno de la organización y, en
particular, debería cumplir los lineamientos de toda la gestión del riesgo en la empresa. Los
esfuerzos de seguridad deberían abordar los riesgos de una manera eficaz y oportuna donde y
cuando sean necesarios. La gestión del riesgo en la seguridad de la información debería ser una
parte integral de todas las actividades de gestión de seguridad de la información y se deberían
aplicar tanto a la implementación como al funcionamiento continuo de un SGSI
El proceso de gestión del riesgo en la seguridad de la información puede ser iterativo para
las actividades de valoración del riesgo y/o de tratamiento del riesgo. Un enfoque iterativo para
realizar la valoración del riesgo puede incrementar la profundidad y el detalle de la valoración en
cada iteración. El enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y
el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos altos se
valoren de manera correcta.
31
2.2.4. Otros estándares.
A nivel general los dos anteriores estándares son los más empleados, pero no se puede
desconocer la existencia de otros como: Magerit, Marion, Mehari y Octave los cuales son más
específicos, desarrollados para una región particular y para la gestión de riesgos de compañías
con distinta naturaleza operativa. Suelen ser menos robustos y según el alcance que se le quiera
dar al proyecto pueden ser una muy buena alternativa (AMAYA, 2012).
El proyecto Identificar el GAP de Seguridad de la Información en el Proceso de TI de
Odontología Marlon Becerra, Sede Chicó – Bogotá, se basará en los estándares ISO/IEC 27002 e
ISO/IEC 27005 ya que según lo contextualizado anteriormente ofrece las siguientes ventajas:
§ Determinar los riesgos reales a los que se exponen los activos de información del
proceso de TI en OMB.
§ Sugerir prácticas de seguridad tomadas de la guía GTC ISO/IEC 27002 para
gestionar o mitigar los riesgos.
§ Confidencialidad, asegurar que sólo quien(es) estén autorizado(s) pueda(n)
acceder a la información.
§ Flexibilidad para ajustar los controles a todas las áreas de la compañía o solo a
algunas seleccionadas.
§ Mejorar la confianza de interesados y clientes en la protección de sus datos y su
información.
§ Alcanzar las expectativas de clientes e interesados demostrando conformidad.
32
2.3. Marco legal
En lo que concierne específicamente a Seguridad de la Información, estas son las leyes
vigentes al día de hoy:
§ Ley de protección de datos personales (Ley 1581 DE 2012, Decreto: 48.587),
Congreso de la República, 18 de octubre de 2012.
§ Ley de la protección de la información y de los datos (Ley 1273 de 2009, Decreto:
47.223), Congreso de la República, 5 de enero de 2009.
§ Hábeas Data (Ley 1266 de 2008, Decreto: 47.219), Congreso de la República, 31
de diciembre de 2008.
§ Artículo 15, Constitución política de Colombia de 1991, Asamblea Nacional
Constituyente, 4 de julio de 1991.
33
3. Metodología
3.1. Fases del trabajo de grado
Para definir las fases del trabajo de grado se ha empleado la herramienta EDT (Estructura de descomposición del trabajo) que
permite la descomposición del trabajo en fases y actividades. Ver Figura 3
Figura 3. Diagrama EDT Fuente: Autores
34
En la siguiente tabla se relaciona la información detallada, con relación a las fases de
trabajo del proyecto y las actividades que se ejercerán en cada una de ellas.
Tabla 1. Listado de fases y actividades del proyecto.
Cód. EDT
Paquete de trabajo Paquete padre
1 Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.1 Estudios Previos Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.1.1 Antecedentes e Incidentes. Estudios Previos 1.1.2 Necesidades. Estudios Previos 1.1.3 Normativas Vigentes. Estudios Previos 1.1.4 Estándares existentes. Estudios Previos
1.2 Análisis de Riesgos Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.2.1 Levantamiento de información. Análisis de Riesgos 1.2.2 Identificación de acticos de información. Análisis de Riesgos 1.2.3 Identificación de vulnerabilidades de los activos de información. Análisis de Riesgos 1.2.4 Identificación de amenazas a los activos de información. Análisis de Riesgos 1.2.5 Medición de degradación que podrían causar las amenazas. Análisis de Riesgos 1.2.6 Determinación del impacto que podrían ocasionar las amenazas. Análisis de Riesgos 1.2.7 Evaluación de la frecuencia con que la amenaza podría impactar al
activo de información. Análisis de Riesgos
1.2.8 Identificación de riesgos. Análisis de Riesgos 1.2.9 Estimación de los riesgos. Análisis de Riesgos 1.2.1
0 Evaluación de los riesgos. Análisis de Riesgos
1.3 Selección de prácticas Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.3.1 Elegir el riesgo a evaluar. Selección de prácticas 1.3.2 Identificación de prácticas GTC ISO/IEC 27002. Selección de prácticas 1.3.3 Seleccionar las prácticas apropiadas para minimizar los riesgos. Selección de prácticas 1.3.4 Sugerir las prácticas elegidas Selección de prácticas
1.4 Elaboración del documento de sugerencias de prácticas Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.4.1 Consolidar la información recolectada. Elaboración del documento de sugerencias de prácticas
35
Cód. EDT
Paquete de trabajo Paquete padre
1.4.2 Diseñar el documento. Elaboración del documento de sugerencias de prácticas
1.4.3 Revisión final del documento. Elaboración del documento de sugerencias de prácticas
1.5 Entrega del proyecto Identificar el GAP de seguridad de la información en el proceso TI en OMB
1.5.1 Entrega en medio físico y digital. Entrega del proyecto 1.5.2 Socialización de la entrega. Entrega del proyecto
3.2. Instrumentos o herramientas utilizadas
3.2.1. Investigación de Campo.
Con la finalidad de obtener datos precisos y fiables para identificar el GAP de seguridad
de la información en el proceso de TI de Odontología de Marlon Becerra sede Chicó, se realiza
una investigación de campo donde se obtienen datos reales desde los cuales se elabora el
inventario de activos de información del proceso.
3.2.2. Recolección de Registros.
Para alcanzar los objetivos de la investigación se realiza la recolección de registros, se
examina y extrae información de documentos que contienen datos que maneja el área de gestión
de la información donde se encuentran transcritos todos los reportes de fallos e incidentes que
han afectado el desempeño de los equipos y aplicaciones informáticas en los últimos 3 años en el
proceso de TI en Odontología de Marlon Becerra, Sede Chicó.
3.2.3. Procesamiento de la Información.
A partir de los problemas más comunes del sector, se han desarrollado preguntas con las
que es posible realizar una evaluación de alto nivel de las tecnologías, los procesos y el personal
de la empresa. La evaluación comienza con una serie de preguntas sobre el modelo de la
36
empresa, para ir construyendo un perfil de riesgo de la misma, mediante la valoración del riesgo
al que la empresa está expuesta conforme al modelo y sector empresarial de servicio de salud. A
continuación, se presentan los cuestionarios elaborados para la obtención de información de los
directos responsables del proceso TI en OMB:
CUESTIONARIO DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA
SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO SEGURIDAD DE LA INFORMACIÓN ENTREVISTADO JEFE DE TI
CUESTIONARIO No. PREGUNTA SI NO N/A Observaciones
1 ¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la base de datos?
2 ¿Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)?
3 ¿Se implementan diferentes tipos de copia de seguridad (full, incremental, diferencial)?
4 ¿Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios?
5 ¿Los repositorios de información tienen acceso restringido?
6 ¿Se renuevan las claves de los usuarios que utilizan los sistemas tecnológicos a su disposición dentro de la compañía?
7 ¿Se obliga el cambio de la contraseña de forma automática y periódica?
8 ¿Las copias de seguridad son cifradas?
9 ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que la misma se encuentre bien hecha?
10 ¿Los dispositivos que contienen las copias de seguridad, son almacenados fuera de las instalaciones de la empresa?
11 ¿En caso de que los servidores sufran una avería, existen servidores de contingencia?
12 Existe algún plan de contingencia ante algún evento negativo en las Base de Datos?
13 ¿El cableado estructurado del interior del edificio viaja dentro de canaleta o ducto?
14 ¿Cuenta con dispositivo firewall físico o lógico para protección y aseguramiento de la red?
37
CUESTIONARIO DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA
SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO SEGURIDAD DE LA INFORMACIÓN ENTREVISTADO JEFE DE TI
CUESTIONARIO No. PREGUNTA SI NO N/A Observaciones
15 ¿Cuenta con dispositivos para la regulación del voltaje y amperaje?
16 ¿Los equipos se encuentran instalados en áreas con temperaturas adecuadas para su funcionamiento?
17 ¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento de la red ante un evento anómalo?
18 ¿Cuenta con un análisis de vulnerabilidades en la implementación y configuración de los dispositivos de red?
19 ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo?
20 ¿Con cuanta frecuencia se revisa el inventario?
21 ¿Se poseen bitácoras de fallas detectadas en los equipos?
22 ¿Se poseen registros individuales de los equipos?
23 ¿Se cuenta con servicio de mantenimiento para todos los equipos?
24 ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos?
25 ¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor?
26 ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores?
27 ¿Existen señalizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuación?
28 ¿Se tienen sistemas de seguridad para evitar que se sustraigan equipos de las instalaciones?
29 ¿El centro de cómputo tiene alguna sección con sistema de refrigeración?
38
CUESTIONARIO INICIAL DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA
SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO ALTA GERENCIA PROCESO GERENCIA GENERAL
CUESTIONARIO
No. PREGUNTA SI NO N/A OBSERVACIONES
1 ¿Existe un plan estratégico de la Clínica a nivel de activos de la información?
2 ¿Cuál es la estructura organizacional de la Clínica en su proceso de TI?
3 ¿Cuáles son las dependencias de la Clínica donde se maneja información sensible?
4 ¿Qué políticas o procedimientos se han establecido en la Clínica odontológica de Marlon Becerra relacionadas con el proceso de TI?
5 ¿Cree importante identificar el GAP de seguridad de la información?
Adicional a la respuesta de los cuestionarios, se plantea revisar los indicadores de gestión
de recursos que manejan en el proceso TI; ya que son la medición cuantitativa del
comportamiento y desempeño del proceso, cuya magnitud, al ser comparada con el nivel de
referencia, puede estar generando problemas relevantes y según estas comparativas aplicar
soluciones y planes de mejora sobre la cual se toman acciones correctivas o preventivas según el
caso.
Con este proyecto se ayuda a identificar y abordar riesgos de seguridad en un entorno
informático. Desde un enfoque holístico, se analiza la estrategia de seguridad al tratar distintos
temas como el personal, los procesos y la tecnología. Los resultados se asocian con las
soluciones recomendadas, incluyendo enlaces a más información de orientación adicional, en
caso necesario. Estos recursos podrían ayudar a asimilar más conceptos sobre las herramientas y
los métodos específicos que puedan aumentar la seguridad del entorno.
39
4. Desarrollo
En el desarrollo del proyecto identificar el GAP de seguridad de la información en el
proceso de TI de OMB, sede Chicó-Bogotá se relacionan todas las actividades que permitan dar
seguridad a dicho proceso. De esta forma, el desarrollo del proyecto está compuesto por cinco
fases, de esta manera:
4.1. Fase 1. Levantamiento de la información
La fase de levantamiento de la información representa una etapa crítica e importante por
cuanto comienza con el diagnóstico actual de seguridad de la información en el proceso TI de
Odontología de Marlon Becerra, y se tuvieron en cuenta los siguientes Instrumentos para
recopilar esta información:
4.1.1. Cuestionarios.
Al inicio del levantamiento de la información del proceso de TI se implementaron
cuestionarios estructurados a los participantes de dicho proceso, para detectar algunos aspectos
importantes que permiten posteriormente diagnosticar el estado actual del proceso de TI.
4.1.2. Observación de Actividades y documentación existente.
La observación general con la cual se pretende obtener una visión global del proceso de
TI, donde se procedió a realizar las siguientes actividades:
§ Identificar si existen buenas prácticas de seguridad de la información con base al
estándar ISO/IEC 27002.
§ Identificar si existe un análisis de riesgos para el proceso de TI conforme a la
norma NTC ISO/IEC 27005.
§ Revisar los riesgos identificados hasta el momento.
§ Revisar el histórico de incidentes presentados en los procesos TI.
§ Analizar los objetivos de los subprocesos de TI, actuales y futuros.
40
§ Elaborar y validar el inventario de activos, de infraestructura, información y
recurso humano, para esta actividad se requiere desarrollar y mantener el inventario de
infraestructura física, hardware, software, información electrónica, información en papel,
usuarios y servicios.
§ Identificar si existen políticas de seguridad de la información, manuales,
protocolos, y guías, que sean aplicables y actualizadas.
En esta etapa el cliente presentó documentación existente que permitió realizar un análisis
sobre el manejo, almacenamiento, transferencia y tipo de información que gestiona la
organización y en lo particular el proceso TI de la misma.
Se evidenció la existencia de dos manuales que impactan directamente al proceso de TI,
más no un manual específico para el proceso. Los manuales en mención son: “GIF-MN-01
MANUAL DE GESTIÓN DE LA INFORMACIÓN” y “GIF-MN-02 MANUAL DE
SEGURIDAD DE LA INFORMACIÓN”. Por otra parte, no se halló una política de seguridad de
la información que oriente a los distintos procesos del negocio, al correcto uso y las medidas de
prevención y corrección a utilizar para mitigar los riesgos asociados a la información que se
gestiona en la compañía. Esto constituye una ausencia de notable importancia, teniendo en
cuenta la información sensible que maneja dentro de la compañía al pertenecer al sector de la
salud.
Dentro de la información contenida en los manuales se encontró que existen procesos
documentados para la captura, clasificación, mecanismos de transmisión, asignación de roles y
responsabilidades relacionadas con la información, como también para las comunicaciones
internas y externas. Adicional a lo anterior se encontró la existencia de informes de gestión de
incidentes anuales relacionados con el proceso de TI y un apartado relacionado a la compra de
41
equipos de cómputo. A continuación, se presenta el análisis realizado a la documentación
existente relacionada con seguridad de la información en OMB.
Captura de datos.
“Para la captura de datos la institución la realiza de manera física y electrónica. Para el
proceso de gestión de servicio al usuario se realiza de manera electrónica mediante el sistema
GESTIÓN ODONTOLÓGICA, el cual permite capturar la información desde el momento que se
agenda la atención, este proceso va de la mano con odontología especializada que utiliza en el
sistema para registrar tiempos de atención, historia clínica digital, evolución, liquidación de
honorarios, facturación, Inventarios, materiales y reportes. y se está trabajando en más mejoras
del mismo, se cuenta con dos sistemas de consultas uno es VANGOGH y el otro Pro práctica,
sistemas clínicos antecesores a Gestión Odontológica. Igualmente, para el proceso de gestión
administrativa y financiera se utiliza el sistema SIIGO que es el sistema encargado de manejar la
contabilidad de la institución. El proceso de direccionamiento estratégico, gestión de mercadeo
de publicidad, gestión humana se basan en estos dos sistemas para captura de datos, pero es
importante aclarar que estos procesos también tienen captura de datos físicos, en paquetes
ofimáticos. Actualmente estos dos sistemas no cuentan con una interfaz para comunicarse los
datos y la información de cada uno. El proceso de Odontología especializada realiza la captura
de datos de forma electrónica para la atención del paciente (historia clínica manual y manual
para anexos).
Para el proceso de gestión de la tecnología, gestión del ambiente físico y gestión de
calidad y seguridad del paciente realizan la captura de datos esto se realiza de forma semi-
automatizada pues se tiene formatos en Word y Excel que son ingresados por el responsable
manualmente, el acceso a esta información está restringido con uso de contraseñas solo por el
42
personal de tecnología, igualmente se encuentra protegida la información que se descarga de la
página de difusión de este proceso.
El proceso de gestión de la información se basa de cada uno de los datos recolectados por
los otros procesos y utiliza los sistemas implementados y las herramientas ofimáticas, para
garantizar que la información cumpla con sus características y que se tenga un flujo adecuado de
esta.” (Odontología de Marlón Becerra (OMB), 2013)
Se evidencia que el proceso de captura de datos es susceptible a mejora; ya que si bien se
toman en cuenta las distintas maneras en que la información ingresa a las áreas y sistemas de la
compañía, se sugeriría unir las bases de datos con información histórica, al sistema actual, esto
agilizaría las consultas previas al ingreso de nuevos registros y para los profesionales
odontológicos ayudaría a llevar una traza ágil de la información clínica de sus pacientes.
Adicionalmente se reduciría considerablemente la redundancia de información, errores en
algunos procedimientos clínicos al desconocer tratamientos previos y aportaría al negocio una
imagen antes sus pacientes, de ser una clínica que lleva un seguimiento ágil de su historial
clínico.
Clasificación de la información.
(Odontología de Marlón Becerra (OMB), 2013) define:
La clasificación de la información constituye un elemento importante de la gestión de
riesgos, ya que determina las necesidades, prioridades y el grado de protección necesario para
cada tipo de información.
OMB ha adoptado una estructura de clasificación de la información que considera la
información presentada por categoría.
Esta estructura define el nivel adecuado de protección para una categoría determinada e
informa a los responsables de cualquier medida especial o tratamiento requerido.
43
Toda la información debe ser integrada en una de las siguientes cuatro categorías:
§ Confidencial: Esta clasificación se asigna a la información sensible de uso interno.
La divulgación no autorizada de este tipo de información afecta desfavorablemente a la clínica,
sus accionistas, socios y clientes.
§ Sólo para uso interno: La información en esta sección sólo deberá ser revelada a
terceros que tengan firmado un acuerdo de confidencialidad. Su divulgación no debe causar un
grave daño a la organización. La información está disponible para todos los empleados a través
de la Intranet de la organización. Esta clasificación se aplica a toda la información clasificada por
defecto, e incluye las guías telefónicas, documentos de formación, plantillas y horarios.
§ Público: hace referencia a la información que la dirección de la clínica ha
autorizado de forma explícita su distribución pública, por ejemplo, folletos, revistas, material
publicitario y notas de prensa.
§ Externa: es la información a la cual pueden tener acceso las personas externas de
la institución.
Para asegurar la protección de la información, todos los usuarios deben familiarizarse con la
definición de cada categoría, así como las medidas necesarias.
44
Se observa que existe una categorización de la información según la confidencialidad de
la misma, donde se evidencian 4 niveles de sensibilidad. Además, la organización detalla que
categoría de información puede llegar a manejar o producir cada proceso; sin embargo, no existe
un estudio previo de riesgos ni discriminación de activos de información que permita aclarar el
enfoque de cada categoría, esto puede suponer información no categorizada correctamente y
riesgos que pueden llegar a impactar negativamente la confidencialidad, disponibilidad y
seguridad de la información gestionada en OMB.
Etiquetado de la información.
(Odontología de Marlón Becerra (OMB), 2013) define:
OMB ha desarrollado los procedimientos adecuados para el etiquetado y el manejo de
información de acuerdo a la estructura de clasificación que ha adoptado. Las etiquetas de
identificación deben tener la clasificación.
La información confidencial, desde su inicio hasta la destrucción, sin importar el medio
de almacenamiento (digital o físico) deberá llevar la denominación de clasificación de
información adecuada.
Procesos
Confidencial Interna Pública Externa Direccionamiento estratégico X X X
Gestión de mercadeo y publicidad X X X X Gestión de la Calidad y Seguridad del Paciente
X X X X
Gestión de servicio al Usuario X X X Odontología Especializada X X
Gestión de la Información X X X X Gestión Administrativa y Financiera X X X Gestión Humana X X X Gestión de la tecnología X X
Gestión de Ambiente Físico X X
Figura 4. Niveles de clasificación de la información en OMB. Tomado de: MANUAL DE GESTIÓN DE LA INFORMACIÓN OMB.
45
La Información "Privada" debe ser protegida contra la divulgación a terceros. Sin
embargo, el acceso de terceros a la información de la clínica puede ser autorizada por la
Gerencia, si se ha demostrado que esta información es necesaria para que el tercero cumpla
alguna instrucción de la dirección de la OMB o la ley de Colombia así lo exija.
La información catalogada como de "Solo para uso interno", no es necesario que lleve la
etiqueta en este tipo de información, ya que será clasificada como tal por defecto.
Cualquier pérdida o sospecha de uso no autorizado debe ser reportada de inmediato al
propietario de la información y a la gerencia de la OMB.
Toda documentación física o electrónica debe estar etiqueta con el nombre del proceso al
que pertenece, sub proceso y la información que contiene cada archivo, para el caso de
información electrónica la información debe estar organizada de la siguiente manera:
Figura 5. Etiquetado de la información en OMB. Tomado de: MANUAL DE GESTIÓN DE LA INFORMACIÓN OMB.
46
Almacenamiento de información.
(Odontología de Marlón Becerra (OMB), 2013) define:
Física
Los archivos físicos de la institución deben cumplir con los requisitos mínimos, a
excepción del archivo de historias clínicas de la institución algunos de estos requisitos son:
§ Procesos Archivísticos. La gestión de documentos dentro del concepto de Archivo
Total, comprende procesos tales como la producción o recepción, la distribución, la consulta, la
organización, la recuperación y la disposición final de los documentos.
§ Obligatoriedad de las tablas de retención. Ser adoptara las respectivas tablas de
retención documental.
§ Inventario Documental. Es importante contar con un inventario de los documentos
que produzcan en ejercicio de sus funciones, de manera que se asegure el control de los
documentos en sus diferentes fases.
Electrónica
La información electrónica con que cuenta la institución debe ser almacenada según la
política de manejo de información electrónica y debe cumplir con los lineamientos del
instructivo de almacenamiento de información, es importante aclarar que la información
electrónica está bajo la custodia de cada uno de los empleados y el Jefe directo es el responsable
de velar por el cumplimiento.
De lo anterior se puede analizar que pese a que existe almacenamiento de información en
un servidor centralizado y existe un procedimiento de etiquetado de información según su
confidencialidad y el proceso que la gestiona, no existe un procedimiento formal y escrito sobre
lo que se debe almacenar (documentos de texto, pdf, etc.) y la manera correcta de hacerlo
(cifrados, comprimidos, etc.), así como no se evidencia la existencia de “La Política de manejo
47
de información electrónica” y “El instructivo de almacenamiento de información”. Lo anterior
puede suponer un agotamiento de recursos de almacenamiento en el servidor de archivos, así
como también el guardado inapropiado de información e incluso, el almacenamiento de
materiales que pueden ocasionar daño a los sistemas de la organización y equipos de usuarios
finales.
Mecanismos de transmisión de la información.
(Odontología de Marlón Becerra (OMB), 2013) define:
Los medios de Transmisión utilizados son:
§ Medio escrito: en este medio se encuentra todos los documentos relacionados en
la estructura documental de la institución, así mismo entran en este mecanismo las carteleras
institucionales.
§ Medios electrónicos: en este medio se encuentran los correos electrónicos, la
página web.
De acuerdo a lo presentado como mecanismos de transmisión se evidencia una
aproximación a los mismos; sin embargo, no se tienen en cuenta otros medios como la
transmisión verbal, uso de programas de mensajería instantánea, entre otros, de cuidado
significativo a la hora de preservar la confidencialidad e integridad de la información.
Responsables de la información.
Se evidencia que Odontología de Marlón Becerra posee un esquema de responsables de la
información compuesto por 5 roles (Gerencia general, Jefe de gestión de la información, Técnico
en sistemas, Jefes de procesos y usuarios de la organización) con sus respectivas funcionalidades
(ver Tabla 2); pese a esto, se halla que no existe una debida segregación de actividades
relacionadas con mantener la seguridad de la información y se sugiere un mayor compromiso de
la alta dirección con la seguridad en mención.
48
Tabla 2. Responsables de la información en OMB Tomado de: MANUAL DE GESTIÓN DE LA INFORMACIÓN OMB.
Resumen de Funciones y Responsabilidades
Gerencia General · Velar por que el proceso de gestión de información se esté cumpliendo
en cada una de las aéreas de la forma descripta
· Sensibilizar al personal en el cumplimiento de los lineamientos
descriptos
· Almacenar y gestionar de forma lógica la información. · Mantener la fiabilidad de la información
Jefe Gestión de la Información · Determinar la sensibilidad y el nivel de criticidad de la información, y
en consecuencia determina su clasificación
· Almacenar y gestiona de forma lógica la información
· Sugerir las nuevas tecnologías y procedimientos que debe
implementar la clínica.
· Mantener la fiabilidad de la información
· Proponer e instalar mecanismos de seguridad digital.
· Velar por las copias de seguridad regularmente
· Proponer revisiones periódicas, tratando de mejorar de manera
significativa la configuración y la funcionalidad de los recursos
tecnológicos, ERP, cortafuegos, servidores, aplicaciones, bases de
datos y otros componentes informáticos importantes.
· Verificar el asesoramiento técnico para gestionar, instalar y actualizar
los sistemas de control de acceso
· Verificar el asesoramiento técnico para definir las pruebas necesarias
para documentar adecuadamente los incidentes de seguridad
· Actuar como recurso técnico para los usuarios que deseen obtener más
información acerca de seguridad de la información.
· Evaluar los informes de control, análisis de viabilidad, manuales
operativos y otros documentos producidos durante el proceso de
desarrollo de los sistemas de OMB
· Analizar los productos de información disponibles en el mercado y
servicios de seguridad a fin de determinar lo que podría ser de interés
para la clínica, de acuerdo el manual de compra de productos de
sistemas
· Evaluar la jurisprudencia actual, proyectos de ley, reglamentos,
estándares de la industria y las obligaciones morales que se relacionan
49
Resumen de Funciones y Responsabilidades
con la seguridad de la información y la confidencialidad, a fin de que
la OMB se ajuste y cumpla con estos requisitos
· Interpretar las políticas de seguridad de la información, normas y otros requisitos específicos de los sistemas internos de información, y ayudar con su aplicación
· Velar porque cada jefe de área este manejando la información de
forma correcta
· Proponer y evaluar mecanismos de control de la información física y/o electrónica
Técnico es Sistemas · Almacenar y gestionar de forma lógica la información.
· Mantener la fiabilidad de la información
· Realizar las copias de seguridad regularmente y restaurar datos de
copias de seguridad cuando sea necesario
· Realizar las revisiones periódicas, tratando de mejorar de manera
significativa la configuración y la funcionalidad de los recursos
tecnológicos, ERP, cortafuegos, servidores, aplicaciones, bases de
datos y otros componentes informáticos importantes
· Brindar asesoramiento técnico para gestionar, instalar y actualizar los
sistemas de control de acceso
· Proporcionar asesoramiento técnico para definir las pruebas necesarias
para documentar adecuadamente los incidentes de seguridad
· Actuar como recurso técnico para los usuarios que deseen obtener más
información acerca de seguridad de la información
· Realizar los mantenimientos necesarios para el buen funcionamiento
de los mismos
· Proponer y evaluar mecanismos de control de la información física y/o electrónica
Jefe de Áreas y procesos · Realizar seguimiento al cumplimiento de lineamientos definidos para
la custodia y manejo de la información física y electrónica a su cargo
· Proporcionar periódicamente a la Gestión de la Información listas de
personas que han accedido a la información
· Generar informes de vulnerabilidades o falencias en el manejo de la
información física y/o electrónica.
· Mantener la disponibilidad de la información física y/o electrónica · Proponer y evaluar mecanismos de control de la información física y/o
electrónica · Evalúa la jurisprudencia actual, proyectos de ley, reglamentos, que se
relacionan con la seguridad de la información y la confidencialidad, a
fin de que OMB se ajuste y cumpla con estos requisitos en la parte
50
Resumen de Funciones y Responsabilidades
física asistencial.
· Interpretar las políticas de seguridad de la información, normas y otros
requisitos específicos de los sistemas internos de información, y ayuda
con su aplicación, y dar a conocer estas a las personas a su cargo
· Almacenar y gestionar de forma lógica la información
· Velar porque el personal a cargo cumpla con lo descrito en los
manuales y procedimientos de Gestión de la Información
Comunicar al jefe de gestión de la información cambios en los
requerimientos de información descritos en la tabla de retención documental
· Mantener la fiabilidad de la información
Usuarios(El usuario puede ser un miembro del personal de la organización o un tercero que tiene acceso y utiliza los datos de la organización únicamente con fines de negocios (o según lo dispuesto por la empresa).
· No utilizar los sistemas de cómputo o cualquier tipo de información de
la clínica sin previa autorización
· Adherirse a los controles establecidos por Gestión de la Información
para la seguridad de la información
· Informar a Gestión de la Información (helpdesk, departamento de
sistemas) los errores de la información y anomalías que pudiese
encontrar
· Informa al departamento de sistemas vulnerabilidades y violaciones a
los sistemas de cómputo cuando se presenten.
· Mantener la fiabilidad de la información Almacenar y gestionar de forma lógica la información
Compra de equipos de sistemas.
(Odontología de Marlón Becerra (OMB), 2013) define:
Odontología de Marlon Becerra garantiza que la compra de equipos de sistemas de
realiza bajo lineamientos descritos en el MANUAL DE COMPRA de la Institución,
respondiendo a las necesidades de cada usuario.
Es importante aclarar que todo equipo de cómputo que se adquiera en la institución debe
tener como mínimo las siguientes especificaciones:
51
§ El equipo debe tener las siguientes características procesador intel cori 5 memoria
ram 4 gigas mínimo disco duro mínimo de 120 gigas el computador tiene que ser de marca con
licencia en Windows solo 32 bits no (64), Para el caso de equipo de usuario
§ Servidor HP, IBM, DELL procesador DL 360 G5 Xeon Quad Core Duo 2.5Ghz. +
3 DD SAS 146GB disco duro dependiendo el uso del servidor.
Si bien la organización posea unos lineamientos para la compra de equipos de sistemas,
se sugiere estipular que el tiempo de actualización en los requerimientos mínimos de los equipos
sea anual; con lo cambiantes de las tecnologías, es de importancia mantener equipos con un
rendimiento acorde a las actividades diarias de cada uno de los usuarios de la organización y los
equipos que este año se sugieran comprar puede que para el próximo año ya no tengan unas
características de rendimiento adecuadas.
Inventario de activos de información.
OMB lleva un inventario de hardware y licencias de software pertenecientes a la
compañía, así como actas de asignación de equipos de cómputo y una relación de los equipos en
donde se encuentran instaladas las licencias adquiridas por la organización. Así mismo, dentro
del Manual de seguridad de la información se mencionan medidas para la implementación de
software bajo los distintos esquemas de licenciamiento y los correctivos a aplicar en caso de
incumplimientos en el licenciamiento de software.
Lo anterior representa una fracción del total de activos de información y las medidas de
control sobre los mismos. Se sugiere realizar un levantamiento completo de los activos de
información (recurso humano, tecnológico, físico, lógico, etc.) en la organización y
posteriormente tomar las medidas necesarias para asegurar dichos activos. Adicionalmente,
aunque dentro del Manual de seguridad de la información se menciona un documento de
aceptación de responsabilidades de los empleados en el manejo de contraseñas y licencias de
52
software, no se evidencia la existencia física ni electrónica de dicho documento; el cual
representa una medida fundamental para el debido uso de los recursos licenciados de la
organización.
Indicadores de gestión del proceso TI.
Según los indicadores de gestión del proceso de TI, para el año 2016 el porcentaje de
requerimientos resueltos por el proceso de sistemas fue del 91.48%. Ver Figura 6.
En estos indicadores se comparan anualmente el número de incidentes resueltos, contra el
número de incidentes abiertos. Estos incidentes son gestionados mediante un software de
helpdesk de código abierto y que permite llevar una trazabilidad de los incidentes; sin embargo,
no se encuentra una segmentación de los incidentes relacionados con seguridad de la
información y los que no corresponden a esta categoría. Se sugiere categorizar los incidentes
repostados a TI, de manera que se pueda llevar una traza de los que son relacionados son
seguridad de la información y adaptar la periodicidad de los informes de gestión de dichos
incidentes a un lapso no superior a 3 meses.
Figura 6. Indicador de incidentes resueltos por el proceso de TI en el año 2016 Tomado de: Informe de gestión definitivo GIF 2016 – OMB.
53
Controles relacionados con seguridad de la información
Dentro del Manual de seguridad de la información se evidencia el conocimiento de
controles basados en estándares ISO/IEC 27001 e ISO/IEC 27002; sin embargo, no existe un
estudio (por ejemplo: análisis de riesgos) que soporte la elección de los controles citados en el
manual, ni se evidencian soportes de implementación de la mayoría de los controles
mencionados y la trazabilidad de efectividad de los mismos.
4.2.3. Diagnóstico actual de seguridad de la información en OMB
De acuerdo a la información recolectada en OMB, se presenta a continuación una tabla
que relaciona las prácticas de seguridad aplicables para esta compañía y sugerida por el estándar
ISO/IEC 27002, versus los controles que actualmente se encuentran implementados en OMB.
Tabla 3. Prácticas de seguridad GTC ISO/IEC 27002 actualmente en OMB. Fuente: Autores.
GTC ISO/IEC 27002:2013. 14 dominios, 35 objetivos de control y 114 controles Si No N/A 5. Políticas de seguridad. 5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información. X 5.1.2 Revisión de las políticas para la seguridad de la información. X
6. Aspectos organizativos de la seguridad de la información. 6.1 Organización interna.
6.1.1 Asignación de responsabilidades para la seguridad de la información. X 6.1.2 Segregación de tareas. X 6.1.3 Contacto con las autoridades. X 6.1.4 Contacto con grupos de interés especial. X 6.1.5 Seguridad de la información en la gestión de proyectos. X
6.2 Dispositivos para movilidad y teletrabajo. 6.2.1 Política de uso de dispositivos para movilidad. X 6.2.2 Teletrabajo. X
7. Seguridad ligada a los recursos humanos. 7.1 Antes de la contratación.
7.1.1 Investigación de antecedentes. X 7.1.2 Términos y condiciones de contratación. X
7.2 Durante la contratación. 7.2.1 Responsabilidades de gestión. X
54
7.2.2 Concienciación, educación y capacitación en seguridad de la información X 7.2.3 Proceso disciplinario. X
7.3 Cese o cambio de puesto de trabajo. 7.3.1 Cese o cambio de puesto de trabajo. X
8. Gestión de activos. 8.1 Responsabilidad sobre los activos.
8.1.1 Inventario de activos. X 8.1.2 Propiedad de los activos. X 8.1.3 Uso aceptable de los activos. X 8.1.4 Devolución de activos. X
8.2 Clasificación de la información. 8.2.1 Directrices de clasificación. X 8.2.2 Etiquetado y manipulado de la información. X 8.2.3 Manipulación de activos. X
8.3 Manejo de los soportes de almacenamiento. 8.3.1 Gestión de soportes extraíbles. X 8.3.2 Eliminación de soportes. X 8.3.3 Soportes físicos en tránsito. X
9. Control de accesos. 9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos. X 9.1.2 Control de acceso a las redes y servicios asociados. X
9.2 Gestión de acceso de usuario. 9.2.1 Gestión de altas/bajas en el registro de usuarios. X 9.2.2 Gestión de los derechos de acceso asignados a usuarios. X 9.2.3 Gestión de los derechos de acceso con privilegios especiales. X 9.2.4 Gestión de información confidencial de autenticación de usuarios. X 9.2.5 Revisión de los derechos de acceso de los usuarios. X 9.2.6 Retirada o adaptación de los derechos de acceso X
9.3 Responsabilidades del usuario. 9.3.1 Uso de información confidencial para la autenticación. X
9.4 Control de acceso a sistemas y aplicaciones. 9.4.1 Restricción del acceso a la información. X 9.4.2 Procedimientos seguros de inicio de sesión. X 9.4.3 Gestión de contraseñas de usuario. X 9.4.4 Uso de herramientas de administración de sistemas. X 9.4.5 Control de acceso al código fuente de los programas. X
10. Cifrado. 10.1 Controles criptográficos.
10.1.1 Política de uso de los controles criptográficos. X 10.1.2 Gestión de claves. X
11. Seguridad física y ambiental. 11.1 Áreas seguras.
55
11.1.1 Perímetro de seguridad física. X 11.1.2 Controles físicos de entrada. X 11.1.3 Seguridad de oficinas, despachos y recursos. X 11.1.4 Protección contra las amenazas externas y ambientales. X 11.1.5 El trabajo en áreas seguras. X 11.1.6 Áreas de acceso público, carga y descarga. X
11.2 Seguridad de los equipos. 11.2.1 Emplazamiento y protección de equipos. X 11.2.2 Instalaciones de suministro. X 11.2.3 Seguridad del cableado. X 11.2.4 Mantenimiento de los equipos. X 11.2.5 Salida de activos fuera de las dependencias de la empresa. X 11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. X 11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. X 11.2.8 Equipo informático de usuario desatendido. X 11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla. X
12. Seguridad en la operativa. 12.1 Responsabilidades y procedimientos de operación.
12.1.1 Documentación de procedimientos de operación. X 12.1.2 Gestión de cambios. X 12.1.3 Gestión de capacidades. X 12.1.4 Separación de entornos de desarrollo, prueba y producción. X
12.2 Protección contra código malicioso. 12.2.1 Controles contra el código malicioso. X
12.3 Copias de seguridad. 12.3.1 Copias de seguridad de la información. X
12.4 Registro de actividad y supervisión. 12.4.1 Registro y gestión de eventos de actividad. X 12.4.2 Protección de los registros de información. X 12.4.3 Registros de actividad del administrador y operador del sistema. X 12.4.4 Sincronización de relojes. X
12.5 Control del software en explotación. 12.5.1 Instalación del software en sistemas en producción. X
12.6 Gestión de la vulnerabilidad técnica. 12.6.1 Gestión de las vulnerabilidades técnicas. X 12.6.2 Restricciones en la instalación de software. X
12.7 Consideraciones de las auditorías de los sistemas de información. 12.7.1 Controles de auditoría de los sistemas de información. X
13. Seguridad en las telecomunicaciones. 13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de red. X 13.1.2 Mecanismos de seguridad asociados a servicios en red. X 13.1.3 Segregación de redes. X
56
13.2 Intercambio de información con partes externas. 13.2.1 Políticas y procedimientos de intercambio de información. X 13.2.2 Acuerdos de intercambio. X 13.2.3 Mensajería electrónica. X 13.2.4 Acuerdos de confidencialidad y secreto. X
14. Adquisición, desarrollo y mantenimiento de los sistemas de información. 14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de los requisitos de seguridad. X 14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas. X 14.1.3 Protección de las transacciones por redes telemáticas. X
14.2 Seguridad en los procesos de desarrollo y soporte. 14.2.1 Política de desarrollo seguro de software. X 14.2.2 Procedimientos de control de cambios en los sistemas. X 14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. X 14.2.4 Restricciones a los cambios en los paquetes de software. X 14.2.5 Uso de principios de ingeniería en protección de sistemas. X 14.2.6 Seguridad en entornos de desarrollo. X 14.2.7 Externalización del desarrollo de software. X 14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas. X 14.2.9 Pruebas de aceptación. X
14.3 Datos de prueba. 14.3.1 Protección de los datos utilizados en pruebas. X
15. Relaciones con suministradores. 15.1 Seguridad de la información en las relaciones con suministradores.
15.1.1 Política de seguridad de la información para suministradores. X 15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores. X 15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones. X
15.2 Gestión de la prestación del servicio por suministradores. 15.2.1 Supervisión y revisión de los servicios prestados por terceros. X 15.2.2 Gestión de cambios en los servicios prestados por terceros. X
16. Gestión de incidentes en la seguridad de la información. 16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos. X 16.1.2 Notificación de los eventos de seguridad de la información. X 16.1.3 Notificación de puntos débiles de la seguridad. X 16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones. X 16.1.5 Respuesta a los incidentes de seguridad. X 16.1.6 Aprendizaje de los incidentes de seguridad de la información. X 16.1.7 Recopilación de evidencias. X
17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio. 17.1 Continuidad de la seguridad de la información.
17.1.1 Planificación de la continuidad de la seguridad de la información. X 17.1.2 Implantación de la continuidad de la seguridad de la información. X 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la X
57
información. 17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información. X 18. Cumplimiento. 18.1 Cumplimiento de los requisitos legales y contractuales.
18.1.1 Identificación de la legislación aplicable. X 18.1.2 Derechos de propiedad intelectual (DPI). X 18.1.3 Protección de los registros de la organización. X 18.1.4 Protección de datos y privacidad de la información personal. X 18.1.5 Regulación de los controles criptográficos. X
18.2 Revisiones de la seguridad de la información. 18.2.1 Revisión independiente de la seguridad de la información. X 18.2.2 Cumplimiento de las políticas y normas de seguridad. X 18.2.3 Comprobación del cumplimiento. X
Totales 42 60 12
De la anterior tabla, se puede resumir que de las prácticas de seguridad de la información
que se sugiere implementar en OMB, actualmente existe un 41% de cumplimiento en la
implementación, tomando como referencia la guía GTC ISO/IEC 27002 y descartando aquellas
prácticas que no aplican para la organización.
Adicionalmente, y con relación a los dominios de control que plantea la guía GTC
ISO/IEC 27002, el cumplimiento en Odontología de Marlón Becerra se puede observar en la
Figura 8.
Figura 7. Porcentaje de prácticas GTC ISO/IEC 27002 que se cumplen en OMB Fuente: Autores
58
En lo que se refiere al proceso de TI, se encuentra que corresponden 85 prácticas de
seguridad de la guía GTC ISO/IEC 27002; sin embargo, el porcentaje de cumplimiento es del
48%. Lo ideal sería que el proceso de TI tuviese total cobertura de las 85 prácticas que le
corresponden.
Figura 8. Cumplimiento de prácticas GTC ISO/IEC 27002 según su dominio, actualmente implementados en OMB
59
En resumen, se puede evidenciar un bajo nivel de implementación de prácticas de
seguridad de la información en OMB, lo cual es crítico para una entidad que maneja datos
sensibles como lo son aquellos relacionados a la salud de sus pacientes; lo recomendable para la
compañía es cumplir con el 100% de las prácticas de la guía GTC ISO/IEC 27002, que le
aplican, iniciando con aquellos relacionados con Seguridad de las telecomunicaciones,
Seguridad en la operativa y Seguridad ligada a los recursos humanos; ya que estas impactan
directamente en la operación diaria de los empleados de la compañía y suponen mayor
probabilidad de ocurrencia de incidentes de seguridad.
En las fases posteriores del proyecto se desarrollarán estudios que permitan la
identificación de activos de información en el proceso de TI en OMB, riesgos asociados a dichos
activos y los prácticas de seguridad sugeridas de la guía GTC ISO/IEC 27002 que vayan acorde a
los riesgos que se hallen; lo que dará a OMB un panorama más claro del estado de seguridad en
el que se encuentra ahora y las medidas a tomar para mejorarlo.
Figura 9. Porcentaje de prácticas GTC ISO/IEC 27002 existentes en el proceso de TI. Fuente: Autores
60
4.3. Fase 2. Gestión del riesgo
El proceso de gestión de riesgos involucra cuatro actividades cíclicas:
§ La identificación de activos y los riesgos a los que están expuestos.
§ El análisis de los riesgos identificados para cada activo.
§ La selección e implantación de controles que reduzcan los riesgos.
§ El seguimiento, medición y mejora de las medidas implementadas.
El alcance de este proyecto tiene como límite llegar hasta la selección de prácticas de
seguridad de la guía GTC ISO/IEC 27002 para minimizar los riesgos hallados.
4.3.3. Identificación de activos de información.
Se procede con la identificación de los activos teniendo en cuenta su infraestructura, la
información, recurso humano y servicios, que proporcione datos suficientes para la valoración
del riesgo dentro de la confidencialidad, integridad y disponibilidad. En este proceso se
identificaron los siguientes activos:
Tabla 4. Lista de activos de información dentro del proceso TI.
Listado de activos de información Datacenter Protocolos Archivo Físico Guías Videos de cámaras de seguridad Contratos Servidores Historias clínicas Laptops Información contable Computadores Desktops Información financiera Impresoras Multifuncionales Historias clínicas Teléfonos Libros de contabilidad Equipos Biomédicos Manuales Equipos de redes Protocolos Sistema de gestión de Base de Datos Guías Sistema de gestión Odontológica Contratos Sistema de mesa de ayuda Gerencia general Sistema de mensajería instantánea Líderes de proceso Aplicaciones ofimáticas Clientes
61
Listado de activos de información Sistema SIIGO contable Personal clínico Sistema Asterisk Personal administrativo Sistema de respaldo de información Empleados de la organización Firewall Correo electrónico Base de datos Mensajería instantánea Manuales Servicios de escritorio remoto
Criticidad de activos de información.
Se define la criticidad de un activo en función de cuán necesario resulta para las
actividades de la clínica en la prestación del servicio enfocándose en la misión de la
organización. Dado que en una organización no todos los activos de información poseen el
mismo valor, a la vez que un mismo activo puede poseer un valor diferente para distintas áreas,
se establece una valoración estandarizada donde el propietario de la información clasifica cada
activo según las tres características básicas de la seguridad de la información: la
confidencialidad, la integridad, y la disponibilidad a la que debe estar sometido.
Se plantea un esquema de evaluación cuantitativa en la criticidad de los activos de
información, tomando como referencia el máximo resultado dentro de las 3 puntuaciones del
activo según las características (confidencialidad, integridad, disponibilidad) de seguridad de la
información que lo determine, de la siguiente manera:
Si el valor es 0 ==> Criticidad 0-Nula
Si el máximo dentro de los 3 valores es 1 ==> Criticidad 1-Baja
Si el máximo dentro de los 3 valores es 2 ==> Criticidad 2-Media
Si el máximo dentro de los 3 valores es 3 ==> Criticidad 3-Alta
Partiendo de lo anterior se plantea la siguiente clasificación en cuanto a criticidad de los
activos de información:
62
Tabla 5. Escala de valores, criterio confidencialidad
Activo Ejemplo Valor Información que puede ser conocida y utilizada sin autorización por cualquier persona, dentro o fuera de la Clínica Odontológica.
Campañas de salud oral, planes de descuentos, noticias con respecto a la salud oral, concursos.
0
Información que puede ser conocida y utilizada por todos los empleados de la Clínica Odontológica.
Los reglamentos internos de trabajo, Comunicados dirigidos a todos los empleados, campañas informativas.
1
Información que sólo puede ser conocida y utilizada por un área o proceso, que la necesiten para realizar su trabajo.
Aplicativo Clínico, (Gestión Odontológica), Actas de comités,
2
Información que sólo puede ser conocida y utilizada por un grupo muy reducido de trabajadores, cuya divulgación podría ocasionar un perjuicio a la Clínica Odontológica, o terceros
Historial Clínico de Pacientes, Consentimientos clínicos, envió de correo electrónico con información sensible, a dirección equivocada.
3
Tabla 6. Escala de valores, criterio integridad
Activo Ejemplo Valor Información cuya modificación no autorizada puede repararse fácilmente, o que no afecta a las actividades de la Clínica Odontológica.
Chat interno (Spark), carpetas compartidas con información de mercadeo y publicidad.
0
Información cuya modificación no autorizada puede repararse aunque podría ocasionar un perjuicio para la Clínica Odontológica o terceros
Manuales de los procesos, protocolos, guías, actas.
1
Información cuya modificación no autorizada es de difícil reparación y podría ocasionar un perjuicio significativo para la Clínica Odontológica, o terceros
Virus, secuestros de información, violación a la privacidad de datos por manipulación de un trabajador o profesional clínico.
2
63
Activo Ejemplo Valor Información cuya modificación no autorizada no podría repararse, impidiendo la realización de las actividades.
Cambios en los expedientes clínicos de los pacientes sin autorización previa por un profesional o auxiliar clínico.
3
Tabla 7. Escala de valores, criterio disponibilidad
Activo Ejemplo Valor Información cuya inaccesibilidad no afecta la actividad normal de la Clínica Odontológica.
Ingreso, aplicaciones de comunicación (spark, correo)
0
Información cuya inaccesibilidad permanente durante una semana podría ocasionar un perjuicio significativo para la Clínica Odontológica.
Ingreso a aplicativo clínico que antecedió al actual (AVGN) aplicativo que se encuentra para consultas
1
Información cuya inaccesibilidad permanente durante la jornada laboral podría impedir la ejecución de las actividades de la Clínica Odontológica.
Servidor de imágenes clínicas. 2
Información cuya inaccesibilidad permanente durante una hora podría impedir la ejecución de las actividades de la Clínica Odontológica.
Aplicativo clínico (Gestión Odontológica)
3
El resultado final de la evaluación de criticidad de los activos relacionados con el proceso
de TI, se muestra en la siguiente tabla:
Tabla 8. Criticidad de los activos de información del proceso TI
Activo Confidencialidad Integridad Disponibilidad Criticidad Datacenter 3 3 3 3 Archivo Físico 3 3 2 3 Videos de cámaras de seguridad
1 1 3 3
Servidores 3 3 3 3 Laptops 3 2 1 3 Computadores Desktops 3 2 1 3
64
Activo Confidencialidad Integridad Disponibilidad Criticidad Impresoras Multifuncionales
2 1 1 2
Teléfonos 3 1 3 3 Equipos Biomédicos 0 3 2 3 Equipos de redes 3 3 3 3 Sistema de gestión de Base de Datos
3 3 3 3
Sistema de gestión Odontológica
3 3 3 3
Sistema de mesa de ayuda 1 1 2 2 Sistema de mensajería instantánea
3 1 1 3
Aplicaciones ofimáticas 2 3 1 3 Sistema SIIGO contable 3 3 3 3 Sistema Asterisk 3 3 3 3 Sistema de respaldo de información
3 3 3 3
Firewall 1 1 3 3 Base de datos 3 3 3 3 Manuales 1 1 1 1 Protocolos 1 1 1 1 Guías 1 1 1 1 Contratos 3 3 1 3 Historias clínicas 3 3 3 3 Información contable 3 3 3 3 Información financiera 3 3 3 3 Historias clínicas 3 3 1 3 Libros de contabilidad 3 3 1 3 Manuales 1 0 1 1 Protocolos 1 0 1 1 Guías 1 0 1 1 Contratos 3 3 1 3 Gerencia general 3 3 3 3 Líderes de proceso 3 3 3 3 Clientes 3 3 2 3 Personal clínico 3 3 3 3 Personal administrativo 3 3 2 3 Empleados de la organización
3 2 1 3
Correo electrónico 3 3 2 3 Mensajería instantánea 2 2 2 2 Servicios de escritorio remoto
3 3 3 3
65
4.3.4. Identificación de las vulnerabilidades.
Las vulnerabilidades están relacionadas con las propiedades de los activos que hacen
parte del proceso de TI. De acuerdo a la información suministrada por el cliente y el juicio de
expertos ejercido por los integrantes del proyecto, se determinaron las siguientes
vulnerabilidades:
Tabla 9. Listado de vulnerabilidades asociadas a los activos de información
Activo Vulnerabilidad Datacenter Deficiencia en la construcción física. Archivo Físico Condiciones físicas. Videos de cámaras de seguridad Deficiencia en condiciones de copias de respaldo. Servidores Deficiencia en el mantenimiento.
Degradación del hardware. Agotamiento de recursos.
Laptops Errores de configuración. Computadores Desktops Equipos fuera del dominio Impresoras Multifuncionales Equipo tercerizado Teléfonos Arquitectura insegura de red de voz Equipos Biomédicos Requerimientos incompletos Equipos de redes Debilidad en el diseño Sistema de gestión de Base de Datos
Versiones obsoletas Ausencia de logs Implementación errónea de mecanismos de autenticación
Sistema de gestión Odontológica Deficiencia en el filtrado de información Privilegios por defecto Deficiencia en la gestión de credenciales
Sistema de mesa de ayuda Error de configuración Sobrecarga de trabajo
Sistema de mensajería instantánea Falla en la implementación Carencia de cifrado
Aplicaciones ofimáticas Versiones obsoletas Sistema SIIGO contable Soporte a cargo de terceros Sistema Asterisk Insuficiencia de actualizaciones Sistema de respaldo de información
Programación incorrecta de las tareas de respaldo
Firewall Falta de mantenimiento lógico Base de datos Usuarios con roles equívocos
Datos sensibles sin cifrar
66
Activo Vulnerabilidad Manuales Acceso libre Protocolos Guías Contratos Protocolos de custodia mal definidos Historias clínicas Protocolos de acceso no definidos Información contable Información sin custodia Información financiera Deficiencias en la organización de la información Historias clínicas Documentos sensibles sin custodia Libros de contabilidad Manuales Acceso libre a nivel interno Protocolos Guías Contratos Protocolos de custodia mal definidos Gerencia general Misma contraseña para todos los sistemas a los que
acceden Líderes de proceso Clientes Exposición de información sensible Personal clínico Rotación de personal Personal administrativo Empleados de la organización Correo electrónico Autenticación frágil
Transporte de información sin cifrar Mensajería instantánea Servicios de escritorio remoto 4.3.5. Identificación de las amenazas.
Se identificaron las amenazas consecuentes a los activos analizados según experiencia
interna obtenida de los incidentes y las valoraciones de las vulnerabilidades, que se deberían
tomar en consideración para su criticidad.
Tabla 10. Listado de amenazas identificadas
Activo Vulnerabilidades Amenazas Datacenter Deficiencia en la construcción
física. Sismos Incendios Polvo Inundación
Archivo Físico Condiciones físicas. Humedad Polvo Incendio
67
Activo Vulnerabilidades Amenazas Videos de cámaras de seguridad
Deficiencia en condiciones de copias de respaldo.
Daños físicos
Servidores Deficiencia en el mantenimiento.
Caída del servidor
Degradación del hardware. Indisponibilidad del sistema
Agotamiento de recursos. Carga de trabajo Laptops Errores de configuración. Suplantación de identidad Computadores Desktops Equipos fuera del dominio Software malintencionado Impresoras Multifuncionales Equipo tercerizado Acceso a red no autorizado Teléfonos Arquitectura insegura de red de
voz Interceptación de conversaciones.
Equipos Biomédicos Requerimientos incompletos Manipulación indebida Equipos de redes Debilidad en el diseño Intrusiones Sistema de gestión de Base de Datos
Versiones obsoletas Ingreso de información errónea
Ausencia de logs Operaciones no autorizadas
Implementación errónea de mecanismos de autenticación
Ataques cibernéticos
Sistema de gestión Odontológica
Deficiencia en el filtrado de información
Ingreso de parámetros erróneos
Privilegios por defecto Ataques deliberados a la información
Deficiencia en la gestión de credenciales
Suplantación de identidad
Sistema de mesa de ayuda Error de configuración Ataque deliberado Sobrecarga de trabajo Exceso de solicitudes
Sistema de mensajería instantánea
Falla en la implementación Aumento de conexiones simultáneas
Carencia de cifrado Intercepción de la información
Aplicaciones ofimáticas Versiones obsoletas Manipulación de la información
Sistema SIIGO contable Soporte a cargo de terceros Fuga de información Sistema Asterisk Insuficiencia de actualizaciones Ataques deliberados Sistema de respaldo de información
Programación incorrecta de las tareas de respaldo
Fallas de disco en equipos clientes
Firewall Falta de mantenimiento lógico Accesos no autorizados Base de datos Usuarios con roles equívocos Alteración de la
información Datos sensibles sin cifrar Hackeo de datos
Manuales Acceso libre Usuarios malintencionados Copias no controladas
68
Activo Vulnerabilidades Amenazas Protocolos Intentos de alteración Guías Copias no controladas Contratos Protocolos de custodia mal
definidos Solicitudes no autorizadas
Historias clínicas Protocolos de acceso no definidos
Usuarios no autorizados
Información contable Información sin custodia Espionaje Información financiera Deficiencias en la organización
de la información Espionaje
Historias clínicas Documentos sensibles sin custodia
Acceso a instalaciones no autorizados
Libros de contabilidad Deterioro de la información
Manuales Acceso libre a nivel interno Espionaje Protocolos Copias no controladas Guías Deterioro de los
documentos Contratos Protocolos de custodia mal
definidos Solicitudes no autorizadas
Gerencia general Misma contraseña para todos los sistemas a los que acceden
Ingresos no autorizados. Líderes de proceso Secuestro de sesión. Clientes Exposición de información
sensible Divulgación de la información.
Personal clínico Rotación de personal Suplantación de identidad. Personal administrativo Errores administrativos. Empleados de la organización Personal mal calificado Correo electrónico Autenticación frágil
Transporte de información sin cifrar
Atacante remoto Mensajería instantánea Manipulación de la
información Servicios de escritorio remoto Daños de la información,
secuestro de la misma 4.3.6. Identificación del impacto.
Se realiza una medición cuantitativa del impacto que generarían las amenazas en caso de
aprovecharse de las vulnerabilidades, tomando en consideración los criterios que se definieron
durante lo establecido en el proceso de identificación de activos. La fórmula para determinar el
impacto es la siguiente:
Impacto=Valor Criticidad * Valor Máximo Degradación
69
Tabla 11. Determinación del impacto que podría causar la amenaza
Degradación Impacto Total
Activos Criticidad Vulnerabilidades Amenazas Confidencialidad Integridad Disponibilidad
Datacenter 3 Deficiencia en la construcción física.
Sismos 0% 70% 100% 3
Incendios 0% 100% 100% 3
Polvo 0% 100% 100% 3
Inundación 0% 100% 100% 3
Archivo Físico 3 Condiciones físicas.
Humedad 40% 100% 60% 3
Polvo 10% 80% 50% 2
Incendio 100% 100% 100% 3
Videos de cámaras de seguridad
3 Deficiencia en condiciones de copias de respaldo.
Daños físicos 0% 0% 100% 3
Servidores 3 Deficiencia en el mantenimiento.
Caída del servidor
100% 100% 100% 3
Degradación del hardware.
Indisponibilidad del sistema
100% 100% 100% 3
Agotamiento de recursos.
Carga de trabajo 100% 100% 100% 3
Laptops 3 Errores de configuración.
Suplantación de identidad
100% 100% 100% 3
Computadores Desktops
3 Equipos fuera del dominio
Software malintencionado
100% 100% 50% 3
Impresoras Multifuncionales
2 Equipo tercerizado Acceso a red no autorizado
0% 20% 60% 1,2
Teléfonos 3 Arquitectura insegura de red de voz
Interceptación de conversaciones.
100% 0% 100% 3
Equipos Biomédicos
3 Requerimientos incompletos
Manipulación indebida
0% 40% 80% 2,4
Equipos de redes 3 Debilidad en el diseño
Intrusiones 100% 100% 100% 3
Sistema de gestión de Base de Datos
3 Versiones obsoletas
Ingreso de información errónea
100% 100% 100% 3
Ausencia de logs Operaciones no autorizadas
0% 20% 30% 0,9
Implementación errónea de mecanismos de autenticación
Ataques cibernéticos
100% 100% 100% 3
Sistema de gestión Odontológica
3 Deficiencia en el filtrado de información
Ingreso de parámetros erróneos
100% 100% 100% 3
Privilegios por defecto
Ataques deliberados a la información
100% 100% 100% 3
Deficiencia en la gestión de credenciales
Suplantación de identidad
100% 100% 100% 3
Sistema de mesa de ayuda
2 Error de configuración
Ataque deliberado
0% 40% 80% 1,6
Sobrecarga de trabajo
Exceso de solicitudes
0% 40% 100% 2
Sistema de mensajería instantánea
3 Falla en la implementación
Aumento de conexiones simultáneas
0% 40% 60% 1,8
Carencia de cifrado Intercepción de la información
80% 10% 50% 2,4
70
Degradación Impacto Total
Activos Criticidad Vulnerabilidades Amenazas Confidencialidad Integridad Disponibilidad
Aplicaciones ofimáticas
3 Versiones obsoletas
Manipulación de la información
100% 100% 100% 3
Sistema SIIGO contable
3 Soporte a cargo de terceros
Fuga de información
100% 100% 100% 3
Sistema Asterisk 3 Insuficiencia de actualizaciones
Ataques deliberados
80% 100% 100% 3
Sistema de respaldo de información
3 Programación incorrecta de las tareas de respaldo
Fallas de disco en equipos clientes
100% 100% 100% 3
Firewall 3 Falta de mantenimiento lógico
Accesos no autorizados
100% 80% 100% 3
Base de datos 3 Usuarios con roles equívocos
Alteración de la información
100% 100% 100% 3
Datos sensibles sin cifrar
Hackeo de datos 100% 89% 100% 3
Manuales 1 Acceso libre Usuarios malintencionados Copias no controladas
80% 80% 80% 0,8
Protocolos 1 Intentos de alteración
80% 80% 80% 0,8
Guías 1 Copias no controladas
60% 20% 10% 0,6
Contratos 3 Protocolos de custodia mal definidos
Solicitudes no autorizadas
100% 100% 100% 3
Historias clínicas 3 Protocolos de acceso no definidos
Usuarios no autorizados
100% 100% 100% 3
Información contable
3 Información sin custodia
Espionaje 100% 100% 100% 3
Información financiera
3 Deficiencias en la organización de la información
Espionaje 100% 100% 100% 3
Historias clínicas 3 Documentos sensibles sin custodia
Acceso a instalaciones no autorizados
100% 100% 20% 3
Libros de contabilidad
3 Deterioro de la información
40% 60% 100% 3
Manuales 1 Acceso libre a nivel interno
Espionaje 70% 20% 10% 0,7
Protocolos 1 Copias no controladas
60% 20% 10% 0,6
Guías 1 Deterioro de los documentos
30% 60% 10% 0,6
Contratos 3 Protocolos de custodia mal definidos
Solicitudes no autorizadas
100% 100% 100% 3
Gerencia general 3 Misma contraseña para todos los sistemas a los que acceden
Ingresos no autorizados.
100% 100% 100% 3
Líderes de proceso
3 Secuestro de sesión.
100% 100% 100% 3
Clientes 3 Exposición de información sensible
Divulgación de la información.
100% 100% 100% 3
Personal clínico 3 Rotación de personal
Suplantación de identidad.
100% 100% 50% 3
Personal administrativo
3 Errores administrativos.
30% 100% 100% 3
Empleados de la organización
3 Personal mal calificado
50% 100% 100% 3
Correo electrónico
3 Autenticación frágil Transporte de información sin cifrar
Atacante remoto 100% 70% 80% 3
Mensajería instantánea
2 Manipulación de la información
60% 70% 50% 1,4
Servicios de escritorio remoto
3 Daños de la información,
100% 100% 100% 3
71
Degradación Impacto Total
Activos Criticidad Vulnerabilidades Amenazas Confidencialidad Integridad Disponibilidad
secuestro de la misma
4.3.7. Evaluación de la frecuencia.
Se identificó la frecuencia anual con la que la amenaza podría sacar provecho de la
vulnerabilidad para afectar el activo de información.
Tabla 12. Medición de la frecuencia con que podría cada amenaza tomar provecho de la
vulnerabilidad
Activos Vulnerabilidades Amenazas Impacto Total
Frecuencia Anual
Datacenter Deficiencia en la construcción física. Sismos 3 0,10
Incendios 3 0,17
Polvo 3 8,00
Inundación 3 1,00
Archivo Físico Condiciones físicas. Humedad 3 8,00
Polvo 2 10,00
Incendio 3 0,50
Videos de cámaras de seguridad
Deficiencia en condiciones de copias de respaldo.
Daños físicos 3 0,50
Servidores Deficiencia en el mantenimiento. Caída del servidor 3 2,00
Degradación del hardware. Indisponibilidad del sistema
3 2,00
Agotamiento de recursos. Carga de trabajo 3 0,25
Laptops Errores de configuración. Suplantación de identidad 3 1,00
Computadores Desktops
Equipos fuera del dominio Software malintencionado 3 5,00
Impresoras Multifuncionales
Equipo tercerizado Acceso a red no autorizado 1,2 6,00
Teléfonos Arquitectura insegura de red de voz Interceptación de conversaciones.
3 3,00
Equipos Biomédicos
Requerimientos incompletos Manipulación indebida 2,4 3,00
Equipos de redes Debilidad en el diseño Intrusiones 3 4,00
Sistema de gestión de Base de Datos
Versiones obsoletas Ingreso de información errónea
3 1,00
Ausencia de logs Operaciones no autorizadas 0,9 2,00
Implementación errónea de mecanismos de autenticación
Ataques cibernéticos 3 2,00
Sistema de gestión Odontológica
Deficiencia en el filtrado de información
Ingreso de parámetros erróneos
3 1,00
Privilegios por defecto Ataques deliberados a la 3 2,00
72
Activos Vulnerabilidades Amenazas Impacto Total
Frecuencia Anual
información
Deficiencia en la gestión de credenciales
Suplantación de identidad 3 8,00
Sistema de mesa de ayuda
Error de configuración Ataque deliberado 1,6 8,00
Sobrecarga de trabajo Exceso de solicitudes 2 3,00
Sistema de mensajería instantánea
Falla en la implementación Aumento de conexiones simultáneas
1,8 10,00
Carencia de cifrado Intercepción de la información
2,4 2,00
Aplicaciones ofimáticas
Versiones obsoletas Manipulación de la información
3 8,00
Sistema SIIGO contable
Soporte a cargo de terceros Fuga de información 3 8,00
Sistema Asterisk Insuficiencia de actualizaciones Ataques deliberados 3 2,00
Sistema de respaldo de información
Programación incorrecta de las tareas de respaldo
Fallas de disco en equipos clientes
3 1,00
Firewall Falta de mantenimiento lógico Accesos no autorizados 3 3,00
Base de datos Usuarios con roles equívocos Alteración de la información
3 1,00
Datos sensibles sin cifrar Hackeo de datos 3 3,00
Manuales Acceso libre Usuarios malintencionados Copias no controladas
0,8 3,00
Protocolos Intentos de alteración 0,8 3,00
Guías Copias no controladas 0,6 3,00
Contratos Protocolos de custodia mal definidos Solicitudes no autorizadas 3 0,25
Historias clínicas Protocolos de acceso no definidos Usuarios no autorizados 3 2,00
Información contable
Información sin custodia Espionaje 3 0,50
Información financiera
Deficiencias en la organización de la información
Espionaje 3 0,25
Historias clínicas Documentos sensibles sin custodia Acceso a instalaciones no autorizados
3 8,00
Libros de contabilidad
Deterioro de la información 3 8,00
Manuales Acceso libre a nivel interno Espionaje 0,7 2,00
Protocolos Copias no controladas 0,6 5,00
Guías Deterioro de los documentos
0,6 2,00
Contratos Protocolos de custodia mal definidos Solicitudes no autorizadas 3 0,25
Gerencia general Misma contraseña para todos los sistemas a los que acceden
Ingresos no autorizados. 3 0,50
Líderes de proceso Secuestro de sesión. 3 0,50
Clientes Exposición de información sensible Divulgación de la información.
3 0,12
Personal clínico Rotación de personal Suplantación de identidad. 3 1,00
73
Activos Vulnerabilidades Amenazas Impacto Total
Frecuencia Anual
Personal administrativo
Errores administrativos. 3 6,00
Empleados de la organización
Personal mal calificado 3 8,00
Correo electrónico Autenticación frágil Transporte de información sin cifrar
Atacante remoto 3 3,00
Mensajería instantánea
Manipulación de la información
1,4 4,00
Servicios de escritorio remoto
Daños de la información, secuestro de la misma
3 2,00
4.3.8. Identificación de riesgos.
Esta fase se desarrolló basada en el estándar ISO/IEC 27005. Con la identificación del
riesgo se pretende analizar lo que puede suceder y cuáles pueden ser las posibles consecuencias,
antes de decidir lo que se debería hacer y cuando hacerlo, con el fin de reducir el riesgo hasta
un nivel aceptable.
La gestión de riesgo se presenta como un proceso base para la identificación del GAP de
seguridad de la información, en el manejo de los datos personales de salud por parte del personal
clínico, elaborada a partir de recomendaciones, normativa y estándares nacionales e
internacionales.
Es un proceso constante que permite a la administración balancear los costos
operacionales y económicos causados por la interrupción de las actividades y la pérdida de
activos, con los costos de las medidas de protección a aplicar sobre los sistemas de información y
los datos que dan soporte al funcionamiento de la organización, reduciendo los riegos que
presentan los activos de información a niveles aceptables para la misma.
Como resultado de lo anterior a continuación se realiza el listado de riesgos asociados a
las amenazas de los activos identificados:
74
Tabla 13. Listado de riesgos identificados
Activo Vulnerabilidades Amenazas Id. Riesgo
Descripción del Riesgo
Datacenter Deficiencia en la construcción física.
Sismos 1 Destrucción del Datacenter por sismos.
Incendios 2 Daños en el Datacenter a causa de incendios.
Polvo 3 Deterioro en el Datacenter por polvo.
Inundación 4 Daño eléctrico en el Datacenter a causa de inundación.
Archivo Físico Condiciones físicas. Humedad 5 Daño en documentos físicos por humedad.
Polvo 6 Deterioro de documentos impresos por polvo.
Incendio 7 Pérdida de información a causa de incendio.
Videos de cámaras de seguridad
Deficiencia en condiciones de copias de respaldo.
Daños físicos 8 Pérdida de vídeos de seguridad por daños en los dispositivos.
Servidores Deficiencia en el mantenimiento. Caída del servidor 9 Daños físicos en el servidor por falta de mantenimiento.
Degradación del hardware. Indisponibilidad del sistema
10 Daño en el servidor por exceso de calor.
Agotamiento de recursos. Carga de trabajo 11 Inoperatividad del servidor por agotamiento de recursos.
Laptops Errores de configuración. Suplantación de identidad
12 Fraude a causa de suplantación de identidad.
Computadores Desktops
Equipos fuera del dominio Software malintencionado
13 Pérdida de información a causa de un software malintencionado.
Impresoras Multifuncionales
Equipo tercerizado Acceso a red no autorizado
14 Divulgación de información por intrusión a la red corporativa.
Teléfonos Arquitectura insegura de red de voz
Interceptación de conversaciones.
15 Divulgación de información confidencial a causa de conversaciones interceptadas.
Equipos Biomédicos Requerimientos incompletos Manipulación indebida
16 Corrupción en las tomas de muestras de equipos biomédicos a causa de manipulaciones.
Equipos de redes Debilidad en el diseño Intrusiones 17 Inoperatividad de los servicios de red por ataques deliberados de intrusos.
Sistema de gestión de Base de Datos
Versiones obsoletas Ingreso de información errónea
18 Corrupción de información debido a registros incorrectos aceptados por el SGBD.
Ausencia de logs Operaciones no autorizadas
19 Ausencia de auditoría a la base de datos por la falta de logs.
Implementación errónea de mecanismos de autenticación
Ataques cibernéticos
20 Sustracción de información debido a un ataque perpetrado por un intruso.
Sistema de gestión Odontológica
Deficiencia en el filtrado de información
Ingreso de parámetros erróneos
21 Daño en los registros de la base de datos debido al ingreso de parámetros incorrectos.
Privilegios por defecto Ataques deliberados a la información
22 Robo de información a causa de ataques deliberados al sistema de gestión odontológica.
Deficiencia en la gestión de credenciales
Suplantación de identidad
23 Robo de información por suplantación de identidad.
Sistema de mesa de ayuda
Error de configuración Ataque deliberado 24 Indisponibilidad en el sistema de mesa de ayuda por ataques deliberados de DoS.
Sobrecarga de trabajo Exceso de solicitudes
25 Colapso en el sistema de mesa de ayuda por exceso de peticiones simultáneas.
Sistema de mensajería instantánea
Falla en la implementación Aumento de conexiones simultáneas
26 Indisponibilidad del servicio de mensajería instantánea por exceso de conexiones del servidor.
Carencia de cifrado Intercepción de la información
27 Divulgación de información a causa de interceptación de tráfico de red.
Aplicaciones ofimáticas
Versiones obsoletas Manipulación de la información
28 Daño en la información a causa de manipulación de aplicaciones
75
Activo Vulnerabilidades Amenazas Id. Riesgo
Descripción del Riesgo
ofimáticas.
Sistema SIIGO contable
Soporte a cargo de terceros Fuga de información
29 Divulgación de información contable y financiera debido a fuga de información.
Sistema Asterisk Insuficiencia de actualizaciones Ataques deliberados
30 Indisponibilidad del servicio telefónico por ataques deliberados al servidor de telefonía.
Sistema de respaldo de información
Programación incorrecta de las tareas de respaldo
Fallas de disco en equipos clientes
31 Pérdida de información parcial o total por la no realización de backups.
Firewall Falta de mantenimiento lógico Accesos no autorizados
32 Inoperatividad de la red corporativa por manipulación del Firewall.
Base de datos Usuarios con roles equívocos Alteración de la información
33 Alteración de información por usuarios no autorizados.
Datos sensibles sin cifrar Hackeo de datos 34 Divulgación de información obtenida por ataques deliberados de un hacker.
Manuales Acceso libre Usuarios malintencionados Copias no controladas
35 Borrado de información por parte de un usuario malintencionado.
Protocolos Intentos de alteración
36 Alteración de información por usuarios conectados a la red corporativa.
Guías Copias no controladas
37 Divulgación de información corporativa debido a copias no controladas.
Contratos Protocolos de custodia mal definidos
Solicitudes no autorizadas
38 Divulgación de información contractual por acceso de usuarios no autorizados.
Historias clínicas Protocolos de acceso no definidos Usuarios no autorizados
39 Sanciones legales y/o económicas por divulgación de información sensible.
Información contable Información sin custodia Espionaje 40 Divulgación de información financiera por espionaje corporativo.
Información financiera Deficiencias en la organización de la información
Espionaje 41 Divulgación de información contable por espionaje corporativo.
Historias clínicas Documentos sensibles sin custodia Acceso a instalaciones no autorizados
42 Sanciones legales y/o económicas por divulgación de información sensible.
Libros de contabilidad Deterioro de la información
43 Daño en documentos físicos de historias clínicas por deterioro del papel.
Manuales Acceso libre a nivel interno Espionaje 44 Divulgación de información corporativa debido a espionaje por empleados de la compañía.
Protocolos Copias no controladas
45 Divulgación de información corporativa debido a copias no controladas en manos de los empleados.
Guías Deterioro de los documentos
46 Daño en documentos físicos corporativos por deterioro del papel.
Contratos Protocolos de custodia mal definidos
Solicitudes no autorizadas
47 Robo de documentos de contratos por parte de personal interno o externo.
Gerencia general Misma contraseña para todos los sistemas a los que acceden
Ingresos no autorizados.
48 Daño de información por parte de usuarios malintencionados que acceden con credenciales de usuarios autorizados.
Líderes de proceso Secuestro de sesión. 49 Robo de información por un atacante que secuestra la sesión de un usuario con privilegios.
Clientes Exposición de información sensible
Divulgación de la información.
50 Divulgación de información sensible de pacientes por exposición de la misma por parte del mismo paciente
Personal clínico Rotación de personal Suplantación de identidad.
51 Robo de información por parte de un atacante que suplanta la identidad de un usuario autorizado.
Personal administrativo
Errores administrativos.
52 Indisponibilidad de servicio ocasionadas por parte de personal no idóneo para ejercer sus actividades.
Empleados de la organización
Personal mal calificado
53 Daño a la información por parte de personal no idóneo para las actividades que realiza.
Correo electrónico Autenticación frágil Transporte de información sin cifrar
Atacante remoto 54 Divulgación de información interceptada por parte de un atacante remoto.
76
Activo Vulnerabilidades Amenazas Id. Riesgo
Descripción del Riesgo
Mensajería instantánea Manipulación de la información
55 Modificación de sistemas a través de escritorio remoto por parte de un atacante suplantando la identidad de un usuario autorizado.
Servicios de escritorio remoto
Daños de la información, secuestro de la misma
56 Sanciones legales y/o económicas por divulgación de información sensible que un atacante obtiene.
4.3.9. Estimación del Riesgo.
Se realizó la estimación del riesgo utilizando una combinación metodológica cuantitativa
y cualitativa aplicada a los activos del proceso de TI. La fórmula para la estimación cuantitativa
del riesgo utilizada es la siguiente:
Riesgo = Impacto total * Frecuencia total
Surge la siguiente estimación cuantitativa de los riesgos:
Tabla 14. Estimación cuantitativa de los riesgos hallados
Activo Vulnerabilidades Amenazas Impacto Total
Frecuencia Anual
Id. Riesgo
Est. Riesgo
Datacenter Deficiencia en la construcción física.
Sismos 3 0,10 1 0,3
Incendios 3 0,17 2 0,5
Polvo 3 8,00 3 24,0
Inundación 3 1,00 4 3,0
Archivo Físico Condiciones físicas. Humedad 3 8,00 5 24,0
Polvo 2 10,00 6 24,0
Incendio 3 0,50 7 1,5
Videos de cámaras de seguridad
Deficiencia en condiciones de copias de respaldo.
Daños físicos 3 0,50 8 1,5
Servidores Deficiencia en el mantenimiento. Caída del servidor 3 2,00 9 6,0
Degradación del hardware. Indisponibilidad del sistema 3 2,00 10 6,0
Agotamiento de recursos. Carga de trabajo 3 0,25 11 0,8
Laptops Errores de configuración. Suplantación de identidad 3 1,00 12 3,0
Computadores Desktops
Equipos fuera del dominio Software malintencionado 3 5,00 13 15,0
Impresoras Multifuncionales
Equipo tercerizado Acceso a red no autorizado 1,2 6,00 14 7,2
Teléfonos Arquitectura insegura de red de voz
Interceptación de conversaciones.
3 3,00 15 9,0
Equipos Biomédicos
Requerimientos incompletos Manipulación indebida 2,4 3,00 16 7,2
Equipos de redes Debilidad en el diseño Intrusiones 3 4,00 17 12,0
Sistema de gestión de Base de Datos
Versiones obsoletas Ingreso de información errónea
3 1,00 18 3,0
Ausencia de logs Operaciones no autorizadas 0,9 2,00 19 1,8
77
Implementación errónea de mecanismos de autenticación
Ataques cibernéticos 3 2,00 20 6,0
Sistema de gestión Odontológica
Deficiencia en el filtrado de información
Ingreso de parámetros erróneos
3 1,00 21 3,0
Privilegios por defecto Ataques deliberados a la información
3 2,00 22 6,0
Deficiencia en la gestión de credenciales
Suplantación de identidad 3 8,00 23 24,0
Sistema de mesa de ayuda
Error de configuración Ataque deliberado 1,6 8,00 24 12,8
Sobrecarga de trabajo Exceso de solicitudes 2 3,00 25 6,0
Sistema de mensajería instantánea
Falla en la implementación Aumento de conexiones simultáneas
1,8 10,00 26 18,0
Carencia de cifrado Intercepción de la información
2,4 2,00 27 4,8
Aplicaciones ofimáticas
Versiones obsoletas Manipulación de la información
3 8,00 28 24,0
Sistema SIIGO contable
Soporte a cargo de terceros Fuga de información 3 8,00 29 24,0
Sistema Asterisk Insuficiencia de actualizaciones Ataques deliberados 3 2,00 30 6,0
Sistema de respaldo de información
Programación incorrecta de las tareas de respaldo
Fallas de disco en equipos clientes
3 1,00 31 3,0
Firewall Falta de mantenimiento lógico Accesos no autorizados 3 3,00 32 9,0
Base de datos Usuarios con roles equívocos Alteración de la información 3 1,00 33 3,0
Datos sensibles sin cifrar Hackeo de datos 3 3,00 34 9,0
Manuales Acceso libre Usuarios malintencionados Copias no controladas
0,8 3,00 35 2,4
Protocolos Intentos de alteración 0,8 3,00 36 2,4
Guías Copias no controladas 0,6 3,00 37 1,8
Contratos Protocolos de custodia mal definidos
Solicitudes no autorizadas 3 0,25 38 0,8
Historias clínicas Protocolos de acceso no definidos Usuarios no autorizados 3 2,00 39 6,0
Información contable
Información sin custodia Espionaje 3 0,50 40 1,5
Información financiera
Deficiencias en la organización de la información
Espionaje 3 0,25 41 0,8
Historias clínicas Documentos sensibles sin custodia
Acceso a instalaciones no autorizados
3 8,00 42 24,0
Libros de contabilidad
Deterioro de la información 3 8,00 43 24,0
Manuales Acceso libre a nivel interno Espionaje 0,7 2,00 44 1,4
Protocolos Copias no controladas 0,6 5,00 45 3,0
Guías Deterioro de los documentos 0,6 2,00 46 1,2
Contratos Protocolos de custodia mal definidos
Solicitudes no autorizadas 3 0,25 47 0,8
Gerencia general Misma contraseña para todos los sistemas a los que acceden
Ingresos no autorizados. 3 0,50 48 1,5
Líderes de proceso Secuestro de sesión. 3 0,50 49 1,5
Clientes Exposición de información sensible
Divulgación de la información.
3 0,12 50 0,4
Personal clínico Rotación de personal Suplantación de identidad. 3 1,00 51 3,0
Personal administrativo
Errores administrativos. 3 6,00 52 18,0
Empleados de la organización
Personal mal calificado 3 8,00 53 24,0
78
Correo electrónico Autenticación frágil Transporte de información sin cifrar
Atacante remoto 3 3,00 54 9,0
Mensajería instantánea
Manipulación de la información
1,4 4,00 55 5,6
Servicios de escritorio remoto
Daños de la información, secuestro de la misma
3 2,00 56 6,0
Partiendo de los valores obtenidos en la estimación cuantitativa, realizamos la siguiente
escala de medición cualitativa:
Bajo 0 A 7 Medio 8 A 16 Alto 17 A 24
4.3.10. Evaluación del Riesgo.
Se determinaron durante la gestión del proceso, una lista de riesgos según los criterios
estipulados para su evaluación donde se comparan para hallar la importancia.
En contexto de las decisiones en esta etapa se revisa con mayor detalle, cuando se sabe
más acerca de los riesgos particulares ya identificados.
A continuación, se presenta la evaluación de los riesgos identificados combinando la
estimación cualitativa y cuantitativa:
Tabla 15. Evaluación de los riesgos identificados
Id. Riesgo Descripción del Riesgo Evaluación
1 Destrucción del Datacenter por sismos. 0,3 2 Daños en el Datacenter a causa de incendios. 0,5 3 Deterioro en el Datacenter por polvo. 24,0 4 Daño eléctrico en el Datacenter a causa de inundación. 3,0 5 Daño en documentos físicos por humedad. 24,0 6 Deterioro de documentos impresos por polvo. 24,0 7 Pérdida de información a causa de incendio. 1,5 8 Pérdida de vídeos de seguridad por daños en los dispositivos. 1,5 9 Daños físicos en el servidor por falta de mantenimiento. 6,0 10 Daño en el servidor por exceso de calor. 6,0
79
Id. Riesgo Descripción del Riesgo Evaluación
11 Inoperatividad del servidor por agotamiento de recursos. 0,8 12 Fraude a causa de suplantación de identidad. 3,0 13 Pérdida de información a causa de un software malintencionado. 15,0 14 Divulgación de información por intrusión a la red corporativa. 7,2
15 Divulgación de información confidencial a causa de conversaciones interceptadas. 9,0
16 Corrupción en las tomas de muestras de equipos biomédicos a causa de manipulaciones. 7,2
17 Inoperatividad de los servicios de red por ataques deliberados de intrusos. 12,0
18 Corrupción de información debido a registros incorrectos aceptados por el SGBD. 3,0
19 Ausencia de auditoría a la base de datos por la falta de logs. 1,8
20 Sustracción de información debido a un ataque perpetrado por un intruso. 6,0
21 Daño en los registros de la base de datos debido al ingreso de parámetros incorrectos. 3,0
22 Robo de información a causa de ataques deliberados al sistema de gestión odontológica. 6,0
23 Robo de información por suplantación de identidad. 24,0 24 Indisponibilidad en el sistema de mesa de ayuda por ataques deliberados de DoS. 12,8 25 Colapso en el sistema de mesa de ayuda por exceso de peticiones simultáneas. 6,0
26 Indisponibilidad del servicio de mensajería instantánea por exceso de conexiones del servidor. 18,0
27 Divulgación de información a causa de interceptación de tráfico de red. 4,8 28 Daño en la información a causa de manipulación de aplicaciones ofimáticas. 24,0 29 Divulgación de información contable y financiera debido a fuga de información. 24,0
30 Indisponibilidad del servicio telefónico por ataques deliberados al servidor de telefonía. 6,0
31 Pérdida de información parcial o total por la no realización de backups. 3,0 32 Inoperatividad de la red corporativa por manipulación del Firewall. 9,0 33 Alteración de información por usuarios no autorizados. 3,0 34 Divulgación de información obtenida por ataques deliberados de un hacker. 9,0 35 Borrado de información por parte de un usuario malintencionado. 2,4 36 Alteración de información por usuarios conectados a la red corporativa. 2,4 37 Divulgación de información corporativa debido a copias no controladas. 1,8 38 Divulgación de información contractual por acceso de usuarios no autorizados. 0,8 39 Sanciones legales y/o económicas por divulgación de información sensible. 6,0 40 Divulgación de información financiera por espionaje corporativo. 1,5 41 Divulgación de información contable por espionaje corporativo. 0,8 42 Sanciones legales y/o económicas por divulgación de información sensible. 24,0
80
Id. Riesgo Descripción del Riesgo Evaluación
43 Daño en documentos físicos de historias clínicas por deterioro del papel. 24,0
44 Divulgación de información corporativa debido a espionaje por empleados de la compañía. 1,4
45 Divulgación de información corporativa debido a copias no controladas en manos de los empleados. 3,0
46 Daño en documentos físicos corporativos por deterioro del papel. 1,2 47 Robo de documentos de contratos por parte de personal interno o externo. 0,8
48 Daño de información por parte de usuarios malintencionados que acceden con credenciales de usuarios autorizados. 1,5
49 Robo de información por un atacante que secuestra la sesión de un usuario con privilegios. 1,5
50 Divulgación de información sensible de pacientes por exposición de la misma por parte del mismo paciente 0,4
51 Robo de información por parte de un atacante que suplanta la identidad de un usuario autorizado. 3,0
52 Indisponibilidad de servicio ocasionadas por parte de personal no idóneo para ejercer sus actividades. 18,0
53 Daño a la información por parte de personal no idóneo para las actividades que realiza. 24,0
54 Divulgación de información interceptada por parte de un atacante remoto. 9,0
55 Modificación de sistemas a través de escritorio remoto por parte de un atacante suplantando la identidad de un usuario autorizado. 5,6
56 Sanciones legales y/o económicas por divulgación de información sensible que un atacante obtiene. 6,0
En resumen, el porcentaje de riesgos hallados y categorizados como altos es del 20%,
medios es del 13% y bajos es del 67% (Ver Figura 10); sin embargo, el 33% que cubren los
riesgos medio altos son de considerable representación debido a que los activos que afectarían
son considerados críticos para la operación del negocio. Por tanto, se sugiere la mitigación de los riesgos
categorizados como medios y altos en un lapso no superior a 6 meses, y los catalogados como
bajos en un lapso no mayor a un año.
81
Figura 10. Riesgos hallados Fuente: Autores
4.4. Fase 3. Selección de prácticas de seguridad.
Basado en la identificación y estimación de riesgos determinados en la fase anterior, la
continuidad del proyecto lleva a la identificación y selección de prácticas de seguridad de la guía
GTC ISO/IEC 27002 sugeridas para mitigar los riesgos. Para más detalles, ver el anexo 3:
Selección de prácticas de seguridad de la información para el proceso TI en OMB.
Con la implementación de las prácticas de seguridad sugeridas en el anexo 3 Selección de
prácticas de seguridad de la información para el proceso TI en OMB. La organización pasaría
de cumplir de un 41 %, a un 64% de las prácticas que le corresponden según la guía GTC
ISO/IEC 27002.
82
Para más información ver los campos resaltados de la tabla que se presenta a
continuación:
Tabla 16. Prácticas de seguridad GTC ISO/IEC 27002 que se cumplirían en OMB. Fuente: Autores.
Control Si No N/A 5.1.1 Conjunto de políticas para la seguridad de la información. X 5.1.2 Revisión de las políticas para la seguridad de la información. X 6.1.1 Asignación de responsabilidades para la seguridad de la información. X 6.1.2 Segregación de tareas. X 6.1.3 Contacto con las autoridades. X 6.1.4 Contacto con grupos de interés especial. X 6.1.5 Seguridad de la información en la gestión de proyectos. X 6.2.1 Política de uso de dispositivos para movilidad. X 6.2.2 Teletrabajo. X 7.1.1 Investigación de antecedentes. X 7.1.2 Términos y condiciones de contratación. X 7.2.1 Responsabilidades de gestión. X 7.2.2 Concienciación, educación y capacitación en seguridad de la información. X 7.2.3 Proceso disciplinario. X 7.3.1 Cese o cambio de puesto de trabajo. X 8.1.1 Inventario de activos. X 8.1.2 Propiedad de los activos. X
Figura 11. Porcentaje de prácticas GTC ISO/IEC 27002 que se cumplirían en OMB Fuente: Autores
83
Control Si No N/A 8.1.3 Uso aceptable de los activos. X 8.1.4 Devolución de activos. X 8.2.1 Directrices de clasificación. X 8.2.2 Etiquetado y manipulado de la información. X 8.2.3 Manipulación de activos. X 8.3.1 Gestión de soportes extraíbles. X 8.3.2 Eliminación de soportes. X 8.3.3 Soportes físicos en tránsito. X 9.1.1 Política de control de accesos. X 9.1.2 Control de acceso a las redes y servicios asociados. X 9.2.1 Gestión de altas/bajas en el registro de usuarios. X 9.2.2 Gestión de los derechos de acceso asignados a usuarios. X 9.2.3 Gestión de los derechos de acceso con privilegios especiales. X 9.2.4 Gestión de información confidencial de autenticación de usuarios. X 9.2.5 Revisión de los derechos de acceso de los usuarios. X 9.2.6 Retirada o adaptación de los derechos de acceso X 9.3.1 Uso de información confidencial para la autenticación. X 9.4.1 Restricción del acceso a la información. X 9.4.2 Procedimientos seguros de inicio de sesión. X 9.4.3 Gestión de contraseñas de usuario. X 9.4.4 Uso de herramientas de administración de sistemas. X 9.4.5 Control de acceso al código fuente de los programas. X 10.1.1 Política de uso de los controles criptográficos. X 10.1.2 Gestión de claves. X 11.1.1 Perímetro de seguridad física. X 11.1.2 Controles físicos de entrada. X 11.1.3 Seguridad de oficinas, despachos y recursos. X 11.1.4 Protección contra las amenazas externas y ambientales. X 11.1.5 El trabajo en áreas seguras. X 11.1.6 Áreas de acceso público, carga y descarga. X 11.2.1 Emplazamiento y protección de equipos. X 11.2.2 Instalaciones de suministro. X 11.2.3 Seguridad del cableado. X 11.2.4 Mantenimiento de los equipos. X 11.2.5 Salida de activos fuera de las dependencias de la empresa. X 11.2.6 Seguridad de los equipos y activos fuera de las instalaciones. X 11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento. X 11.2.8 Equipo informático de usuario desatendido. X 11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla. X 12.1.1 Documentación de procedimientos de operación. X 12.1.2 Gestión de cambios. X 12.1.3 Gestión de capacidades. X
84
Control Si No N/A 12.1.4 Separación de entornos de desarrollo, prueba y producción. X 12.2.1 Controles contra el código malicioso. X 12.3.1 Copias de seguridad de la información. X 12.4.1 Registro y gestión de eventos de actividad. X 12.4.2 Protección de los registros de información. X 12.4.3 Registros de actividad del administrador y operador del sistema. X 12.4.4 Sincronización de relojes. X 12.5.1 Instalación del software en sistemas en producción. X 12.6.1 Gestión de las vulnerabilidades técnicas. X 12.6.2 Restricciones en la instalación de software. X 12.7.1 Controles de auditoría de los sistemas de información. X 13.1.1 Controles de red. X 13.1.2 Mecanismos de seguridad asociados a servicios en red. X 13.1.3 Segregación de redes. X 13.2.1 Políticas y procedimientos de intercambio de información. X 13.2.2 Acuerdos de intercambio. X 13.2.3 Mensajería electrónica. X 13.2.4 Acuerdos de confidencialidad y secreto. X 14.1.1 Análisis y especificación de los requisitos de seguridad. X 14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes públicas. X 14.1.3 Protección de las transacciones por redes telemáticas. X 14.2.1 Política de desarrollo seguro de software. X 14.2.2 Procedimientos de control de cambios en los sistemas. X 14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema
operativo. X
14.2.4 Restricciones a los cambios en los paquetes de software. X 14.2.5 Uso de principios de ingeniería en protección de sistemas. X 14.2.6 Seguridad en entornos de desarrollo. X 14.2.7 Externalización del desarrollo de software. X 14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas. X 14.2.9 Pruebas de aceptación. X 14.3.1 Protección de los datos utilizados en pruebas. X 15.1.1 Política de seguridad de la información para suministradores. X 15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores. X 15.1.3 Cadena de suministro en tecnologías de la información y comunicaciones. X 15.2.1 Supervisión y revisión de los servicios prestados por terceros. X 15.2.2 Gestión de cambios en los servicios prestados por terceros. X 16.1.1 Responsabilidades y procedimientos. X 16.1.2 Notificación de los eventos de seguridad de la información. X 16.1.3 Notificación de puntos débiles de la seguridad. X 16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones. X 16.1.5 Respuesta a los incidentes de seguridad. X 16.1.6 Aprendizaje de los incidentes de seguridad de la información. X
85
Control Si No N/A 16.1.7 Recopilación de evidencias. X 17.1.1 Planificación de la continuidad de la seguridad de la información. X 17.1.2 Implantación de la continuidad de la seguridad de la información. X 17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
información. X
17.2.1 Disponibilidad de instalaciones para el procesamiento de la información. X 18.1.1 Identificación de la legislación aplicable. X 18.1.2 Derechos de propiedad intelectual (DPI). X 18.1.3 Protección de los registros de la organización. X 18.1.4 Protección de datos y privacidad de la información personal. X 18.1.5 Regulación de los controles criptográficos. X 18.2.1 Revisión independiente de la seguridad de la información. X 18.2.2 Cumplimiento de las políticas y normas de seguridad. X 18.2.3 Comprobación del cumplimiento. X
Totales 65 37 12
A continuación, y con relación a los dominios de control que plantea la guía GTC
ISO/IEC 27002, se muestran dos figuras que reflejan el cumplimiento de prácticas de seguridad
actualmente en OMB y el cumplimiento de prácticas mínimas de seguridad que se requerirían
para la mitigación de los riesgos hallados en el proceso TI.
86
Figura 13. Cumplimiento mínimo de prácticas GTC ISO/IEC 27002 según su dominio, para la mitigación de riesgos en el proceso TI de OMB.
Fuente: Autores
Figura 12. Cumplimiento de prácticas GTC ISO/IEC 27002 según su dominio, actualmente implementadas en OMB
Fuente: Autores
87
4.5. Fase 4. Entrega del proyecto
Cómo fase final se entrega al cliente los documentos: Proyecto Identificar el GAP de
Seguridad de la Información en el Proceso de TI de Odontología de Marlon Becerra y Selección
de prácticas de seguridad de la información para el pro ceso TI en OMB, en formato físico y
digital.
88
5. Referencias
ISOTools Excellence. (21 de Mayo de 2015). PMG-SSI. Obtenido de http://www.pmg-
ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/
AMAYA, C. G. (8 de Junio de 2012). welivesecurity.com. Obtenido de
http://www.welivesecurity.com/la-es/2012/06/08/mejor-estandar-gestionar-seguridad-
informacion/
Áudea. (17 de Febrero de 2011). http://www.audea.com/es/. Obtenido de
http://www.audea.com/seguridad-de-la-informacion-vs-seguridad-informatica/
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2009). NORMA
TÉCNICA COLOMBIANA NTC-ISO/IEC 27005. Bogotá, Colombia: ICONTEC.
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2013). NORMA
TÉCNICA COLOMBIANA NTC-ISO-IEC 27001. Bogotá, Colombia: ICONTEC.
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2015). GUÍA TÉCNICA
COLOMBIANA GTC-ISO/IEC 27002. Bogotá, Colombia: ICONTEC.
International Organization for Standardization. (2013). ISO. Obtenido de
http://www.iso27000.es/sgsi.html
ISO. (s.f.). www.ISO27000.es. Obtenido de http://www.iso27000.es/sgsi.html
89
Normas-ISO.com. (s.f.). normas-iso.com. Obtenido de http://www.normas-iso.com/iso-27001
Odontología de Marlón Becerra (OMB). (15 de Enero de 2013). GIF-MN-01 Manual de Gestión
de la Información. Bogotá, Colombia.
Odontología de Marlón Becerra (OMB). (2 de Enero de 2013). GIF-MN-02 Manual de seguridad
de la información. Bogotá, Colombia.
Odontología de Marlon Becerra. (6 de marzo de 2017). Informe de gestión definitivo GIF 2016.
Bogotá, Colombia.
90
6. Conclusiones
Se evidenció un bajo nivel de implementación (42%) de prácticas de seguridad de la
información de la guía GTC ISO/IEC 27002 en OMB, lo cual es crítico para una entidad que
maneja datos sensibles como lo son aquellos relacionados a la salud de sus pacientes; lo
recomendable para la compañía es cumplir con el 100% de los prácticas de la guía GTC ISO/IEC
27002, que le aplican, iniciando con aquellas relacionados con los dominios Seguridad de las
telecomunicaciones, Seguridad en la operativa y Seguridad ligada a los recursos humanos; ya
que éstas impactan directamente en la operación diaria de los empleados de la compañía y
suponen mayor probabilidad de ocurrencia de incidentes de seguridad.
Se identificaron en el proceso de TI de OMB una serie de activos relacionados con la
información, posibles vulnerabilidades, amenazas, riesgos de seguridad de la información
inherentes y/o asociados a estos activos y las posibles consecuencias de los mismos. El conjunto
de vulnerabilidades y amenazas detectadas permitió la identificación de los riesgos a los cuales
se exponen los distintos activos de información relacionados al proceso de TI; esto permitió
determinar que el 33% de los activos de información se encuentran expuestos a un riesgo
medio/alto de seguridad; la mayor parte de este porcentaje obedece a la carencia de políticas y
cultura de seguridad de la información. Debido al carácter sensible de la información clínica, este
porcentaje podría suponer daños de gran magnitud tanto económica como operativa en el
negocio, incluso podría llevar a la compañía al cese permanente en sus actividades.
Con los riesgos de seguridad de la información ya identificados, se determinaron y
seleccionaron las prácticas de la guía GTC ISO/IEC 27002 aplicables y apropiadas para la
mitigación de dichos riesgos, encontrados en el proceso de TI; estas prácticas se relacionan en el
anexo Selección de prácticas de seguridad de la información para el proceso TI en OMB. El
91
diseño y la implementación de los controles de seguridad sugeridos en éste anexo permitirán que
la clínica pase a cumplir en un 64% las prácticas que le corresponden según la guía GTC
ISO/IEC 27002; esto supondría un nivel de cumplimiento mínimo y aceptable de seguridad de la
información en OMB. Al mitigar los riesgos de forma temprana se reduce considerablemente la
posibilidad de ser potenciales víctimas de las actividades delictivas, que se llevan a cabo
atentando contra la seguridad de los entornos de información; evitando por otra parte posibles
sanciones legales y la interrupción parcial o permanente de los servicios de la clínica.
Por tanto, es de vital importancia implementar y mantener actualizado el proyecto
identificar el GAP de seguridad de la información, desarrollado en este documento al igual que
incorporar como hábito cotidiano, las medidas de seguridad sugeridas en el documento Selección
de prácticas de seguridad de la información para el proceso TI en OMB.
92
7. Recomendaciones
La seguridad de la información se debe entender como un proceso y no como un producto
que se puede comprar o instalar, esto se trata de un proceso continuo, en el que se incluyen
actividades como la valoración de riesgos, prevención, detección y respuesta ante incidentes de
seguridad.
Basados en los riesgos de seguridad de la información hallados en el proceso de TI, se
sugiere a ODONTOLOGÍA MARLON BECERRA, el diseño y la implementación a mediano
plazo (no superior a 6 meses) de los controles sugeridos en el anexo Selección de prácticas de
seguridad de la información para el proceso TI en OMB y que ayudan a mitigar los riesgos
hallados y categorizados como medios y altos; iniciando con aquellas relacionados con los
dominios Seguridad de las telecomunicaciones, Seguridad en la operativa y Seguridad ligada a
los recursos humanos y continuando con las prácticas pertenecientes a otros dominios; ya que
éstas impactan directamente en la operación diaria de los empleados de la compañía y suponen
mayor probabilidad de ocurrencia de incidentes de seguridad. El restante de las prácticas de
seguridad sugeridos y que mitigan los riesgos categorizados como bajos, se recomienda
implementarlas en un lapso no mayor a un año; pese a que la frecuencia de ocurrencia de estos
riesgos no es alta, no exime a la organización de que ocurran, y de materializarse, impactarían la
operación del negocio y la información que en él se maneja.
También se recomienda adelantar actividades y charlas de concientización a todos los
integrantes de la compañía acerca de los riesgos de seguridad de la información a las que se
encuentran expuestas actualmente las organizaciones, enfatizando en que la compañía al
pertenecer al sector salud debe tener un cuidado especial con la información que en ella se
maneja.
93
Por último, se sugiere que al igual que se desarrolló este proyecto para el proceso de TI,
se realice algo similar en el restante de procesos y áreas de la compañía; iniciando por aquellas
que son base para la estrategia y operación del negocio.
94
Bibliografía
ISOTools Excellence. (21 de Mayo de 2015). PMG-SSI. Obtenido de http://www.pmg-
ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/
AMAYA, C. G. (8 de Junio de 2012). welivesecurity.com. Obtenido de
http://www.welivesecurity.com/la-es/2012/06/08/mejor-estandar-gestionar-seguridad-
informacion/
Áudea. (17 de Febrero de 2011). http://www.audea.com/es/. Obtenido de
http://www.audea.com/seguridad-de-la-informacion-vs-seguridad-informatica/
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2009). NORMA
TÉCNICA COLOMBIANA NTC-ISO/IEC 27005. Bogotá, Colombia: ICONTEC.
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2013). NORMA
TÉCNICA COLOMBIANA NTC-ISO-IEC 27001. Bogotá, Colombia: ICONTEC.
Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). (2015). GUÍA TÉCNICA
COLOMBIANA GTC-ISO/IEC 27002. Bogotá, Colombia: ICONTEC.
International Organization for Standardization. (2013). ISO. Obtenido de
http://www.iso27000.es/sgsi.html
ISO. (s.f.). www.ISO27000.es. Obtenido de http://www.iso27000.es/sgsi.html
95
Normas-ISO.com. (s.f.). normas-iso.com. Obtenido de http://www.normas-iso.com/iso-27001
Odontología de Marlón Becerra (OMB). (15 de Enero de 2013). GIF-MN-01 Manual de Gestión
de la Información. Bogotá, Colombia.
Odontología de Marlón Becerra (OMB). (2 de Enero de 2013). GIF-MN-02 Manual de seguridad
de la información. Bogotá, Colombia.
Odontología de Marlon Becerra. (6 de marzo de 2017). Informe de gestión definitivo GIF 2016.
Bogotá, Colombia.
96
Anexos
Anexo I
CUESTIONARIO DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO SEGURIDAD DE LA INFORMACIÓN ENTREVISTADO JEFE DE TI
CUESTIONARIO No. PREGUNTA SI NO N/A Observaciones
1
¿Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la base de datos?
x
2 ¿Se realiza copias de seguridad (diariamente, semanalmente, mensualmente, etc.)? x Diario
3 ¿Se implementan diferentes tipos de copia de seguridad (full, incremental, diferencial)? x Todas
4 ¿Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuarios? x
5 ¿Los repositorios de información tienen acceso restringido? x
6 ¿Se renuevan las claves de los usuarios que utilizan los sistemas tecnológicos a su disposición dentro de la compañía? x
7 ¿Se obliga el cambio de la contraseña de forma automática y periódica? x
8 ¿Las copias de seguridad son cifradas? x
9 ¿Se ha probado restaurar alguna vez una copia de seguridad, para probar que la misma se encuentre bien hecha? x
10 ¿Los dispositivos que contienen las copias de seguridad, son almacenados fuera de las instalaciones de la empresa? x
11 ¿En caso de que los servidores sufran una avería, existen servidores de contingencia? x
12 Existe algún plan de contingencia ante algún evento negativo en las Base de Datos? x
13 ¿El cableado estructurado del interior del edificio viaja dentro de canaleta o ducto? x
14 ¿Cuenta con dispositivo firewall físico o lógico para protección y aseguramiento de la red? x Lógico
15 ¿Cuenta con dispositivos para la regulación del voltaje y amperaje? x
16 ¿Los equipos se encuentran instalados en áreas con temperaturas adecuadas para su funcionamiento? x
97
CUESTIONARIO DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO SEGURIDAD DE LA INFORMACIÓN ENTREVISTADO JEFE DE TI
CUESTIONARIO
17 ¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento de la red ante un evento anómalo? x
18 ¿Cuenta con un análisis de vulnerabilidades en la implementación y configuración de los dispositivos de red? x
19 ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? x
20 ¿Con cuanta frecuencia se revisa el inventario? x
21 ¿Se poseen bitácoras de fallas detectadas en los equipos? x
22 ¿Se poseen registros individuales de los equipos? x
23 ¿Se cuenta con servicio de mantenimiento para todos los equipos? x
24 ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? x
25 ¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor? x
26 ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores? x
27 ¿Existen señalizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuación? x
28 ¿Se tienen sistemas de seguridad para evitar que se sustraigan equipos de las instalaciones? x
29 ¿El centro de cómputo tiene alguna sección con sistema de refrigeración? x
Figura 14. Representación de respuestas al cuestionario. Fuente: autores
98
Anexo II
CUESTIONARIO INICIAL DE LEVANTAMIENTO DE INFORMACIÓN
EMPRESA ODONTOLOGÍA DE MARLON BECERRA SEDE CLÍNICA DE LA 93 CHICO CUESTIONARIO ALTA GERENCIA
PROCESO GERENCIA GENERAL CUESTIONARIO
No. PREGUNTA SI NO N/A OBSERVACIONES
1 ¿Existe un plan estratégico de la Clínica a nivel de activos de la información? X
2 ¿Cuál es la estructura organizacional de la Clínica en su proceso de TI?
El proceso se encuentra muy bien definidos en el mapa de procesos de la empresa. Donde este interactúa con todas las áreas.
3 ¿Cuáles son las dependencias de la Clínica donde se maneja información sensible?
Contabilidad, Archivo clínico, y contable, recurso humano y gerencia.
4 ¿Qué políticas o procedimientos se han establecido en la Clínica odontológica de Marlon Becerra relacionadas con el proceso de TI?
Manual se seguridad de la información, proceso de gestión de la información.
5 ¿Cree importante identificar el GAP de seguridad de la información?
Muy importante ya que ayudaría a mejorar la forma como la información interactúa con todos los procesos y áreas de la clínica de forma más segura con el activo más importante que es la información.