universidad privada norbert wiener facultad de … · seguridad de la información aplicando ntp...
TRANSCRIPT
UNIVERSIDAD PRIVADA NORBERT WIENER
FACULTAD DE INGENIERÍA Y NEGOCIOS
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍAS
Implementación de un Sistema de Gestión de Seguridad de la
Información aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016
Para optar el título profesional de Ingeniero de Sistemas eInformática
AUTOR
Br. Zavaleta Rodríguez, Deyvis
LIMA - PERÚ
2016
ii
“Implementación de un Sistema de Gestión de Seguridad de laInformación aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016”
iii
Miembros del Jurado
Presidente del Jurado
Secretario
Vocal
Asesor metodológico
Mg. Nolazco Labajos, Fernando Alexis
Asesor temático
Mg. Ramos Muñoz, Alfredo Marino
Dr. Luis Miguel Romero Echevarría
Mg. Alfredo Marino Ramos Muñoz
Mg. Cora Marisol Maúrtua Timoteo
iv
DedicatoriaA mi Señor, Jesús, quien me dio la fe, la
fortaleza, la salud y la esperanza para terminar
este trabajo.
A mi esposa e hijas que me brindaron todo el
tiempo, apoyo, compresión y paciencia en
esperarme hasta la culminación la cerrera.
v
AgradecimientoMe gustaría que estas líneas sirvieran para expresar
mi más profundo y sincero agradecimiento a todas
aquellas personas que con su ayuda han colaborado
en la realización del presente trabajo, en especial al
Mg. Nolazco Labajos, Fernando Alexis, director de
esta investigación, por la orientación, el seguimiento
y la supervisión continúa de la misma, pero sobre todo
por la motivación y el apoyo recibido a lo largo de
estos meses.
Especial reconocimiento merece el interés mostrado
por mi trabajo y las sugerencias recibidas del profesor
y amigo Ing. Ramos Muñoz, Alfredo Marino, con quien
me encuentro en deuda por el ánimo infundido y la
confianza en mí depositada.
vi
PresentaciónSeñores miembros del jurado:
El presente estudio de investigación titulado “Implementación de un Sistema de
Gestión de Seguridad de la Información aplicando NTP ISO/IEC 27001:2014 en
el sector Hospitalario, 2016”, tuvo como finalidad, desarrollar el Análisis y Diseño
de un Sistema de Gestión de Seguridad de la Información para una entidad
pública del sector Salud, en cumplimiento de Grados y Títulos de la Universidad
Privada Norbert Wiener para optar por el título de Ingeniero de Sistemas e
Informática.
El estudio de investigación se realizó en el área de Archivo, perteneciente a la
oficina de Admisión del Hospital San Juan de Lurigancho – HSJL.
Para la recopilación de información se utilizó los instrumentos de encuestas para
datos cuantitativos y entrevistas para datos cualitativos.
El estudio consta de 5 capítulos, estructurados por la universidad Norbert
Wiener. El capítulo I corresponde a los problemas de investigación que incluye
la identificación del problema ideal, la formulación del problema, los objetivos
generales, específicos y la justificación. El capítulo II corresponde al marco
teórico metodológico donde se incluye el sustento teórico, antecedentes, marco
conceptual, metodología, sintagma, enfoque, tipo, diseño, las categorías y
subcategorías apriorísticas y emergentes, unidad de análisis, instrumentos y
técnicas, procedimientos y método de análisis. El capítulo III corresponde al
trabajo de campo donde se incluye el diagnóstico cuantitativo y cualitativo y el
diagnóstico final. El capítulo IV corresponde a la propuesta de investigación
donde se incluye fundamentos y objetivos de la propuesta, estructura y plan de
acción de la propuesta, viabilidad y validación de la propuesta. El capítulo V
corresponde a la discusión, conclusiones, sugerencias y referencias
bibliográficas.
Autor: Zavaleta Rodriguez, Deyvis
vii
ÍNDICEPág.
Dedicatoria 4Agradecimiento 5Presentación 6
CAPÍTULO IPROBLEMA DE LA INVESTIGACIÓN
1.1 Problema de investigación 181.1.1 Identificación del problema ideal 181.1.2 Formulación del problema 201.2 Objetivos 201.2.1 Objetivo general 201.2.2 Objetivos específicos 201.3 Justificación 21
CAPÍTULO II
MARCO TEÓRICO METODOLÓGICO
2.1 Marco teórico 232.1.1 Sustento teórico 232.1.2 Antecedentes 282.1.3 Marco conceptual 322.2 Metodología 422.2.1 Sintagma 422.2.2 Enfoque 422.2.3 Tipo 432.2.4 Diseño 432.2.5 Categorías y subcategorías apriorísticas y emergentes 442.2.6 Unidad de análisis 452.2.7 Instrumentos y técnicas 452.2.8 Procedimientos y método de análisis 48
CAPÍTULO III
TRABAJO EN CAMPO
3.1 Diagnóstico cuantitativo 50
3.2 Diagnóstico cualitativo 59
3.3 Triangulación de datos: Diagnóstico final 64
viii
CAPÍTULO IV
PROPUESTA DE LA INVESTIGACION
PROPUESTA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DESEGURIDAD DE LA INFORMACIÓN APLICANDO NTP ISO/IEC 27001:2014,
EN EL SECTOR HOSPITALARIO, 2016
Pág.
4.1 Fundamentos de la propuesta 70
4.2 Objetivos de la propuesta 924.3 Estructura y plan de acción de la Propuesta 95
4.4 Viabilidad de la propuesta 97
4.5 Validación de la propuesta 100CAPÍTULO V
DISCUSIÓN
Discusión 103
Conclusiones 106
Sugerencias 108
Referencias bibliográficas 110ANEXOS
Anexo 1: Ficha de validez de la propuesta 101
Anexo 2: Definición conceptual de la variables 114
Anexo 3: Matriz de consistencias y operacionalización 115
Anexo 4: Ficha de validez de instrumento – enfoque cuantitativo 116
Anexo 5: Certificado de validez de contenido del instrumento 117
Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho 128
Anexo 7: Funciones del Servicio de Admisión 129
Anexo 8: Funciones Consultorios Externos 130
Anexo 9: Situación actual de infraestructura 131
ix
Índice de tablasPág
Tabla 1.Muestra holística para la investigación 45
Tabla 2.Niveles de Seguridad de la información 50
Tabla 3. Niveles de Compromiso en la implementación 51
Tabla 4. Niveles de cultura en la implementación 52
Tabla 5. Niveles de Misión en la implementación 53
Tabla 6. Niveles de Recursos en la implementación 54
Tabla 7. Niveles de formacion para la implementación 55
Tabla 8. Niveles de Necesidad en la implementación 56
Tabla 9. Niveles Infraestructura para la implementación 57
Tabla 10. Niveles de Soporte en la implementación 58
x
Índice de figurasPág.
Figura 1. Proceso de Implantación del SGSI 35
Figura 2. Estrategia de mejora continúa del SGSI, Ciclo de Deming 37
Figura 3. Proceso de Gestión de Riesgos 39
Figura 4. Gráfico de barras Sistemas de seguridad de la información 50
Figura 5. Gráfico de compromiso en la implementación 51
Figura 6. Gráfico de Cultura en la implementación 52
Figura 7. Gráfico de Misión en la implementación 53
Figura 8. Gráfico de Recursos para la implementación 54
Figura 9. Gráfico de Formación para la implementación 55
Figura 10. Gráfico de Necesidad en la implementación 56
Figura 11. Gráfico de Infraestructura para la implementación 57
Figura 12. Gráfico de Soporte en la implementación 58
Figura 13. Gráfico Ciclo de Deming 72
Figura 14. Organigrama Estructural del Hospital San Juan de Lurigancho 128
Figura 15. Funciones del Servicio de Admisión 129
Figura 16. Funciones Consultorios Externos 130
Figura 17. Situación actual de los equipos de cómputo 131
xi
Índice de cuadrosPág.
Cuadro 1. Clasificación de Categorías y Subcategorías Apriorísticas. 44
Cuadro 2. Instrumentos holísticos de la investigación. 46
Cuadro 3. Ficha Técnica de la Encuesta. Fuente: Elaboración Propia 46
Cuadro 4. Ficha Técnica de Entrevista. Fuente: Elaboración propia. 47
Cuadro 5. Diagnóstico cualitativo 63
Cuadro 6. Criterio de Probabilidad 77
Cuadro 7. Criterio de Impacto 78
Cuadro 8. Matriz de Calor 78
Cuadro 9. Escala de Valoraciones 81
Cuadro 10. Matriz de Inventario de Activos de Información 82
Cuadro 11. Matriz de Riesgos del Hospital 83
Cuadro 12. Cronograma de implementación del sistema de gestión de seguridad de la
Información 96
Cuadro 13. Costos de Implementación 98
xii
Resumen
El presente estudio, titulado “Implementación de un Sistema de Gestión de
Seguridad de la Información aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016”, tuvo como objetivo garantizar la seguridad de la información
y el cumplimiento legal en los hospitales mediante la implementación de SGSI
de acuerdo a los requerimientos de la NTP ISIEC 27001:2014 ello permitirá tener
un estudio actual de los principales procesos que involucra el manejo de
información crítica para el Hospital San Juan Lurigancho así como del
establecimiento del análisis y diseño de un SGSI en una organización de este
tipo, teniendo en cuenta el cumplimiento de las normas actuales que se apliquen
a estos procesos críticos.
La investigación es de tipo proyectiva y de diseño no experimental, de sintagma
holístico y de enfoque mixto. Para la recopilación de información se utilizó los
instrumentos de encuesta y entrevista. La encuesta se realizó a 15 trabajadores
de la oficina de Admisión, incluyendo a los del área de Informática. La entrevista
se realizó a tres funcionarios de la oficina de Informática.
Por lo tanto, se demostró que existen gran disposición para la implementación,
de 15 encuestados, 14 usuarios (93.33%), señalan que existe un nivel alto para
la implementación del SGSI. Asimismo, 1 de ellos (6.67%), manifiesta que existe
un nivel medio alto para la implementación del SGSI, teniendo en cuenta el
cumplimiento de las normas actuales que se apliquen a estos procesos críticos.
Palabras clave: seguridad de la información, categorías emergentes,
investigación científica, investigación cuantitativa, investigación cualitativa.
xiii
Abstract
This study, entitled "Implementation of a Management System Information
Security using NTP ISO / IEC 27001: 2014 in the hospital sector, 2016", aimed
to ensure information security and legal compliance in hospitals by the
implementation of ISMS in accordance with the requirements of the NTP ISIEC
27001: 2014, which will allow to have a current study of the main processes
involved in managing critical information HSJL and the establishment of analysis
and design of an ISMS an organization of this type, taking into account
compliance with the current rules apply to these critical processes.
The research study is of projective type and non-experimental design, holistic
phrase and mixed approach to information gathering tools and interview survey
was used. The survey was conducted in 15 office workers Admission, including
the area of Information Technology, the interview was conducted with three
officials of the Office of Information Technology.
Therefore, it was shown that there is great willingness for implementation of 15
respondents, 14 users (93.33%) indicate that there is a high level for the
implementation of the ISMS. Also, 1 of them (6.67%), show that there is a high
average level for the implementation of the ISMS, taking into account compliance
with the current rules apply to these critical processes.
Keywords: information security, emerging categories, scientific research,
quantitative research, qualitative research.
xiv
Introducción
Los Sistemas de Información y las Tecnologías de Información han cambiado la
forma en que operan las organizaciones actuales. A través de su uso se logran
importantes mejoras, pues automatizan los procesos operativos, suministran una
plataforma de información necesaria para la toma de decisiones y, lo más
importante, su implantación logra ventajas competitivas o reducir la ventaja de
los rivales. Con el fin de mejorar la productividad y el rendimiento de una
organización competitiva, es fundamental evaluar las técnicas actuales y la tecnología
disponible para desarrollar sistemas que brinden eficiencia y eficacia de la gestión de la
información relevante. La implementación de sistemas de información en una
compañía, brindan la posibilidad de obtener grandes ventajas, incrementar la capacidad
de organización de la empresa, y tornar de esta manera los procesos a una
verdadera competitividad. Para ello, es necesario un sistema eficaz que ofrezca
múltiples posibilidades, permitiendo acceder a los datos relevantes de manera
frecuente y oportuna. Los sistemas de información se han vuelto más complejos
debido a la globalización que tiene por consecuencia que las distancias
geográficas ya no supongan un obstáculo.
En el mundo digital actual el riesgo de brechas de seguridad, fugas o
pérdidas de información nunca ha sido mayor. No sólo se ha multiplicado el
volumen de información en circulación sino también el número de vías en las que
la información puede ser almacenada y transferida sin el consentimiento del
propietario. A pesar de la mayor concienciación sobre los riesgos y amenazas a
la seguridad que encaran las empresas y firmas profesionales de todo el mundo,
las brechas de seguridad están aumentando y amenazando seriamente la
solidez de los negocios y la privacidad de sus clientes
En respuesta a este nuevo escenario, las instituciones públicas han sido
llamadas a realizar la implementación de diversos controles a través de un
Sistema de Gestión de Seguridad de la Información – a través de diferentes
normas, entre ellas la Norma Técnica NTP ISO/IEC 2700:2014 – con la finalidad
xv
de asegurar el buen uso y protección de la información crítica que manejen, ya
sea de clientes o información estratégica interna.
El hospital San Juan de Lurigancho es una institucion perteneciente al
sector público especializado en brindar servicio de salud. Maneja información
sobre sus pacientes lo que permite mantener un historial de las atenciones y
diagnósticos de los mismos contenidos en la Historia Clínica que es un
documento médico-legal que surge del contacto entre el profesional de la salud
y el paciente donde se recoge la información necesaria para la correcta atención
de los pacientes. La historia clínica es un documento válido desde el punto de
vista clínico y legal, ya que recoge información de tipo asistencial, preventivo y
social y debe ser protegida ya sea para poder garantizar la correcta atención de
los pacientes como para evitar la fuga de información que pueda ser utilizada de
manera maliciosa por alguna persona o institución externa al flujo de información.
El detalle de la información mínima requerida que debe ser almacenada
en este documento – incluyendo los formatos utilizados para registrar los
diferentes tipos de atención – se encuentra descrito en la Norma Técnica de
Historias Clínicas (MINSA, 2005), publicada por el Ministerio de Salud quien
además da libertad a las instituciones bajo su jurisdicción a agregar datos
adicionales y modificar el formato de dichos documentos.
La norma específica que las Historias Clínicas de los pacientes deben
estar almacenadas en formato físico, pero esto no excluye que dichos
documentos puedan ser digitalizados. Iniciar un proyecto de digitalización de
estos documentos enfocándose en el archivo activo de la institución permitirá
que se cuente con un respaldo de la información de las mismas que podría ser
utilizado en las actividades asistenciales más no en cuestiones legales.
El modelamiento de procesos se apoyará en la herramienta de
modelamiento Bizagi la cual permitirá presentar de manera gráfica el flujo de
tareas que conforman los procesos de negocios que se requiera estudiar, así
como la documentación que incluya los datos y conocimientos obtenidos en el
xvi
levantamiento de información. Además se elaboró un diagrama de procesos para
la implementación del SGSI usando el project manager.
Se propuso la Implementación de un Sistema de Gestión de Seguridad de
la Información aplicando NTP ISO/IEC 27001:2014 ya que el establecimiento de
una Política de Seguridad de la Información es de vital importancia dado que
especifica los lineamientos generales de seguridad que deben ser cumplidos en
la organización los cuales deben ir alineados a los objetivos del negocio además
de los objetivos que se busca alcanzar respecto a la seguridad de la información
en los ámbitos definidos en el alcance.
Para la validación de los instrumentos se recurrió a juicio de 3 expertos
conocedores de la materia. Asimismo para la validación de datos de las
encuestas se hizo el análisis de coeficiente de confiabilidad de Kuder-Richardson
(KR – 20) para datos dicotómicos, obteniéndose como resultado un coeficiente
de 0.83, quiere decir que la confiabilidad es muy alta.
También se realizó el procesamiento de información de datos cualitativos
y cuantitativos y un diagnóstico del mismo. Para datos cuantitativos se hizo el
análisis de frecuencias, teniendo como categorías los problemas de búsqueda,
tiempo, procesos, costos, retraso y estrés e insatisfacción, donde la mayoría de
los encuestados coincide en que existen problemas en las categorías
mencionadas. Para datos cualitativos se realizó la triangulación cualitativa, luego
se realizó la triangulación de datos cualitativos y cuantitativos a través de un
diagnóstico final.
CAPÍTULO I
PROBLEMA DE INVESTIGACIÓN
18
1.1 Problema de investigación1.1.1 Identificación del problema ideal
Los sistemas de información han cambiado la forma en que operan las
organizaciones actuales. A través de su uso se han logrado importantes mejoras,
pues automatizan los procesos operativos de las empresas, proporcionan
información de apoyo al procesos de toma de decisiones y, lo que es más
importante, facilitan el logro de ventajas competitivas a través de su
implementación en la empresa. Los sistemas de información se han vuelto más
complejos debido a la globalización que tiene por consecuencia que las
distancias geográficas no supongan un obstáculo. De esta forma se tiene que
existe una cantidad mayor de personas que tienen acceso a información que
podría ser crítica para las diferentes empresas e instituciones en las que
trabajan. En el mundo digital el riesgo de brechas de seguridad, fugas o pérdidas
de información nunca ha sido mayor. No sólo se ha multiplicado el volumen de
información en circulación sino también el número de vías en las que la
información puede ser almacenada y transferida sin el consentimiento del
propietario. A pesar de la mayor conciencia sobre los riesgos y amenazas a la
seguridad que encaran las empresas y firmas profesionales de todo el mundo,
las brechas de seguridad están aumentando y amenazando seriamente la
solidez de los negocios y la privacidad de sus usuarios.
Hospitalsjl.(2016), indica que la institucion: pertenece al sector público
especializado en brindar servicio de salud en las áreas de Consulta Externa y
Hospitalización, Medicina, Cirugía y Anestesiología, Pediatría, Ginecología y
Obstetricia, Odontoestomatología, Enfermería, Emergencia, Apoyo al
Diagnóstico y Apoyo al Tratamiento. El Hospital San Juan de Lurigancho es una
entidad pública que brinda prestación de servicios de profesionales médicos, de
enfermería y otros relacionados. Maneja información sobre sus pacientes que
permite mantener un historial de las atenciones y diagnósticos de los mismos
contenidos en la Historia Clínica que es un documento médico-legal que surge
del contacto entre el profesional de la salud y el paciente, donde se recoge la
información necesaria para la correcta atención de los pacientes. La historia
19
clínica es un documento válido desde el punto de vista clínico y legal, que recoge
información de tipo asistencial, preventivo y social y debe ser protegida ya sea
para poder garantizar la correcta atención de los pacientes como para evitar la
fuga de información que pueda ser utilizada de manera maliciosa por alguna
persona o institución externa al flujo de información.
En el Perú todas las entidades públicas prestadoras de salud están
sujetas a las regulaciones establecidas por el Estado, entre ellos tememos la Ley
Nº 29733 de protección de Datos Personales. Dicha Ley tiene el objeto de
garantizar el derecho fundamental a la protección de los datos personales,
previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través
de su adecuado tratamiento, en un marco de respeto de los demás derechos
fundamentales que en ella se reconocen.
En el 2006 se publicó los “Lineamientos de Política de Seguridad de la
Información del Ministerio de Salud” (MINSA, 2006) que tienen por finalidad
orientar y brindar soporte a la gestión de la seguridad de la información, velando
por la preservación de la integridad, disponibilidad y confidencialidad de la
información en todos sus medios de soporte y tratamiento (RM) Nº 42-
2008/INDECOPI se aprobó la Norma Técnica Peruana (NTP) ISO/IEC
27001:2008 (CNB - INDECOPI, 2008) con el fin de ofrecer un modelo para
establecer, implementar, operar, monitorear, mantener y mejorar un efectivo
Sistema de Gestión de Seguridad de la Información la cual mediante (RM) 129-
2012-PCM adquirió carácter de obligatoria en el mes de mayo del 2012 teniendo
por objetivo todas las organizaciones públicas del país.
Esta norma técnica exige que las entidades públicas realicen la
implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) siguiendo las recomendaciones y controles señalados en la misma; sin
embargo no se detalla específicamente la manera en la que este sistema de
gestión debe ser implementado ya que sus recomendaciones son generales.
Mediante la Resolución Ministerial Nº 004-2016-pcm establece el uso
obligatorio de la NTP ISO/IEC 27001:2014 en las entidades públicas que
conforman el sistema informático nacional.
20
El hospital San Juan de Lurigancho como institución pública se encuentra
en la necesidad de alinearse a las nuevas normas legislativas que comprenden
y regulan los temas de privacidad y seguridad, de mecanismos de control y
seguimiento de seguridad de la información.
1.1.2 Formulación del problema
¿Cómo garantizar la seguridad de la información y el cumplimiento legal en los
hospitales mediante la implementación de SGSI de acuerdo a los requerimientos
de la NTP ISIEC 27001:2014?
1.2 Objetivos1.2.1 Objetivo general
Proponer la implementación un sistema de gestión de seguridad de lainformación para hospitales, de acuerdo a la NTP ISO/IEC 27001:2014, conun enfoque sistemático para establecer, implementar, operar, monitorear,revisar, mantener y mejorar la seguridad de la información de la organizaciónpara conseguir los objetivos de negocio.
1.2.2 Objetivos específicos
Diagnosticar la necesidad de los hospitales públicos de contar con un análisis
que les permita realizar la implementación de un Sistema de Gestión de
Seguridad de la Información.
Teorizar las categorías consideradas en las investigaciones tanto apriorísticas
como emergentes.
Diseñar un modelado de los procesos correspondientes al alcance del Sistemade Gestión de Seguridad de la Información.
Validar los instrumentos del diagnóstico y propuesta de la aplicación a través de
un juicio de expertos.
Evidenciar la propuesta a través de pilotos a la misma aplicación.
21
1.3 Justificación
El Hospital San Juan de Lurigancho no cuenta un Sistema de Gestión de
Seguridad de la Información (SGSI), el cual le permitiría tener un estudio de los
principales procesos que involucra el manejo de información crítica, teniendo en
cuenta el cumplimiento de las normas actuales que se apliquen a estos procesos.
Implementar dicho sistema hará que esta entidad cuente con la protección
necesaria para su información.
Teniendo en cuenta los riesgos a los que están expuestos los activos de
información, además de la gran cantidad de cambios en la normativa de carácter
obligatorio para las organizaciones que hagan uso de información personal y
privada en sus procesos, se propone la implementación de un (SGSI), el cual
permitió tener en claro todos los procedimientos y lineamientos necesario para
identificar y evaluar los riesgos, las amenazas en la información hasta su
tratamiento y a su vez, esté alienado a las políticas establecidas por el (SGSI)
definiendo aquellas especificaciones requeridas por la legislación vigente.
Permitió gestionar la seguridad de la información del hospital mediante la
implementación de controles técnicos, organizativos y legales; así como también
el cumplimiento de la normativa legal relacionada con las actividades de la
institución Ley Nº 29733, Ley de Protección de Datos Personales y su
reglamento, Resolución ministerial Nº776-2004/MINSA CONGRESO DE LA
REPÚBLICA. (2011). Estas normas tienen como objeto garantizar el derecho
fundamental a la protección de los datos personales, se entiende como datos
personales a la información numérica, alfabética, gráfica, fotográfica, acústica,
sobre hábitos personales o de cualquier otro tipo concerniente a las personas
naturales que las identifica y se hace a través de un adecuado tratamiento.
21
CAPÍTULO II
MARCO TEÓRICO METODOLÓGICO
23
2.1 Marco teórico2.1.1 Sustento teórico
La ingeniería de sistemas es un modo de enfoque interdisciplinario que permite
estudiar y comprender la realidad, con el propósito de implementar u
optimizar sistemas complejos. Puede también verse como la
aplicación tecnológica de la teoría de sistemas a los esfuerzos de la ingeniería,
adoptando en todo este trabajo el paradigma sistémico. La ingeniería de
sistemas integra otras disciplinas y grupos de especialidad en un esfuerzo de
equipo formando un proceso de desarrollo centrado.
La Ingeniería de Sistemas tiene, como campo de estudio, cualquier
sistema existente. Por ejemplo, la ingeniería de sistemas, puede estudiar el
sistema digestivo o el sistema inmunológico humano o, quizá, el sistema
tributario de un país específico. Como es natural, los sistemas informáticos son
una pequeña parte de un enorme abanico de posibilidades.
La ingeniería de sistemas es la aplicación de las ciencias matemáticas y
físicas para desarrollar sistemas que utilicen económicamente los materiales y
fuerzas de la naturaleza para el beneficio de la humanidad.
Una de las principales diferencias de la ingeniería de sistemas respecto a
otras disciplinas de ingeniería tradicionales, consiste en que la ingeniería de
sistemas no construye productos tangibles. Mientras que los ingenieros civiles
podrían diseñar edificios o puentes, los ingenieros electrónicos podrían diseñar
circuitos, los ingenieros de sistemas tratan con sistemas abstractos con ayuda
de las metodologías de la ciencia de sistemas, y confían además en otras
disciplinas para diseñar y entregar los productos tangibles que son la realización
de esos sistemas.
La Organización Internacional para la Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC) forman el sistema especializado para la
normalización mundial. Los órganos nacionales que son miembros de ISO o de
IEC participan en el desarrollo de las Normas Internacionales a través de comités
técnicos establecidos por la respectiva organización para ocuparse de campos
particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran
en campos de interés mutuo. Otras organizaciones internacionales,
24
gubernamentales y no gubernamentales, en enlace con ISO y con IEC, también
participan en el trabajo.
La Seguridad de la Información tiene como fin la protección de la
información y de los sistemas de la información del acceso, uso, divulgación,
interrupción o destrucción no autorizada.
La seguridad es un concepto asociado a la certeza, falta de riesgo o
contingencia. Podemos entender como seguridad un estado de cualquier
sistema o tipo de información (informático o no) que nos indica que ese sistema
o información está libre de peligro, daño o riesgo. Se entiende como peligro o
daño todo aquello que pueda afectar a su funcionamiento directo o a los
resultados que se obtienen.
La seguridad conjunto de políticas, estándares y controles que se
implementan en la organización con la finalidad de asegurar la preservación de
las siguientes propiedades de la información:
Confidencialidad. Protección de la información confidencial del acceso o
divulgación por parte de entidades, personas jurídicas o naturales no autorizadas
al mismo, tanto por parte del originario de la información como por parte de la
entidad que maneja la misma.
Integridad. Protección de la información frente a la modificación o
eliminación sin la autorización o accesos necesarios. De esta forma se garantiza
que la información sea la correcta en todo momento.
Disponibilidad. La información se encuentra accesible en todo momento,
bajo demanda de todo usuario que se encuentre autorizado a poder acceder a
la misma.
Autenticación, Mediante esta propiedad, se permite identificar a la
persona o personas que han generado la información que se está verificando,
25
permite una validación en la autoría de la información por parte de un usuario
específico.
No repudio. Permite que la información sea validada a través de algún
mecanismo que compruebe su integridad y contenido, declarándola como
genuina.
Para Aguirre y Aristizabal (2012):
Indica que actualmente se vive en una época en la que la información y
los datos poseen una importancia decisiva en la gran mayoría de
organizaciones, convirtiéndose así en su activo más importante. Por
ejemplo, en caso de una emergencia, una catástrofe natural y se llegara
a caer la instalación de la organización; se puede volver a reconstruir.
En cambio, si llegamos a perder la información de la organización, es
muy probable que no podamos volver a recuperarla si no se tienen las
consideraciones debidas, con lo que es probable que la empresa deje
de operar (p. 79).
Para este estudio; cabe resaltar que partiendo de esta premisa, es muy
importante contar con una herramienta tecnológica para poder asegurar y
respaldar la información privilegiada de la organización, a un nivel aceptable
donde se cumpla todas las políticas recomendadas por estándares
internacionales.
Para Longley y Shain (2012):
Tecnología de la información es el estudio, diseño, desarrollo,
implementación, soporte o dirección de los sistemas de información
computarizados, en particular de software de aplicación y hardware de
computadoras (p. 64).
La tecnología de la información cumple un ciclo de fases donde se
analizan diversos puntos que van a permitir mejorar los sistemas de
información de las organizaciones ya sean desde a nivel de hardware o
software.
26
La información es un activo esencial y es decisiva para la viabilidad
de una organización. Adopta diferentes formas; impresa, escrita en papel,
digital, transmitida por correo, mostrada en videos o hablada en
conversaciones. Debido a que está disponible en ambientes cada vez más
interconectados, está expuesta a amenazas y vulnerabilidades. La
seguridad de la información es la protección de la información contra una
amplia gama de amenazas y se utiliza para minimizar los daños, ampliar
las oportunidades del negocio, maximizar el retorno de las inversiones y
asegurar la continuidad del negocio.
Espinoza (2013) indica que:la implementacion de un SGSI es muy
importante ya que en los últimos 20 años la información se ha convertido
en un activo muy importante y crucial dentro de las organizaciones. Por
esta razón, la organización tiene la necesidad de protegerla si es que la
información tiene relación ya sea con el negocio o con sus clientes. Para
gestionar la información y su seguridad, las entidades pueden adoptar
alguna de las normas y buenas prácticas existentes en el mercado. Para
el caso de una empresa del rubro de producción y distribución de
alimentos de consumo masivo, también aplica esta necesidad de proteger
la información. Se tomaran en cuenta los aspectos más importantes de la
norma ISO/IEC 27001:2005, a partir de los cuales se buscará poder
desarrollar cada una de las etapas del diseño de un sistema de gestión de
seguridad de información para que pueda ser empleado por una empresa
dedicada a la producción de alimentos de consumo masivo en el Perú, lo
cual permitirá que ésta cumpla con las normas de regulación vigentes en
lo que respecta a seguridad de información.
Para este estudio; SGSI ayuda a establecer estas políticas y
procedimientos en relación a los objetivos de negocio de la organización,
con objeto de mantener un nivel de exposición siempre menor al nivel de
riesgo que la propia organización ha decidido asumir.
Barrantes y Hugo (2012) indica el implementar una política de
seguridad y que los colaboradores la conozcan e interiorizan, es de gran
27
utilidad cuando se quiere implementar cualquier sistema de gestión en
una organización, ya que les da una visión clara de cómo sus labores
cotidianas aportan para el mantenimiento y mejora de un sistema de
gestión empresarial.
Para este estudio el SGSI ISO-27001 es eficaz y generar valor
añadido a las organizaciones ya que les permiten hacer mejor las cosas,
es decir, de una forma mucho más económica y más rápida.
ISO 27001. (2014): nos Indica que el SGSI; “preserva la
confidencialidad, integridad y disponibilidad de la información aplicando
un proceso de gestión de riesgos y proporciona confianza a las partes
interesadas en el sentido en que los riesgos se manejan adecuadamente”.
Para este estudio; se considera que es importante que el sistema
de gestión de la seguridad de la información sea parte de y esté integrado
con los procesos de la organización y la estructura de gestión general y
que la seguridad de la información se considere en el diseño de procesos,
sistemas y controles de la información. Se espera que la implementación
de un sistema de gestión de seguridad de la información crezca a escala
en concordancia con las necesidades de la organización.
Pallas (2009) en la implementacion de un SGSI; Entendemos que
debe primar fundamentalmente un enfoque costo / beneficio orientado a
las necesidades de seguridad de la información del negocio, y que, a los
efectos de (re)dimensionar adecuada y efectivamente el alcance del
SGSI, una estrategia multifase que determine en una primera etapa los
procesos y activos críticos, permite, en fases posteriores, dedicar el
esfuerzo y recursos a los activos y procesos que así lo ameritan, dotando
a la metodología de eficiencia además de eficacia.
Este redimensionamiento del alcance, puede ser importante a los
efectos dar conformidad a la norma ISO/IEC 27.001 en cuanto a la
identificación y clasificación de todos los activos alcanzados por el SGSI,
28
y a su vez mantenerse alineado con las reales necesidades del negocio
de forma oportuna, sin un costo excesivo de análisis detallado de la
totalidad de los procesos y activos.
Para Morgan y Claypool (2013):
Indica que los centros de datos son edificios donde se encuentran
distribuidos varios servidores y equipos de comunicación debido a sus
requisitos ambientales comunes y las necesidades de seguridad física,
y para facilidad de mantenimiento. Los centros de datos por lo general
albergan un gran número de aplicaciones relativamente pequeñas o
medianas, cada uno se ejecuta en una infraestructura de hardware
dedicado que está asociado y ha proteger otros sistemas en un mismo
entorno (p. 2).
En este estudio, comentan que los centros de datos son
ambientes donde usualmente se pueden visualizar más de un servidor, en
donde cada uno cumple un rol distinto que va desde servidor de directorio
activo, servidor de aplicaciones, servidor de archivos, servidor de
impresión, servidor DNS. Además en la actualidad se debe proponer la
seguridad de los recursos tecnológicos y de mantenimiento de los equipos
de cómputo.
2.1.2 AntecedentesAntecedentes nacionales
Un primer trabajo corresponda Talavera (2015) quien realizó la Propuesta del
diseño SGSI para una institución estatal de salud, de acuerdo a la norma
ISO/IEC 27001:2013. Tiene como Objetivo generar una solución específica para
una organización del sector público y específicamente del rubro salud, debido a
que se tomarán los procesos institucionales de una empresa de este tipo como
campo de estudio para aplicar las metodologías y herramientas anteriormente
mencionadas. La metodología de riesgos utiliza el estándar ISO/FDIS
31000:2009 la cual brinda principios genéricos para la gestión del riesgo que
deben ser contextualizados en base a las particularidades encontradas en el
INMP y al alcance escogido. En conclusión podemos decir que existe una brecha
29
importante en cuanto a seguridad de la información en la institución sobre la que
se ha realizado el presente proyecto. La principal falencia que debería ser
resuelta cuanto antes es involucrar a la dirección en las acciones del plan que
se debe definir con motivo de la implementación del SGSI institucional, el cual
debería ser gestionado como un proyecto institucional, de manera que se cuente
con el apoyo de las distintas direcciones y áreas del INMP.
Este trabajo se relaciona con la investigación en curso ya que propone la
Propuesta del diseño SGSI para una institución estatal de salud, de acuerdo a la
norma ISO/IEC 27001:2013, que tiene como objetivo especificar los
requerimientos para establecer, implementar, mantener y mejorar continuamente
un (SGSI) para cualquier entidad pública.
El trabajo de Barrantes & Herrera (2012), Diseño e implementación un
SGSI en procesos tecnológicos, tiene como objetivo reducir y mitigar los riesgos
de los activos de información de los procesos que se encuentran bajo la gerencia
de tecnología de Card Perú S.A. que ponen en peligro los recursos, servicios y
continuidad de los procesos tecnológicos. La metodología usada es el ciclo
Deming la cual es una herramienta de mejora continua. El ciclo consiste de una
secuencia lógica de cuatro pasos repetidos que se deben de llevar a cabo
consecutivamente. Se concluye que aun después de implementar un buen
sistema de gestión de seguridad de información, en el futuro se presentan más
activos de información, más amenazas, vulnerabilidades y por lo tanto, mayores
riesgos. Este escenario no se puede evitar; es por ello que se concluye, que se
debe estar preparado para actuar de manera inmediata ante cualquier nueva
vulnerabilidad que se identifique.
Este trabajo se relaciona con la investigación planteada, ya que muestra
el Diseño e implementación un SGSI en procesos tecnológicos usando la
metodología el ciclo Deming. El ciclo consiste de una secuencia lógica de cuatro
pasos repetidos que se deben de llevar a cabo consecutivamente
Un tercer trabajo es el de Espinoza (2013) que lleva por título “Analizar y
diseñar de un sistema de gestión de seguridad de información basado en la
30
norma ISO/IEC 27001:2005 para una empresa de producción y comercialización
de productos de consumo masivo”. Tiene como objetivo garantizar la seguridad
y continuidad de los activos de información críticos que participan en el proceso
de producción y sus subprocesos (planeamiento de la producción, calidad,
producción, bodegas e inventarios) de la empresa productora de alimentos,
sobre la base del análisis de riesgos que haya llevado a cabo la organización.
Se usara la metodología MAGERIT II se concluye que el diseño de SGSI
presentado se adapta a los objetivos actuales del proceso de producción, en el
cual se ha basado el proyecto, y que este diseño podría variar ya que los
objetivos estratégicos y de gobierno de le empresa pueden cambiar y por ello
algunos sub procesos que forman parte del alcance del proyecto, también lo
harán.
Este trabajo es pertinente con la investigación aquí planteada, ya que
aborda El ciclo de Deming o espiral de mejora continua, es una estrategia
de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado
por Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la
calidad (SGC) y los sistemas de gestión de la seguridad de la
información (SGSI).
Antecedentes internacionales
La investigación de Pallas (2009), en la que el propósito fue dar lineamientos
metodológicos, de aplicación sistemática para el diseño, implantación,
mantenimiento, gestión, monitoreo y evolución de un SGSI según la norma ISO
27.001, para un grupo empresarial, con el fin de gestionar la seguridad de la
información, en particular, orientadas al Análisis y Gestión de Riesgos. Se
concluye que este trabajo aporta una metodología con esta concepción de
enfoque global y sistémico, atendiendo a la pertenencia a un grupo empresarial,
y a su vez pragmático, a los efectos que la misma sea, no solo es viable, sino
conveniente y efectiva, dando una estructura u organigrama para lograr la
coordinación necesaria y especificando los procedimientos que deben cumplirse
31
en cada fase, promoviendo no sólo la reutilización y coherencia integral de la
seguridad sino también fomentando la sinergia entre las empresas del grupo.
Él determinó que la metodología que se propone, se centra en una
empresa subordinada como parte constitutiva de un grupo empresarial
jerárquico, donde existe otra, que denomina principal. Esta última,
eventualmente podría tener ya, un SGSI implantado y será considerada en
cuanto al contexto y cómo condiciona al SGSI de la primera, pero no será el
objeto principal de análisis. Esta metodología tiene un amplio campo de
aplicación, donde exista una relación de dependencia o integración vertical entre
empresas. También puede aportar aspectos metodológicos, en lo referente a la
jerarquización de los lineamientos de seguridad, para una entidad
gubernamental en su rol de regular o generar lineamientos y/o (meta) políticos
en seguridad de la información para empresas y organismos estatales. No
obstante, este no es el fin perseguido en este trabajo.
Bankinter (2006): Es la primera entidad financiera española en obtener
esta certificación para sus plataformas y sistemas informáticos. Bankinter ha
recibido de British Standard Institución (BSI), la certificación internacional
ISO/IEC 27001:2005 que acredita al Banco con los estándares más elevados de
calidad y rigor profesional en la gestión de la seguridad de sus plataformas y
sistemas informáticos, siendo la primera entidad financiera española en lograr
esta certificación que avala una vez más el liderazgo de Bankinter en el ámbito
de la tecnología, los sistemas de banca a distancia y la calidad de servicio a sus
clientes. La certificación del sistema de gestión de la seguridad de la información
(SGSI) hace referencia a los procesos de "identificación, autenticación, firma de
operaciones financieras y sus respectivas evidencias electrónicas a través del
canal Internet". Para ello, la entidad ha sido sometida a una revisión exhaustiva
de los aspectos organizativos y técnicos asociados a la gestión de la seguridad,
sus procesos operativos para la detección y respuesta ante incidentes y su
gestión del riesgo mediante un análisis riguroso, metodológico y periódico.
32
2.1.3 Marco conceptual
ISO 27001. (2014). La Norma Tecnica Peruana NTP-ISO/IEC 27001:2014, ha
sido elaborada por el Comité Técnico de Normalización de Codificación e
Intercambio electrónico de datos, mediante el Sistema 1 o de Adopción, durante
los meses de abril a junio del 2014, utilizando como antecedente a la norma
ISO/IEC 27001:2013 Information Technology.
Esta Norma Técnica Peruana ha sido preparada para proporcionar los
requisitos para establecer, implementar, mantener y mejorar continuamente un
sistema de gestión de seguridad de la información. Su implementación es una
decisión estratégica para una organización. El establecimiento e implementación
de tal en la organización está influenciado por las necesidades y objetivos de la
organización, los requisitos de seguridad, los procesos organizativos utilizados y
el tamaño y estructura de la organización. Se espera que todos estos factores
influyentes cambien con el tiempo.
Esta Norma Técnica Peruana especifica los requisitos para establecer,
implementar, mantener y mejorar continuamente un sistema de gestión de
seguridad de la información dentro del contexto de la organización. Incluye los
requisitos para la evaluación y tratamiento de los riesgos de seguridad de la
información orientados a las necesidades de la organización. Los requisitos
establecidos están hechos para aplicarse a todas las organizaciones, sin
importar su tipo, tamaño o naturaleza. Excluir cualquiera de los requisitos
especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización
declara conformidad.
La seguridad de la información es la preservación de la confidencialidad,
integridad y disponibilidad de la información; además, pueden ser involucradas
otras características como la autenticación, responsabilidad, no repudio y
fiabilidad. La confidencialidad es la propiedad por la que la información no se
pone a disposición o se revela a individuos, entidades o procesos no
autorizados; la integridad es la propiedad de proteger la exactitud y completitud
33
de la misma y la disponibilidad es la propiedad de ser accesible y utilizable por
una entidad autorizada.
El sistema de gestión de seguridad de la información es un enfoque
sistemático para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la información de una organización para conseguir los
objetivos de negocio. Se basa en una evaluación del riesgo y de los niveles de
aceptación del riesgo de la organización diseñados para tratar y gestionar los
riesgos de manera eficaz. Analizar los requisitos para la protección de los activos
de información y aplicar controles adecuados para garantizar la protección de
estos activos de información. Establece un completo plan de acciones que
ayudará a la organización a solucionar los problemas de seguridad técnicos,
organizativos y legislativos mediante el análisis de riesgos, mejorando y
manteniendo la seguridad de la información empresarial y garantizando una
continuidad de negocio. Su diseño e implementación está influenciado por las
necesidades y objetivos, requerimientos de seguridad, procesos empleados y el
tamaño y estructura de la organización.
Un SGSI es para una organización el diseño, implantación, mantenimiento
de un conjunto de procesos para gestionar eficientemente la accesibilidad de la
información buscando asegurar la confidencialidad, integridad y disponibilidad
de los activos de información minimizando a la vez los riesgos de seguridad de
la información.
La implementación de un SGSI bajo el marco del cumplimiento de la
ISO/IEC 27001 es: Gestión y reducción de riesgos, es decir conocer cuáles son
los riesgos a los cuales se exponen nuestros activos de información (información,
sistemas, hardware, personal, red; infraestructura; procesos). Estos riesgos se
reducen mediante el establecimiento y seguimiento de controles sobre ellos
logrando reducir las amenazas hasta alcanzar un nivel asumible por la
organización de tal manera que se produce una incidencia, los daños se
minimizan y la continuidad del negocio está asegurada.
34
Ahorro de costos: Se produce derivado de una racionalización de recursos
eliminándose las inversiones innecesarias e ineficientes como las producidas por
desestimar o sobrestimar riesgos.
La seguridad se considera un sistema y se convierte en una actividad
gestionada: La seguridad deja de ser un conjunto de actividades más o menos
organizadas y pasa a transformarse en un ciclo de vida metódico y controlado
en el que participa toda la organización.
La organización se asegura del cumplimiento de la legislación vigente: Se
evitan riesgos y costos innecesarios asegurando el cumplimiento del marco legal
que protege a la organización de aspectos que probablemente no se habían
tenido en cuenta anteriormente.
Una garantía de continuidad y disponibilidad del negocio: La ISO/IEC
27001:2013, establece la necesidad de implementar un Plan de Continuidad del
Negocio para poder responder a las amenazas que pueden atentar contra la
continuidad de las operaciones de nuestros procesos.
La certificación del SGSI contribuye a mejorar la competitividad en el
mercado, diferenciando a las organizaciones que lo han conseguido haciéndolas
más fiables e incrementando su prestigio.
Además de las ventajas mencionadas, también podemos mencionar entre otras:
Una de las actividades en el proceso de implementación del SGSI es
realizar el inventario de activos (información, hardware, software, sistemas,
personal, infraestructura, telecomunicación) por lo que la organización puede
conocer el estado de dichos activos.
Reducción de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes y partners.
El aumento del valor comercial y mejora de la imagen de la organización.
35
PROCESO DE IMPLANTACIÓN DEL SGSI
ISO 31000. (2011), es el estándar internacional que establece una guía general
sin establecer medidas específicas para algún tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genérica en cualquier tipo de organización.
En su calidad de ser una guía generalizada de gestión de riesgo, puede
ser aplicable a una gran cantidad de escenarios en diferentes organizaciones. Al
igual que la norma ISO 27005, este estándar sigue el ciclo de Deming (plan-do-
check-act) como metodología de análisis de riesgos.
La norma utiliza la metodología Plan-Do-Check-Act también llamado ciclo
de Deming,E.(2016), para definir las fases de vida y mejora continua del SGSI a
través de un seguimiento del mismo que asegura el mantenimiento de los
controles y los cambios necesarios para poder mitigar los posibles nuevos
Planificación
Operación
Liderazgo
Contexto de laorganización
Evaluación
Mejora
ENTRADA
Requisitos yexpectativasde las partesinteresadasrespecto alSGSI
Requisitos yexpectativasde las partesinteresadasgestionadascon el SGSI
SALIDA
Soporte
Figura 1. Proceso de Implantación del SGSI Fuente: Elaboración propia.
36
riesgos que aparezcan luego de la implementación del sistema. Deming (2016):
El ciclo Deming como modelo para implantación de SGSI, permanece en una
constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento
continuo. En seguridad sería la revaluación de las medidas de prevención,
corrección y evaluación, manteniendo un constante ciclo que por sus
características no podría terminar. A continuación se detalla cada uno de los
pasos del modelo Deming como metodología apropiada los SGSI.
PlanearEn esta etapa se enmarca todo el proceso de análisis de la situación en que
actualmente se encuentra la empresa respecto a los mecanismos de seguridad
implementados y la normativa ISO/IEC 17799:2005, la cual se pretende
implantar para evaluación y certificación. Así mismo en la etapa de planeación se
organizan fases relevantes como son: Establecer el compromiso con los
directivos de la empresa para el inicio, proceso y ejecución.
Fase de análisis de información de la organización. En esta fase se
comprueba cuáles son los sistemas informáticos de hardware y los sistemas de
información que actualmente utiliza la empresa para el cumplimiento de su
misión u objeto social.
Fase de evaluación del riesgo. En esta fase se evalúa los riesgos, se
tratan y se seleccionan los controles a implementar.
HacerEn esta etapa se implementan todos los controles necesarios de acuerdo a una
previa selección en la etapa de planeación, teniendo en cuenta el tipo de
empresa. También se formula y se implementa un plan de riesgo
VerificarConsiste en efectuar el control de todos los procedimientos implementados en el
SGSI. En este sentido, se realizan exámenes periódicos para asegurar la
eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y
residuales y se realicen periódicamente auditorías internas para el SGSI.
37
ActuarConsiste en desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,
realizar las acciones correctivas y preventivas, mantener comunicación con el
personal de la organización relevante.
Figura 2. Estrategia de la mejora continua del SGSI, ciclo DemingFuente: Elaboración propia.
ISO 27005. (2011), apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y está diseñado para asistir a la implementación
satisfactoria de la seguridad de la información en base a un enfoque de gestión
del riesgo.
Esta Norma Técnica Peruana es aplicable a todo tipo de organizaciones;
por ejemplo: empresas comerciales, dependencias gubernamentales,
organizaciones sin fines de lucro y otros que tratan de administrar los riesgos
que podrían comprometer la seguridad de la información de la organización.
La gestión del riesgo en seguridad de la información debe ser un proceso
continuo. El proceso debe establecer el contexto, evaluar los riesgos y tratarlos
utilizando un plan de riesgos para implementar las recomendaciones y
Figura 2. Estrategia de mejora continúa del SGSI, Ciclo de Deming Fuente:Elaboración propia.
38
decisiones. La gestión del riesgo analiza lo que puede ocurrir y cuáles serían las
consecuencias posibles, antes de decidir qué debe hacerse y cuándo para
reducir el riesgo a un nivel aceptable.
La gestión del riesgo en seguridad de la información debe contribuir a lo
siguiente:
Identificar los riesgos.
Evaluar los riesgos en términos de sus consecuencias para la empresa y la
posibilidad de su ocurrencia.
La comunicación y comprensión de la posibilidad y consecuencias de estos
riesgos.
El establecimiento de un orden de prioridades para el tratamiento del riesgo.
Priorización de acciones para reducir la ocurrencia de riesgo.
Participación de los interesados cuando se toman las decisiones de gestión del
riesgo e información sobre la situación de la gestión del riesgo.
Eficacia del monitoreo del tratamiento del riesgo.
Monitoreo y revisión regulares de los riesgos y del proceso de gestión del riesgo.
Captación de información para mejorar el enfoque de gestión del riesgo.
Educación a gerentes y personal respecto a los riesgos y acciones que se toman
para mitigarlos.
El proceso de gestión del riesgo en seguridad de la información puede
aplicarse a la organización en su conjunto o cualquier parte específica de la
organización (por ejemplo, un departamento, una ubicación física, un servicio),
a cualquier sistema de información, existente o planeado, o a aspectos
particulares del control (por ejemplo: planeamiento de la continuidad del
negocio).
39
La ISO 27001 requiere que los controles sean medibles en ese sentido la ISO
27004:2009 aporta la forma de llevar a cabo dichas mediciones.
La norma está destinada a ayudar a las organizaciones a medir, informar
y, por tanto, mejorar sistemáticamente la eficacia de sus sistemas de gestión de
seguridad de información.
"Proporciona orientación sobre el desarrollo y el uso de medidas y de
medición con el fin de evaluar la eficacia de un sistema de información
Figura 3. Proceso de Gestión de Riesgos Fuente: Elaboración Ministerio deTrabajo.
40
implementado la gestión de la seguridad (ISMS) y los controles o grupos de
controles, como se especifica en la norma ISO / IEC 27001 . Esto incluiría la
política, la información gestión de riesgos de seguridad, objetivos de control,
controles, procesos y procedimientos, y apoyar el proceso de su revisión, lo que
ayuda a determinar si alguno de los procesos o controles ISMS necesita ser
cambiado o mejorado".
El uso de seguimiento, medición, análisis y evaluación en la norma ISO /
IEC 27001 es confuso y se explicará en la norma ISO / IEC 27001 27004.
Controles técnicos de la seguridad de la información. Los controles
técnicos utilizan la tecnología como una base para controlar el acceso y uso de
datos confidenciales a través de una estructura física y sobre la red. Los
controles técnicos son mucho más extensos en su ámbito e incluyen tecnologías
tales como:
Encriptación. La encriptación o cifrado de archivos, es un procedimiento
que vuelve completamente ilegibles los datos de un documento o de cualquier
archivo. De esta manera, el archivo se vuelve prácticamente inservible para un
usuario no autorizado a leerlo, ya que incluso si lo ha interceptado o lo ha
copiado, si no cuenta con el password correspondiente, no podrá leerlo o
visualizarlo
Este sistema de seguridad, se utiliza para resguardar información
importante que puede ser almacenada o enviada vía Internet para cualquier
trámite como por ejemplo números de tarjetas de crédito, datos personales, etc.
Existen muchos programas específicos especialmente diseñados para realizar
encriptación de archivos: Windows posee una herramienta con la que podemos
encriptar nuestros archivos de un modo fácil y rápidamente.
Tarjetas inteligentes es una pequeña tarjeta de plástico que contiene un
chip informático. Los usuarios usan las tarjetas inteligentes junto con los números
de identificación personal (PIN) para iniciar una sesión en una red, un equipo o
41
un dispositivo. El uso de tarjetas inteligentes es más seguro que usar
contraseñas porque para una persona ajena es más difícil sustraer la tarjeta y
averiguar el PIN que aprenderse la contraseña.
Por lo general, las tarjetas inteligentes las emiten los departamentos de
tecnología de la información (TI) de grandes organizaciones. Para usarla se debe
tener también un lector de tarjeta que es un dispositivo que se instala en el equipo
o se conecta a él y que puede leer la información almacenada.
Autenticación a nivel de la red. Es un método de autenticación que se
puede usar para mejorar la seguridad del servidor de Host de sesión de Escritorio
remoto exigiendo para ello que el usuario se autentique antes de crear una
sesión.
La Autenticación a nivel de red completa la autenticación del usuario antes
de que se establezca una conexión a escritorio remoto y de que aparezca la
pantalla de inicio de sesión. Se trata de un método más seguro que puede ayudar
a proteger el equipo remoto de usuarios y software malintencionados. Las
ventajas de la Autenticación a nivel de red son las siguientes:
Inicialmente requiere menos recursos del equipo remoto. El equipo remoto usa
un número limitado de recursos antes de autenticar al usuario, en lugar de iniciar
una conexión completa al Escritorio remoto como en versiones anteriores.
Puede ayudar a mejorar la seguridad al reducir el riesgo de los ataques por
denegación de servicio.
Para usar la Autenticación a nivel de red, deben cumplirse todos los requisitos
siguientes:
El equipo cliente debe usar como mínimo la versión 6.0 de Conexión a Escritorio
remoto.
42
El equipo cliente debe usar un sistema operativo como Windows 7,
Windows Vista o Windows XP con Service Pack 3 que admita el protocolo
Proveedor de compatibilidad con seguridad de credenciales (CredSSP).
El servidor de Host de sesión de Escritorio remoto debe ejecutar Windows
Server 2008 R2 o Windows Server 2008.
2.2 Metodología2.2.1 Sintagma
Esta investigación está basada en el Sintagma Holístico propuesto por Capra,
Weil, Bohm, Wilber, Pribram en Hurtado (2000), el cual a la fecha ha venido
siendo ampliamente utilizado por muchos investigadores debido a que la
investigación holística enfatiza el logro de los objetivos como parte de un proceso
iterativo, incremental y continuo rompiendo el esquema del paradigma tradicional
de una investigación enfocada al mero logro de los objetivos trazados como el
resultado de la investigación.
Poleo (2009) destaca la importancia de la investigación holística y los
beneficios que ésta aporta para la comunidad científica: “La investigación
holística basada en la lógica del sintagma, integradora de paradigmas,
desarrolla una metodología vinculante que permite conocer, a partir de la
guía clasificadora de los objetivos, los aportes y beneficios de cada una de
las técnicas de recolección, análisis e integración de datos, considerados
por los diferentes modelos epistémicos. Permite utilizar diversas vetas del
saber con fines de construcción del conocimiento. No se preocupa por la
lógica epistémica que se usa para conocer la realidad, sino más bien por
identificar el nivel de profundidad que alcanza desde los resultados a los
que se llega en las investigaciones, y luego continuar con un ciclo holístico
de ascenso en el conocimiento”.
2.2.2 Enfoque
La investigación en curso sigue el enfoque netamente holístico considerando las
características propias de los enfoques cuantitativos y cualitativos como una
43
sinergia para profundizar ampliamente en el logro del conocimiento. Todo ello
mediante el cumplimiento de los objetivos definidos y haciendo uso de las
técnicas adecuadas.
Para Hurtado (2000) la investigación holística es: “Un proceso continuo
que intenta abordar una totalidad o un holos (no el absoluto ni el todo) para llegar
a un cierto conocimiento de él. Como proceso, la investigación trasciende las
fronteras y divisiones en sí misma; por eso, lo cualitativo y lo cuantitativo son
aspectos (sinergias) del mismo evento”.
En cuanto a la naturaleza de la investigación, la presente es de tipo mixto
ya que sigue el enfoque cuali-cuantitativo propuesto por Hernández, Fernández
y Baptista (2010). En consecuencia, para la investigación se empleará los
aspectos cuantitativos para diagnosticar y validar la problemática y los aspectos
cualitativos permitirán desarrollar la propuesta solución empleando a su vez
categorías cuantitativas y cualitativas.
2.2.3 Tipo
La investigación es de tipo proyectiva ya que consiste en la elaboración de una
propuesta, un plan, un programa o un modelo, como solución a un problema o
necesidad de tipo práctico, ya sea de un grupo social, o de una institución, o de
una región geográfica, en un área particular del conocimiento, a partir de un
diagnóstico preciso de las necesidades del momento, los procesos explicativos
o generadores involucrados y de las tendencias futuras, es decir, con base en
los resultados de un proceso investigativo.
2.2.4 DiseñoEl diseño de la investigación es de tipo transversal ya que se centralizó en
analizar el nivel de las variables en un determinado tiempo y para lo cual se
aplicó un instrumento determinado
44
2.2.5 Categorías y subcategorías apriorísticas y emergentesCategoría 1 Categoría 2
Norma Técnica Peruana-ISO/IEC27001 2014
Norma Técnica Peruana-ISO/IEC3100 2011
Subcategoría Subcategoría
Seguridad de la Información Norma Técnica Peruana-ISO/IEC27005
Sistema de Gestión De Seguridad De
La Información
Evaluación de riesgos
Implementación de SGSIControles y mediciones
Categorías emergentes
Controles técnicos de la seguridad de la información
Cuadro 1. Clasificación de Categorías y Subcategorías Apriorísticas. Fuente:Elaboración Propia
45
2.2.6 Unidad de análisis
La población está determinada por todos los miembros del área informática,
estadística, servicio de Admisión, consultorios externos y la alta dirección y los
empleados que son usuarios finales de los sistemas desarrollados del hospital
San Juan de Lurigancho
Muestreo
Para Bisquerra (2009) “el tipo de muestreo de la investigación será de tipo
no probabilístico, porque la selección de los individuos de la muestra no depende
de la probabilidad, sino que se ajusta a otros criterios relacionados con las
características de la investigación o de quien hace la muestra” (p.145).
La muestra estará representada por el equipo de Desarrollo del proyecto y
por los usuarios finales del hospital San Juan de Lurigancho.
Tabla 1
Muestra holística para la investigación.
Fuente: Elaboración propia
2.2.7 Instrumentos y técnicas
Para la recolección de datos se utilizará como técnicas la encuesta y la
entrevista. Para la encuesta se hará uso del instrumento de tipo cuantitativo,
denominado cuestionario; mientras que para la entrevista se usará el instrumento
cualitativo denominado ficha de entrevista.
Muestracuantitativa
f % Muestracualitativa
f %
Trabajadoresdel hospital
15 100 Gerente deTecnología deinformación
1 33.3
Jefe de Sistemas 1 33.3Analista deSistemas
1 33.3
Total 15 100% 3 100%
46
Técnicas Instrumentos
Tc: Cuantitativa Encuesta Ficha de Entrevista
Tc: Cualitativa Entrevista Cuestionario
Cuadro 2. Instrumentos holísticos de la investigación. Fuente: Elaboración Propia
Ficha técnica instrumento 1
Ficha Técnica de la Encuesta de la Investigación
Nombre Evaluación de Factores Críticos de éxito paraImplementar Seguridad en Sistemas de Información
Procedencia Adaptación Condori (2012)
Objetivo Determinar el impacto de los Factores Críticos de éxito paraImplementar SGSI.
Estructura El cuestionario consta de 32 preguntas de tipo politómicascerradas, estructurados en 8 niveles.
Diseño muestral No probabilístico, de tipo muestral o por conveniencia.
Población Objetivo El área informática, estadística y la alta dirección delhospital San Juan de Lurigancho.
Técnica Encuesta cara a cara, en las instalaciones de lainstitución.
Tamaño de laMuestra
15 miembros de la organización en estudio.
MomentoEstadístico
Del 18 al 22 de Abril
Financiación Recursos Propios
Cuadro 3. Ficha Técnica de la Encuesta. Fuente: Elaboración Propia
47
Ficha técnica instrumento 2
Ficha Técnica de la Entrevista de la Investigación
Nombre Evaluación de Factores Críticos de éxito para ImplementarSeguridad en Sistemas de Información
Procedencia Elaboración propia
Objetivo Recabar las opiniones del personal de salud, con la finalidadde conocer sus expectativas y/o realidades.
Estructura La entrevista consta de 5 preguntas de tipo abiertas.
Diseño muestral No probabilístico, de tipo muestral o por conveniencia.
Población Objetivo Los trabajadores del hospital San Juan de Lurigancho
Tamaño de laMuestra
3 stakeholders del proyecto de Desarrollo de Software.
UniversoRepresentado
1 jefe de proyecto, 1 programador y 1 usuario final
Técnica Encuesta cara a cara, en las instalaciones de laorganización.
MomentoEstadístico
Del 18 al 22 de Abril
Financiación Recursos propios
Cuadro 4. Ficha Técnica de Entrevista. Fuente: Elaboración propia.
48
2.2.8 Procedimientos y método de análisis
Para la reducción de los datos, se debe recolectar la información bibliográfica y
de experiencias exitosas para elaborar eficientemente los instrumentos que nos
permitirán recolectar datos como: cuestionarios, guía de entrevista para obtener
datos del objeto de investigación. Luego para fortalecer los instrumentos es
importante contar con la validación de expertos los cuales nos permitirán
fortalecer los instrumentos en estudio.
También es importante el trabajo en campo y para ello se solicitará la
aprobación del mismo con autoridades pertinentes y además solicitar a las
autoridades de la entidad para poder aplicar los instrumentos elaborados tales
como: la entrevista, cuestionarios y revisión de los documentos.
Desde el punto de vista de análisis descriptivo se debe realizar una
revisión crítica de los datos obtenidos, clasificándolos de acuerdo a las
categorías y subcategorías. Se debe realizar un análisis y sistematización
descriptiva de las conclusiones de acuerdo a la organización de las categorías y
subcategorías. Ahora para la interpretación se deben establecer las
conclusiones teóricas y explicativas (triangulación).
Para la fase de análisis de datos se utilizará el programa estadístico de
análisis cuantitativo el SPSS 22 el cual permitirá obtener las medidas de
frecuencia y el resolver todas las necesidades del negocio o investigación. Esta
herramienta es muy útil ya que cuenta con una amplia gama de funcionalidades
para acceder y gestionar fácilmente grandes cantidades de datos, analizarlos y
representarlos gráficamente. Luego, se utilizará el método de triangulación
donde se categorizarán para luego detectar si existen categorías emergentes y
finalizar con un diagnóstico final.
CAPÍTULO IIITRABAJO DE CAMPO
50
3.1 Diagnóstico cuantitativoTabla 2
Niveles de Seguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 4. Gráfico de barras Sistemas de seguridad de la información.
De los 15 usuarios encuestados, 14 de ellos (93.33%) manifiestan que el Hospital
San Juan de Lurigancho tiene un nivel deficiente con respecto a la seguridad de
la información. Asimismo un usuario (6.67%) indica un nivel adecuado.
51
Tabla 3
Niveles de compromiso en la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 5. Gráfico de compromiso en la implantación de un Sistema de Gestiónde Seguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 14 de ellos (93.33%) manifiestan que el HospitalSan Juan de Lurigancho tienen un nivel excelente con respecto al compromisoen la implementación de SGSI. Asimismo un usuario (6.67%) indica un niveladecuado.
52
Tabla 4
Niveles de Cultura en la implantación de un Sistema de Gestión de Seguridadde la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 6. Gráfico de Cultura en la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 14 de ellos (93.33%) manifiestan que el HospitalSan Juan de Lurigancho tienen un nivel excelente con respecto a la Cultura enla implementación de SGSI. Asimismo un usuario (6.67%) indica un niveladecuado.
53
Tabla 5
Niveles de Misión en la implantación de un Sistema de Gestión de Seguridadde la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 2 13,3
Excelente 13 86,7
Total 15 100,0
Figura 7. Gráfico de Misión en la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 13 de ellos (86.67%) manifiestan que el HospitalSan Juan de Lurigancho tienen un nivel excelente con respecto a la Misión en laimplementación de SGSI. Asimismo 2 usuarios (13.33%) indica un niveladecuado.
54
Tabla 6
Niveles de Recursos para la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 8. Gráfico de Recursos para la implantación de un Sistema de Gestiónde Seguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 12 de ellos (80.00%) manifiestan que el HospitalSan Juan de Lurigancho tiene un nivel excelente con respecto a los RecursosEconómicos para la implementación de SGSI. Asimismo 3 usuarios (20.00%)indican un nivel adecuado.
55
Tabla 7
Niveles de Formación para la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 9. Gráfico de Formación para la implantación de un Sistema de Gestiónde Seguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 14 de ellos (93.33%) manifiestan que el HospitalSan Juan de Lurigancho tiene un nivel excelente con respecto a la Formaciónpara la implementación de SGSI. Asimismo un usuario (6.67%) indica un niveladecuado.
56
Tabla 8
Niveles de Necesidad en la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 10. Gráfico de Necesidad en la implantación de un Sistema de Gestiónde Seguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 12 de ellos (80.00%) manifiestan que el HospitalSan Juan de Lurigancho tiene un nivel excelente con respecto a la Necesidad enla implementación de SGSI. Asimismo 3 usuarios (20.00%) indican un niveladecuado.
57
Tabla 9
Niveles de Infraestructura para la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 11. Gráfico de Infraestructura para la implantación de un Sistema deGestión de Seguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 14 de ellos (93.33%), manifiestan que elHospital San Juan de Lurigancho tiene un nivel excelente con respecto a laInfraestructura para la implementación de SGSI. Asimismo un usuario (6.67%)indica un nivel adecuado.
58
Tabla 10
Niveles de Soporte en la implantación de un Sistema de Gestión de Seguridadde la Información en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 12. Gráfico de Soporte en la implantación de un Sistema de Gestión deSeguridad de la Información en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 12 de ellos (80.00%) manifiestan que el HospitalSan Juan de Lurigancho tiene un nivel excelente con respecto al Soporte en laimplementación de SGSI. Asimismo 3 usuarios (20.00%) indican un niveladecuado.
59
3.2 Diagnóstico cualitativoPreguntas de laentrevista
Sujetosencuestados
Sujeto 1 Sujeto 2 Sujeto 3 Codificación Categoría
Emergente
Conclusiones aproximativas
¿Qué benéficosaportaría a laempresa laimplementación deun SGSI?
Un SGSI facilita elcumplimiento de lasdistintas normativasque afectan a unaempresa uorganización en loque respecta a datosalmacenados yprivacidad,protección de datos yseguridad de lainformación engeneral.
El correctodesarrollo delSGSI en laorganizaciónpermite a lamisma obtenerla certificaciónreconocidaISO/IEC 27001,lo cual mejora laimagen y elprestigio de laorganizaciónante públicosque conocen lanaturaleza dedichocertificado. Seconvierte, portanto, en unademostración delaprofesionalidadde laorganización y
Para darconfianza aclientes yproveedores quela seguridad de lainformación setoma en seriodentro de laorganización,estando a lavanguardia en laaplicación de latécnica deprocesos parahacer frente a lasamenazas de lainformación y alos problemas dela seguridad.
C1: Sistema deGestión deseguridad de laInformación
C2: Protecciónde datos
C3:Seguridadde lainformación
C4:Certificación en la ISO/IEC27001
El Sistema de Gestión de laSeguridad de la Informaciónse trata de un conjunto depolíticas de administraciónde la información que tienencomo objetivo asesorar oguiar a la empresa para lograrla certificación ISO/IEC27001. Gracias al SGSI,podemos por un ladoestablecer una política deseguridad de la informaciónde la empresa, y por otrolado, analizar el riesgo yvalorar las diferentesamenazas potenciales a lasque podría enfrentarse laorganización. Facilita elcumplimiento de las distintasnormativas que afectan a unaempresa u organización en loque respecta a datosalmacenados y privacidad,protección de datos y
60
en una garantíade su correctofuncionamiento.
C5: Técnicas yprocesos parahacer frente alas amenazas dela información
seguridad de la informaciónen general.
¿Cómo califica a laseguridad de lainformación?
Es el conjunto demedidas preventivas yreactivas de lasorganizaciones y de lossistemas tecnológicosque permiten resguardary protegerla información buscando mantener laconfidencialidad, ladisponibilidad eintegridad de la misma.
La información esuno de losprincipalesactivos de lasorganizaciones.La defensa de esteactivo es una tareaesencial paraasegurar lacontinuidad y eldesarrollo delnegocio, así comotambién es unaexigencia legal.
Cuando hablamosde seguridad de lainformaciónestamos indicandoque dichainformación tieneuna relevanciaespecial en uncontextodeterminado y que,por tanto, hay queproteger.
C6: Sistemastecnológicos
C7: Protecciónde la seguridad
Cuando hablamos deseguridad de la informaciónestamos indicando que dichainformación tiene unarelevancia especial en uncontexto determinado y que,por tanto, hay que protegerla seguridad de laInformación se puede definircomo conjunto de medidastécnicas organizativas ylegales que permiten a laorganización asegurar laconfidencialidad, integridady disponibilidad de susistema de información.
61
¿Cree que la SGSI esun costo o unainversión?
Muchas organizacionesacuden a lacertificación ISO 27001ya que necesitan dichocertificado paraconseguir un nuevocliente mediante unalicitación o porquequieren convencer a susclientes de que sus datosse encuentranperfectamenteprotegidos. Si partimosdesde este punto,muchas organizacionespiensan que necesitanimplementarun Sistema de Gestiónde Seguridad de laInformación parallegar a nuevos clienteso para mantener los queya tienen
El Implementarun Sistema deGestion deSeguridad de laInformacion másque un gasto esuna inversiónporque de estamanera podemosasegurar a nuestrocliente y atraermás clientes.
Las organizacionesque se certifican enla ISO 27001, sonmás competitivas ymás atractivas paralos clientes.
C8:Certificación enla ISO
27001.
C9: Protecciónde lainformación.
C10:Implementación de un Sistemade gestión deseguridad de lainformación.
La implementación de unSGSI más que gasto es unainversión porque asegura lacontinuidad de la empresa y ala vez atrae nuevos clientes.
¿Se dice que el SGSIcontribuye a lamejora de lacontinuidad delnegocio, lo cree así?
Sí, SGSI establece uncompleto plan deacciones que ayudará asu empresa a solucionarlos problemas deseguridad técnicos,organizativos ylegislativos mediante el
Sí, En unaorganización, eldiseño eimplementaciónde un SGSI estáinfluenciado porsus necesidades yobjetivos,
Sí, el propósito deun sistema degestión de laseguridad de lainformación es, portanto, garantizar quelos riesgos de laseguridad de la
C11: Análisisde riesgos
C12: Procesosobjetivos y
Un Sistema de Gestión deSeguridad en la Información(SGSI) es la mejora continuade la organización en lagestión de la seguridad. Estoes posible gracias a laimplantación de este sistema
62
análisis de riesgos,mejorando ymanteniendo laseguridad de lainformaciónempresarial ygarantizando unacontinuidad de negocio.
requerimientos deseguridad,procesosempleados y eltamaño yestructura de laorganización. A lavez establece unplan de accionespara solucionarproblemas deseguridadmediante análisisde riesgos.
información seanconocidos,asumidos,gestionados yminimizados por laorganización de unaformadocumentada,sistemática,estructurada,repetible, eficiente yadaptada a loscambios que seproduzcan en losriesgos, el entorno ylas tecnologías.
requerimientosde lainformación.
mediante lanorma ISO27001. Esta acogeel modelo de mejora continuaPlanificar, Hacer, Verificar yActuar (PHVA), que estáaplicado a la estructura detodos los procedimientos delSGSI. Es vital llevar a cabouna revisión regular y unaactualización y mejoracontinua permitiendo elempleo de instrumentosadecuados para el control y lamedición del sistema en lasorganizaciones.
63
Tengo un firewall,actualizoregularmente elantivirus y realizocopias de backup.¿qué aporta un sgsi ami empresa?
Estas medidas no sonmás que unos pocoscontroles técnicos que,por sí mismos, nosignifican que se estégestionando laseguridad. Un SGSIimplica que laorganización haestudiado los riesgos alos que está sometidatoda su información, haevaluado qué nivel deriesgo asume, haimplantado controles(no sólo tecnológicos,sino tambiénorganizativos) paraaquellos riesgos quesuperan dicho nivel, hadocumentado laspolíticas yprocedimientosrelacionados y haentrado en un procesocontinuo de revisión ymejora de todo elsistema.
El SGSI da lagarantía a laempresa de quelos riesgos queafectan a suinformación sonconocidos ygestionados. Nose debe olvidar,por tanto, que nohay seguridadtotal sinoseguridadgestionada.
Para asegura lainformación nobasta un antivirus oun firewall. Lanorma ISO27001 nos dice que elpersonal debe estarformado pararealizar la gestiónde la Seguridad dela Información,además deberealizar su trabajoen equipo y contarcon habilidades deliderazgo.
C13: Controlestécnicos
C14: Niveles deriesgos de lainformación
C15: Gestiónde seguridad dela información
CE: Controlestécnicos de laseguridad de lainformación
Los controles técnicos
no significan que se
estén gestionando la
seguridad.
Un SGSI implica que la
organización ha
estudiado los riesgos a
los que está sometida
toda su información.
Cuadro 5. Diagnóstico cualitativo Fuente: elaboración propia
64
3.3 Triangulación de datos: Diagnóstico final
Se entiende por seguridad de la información a todas aquellas medidas
preventivas y reactivas del hombre, de las organizaciones y de los sistema
tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la autenticidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el
de seguridad informática, ya que este último sólo se encarga de la seguridad en
el medio informático, pudiendo encontrar información en diferentes medios o
formas.
Para el hombre como individuo, la seguridad de la información tiene un
efecto significativo respecto a su privacidad, la que puede cobrar distintas
dimensiones dependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una
carrera acreditada a nivel mundial. Esta ofrece muchas áreas de especialización,
incluidos la auditoría de sistemas de información, Planificación de la continuidad
del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de
Seguridad por nombrar algunos.
La información es un activo vital para el éxito y la continuidad en el
mercado de cualquier organización. El aseguramiento de dicha información y de
los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organización.
Para la adecuada gestión de la seguridad de la información es necesario
implantar un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una evaluación
de los riesgos a los que está sometida la información de la organización.
65
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
Se entiende por información todo aquel conjunto de datos organizados en
poder de una entidad que posean valor para la misma, independientemente de
la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en
papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-
mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
El propósito de un sistema de gestión de la seguridad de la información
no es garantizar la seguridad (que nunca podrá ser absoluta) sino garantizar que
los riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios
que se produzcan en la organización, los riesgos, el entorno y las tecnologías.
La seguridad de la información, según ISO 27001, consiste en la
preservación de su confidencialidad, integridad, disponibilidad y legalidad, así
como de los sistemas implicados en su tratamiento, dentro de una organización.
Así pues, estos cuatro términos constituyen la base sobre la que se cimienta todo
el edificio de la seguridad de la información:
Integridad: Mantener la exactitud y completitud de la información y sus
métodos de proceso.
Privacidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
66
Legalidad: La información debe de cumplir con las leyes vigentes
dependiendo del lugar donde se encuentran y son manejadas.
Disponibilidad: El acceso y la utilización de la información y los sistemas
de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
Es un estándar ISO que proporciona un modelo para establecer,
implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de vida
PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua,
al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO
14001 para medio ambiente, etc.).
De manera específica, ISO 27001 indica que un SGSI debe estar formado
por los siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: Ámbito de la organización que queda sometido al
SGSI incluyendo una identificación clara de las dependencias, relaciones y
límites que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el ámbito de influencia del SGS
considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
Política y objetivos de seguridad: Documento de contenido genérico
que establece el compromiso de la dirección y el enfoque de la organización en
la gestión de la seguridad de la información.
Procedimientos y mecanismos de control que soportan al SGSI:Comprende aquellos procedimientos que regulan el propio funcionamiento del
SGSI: Documentación necesaria para asegurar la planificación, operación y
67
control de los procesos de seguridad de la información, así como para la medida
de la eficacia de los controles implantados.
Enfoque de evaluación de riesgos: Descripción de la metodología a
emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de información
contenidos dentro del alcance seleccionado), desarrollo de criterios de
aceptación de riesgo y fijación de niveles de riesgo aceptables.
Informe de evaluación de riesgos: Estudio resultante de aplicar la
metodología de evaluación anteriormente mencionada a los activos de
información de la organización.
Plan de tratamiento de riesgos: Documento que identifica las acciones
de la dirección, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la información, en función de las
conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
Procedimientos documentados: Todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la información,
así como para la medida de la eficacia de los controles implantados.
Registros: Documentos que proporcionan evidencias de la conformidad
con los requisitos y del funcionamiento eficaz del SGSI.
Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus
siglas inglesas): Documento que contiene los objetivos de control y los controles
contemplados por el SGSI basado en los resultados de los procesos de
evaluación y tratamiento de riesgos justificando inclusiones y exclusiones.
68
La existencia de un SGSI por sí solo se encuentra enfocada a la
protección de la información crítica para la institución ya sea según su impacto
en la confidencialidad, integridad o disponibilidad de modo que se eviten
incidentes de seguridad que puedan ocasionar escenarios que afecten las
actividades o generen un impacto reputacional o financiero.
De manera complementaria a la implementación del SGSI, se recomienda
que la institución realice la implementación de un Sistema de Gestión de
Continuidad de Negocios, enfocado en establecer planes a seguir durante un
escenario que afecte la operativa de la institución. Este sistema de gestión y el
SGSI permitirán tener un mayor nivel de protección no solo sobre la información
si no sobre los procesos críticos de la institución ya que se contó con planes de
contingencia que aseguren su recuperación luego de ser afectados por un
escenario de desastre o incidente interno.
La obligación normativa que especifica que las Historias Clínicas de los
pacientes deben estar almacenadas en formato físico dado que son documentos
legales no excluye que dichos documentos puedan ser digitalizados. Iniciar un
proyecto de digitalización de estos documentos enfocándose en el archivo activo
de la institución permitirá que se cuente con un respaldo de la información de las
mismas que podría ser utilizado en las actividades asistenciales más no en
cuestiones legales.
69
CAPÍTULO IVPROPUESTA IMPLEMENTACIÓN DE UN SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓNAPLICANDO NTP ISO/IEC 27001:2014, EN EL SECTOR
HOSPITALARIO, 2016
70
4.1 Fundamentos de la propuesta
Todos los hospitales y clínicas pertenecen al sector salud y prestan sus servicios
día a día a miles de personas que ponen sus vidas en las manos del personal
médico. Estas atenciones a pesar de presentarse en distintas especialidades
cirugía, neumología, neurología y muchas más, deben ser registradas por
disposición legal en la Historia Clínica del paciente el cual y deben ser
almacenados en un registro físico que puede ser utilizado incluso en un proceso
judicial.
El detalle de la información mínima requerida que debe ser almacenada
en este documento incluyendo los formatos utilizados para registrar los
diferentes tipos de atención se encuentra descrito en la Norma Técnica de
Historias Clínicas (MINSA, 2005) teniendo en cuenta el cumplimiento de lo
requerido por la Ley de Protección de Datos Personales. Esta Ley fue publicada
por el Ministerio de Salud quien además da libertad a las instituciones bajo su
jurisdicción a agregar datos adicionales y modificar el formato de dichos
documentos.
Dicha norma adicionalmente contiene una serie de directivas que
establecen las consideraciones que las instituciones deben tener en cuenta para
el manejo de las Historias Clínicas de sus pacientes, entre las cuales podemos
resaltar aquellas referentes a la custodia, entrega de copias e información,
almacenamiento y depuración de las mismas que son de mucho interés en el
desarrollo del presente proyecto.
Mediante Resolución Ministerial Nº 004-2016-PCM, del 8 de enero de 2016,
se aprueba el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC
27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistema de
Gestión de Seguridad de la Información. Requisitos. 2a Edición”, en todas las
entidades integrantes del Sistema Nacional de Informática. Referida norma
71
proporciona los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
Además, la promulgación de la Ley de Protección de Datos Personales
modifica el escenario sobre el cual debe realizarse la implementación ya
comentada, debiéndose además asegurar el cumplimiento de lo estipulado por
dicha ley. Se debe tener en cuenta que el activo de información más importante
que maneja una entidad prestadora de servicios de salud es la Historia Clínica,
la cual contiene tanto información personal como sensible de los pacientes que
debe ser resguardada y utilizada bajo el consentimiento de los mismos.
Haciendo un análisis de la situación presentada, podemos observar que
el principal agente impulsor del cambio es el Cumplimiento Normativo aplicado
a las nuevas leyes promulgadas, lo cual conlleva a una mejora en la atención del
cliente final dado que su información será resguardada, evitando filtraciones o
pérdidas que puedan impactar negativamente su atención o intereses
personales.
Según el cronograma establecido para la implementación de la Norma
Técnica Peruana NTP ISO/IEC 27001:2014, las instituciones tendrán un plazo
máximo de dos (2) años para la implementación y/o adecuación de la presente
norma.
Dichas entidades públicas tendrán un plazo de 60 días contados a partir
de la fecha de publicación de la presente norma, para la presentación del
cronograma de implementación y/o adecuación del sistema de gestión de la
Seguridad de la Información, que deberá ser presentado a la Oficina Nacional de
Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de
Ministros.
72
Proyecto de implementación del SGSI
Base Legal
Mediante Resolución Ministerial Nº 004-2016-PCM, del 8 de enero de 2016,
se aprueba el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC
27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistema de
Gestión de Seguridad de la Información. Requisitos. 2a Edición”, en todas las
entidades integrantes del Sistema Nacional de Informática.
NTP ISO/IEC 27001:2014
Proporciona los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
Sistema De Gestión De Seguridad De La Información
Un Sistema de Gestión de Seguridad de la Información es un enfoque
sistemático para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la información de una organización para conseguir los
objetivos de negocio.
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestión de la calidad.
Figura 13. Ciclo Deming Fuente: Elaboración propia
73
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI
Entregables del proyecto
Durante el proyecto de implementación del SGSI, los entregables delproyecto estarán clasificados en:
Alcance del SGSI
Alcance Organizacional
En la actualidad en nuestro sistema de salud pública los largos tiempos de
espera para conseguir una cita médica o para programar una cirugía hacen que
se aglomeren muchos pacientes, estas atenciones son realizadas en ambientes
en los cuales se dificulta el control sobre el público entre los cuales tenemos
trabajadores, pacientes, visitas, siendo difícil el control de cada uno de estos
grupos. El hospital San Juan de Lurigancho no es la excepción, siendo los
servicios más caóticos el Servicio de Admisión y Consultorios Externos.
Las funciones de las áreas involucradas en este servicio son los siguientes:
Servicio de Admisión
Cada centro de asistencia médica, clínica u hospital disponen de un área
que se dedica especialmente al ingreso de los pacientes. Se la conoce
popularmente como admisión y su meta es organizar, regular y monitorear los
ingresos de pacientes que ya están programados y que por ejemplo serán
intervenidos quirúrgicamente, que se realizarán alguna práctica también se
encarga de la elaboración, mantenimiento, custodia, archivo, entrega y recepción
74
de las Historias Clínicas de las pacientes que siguen tratamiento en los diferentes
servicios.
Consultorios Externos
Consultorios dedicados a la atención ambulatoria de las pacientes en
diferentes especialidades. Entre ellos tenemos: medicina preventiva, vacunas,
psicología y ginecología.
Por lo expuesto en este proyecto, se identifica que la historia clínica es el
activo de la información más importante en los procesos hospitalarios. Este
documento se ve expuesto a distintos riesgos, entre los cuales influye la ya
mencionada cantidad de personal que se encuentra en el área cercana a
Admisión, así como el poco control específico para el manejo de dicha
información. Por este motivo se ha establecido realizar el análisis y diseño sobre
los procesos más críticos de dicha área relacionados a la gestión de Historias
Clínicas.
Alcance en Tecnologías de Información
El servicio de admisión del hospital San Juan de Lurigancho cuenta con
un programa de gestión de citas, el cual selecciona el servicio para el que se
desea la cita, escoge el día y hora, rellena los datos personales y confirma la
reserva de la cita. Este programa genera un número correlativo a cada paciente
nuevo y procede a imprimir la ficha FUA.
El manejo de estas ficha FUA que se encuentra contenida en la historia
clínica es manual, el traslado a los diferentes consultorios, archivamiento y
custodia.
Al analizar los procesos, se puede evidenciar que las informaciones
contenidas en las Historias Clínicas de los pacientes son utilizadas en diferentes
ambientes, saliendo continuamente del archivo hacia los consultorios, así como
generándose copias ya sean simples o legalizadas para su entrega a los
pacientes, apoderados o personal perteneciente a la policía o personal judicial
que así lo requiera.
75
La responsabilidad principal por la seguridad de estos documentos es del
personal del área de Archivo y Admisión áreas que se encuentran en la misma
locación física área con la que se realizará la identificación de activos de
información y el análisis de riesgo necesarios para poder establecer los controles
requeridos para garantizar la seguridad de la información en ambos procesos de
negocio.
Política de Seguridad de la Información
La norma ISO 27001 requiere que la Política de gestión de la seguridad
de la información (SGSI), al ser el documento más importante, contenga lo
siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes
requisitos y obligaciones, la alineación con la realidad de la organización
respecto de la gestión estratégica del riesgo y el establecimiento de criterios de
evaluación.
Una vez establecido el alcance para el desarrollo del Sistema de Gestión
de Seguridad de la Información, el establecimiento de una Política de Seguridad
de la Información es de vital importancia dado que especifica los lineamientos
generales de seguridad que deben ser cumplidos en la organización los cuales
deben ir alineados a los objetivos del negocio además de los objetivos que se
busca alcanzar respecto a la seguridad de la información en los ámbitos
definidos en el alcance y aprobados por la Alta Dirección.
Objetivos de seguridad de la información en el hospital San Juan deLurigancho
-Brindar una atención de calidad a las pacientes, garantizando que se apliquen
los controles necesarios para asegurar su información.
-Cumplir con las normas legales en cuanto a la protección de la información de
los pacientes.
76
-Establecer y monitorear un Sistema de Gestión de Seguridad de la Información
que identifique los riesgos a los que se expone la información en el hospital San
Juan de Lurigancho y pueda definir controles para los mismos.
-Concienciar al personal sobre la importancia del SGSI, así como su
responsabilidad sobre el cumplimiento de lo dispuesto por el SGSI.”
Metodología de Análisis de Riesgos
El análisis de riesgos es la herramienta a través de la cual se puede
obtener una visión clara y priorizada de los riesgos a los que se enfrenta una
entidad, tiene como propósito identificar los principales riesgos a los que una
entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o
riesgos introducidos por el propio personal. En este sentido pretende identificar
los riesgos más significativos que pueden afectar a la operativa de la entidad y
priorizar medidas a implantar para minimizar la probabilidad de materialización
de dichos riesgos o el impacto en caso de materializarse.
La metodología de riesgos a usar es la Norma ISO 31000(2009), es una
norma global que proporciona principios y directrices genéricas para la
implantación de un sistema de gestión compatible con los estándares de gestión
de riesgos de cualquier sector. Esta norma internacional establece un conjunto
de principios que se deben satisfacer para que la gestión del riesgo sea eficaz.
Recomienda que las organizaciones desarrollen, implementen y mejoren de
manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de
gestión del riesgo en los procesos de gobierno, de estrategia y de planificación,
de gestión, y de elaboración de informes, así como en las políticas, los valores y
en la cultura de toda la organización.
La gestión de riesgos en el hospital San Juan de Lurigancho es requerido
para el cumplimiento de la implementación de un SGSI que sea efectivo en el
control de la información que se transmite a través de los procesos de negocio
de la institución, siendo responsabilidad de la entidad institucional creada con la
finalidad de mantener la gestión de la seguridad de la información siguiendo los
lineamientos de la implementación de la ISO 27001(2014), esta entidad debería
77
ser constituida como “Comité de Seguridad de la Información” teniendo además
la responsabilidad de realizar un seguimiento de los riesgos y controles
establecidos como parte del sistema de seguridad dado que los cambios de
diferentes factores organizacionales, creación de nuevos servicios, cambios de
personas.
Para la clasificación y valoración de los riesgos, en el presente proyecto se ha
optado por definir una matriz de calor.
PROBABILIDAD CRITERIO APLICADOS
Baja Regularidad de la incidencia baja (un evento cada 2 años a más).
Media Regularidad de la incidencia media (un evento cada 1 a 2 años).
Alta Regularidad de la incidencia mensual.
Muy Alta Regularidad de la incidencia semana, certeza muy alta de que ocurrirá dichoevento.
Cuadro 6. Criterio de probabilidad Fuente: elaboración propia
Para el uso de la presente categorización, se deberá tener en cuenta la
probabilidad de ocurrencia, teniendo como guía el tiempo que ejemplifica a cada
una de las clases establecidas.
78
Cuadro 7. Criterio de impacto Fuente: elaboración propia
Para el uso del presente criterio, se deberá tener en cuenta qué tanto afecta las
operaciones del servicio la materialización de una amenaza, además de la
información que pueda verse comprometida como consecuencia de la misma.
Matriz de calor
Los criterios que se han definido se utilizan en conjunto para conformar la matriz
de calor sobre la que se realizará la valoración de los riesgos identificados en el
análisis. A continuación, se presenta la matriz de calor generada en base a
dichos criterios.
SEVERIDAD
Insignificante Leve Grave Muy Grave
PROBABILIDAD
Baja Riesgo TrivialRiesgoModerado
RiesgoModerado
RiesgoModerado
Media Riesgo TrivialRiesgoModerado
RiesgoModerado
RiesgoImportante
Alta Riesgo TrivialRiesgoModerado
RiesgoImportante
RiesgoIntolerable
MuyAlta
RiesgoModerado
RiesgoImportante
RiesgoIntolerable
RiesgoIntolerable
Cuadro 8. Matriz de calor Fuente: elaboración propia
SEVERIDAD CONSECUENCIAS PREVISIBLES
Insignificante La información afectada es de dominio público o con una bajaimportancia, como por ejemplo las citas generadas, o las recetasmédicas.
Leve La información afectada tiene un impacto bajo en la atención delpaciente, afectando el tiempo de atención del mismo pero nolimitándolo.
Grave La información afectada afecta la atención de los pacientes,paralizando el servicio por máximo 1 día.
Muy Grave La información afectada impacta en un nivel alto el servicio,paralizándolo por una semana. Incluye también la filtración o pérdidade información personal.
79
Nivel de Riesgo
Cuando el nivel de riesgos es alto, se debe de implantar inmediatamente
acciones para reducir la posibilidad de materialización o el impacto que puede
considerar en el criterio de costo beneficio. Para poder determinar las acciones
más apropiadas que minimicen o eliminen los riesgos, se debe considerar el nivel
del riesgo encontrado, si es alto, medio o bajo, para darle el tratamiento
adecuado. El hospital San Juan de Lurigancho posee algunos controles ya
establecidos para el control de riesgos, por lo cual se debe central en controlar
los riesgos de nivel Alto y Critico.
Riesgo Residual
Estos son los riesgos que permanecen después de la planificación de la
respuesta a los riesgos. Los riesgos residuales han sido aceptados para que se
puedan crear los planes de contingencia y los planes alternativos. Deben ser
documentados apropiadamente y revisados a lo largo del proyecto para ver si su
clasificación ha cambiado.
Son aquellos, generalmente pequeños, que aparecen después de que se
hayan tomado las acciones de eliminación, transferencia y mitigación previstas.
También se incluyen aquí riesgos menores que han sido aceptados e
identificados, generalmente con cargo a la contingencia
Riesgos Segundarios
El análisis de los nuevos riesgos creados mediante la implementación de
las estrategias de respuesta a los riesgos seleccionados debe ser parte de la
planificación de la respuesta a los riesgos.
Son los riesgos que aparecen como consecuencia de la aplicación de
medidas de respuesta a la aparición de riesgos. Estos riesgos secundarios
80
deben ser identificados y su respuesta debe ser analizada de la misma manera
que los riesgos primarios.
Identificación de activos
El primer paso en la gestión de los riesgos es la definición del alcance que
tendrá el estudio. En este paso se definen los límites del sistema en estudio a la
vez que se detallan los recursos y la información que constituyen el sistema, que
se denominarán activos de información, algo esencial para posteriormente definir
el riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en
cuestión.
El proceso de identificación de los activos de información se debe realizar
en conjunto con el personal que cuente con el mayor conocimiento de los
procesos de negocio del alcance, así como de los recursos que éstos requieren
para realizar sus funciones. Es una buena práctica que se establezca una escala
cuantitativa que mida el nivel en que una pérdida o falla en el activo motivo del
estudio afecte alguno de los pilares previamente descritos.
Según la clasificación que se encuentra en la norma ISO 17799:2005 se
observa que las clasificaciones de los activos de información pueden ser de los
siguientes tipos: datos, documentos impresos, software, activos físicos como
computadoras o archivos de documentos físicos y personal. Sin embargo, el
caso específico del Hospital San Juan de Lurigancho, entidad prestadora de
servicios de salud, requiere que se tenga en cuenta algunas consideraciones
especiales que se alineen a las necesidades de este tipo de entidades. De este
modo se tendrá en cuenta lo recomendado en la ISO 27799(2008), que aplica el
Código de buenas prácticas establecido por la ISO/IEC 27002 sobre el escenario
de entidades dedicadas a brindar servicios de este tipo, de esta manera la
metodología asociada al reconocimiento de éstos activos de información debe
realizarse teniendo en cuenta que estas entidades deben cumplir con:
81
Establecer reglas documentadas para el uso aceptable de la información
de salud. Sobre éste último punto se determinan varias directivas en la Norma
técnica de Historias Clínicas MINSA (2005) y en la Ley de Protección de Datos
Personales (CONGRESO DE LA REPÚBLICA, 2011).
Activos Primordiales, definidos como todos aquellos que participan directamente
en el flujo de información de los procesos del alcance y que contienen
información.
Se debe tener en cuenta durante el proceso de identificación de activos
de información que estos no son exclusivamente sistemas de información o
información digitalizada, para el presente caso de estudio se considera activo de
información y cabe destacar que sería el más crítico el documento denominado
Historia Clínica.
Valorización de Activos
Como siguiente paso en la metodología después de haber identificado los
activos que participan en los procesos de negocio se debe realizar una
valoración de los mismos de manera que se establezca aquellos que tienen una
mayor importancia y, por ende, deben ser protegidos.
En el desarrollo del análisis para el diseño del SGSI para el Hospital San
Juan de Lurigancho, se utilizará la escala de Likert (donde 1 es “muy poco” y 4
es “muy alto”), se utilizará la siguiente tabla como formato del inventario de
activos de información.
Valor en escala Likert Descripción de la valoración
1 La información no presenta riesgo para la institución.
2 La información es de uso de la institución pero su filtración no presentariesgo
3 La información es de índole privada y reservada.
4 La información de sensible y muy reservada.
Cuadro 9. Escala de la valoración Fuente: elaboración propia
82
Nro. Procesos Identificación delActivo
Descripción delActivo
Clasificacióndel Activos
LugardelActivo
Valoracióndel Activo
001 ServiciodeAdmisión
Sistema deAdmisión yDocumentaciónClínica
Utilizado para laemisión de citas yelaboraciónnumérica dehistoria clínicas.
Activofundamental
Admisión 4
002 ServiciodeAdmisión
Archivo deHistoriasClínicas (físico)
Utilizado paraguardarfísicamente laHistorias Clínicas.
Activofundamental
Archivo 4
003 ServiciodeAdmisión
Archivo deHistoriasClínicas y hojade referencia(físico)
Utilizado paraguardarfísicamente laHistorias Clínicascontenidas lashojas dereferencias.
Activofundamental
Archivo 3
004 ServiciodeAdmisión
Cita Medica Documento quecomprueba unaatenciónprogramada de lospacientes enconsultoriosexternos.
Activo nofundamental
paciente 2
Cuadro 10. Matriz de inventario de Activos de Información Fuente: elaboraciónpropia
Identificación y análisis de riesgos
Luego de haber realizado la identificación de los activos, así como su valoración
para determinar su criticidad, se procede a realizar el análisis de riesgos sobre
las actividades que se identificaron en el modelado de procesos del alcance del
proyecto.
Haciendo uso de la metodología de Análisis de Riesgos se realiza una revisión
de los riesgos a los que dichas actividades se encuentran expuestas,
determinando los factores que originan el riesgo, sus consecuencias y la
83
evaluación del mismo que nos permitirá definir si se procederá a tratar o se
aceptará como parte del nivel del riesgo de la institución.
Matriz de Análisis deRiesgo
Nivel de Impacto
Sucesos físicos Negligencia Criminalidad
Elemento deInformación
Magnitudde Daño
Falta decorriente
DesordenCompartircontraseña
Robo
1 2 3 4
Sistemainformático
4 4 8 12 16
Historia clínica 3 3 6 9 12
Hoja deReferencia
2 2 4 6 8
Cita Medica 1 1 2 3 4
Cuadro 11. Matriz de riesgos del hospital Fuente: elaboración propia
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
Dependiendo del color de cada celda, podemos sacar conclusiones no
solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un
daño significativo, causado por una amenaza, sino también sobre las medidas
de protección necesarias.
84
Digitalización de la Historias Clínicas
La obligación normativa que especifica que las Historias Clínicas de los
pacientes deben estar almacenadas en formato físico dado que son documentos
legales no excluye que dichos documentos puedan ser digitalizados. Iniciar un
proyecto de digitalización de estos documentos enfocándose en el archivo activo
de la institución permitirá que se cuente con un respaldo de la información de las
mismas que podría ser utilizado en las actividades asistenciales más no en
cuestiones legales.
Los establecimientos de salud podrán optar por el uso de la Historia
Clínica Informatizada, debiendo sujetarse a la presente norma.
El uso de soportes informáticos, ópticos o de cualquier otra naturaleza
tecnológica para uso de la Historia Clínica, deberá contar con las garantías que
aseguren su autenticidad, integridad y conservación indefinida.
El Sistema de Historia Clínica Informatizada antes de su implementación
deberá estar acreditado por las Direcciones Regionales de Salud
correspondientes
El diseño, desarrollo e implementación de la Historia Clínica
informatizada, debe tener en consideración el uso de los datos, procesos y
metodologías estandarizadas a través de la Oficina de Estadística e Informática
del MINSA ( Directiva 001-2002 – OEI y Resolución Ministerial 608-2002-SA/DM
del 27 de diciembre del 2002)
Obtención de copias en formato documental y/o digital
La obtención de las copias, en formato documental o digital, se puede
hacer por medias de diferentes medios. Los más habituales son:
Digitalización de las imágenes por medio de escáneres, atreves de
cámaras digitales de forma directa.
85
Una vez obtenido la imagen o documento, es necesario realizar un tratamiento
de esta utilizando el más adecuado a las necesidades particulares de cada
usuario. Este proceso puede incluir cambios la resolución de la imágenes,
tamaño, aplicaciones de filtros artísticos, así como obtención de algunas de la
partes de la imagen o documento.
Nuance AutoStore
AutoStore (2016), Es una aplicación basada en servidor que coordina la
captura y entrega segura en las aplicaciones empresariales de documentos
impresos y electrónicos. Se adapta bien a una organización de cualquier tamaño
que desee eliminar la gestión manual de documentos, tan propensa a errores y
pérdidas. AutoStore puede automatizar los procesos empresariales basados en
documentos, lo que permite reducir los costes, mejorar la colaboración,
comunicación y eficiencia de las operaciones, y apoyar el cumplimiento de la ley.
AutoStore utiliza la infraestructura actual y captura información a partir de
periféricos multifunción, teléfonos inteligentes, correos electrónicos, servidores
de fax, carpetas compartidas y públicas, sitios FTP, aplicaciones de Microsoft
Office, ordenadores, secuencias de datos XML y otros orígenes. A continuación,
la información capturada se procesa en función del flujo de trabajo
predeterminado de la organización. Las imágenes digitalizadas se mejoran para
que sean más legibles, el texto puede convertirse en información electrónica
modificable. Todo ello da como resultado una información con mayor contenido
que puede ser recuperada más adelante.
Una vez finalizado el procesamiento, los documentos y las palabras clave
que los describen se distribuyen a cualquier cantidad de destinos. Estos pueden
ser números de fax, direcciones de correo electrónico, sistemas de gestión
documental (DMS), sitios FTP, carpetas de red seguras o incluso varios destinos
simultáneos. Todo esto se realiza cómodamente con solo tocar un botón en el
panel frontal del dispositivo; con eso basta. El flujo de trabajo tiene lugar de forma
inmediata y garantiza que la información se envía donde desea el usuario, y
siempre de forma rápida y precisa.
86
Todo esto es posible gracias a los flujos de trabajo y los paneles de menú de
personalizables de AutoStore. Con la ayuda de AutoStore Process Designer, los
flujos de trabajo se pueden configurar previamente y guardar con el fin de reducir
el número de pasos que el usuario final debe realizar manualmente. Esta función,
sencilla y fácil de utilizar, elimina procesos manuales, lo que permite reducir los
errores del usuario y da como resultado un procesamiento eficiente y preciso de
los documentos.
Procedimiento
Capturar
Reúne los flujos de documentos electrónicos e impresos en un proceso
uniforme. Capture documentos tanto electrónicos como impresos a partir de
prácticamente cualquier fuente, sea un PC o Mac, un escáner de red MFP o
MFD, una fotocopiadora o incluso su teléfono inteligente. AutoStore funciona con
las principales fotocopiadoras, teléfonos inteligentes, escáneres y MFP, siempre
de la misma manera en todas las plataformas. Con AutoStore, cambiar o añadir
un dispositivo nuevo es tan fácil como enchufarlo a la red.
Capture información:
Periféricos multifunción (MFP)
Teléfonos inteligentes
Fotocopiadoras
Escáneres
Aplicaciones de Microsoft Office
Clientes de correo electrónico
Bandeja de entrada de correo electrónico
Directorio (en red o local)
Servidores de fax
Carpetas locales o remotas
87
Sitios FTP (seguros e inseguros)
Procesar
Procese todo tipo de documentos, incluidas las imágenes y los formularios, y
conviértalos a una gran variedad de formatos, como texto, PDF de Adobe con
capacidad de búsqueda o Microsoft Word. Las sencillas características de
mejora de imágenes permiten una mayor calidad del documento. Procese los
documentos mediante OCR, códigos de barras, gestión de la imagen, servicios
documentales y conversión de documentos para aportar mayor inteligencia a la
red.
Procesamiento mediante:
Reconocimiento de texto completo
Reconocimiento de texto por zonas
Reconocimiento de caracteres en letra de imprenta (ICR)
Reconocimiento de formularios (estructurados o semiestructurados)
Reconocimiento óptico de marcas (OMR)
Limpieza de imágenes
Compresión MRC de PDF
Reconocimiento de códigos de barras (lineales y bidimensionales)
Numeración secuencial (sellado Bates)
Cifrado y descifrado
Superposición de formularios
Informes
Notificación automatizada por correo electrónico
Encaminar
Una empresa en tiempo real consiste en utilizar la información más reciente,
eliminar los retrasos y aprovechar la velocidad para conseguir una ventaja
competitiva. Envíe los documentos de forma instantánea a uno o varios destinos,
88
como ordenadores, aplicaciones para fax, aplicaciones empresariales,
direcciones de correo electrónico, sitios FTP, archivos y carpetas de red, así
como sistemas de gestión documental.
Encaminar la información:
Carpetas de red
Correo electrónico
Servidores de fax
Impresoras
Bases de datos compatibles con ODBC
Enviar a sitios HTTP
Sitios FTP seguros
Enviar a sitios XML y WebDAV
Sistemas de gestión documental y servicios en la nube de proveedores comoMicrosoft, Google, EMC, OpenText, FileNet, Interwoven, IBM, Docuware.
Características de seguridad:
Autenticación (Common Access Card, Windows, Active Directory, LDAP)
Acceso de red restringido
Validación de los correos electrónicos o faxes salientes
Filtrado de los faxes salientes
Censura de la información confidencial
Requisitos del sistema:
Hardware
Un equipo con sistema operativo (SO) Microsoft Windows y un procesador de 2GHz como mínimo
Se necesita como mínimo 2 GB de RAM, pero se recomienda 4 GB o más
10 GB como mínimo de espacio libre en el disco duro
89
Tarjeta NIC
Sistema operativo
Sistemas operativos Microsoft Windows compatibles:
Windows Server 2012 R2: Standard y Datacenter.
Windows Server 2012: Standard y Datacenter, con el Service Pack másreciente.
Windows Server 2008 R2: Standard, Enterprise y Datacenter, con el ServicePack más reciente.
Windows Server 2008 (de 32 y 64 bits): Standard, Enterprise y Datacenter, conel Service Pack más reciente.
Windows 8 u 8.1 (de 32 o 64 bits): Pro y Enterprise.
Windows 7 (de 32 o 64 bits): Professional, Ultimate y Enterprise, con el ServicePack más reciente.
Windows 10
Software adicional:
Microsoft® .NET Framework 3.5
Microsoft® .NET Framework 4.0
Microsoft® .NET Framework 4.5
Precio de la licencia
El producto como el mantenimiento de dispositivos de licencia por un año precio
en dólares sin IGV: $1,530.00 por dispositivo.
Do: Implementar y utilizar el SGSI
Plan de tratamiento de riesgos
ISO 31000. (2009). Estándar internacional que establece una guía general
sin establecer medidas específicas para algún tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genérica en cualquier tipo de organización.
90
En su calidad de ser una guía generalizada de gestión de riesgo, puede ser
aplicable a una gran cantidad de escenarios en diferentes organizaciones. Al
igual que la norma ISO 27005, éste estándar sigue el ciclo de Deming (Plan-Do-
Check-Act) como metodología de análisis de riesgos.
Con la etapa de tratamiento de riesgos se establece e implementan las
acciones a tomar para mitigar los riesgos encontrados y lograr riesgos residuales
aceptables por la organización, dentro de las acciones a tomar encontramos
principalmente: reducir, aceptar, eliminar y transferir Como parte del tratamiento
se definen las posibles acciones a seguir sobre los riesgos y se establece un
plan de tratamiento según la priorización previa que se realizó. Este plan debe
definir recursos, responsabilidades y actividades teniendo en cuenta las posibles
restricciones a nivel económico, legal, temporal, técnico, operativo, político,
cultural y las demás que sean determinadas. Los controles que sean
recomendados deben incluir un análisis costo-beneficio (incluyendo costos de
implementación y mantenimiento).
El plan debe ser documentado y finalmente definidas las políticas a seguir.
Con la definición de políticas se establece los lineamientos base y se logra
ejercer la línea de mando el don de mando requerida para cumplir con las
definiciones de seguridad indicadas con anterioridad.
Check: Monitorizar y revisar el SGSI
La organización deberá:
Ejecutar procedimientos de monitorización y revisión para:
– detectar a tiempo los errores en los resultados generados por elprocesamiento de la información.
– identificar brechas e incidentes de seguridad.
– ayudar a la dirección a determinar si las actividades desarrolladas por laspersonas y dispositivos tecnológicos para garantizar la seguridad de lainformación se desarrollan en relación a lo previsto.
– detectar y prevenir eventos e incidentes de seguridad mediante el uso deindicadores.
91
– determinar si las acciones realizadas para resolver brechas de seguridadfueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento
de la política y objetivos del SGSI, los resultados de auditorías de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de
riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los
posibles cambios que hayan podido producirse en la organización, la tecnología,
los objetivos y procesos de negocio, las amenazas identificadas, la efectividad
de los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales.
Realizar periódicamente auditorías internas del SGSI en intervalos
planificados para determinar si los controles, procesos y procedimientos del
SGSI mantienen la conformidad con los requisitos de ISO 27001:2014, el entorno
legal y los requisitos y objetivos de seguridad de la organización, están
implementados y mantenidos con eficacia y tienen el rendimiento esperado.
Revisar el SGSI por parte de la dirección periódicamente para garantizar
que el alcance definido sigue siendo las adecuadas y posibles mejoras en el
proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la
información.
Actualizar los planes de seguridad en función de las conclusiones y
nuevos hallazgos encontrados durante las actividades de monitorización y
revisión.
92
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas para prevenir
potenciales no conformidades antes de que se produzcan y solucionar no
conformidades detectadas y materializadas. En relación a la cláusula 8 de ISO
27001:2014 y a las lecciones aprendidas de las experiencias propias y de otras
organizaciones.
Comunicar las acciones y mejoras a todas las partes interesadas con el
nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos:
la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act
lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Téngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo
cuando otras de planificación aún no han finalizado; o que se monitoricen
controles que aún no están implantados en su totalidad
4.2 Objetivos de la propuestaEl proyecto presentado tiene como alcance realizar el Análisis y Diseño
de un Sistema de Seguridad de la Información utilizando para ello la Norma
ISO/IEC 27001:2014 teniendo en cuenta el cumplimiento de lo requerido por la
Ley de Protección de Datos Personales. A continuación se detallan los
principales objetivos alcanzar con la implementación de esta solución
tecnológica.
93
Establecimiento y difusión de la Política General de Seguridad de la
Información del Hospital San Juan de Lurigancho (H.S.J.L).
Mejora en la organización para la gestión de la seguridad de la información
en el H.S.J.L (Comité de Gestión de Seguridad de la Información, Comité
Operativo de Seguridad de la Información, Oficial de Seguridad de la
Información, Facilitadores).
Concientización a los colaboradores del H.S.J.L en seguridad de la
información.
Gestión y mitigación de riesgos de seguridad de la información.
Clasificación de la información para asegurar que la información recibe un
nivel apropiado de protección en concordancia con su importancia para el
H.S.J.L.
Mejoras en el control de acceso para limitar el acceso a la información y a
las instalaciones de procesamiento de información.
Mejoras en la gestión de acceso de usuarios autorizados y prevenir el acceso
no autorizado a los sistemas y servicios.
Mejoras en el control de accesos a las instalaciones de procesamiento de la
información.
Incrementar los niveles de prevención para evitar la pérdida, daño, robo de
equipos e interrupción de operaciones.
Mejoras en el establecimiento e implementación de procedimientos que
permitan asegurar que el procesamiento de la información sea correcto y seguro.
Garantizar que la seguridad de la información es una parte integral de los
sistemas de información que se desarrollan.
Mejora en la gestión de incidentes de seguridad de la información.
94
Asegurar la continuidad de los servicios de Tecnologías de la Información del
H.S.J.L (Plan de Continuidad de Negocio).
95
4.3 Estructura y plan de acción de la Propuesta
CRONOGRAMA DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
(RESOLUCIÓN MINISTERIAL Nº 04-2016-PCM)
1 º 2 º 3 º 4 º 1 º 2 º 3 º 4 º 1 º 2 º 3 º 4 º 1 º 2 º 3 º 4 º 1 º 2 º 3 º 4 º 1 º 2 º 3 º 4 ºC o m p r e n s i ó n d e l a i n s t i t u c i ó n yc la r i f i c a c ió n d e o b je t i v o s .
1 . D e s c r ip c i ó n b r e v ed e l a o r g a n i z a c ió n .2 . L i s t a d e la s p a r t e s
X X
R e v is i ó n / D e f i n ic i ó n d e l a l c a n c e d e lS G S I. 1 . Á m b i t o d e a p l i c a c ió n
d o c u m e n t a d o d e lX X
C o n s t i t u c ió n d e l C o m i t é d eG e s t i ó n d e S e g u r id a d d e laIn f o r m a c i ó n ( C G S I) .
1 . - C o m i t é d e G e s t ió nd e S e g u r i d a d d e laIn f o r m a c ió n ( C G S I)
X X
E la b o r a c ió n d e l a p o l ít i c a g e n e r a ld e s e g u r i d a d d e la in f o r m a c i ò n yd e l o s o b je t i v o s d e s e g u r id a d d e lain f o r m a c i ó n .
1 . P o l ít i c a d e s e g u r id a dd e l a i n f o r m a c i ó n yo b j e t i v o s d e s e g u r id a dd e l a in f o r m a c i ó n .
X
A n á l i s i s , e v a l u a c i ó n yt r a t a m i e n t o d e r i e s g o s . X X X X
D e c l a r a c i ó n d e a p l i c a b i l i d a d yd e c is i ó n d e la A l t a D i r e c c i ó n p a r aa p l i c a r e l S G S I.
1 . D e c la r a c ió n d ea p l i c a b i l i d a d . X
D e f i n ic i ó n d e l a e s t r u c t u r ao r g a n i z a t i v a d e s e g u r id a d d e lain f o r m a c i ó n .
1 . D o c u m e n t o d eo r g a n iz a c i ó n d es e g u r id a d d e lai n f o r m a c ió n y d ep r o t e c c ió n d e d a t o s
X
D e f i n ic i ó n d e l p r o c e s o d e g e s t ió nd e d o c u m e n t o s .
1 . P r o c e d im ie n t o d ec o n t r o l d ed o c u m e n t o s y d er e g is t r o s .
X
D i s e ñ o d e c o n t r o l e s d es e g u r i d a d y e l a b o r a c i ó n d ep o l í t i c a s y p r o c e d i m i e n t o se s p e c í f i c o s .
X X X X X
E l a b o r a r P o l ì t i c a s d eP r o t e c c i ó n d e D a t o sP e r s o n a l e s
E l a b o r a c i ó n d e l P l a n d eC o n t i n u i d a d .
1 . - P la n d e C o n t in u id a dIn f o r m á t ic o .2 . - R e g i s t r o s d ep r u e b a s .
X X X
P la n d e c o m u n ic a c ió n X
1 . D e s c r ip c i ó n d e lo sp r o c e s o s y c o n t r o le sd e s e g u r id a d .
S e m a n a sM a r z o J u n i o J u l i o A g o s t o
A c t i v i d a d e s S a l i d a s S e m a n a s S e m a n a s S e m a n a s S e m a n a s S e m a n a sA b r i l M a y o
96
Cuadro 12. Cronograma De Implementación Del Sistema De Gestión De Seguridad De La Información Fuente: elaboraciónpropia
Plan de capacitación ysensibilización.
1.Plan de capacitacióny sensibilización. X
Implementación de controles deseguridad.
1.Procesos ycontroles deseguridad que están
X*
Gestión de incidentes1.Procesos yprocedimientos degestión de incidentes.
X X
Gestión de operaciones1.Procesos ycontroles deseguridad
X
Medición, supervisión y evaluacióndel SGSI 1. Indicadores.
X
Auditoría interna1.Programa deauditoría. X
Revisión por la dirección1. Objetivos y políticasactualizadas.2. Aprobación de los
X X
Tratamiento de problemas y NoConformidades. 1.Procedimiento de
acciones correctivas.X*
Mejora continua1.La continuapertinencia del SGSIcon los objetivos de
X*
Certificación 1.Certificación ISO27001. X X
97
4.4 Viabilidad de la propuesta
Costos de implementación
Costes relacionados con los cambios organizacionales.
Necesidad de elevar la concienciación de la organización (personal y directivo),
adaptación/racionalización de las normas, procedimientos, prácticas vigentes de
seguridad de la información.
Costes de diseño & desarrollo
Revisión y actualización de las normas, directrices, procedimientos vigentes de
seguridad de la información. Preparación de las nuevas normas, directrices,
procedimientos de seguridad de información.
Costes de la implementación
Los costos únicos iniciales para actualizar y/o complementar diversos controles
existentes para cumplir con la norma. Costes de concienciación y formación.
Costo
Esta Implementación durará 6 meses por se realizara por 2 expertos (6.000.00
soles sueldo promedio en el mercado) = 70.000.00 soles
Costos de Auditaría interna
Es una actividad independiente y objetiva de aseguramiento y consulta
concebida para agregar valor y mejorar las operaciones de una organización.
Ayuda a una organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de
gestión de riesgos, control y gobierno.
Costo
Auditoría interna: S/.11,500.00 soles / una semana
98
Costos de Auditoría externa para la certificación
Visitas de pre certificación y de certificación iniciales por entidades de
certificación acreditadas por la norma ISO/IEC 27001.
Costo
Auditoría externa para la certificación: 25, 000.00 soles
COSTO APROXIMADO HASTA LOGRAR LA CERTIFICACIÒN
ÍTEM RECURSOS/ACTIVIDADESPRINCIPALES
CANTIDAD/TIEMPO
COSTOAPROXIMADO
1 Personal encargado de laimplementación.
2 colaboradores /6 meses
S/. 70 000
2 Auditoría Interna 1 Auditoría / Unasemana
S/. 11 500
3 Auditoría Externa deCertificación
1 Auditoría / Dossemanas
S/. 25 000
TOTAL S/. 106 500
Cuadro 13: costos de la implementación Fuente: elaboración propia
Ventajas económicas de tener implementado la NTP ISO IEC 27001.
La certificación del SGSI contribuye a mejorar la competitividad en el
mercado, diferenciando a las organizaciones que lo han conseguido haciéndolas
más fiables e incrementando su prestigio.
Además de las ventajas mencionadas, también podemos mencionar entre otras:
Una de las actividades en el proceso de implementación del SGSI es realizar
el inventario de activos (información, hardware, software, sistemas, personal,
infraestructura, telecomunicación); por lo que la organización puede conocer el
estado de dichos activos.
99
Reducción de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes.
El aumento del valor comercial y mejora de la imagen de la organización.
Podrías recalcar el tema de protección de datos personales, ya que la
Historia Clínica es un banco de datos personales y tiene datos sensibles
considerados así en la Ley Nº 29733 "Ley de Protección de Datos Personales· y
en su reglamento. Si se difunde información de los pacientes estarían
vulnerando esos datos. La Autoridad Nacional de Protección de Datos
Personales es la que se encarga de hacer cumplir la Ley Nº 29733.
La Ley de Protección de Datos Personales, en su Art. N° 2, numeral 5,
define datos sensibles como “datos personales constituidos por los datos
biométricos que por sí mismos pueden identificar al titular; datos referidos al
origen racial y étnico; ingresos económicos, opiniones o convicciones políticas,
religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la
salud o la vida sexual”.
Infracciones y sanciones administrativas
El numeral 2 del Art. 38 de la Ley de Protección de Datos Personales,
establece como infracciones graves, entre otras “a. Dar tratamiento a los datos
personales contraviniendo los principios establecidos en la presente Ley o
incumpliendo sus demás disposiciones o las de su Reglamento. b. Incumplir la
obligación de confidencialidad establecida en el artículo 17”.
Del mismo modo el numeral 3 del Art. 38 de la referida Ley establece como
infracción muy grave, entre otras, “a. Dar tratamiento a los datos personales
contraviniendo los principios establecidos en la presente Ley o incumpliendo sus
demás disposiciones o las de su Reglamento, cuando con ello se impida o se
atente contra el ejercicio de los derechos fundamentales”
En el Art. 39 de la Ley de Protección de Datos Personales, referido a las
sanciones administrativas, establece que, “2. Las infracciones graves son
100
sancionadas con multa desde más de cinco unidades impositivas tributarias
(UIT) hasta cincuenta unidades impositivas tributarias. 3. Las infracciones muy
graves son sancionadas con multa desde más de cincuenta unidades impositivas
tributarias (UIT) hasta cien unidades impositivas tributarias (UIT)”.
4.5 Validación de la propuesta
La validación de la propuesta involucró el uso de métodos cualitativos y
cuantitativos. Estos métodos se utilizan más cuando no existe un conjunto de
datos históricos útiles en los cuales pueda basarse un análisis. Los análisis
cualitativos son cada vez más importantes y comienzan a formar parte de las
investigaciones en múltiples esferas. También se ha contado con la asesoría e
inspección de un profesional experto en el campo de la informática y sistemas.
A continuación, se anexa como constancia para la validación de la
propuesta se demuestra adjuntando 2 certificados de validez firmados por
expertos en el tema de la investigación.
Anexo 1: Ficha de validez de la propuesta
CAPÍTULO VDISCUSIÓN
104
Los sistemas de información se han vuelto más complejos debido a la
globalización que tiene por consecuencia que las distancias geográficas no
supongan un obstáculo. De esta forma se tiene que existe una cantidad mayor
de personas que tienen acceso a información que podría ser crítica para las
diferentes empresas e instituciones en las que trabajan. En el mundo digital el
riesgo de brechas de seguridad, fugas o pérdidas de información nunca ha sido
mayor. No sólo se ha multiplicado el volumen de información en circulación sino
también el número de vías en las que la información puede ser almacenada y
transferida sin el consentimiento del propietario. A pesar de la mayor
concienciación sobre los riesgos y amenazas a la seguridad que encaran las
empresas y firmas profesionales de todo el mundo, las brechas de seguridad
están aumentando y amenazando seriamente la solidez de los negocios y la
privacidad de sus usuarios.
El Hospital San Juan De Lurigancho pertenece al sector salud y prestan
sus servicios día a día a miles de personas que ponen sus vidas en las manos
del personal médico que les atienden. Estas atenciones a pesar de presentarse
en distintas especialidades cirugía, neumología, neurología y muchas más,
deben ser registradas por disposición legal en la Historia Clínica del paciente el
cual debe ser almacenado en un registro físico que puede ser utilizado incluso
en un proceso judicial.
El detalle de la información mínima requerida que debe ser almacenada
en este documento incluyen los formatos utilizados para registrar los diferentes
tipos de atención se encuentra descrito en la Norma Técnica de Historias
Clínicas (MINSA, 2005), teniendo en cuenta el cumplimiento de lo requerido por
la Ley de Protección de Datos Personales. Publicada por el Ministerio de Salud
quien además da libertad a las instituciones bajo su jurisdicción a agregar datos
adicionales y modificar el formato de dichos documentos.
En adición a las disposiciones previas el Hospital San Juan de Lurigancho se
enfrenta a la necesidad de cumplir con la Norma Técnica Peruana NTP-ISO/IEC
27001:2014 en cuya publicación se establece explícitamente que dicha
105
institución, como parte del Sistema Nacional de Salud, debe proceder con el
proceso de implementación de un Sistema de Gestión de Seguridad de la
Información que garantice la Confidencialidad, Integridad y Disponibilidad de la
información que se utilice como parte de sus procesos de negocio.
Además, la promulgación de la Ley de Protección de Datos Personales
modifica el escenario sobre el cual debe realizarse la implementación ya
comentada, debiéndose además asegurar el cumplimiento de lo estipulado por
dicha ley. Se debe tener en cuenta que el activo de información más importante
que maneja una entidad prestadora de servicios de salud es la Historia Clínica,
la cual contiene tanto información personal como sensible de los pacientes que
debe ser resguardada y utilizada bajo el consentimiento de los mismos.
El proyecto presentado tiene como alcance realizar el Análisis y Diseño
de un Sistema de Seguridad de la Información utilizando para ello la Norma
ISO/IEC 27001:2014, se tiene en cuenta el cumplimiento de lo requerido por la
Ley de Protección de Datos Personales.
La norma específica que las Historias Clínicas de los pacientes deben
estar almacenadas en formato físico, pero ello no excluye que dichos
documentos puedan ser digitalizados. Iniciar un proyecto de digitalización de
estos documentos enfocándose en el archivo activo de la institución permitirá
que se cuente con un respaldo de la información de las mismas que podría ser
utilizado en las actividades asistenciales más no en cuestiones legales.
106
Conclusiones
Primera: La Seguridad de la Información, es una parte esencial e importante
en las organizaciones ya que la información se constituye un activo
primordial y se debe mantener en ella la confidencialidad,
disponibilidad e integridad. El eslabón más débil de la cadena son
las personas o el recurso humano también llamado ya que la
mayoría de veces existe falta de compromiso para proteger la
información o desconocimiento de las políticas o controles de
seguridad de la información en las organizaciones. Es por esta
razón que el equipo SGSI debe implementar campañas de
sensibilización, concienciación, culturización y apropiación,
dirigidas al recurso humano, para mitigar riesgos asociados a la
falta de cultura de Seguridad de la Información y finalmente contar
con un nivel de concienciación de seguridad de la información que
establezcan medidas preventivas y que se estandaricen en la
institución.
Segunda: La propuesta de implementar un sistema de gestión de seguridad
de la información aplicando la norma NTP ISO/IEC 27001:2014, va
a permitir una reducción en los riesgos ya que implica una
reducción en los costos, asegura la rentabilidad de la inversión
realizada en materia de seguridad, mayor prestigio y credibilidad en
el mercado y a la vez alinearse con las normas legales que están
determinadas.
Tercera: Se realizó un análisis y diseño que permitirá la implementación de
un SGSI a medida para una institución del sector salud, que a la
vez cumpla con las leyes y normas entre ellas la Ley General de
Salud y la Ley de Protección de Datos Personales.
107
Cuarta: La actividad que realiza la institución y las normas a la cual se
encuentra sujeta en relación con las historias clínicas, estipula que
la información recibida de los pacientes o generada durante la
atención sea almacenada en formato físico. Es pertinente acotar
que las medidas actuales de seguridad de estos documentos no
cumplen con los mínimos necesarios, por lo cual se está
proponiendo una digitalización de estos.
Quinta: La digitalización de las historias clínicas se llevará a cabo con el
software autostore por su fácil manejo. El usuario puede cambiar a
la fotocopiadora o escáner que mejor se adapte a sus necesidades
en la empresa sin que ello implique cambiar la tecnología de flujo
de trabajo de captura de documentos.
108
Sugerencias
Primera: Se recomienda que la institución en base al diseño presentado en
este proyecto ponga más énfasis en concientizar a todos los
trabajadores que integran dicha institución, sobre la seguridad de
la información y su importancia, y realizar evaluaciones periódicas
a los indicadores de seguridad de la institución y de los riesgos
encontrados.
Segunda: Se recomienda aplicar esfuerzos para poder realizar la
implementación de este diseño para que permita que en el futuro
se pueda gestionar la seguridad de información de tal manera que
se pueda aspirar a una certificación.
Tercera: Es pertinente especificar que el proceso de implementación del
SGSI, además de requerir un compromiso por parte de la Alta
Dirección de la institución, así como de todo el personal de la
misma para garantizar el cumplimiento requerido por el mismo,
implica una inversión monetaria en personal capacitado, equipos y
controles de seguridad. Por este motivo el proceso de
implementación a nivel institucional debe ser realizado como parte
de un proyecto mayor que sea desarrollado en fases similares a las
que se han realizado en el desarrollo del presente proyecto.
Cuarta: Se sugiere una capacitación de manejo y diligenciamiento de las
historias clínicas con el objetivo de proporcionar una orientación
clara sobre la forma de llevar a cabo en la institución el registro,
manejo, control, custodia, organización, y conservación de la
Historia Clínica, así como dar a conocer los lineamientos sobre los
procedimientos para el acceso a la misma y para el manejo
adecuado de los archivos de gestión, central e histórico de las
historias clínicas.
109
Quinta: La obligación normativa que especifica que las Historias Clínicas
de los pacientes deben estar almacenadas en formato físico dado
que son documentos legales no excluye que dichos documentos
puedan ser digitalizados. Iniciar un proyecto de digitalización de
estos documentos enfocándose en el archivo activo de la institución
permitirá que se cuente con un respaldo de la información de las
mismas que podría ser utilizado en las actividades asistenciales
más no en cuestiones legales.
110
Referencias bibliográficas
Aguirre, J. D., & Aristizabal, C. (2012). Diseño del sistema de gestión deseguridad de la información para el grupo empresarial la ofrenda.Colombia.
AutoStore (2016). Soluciones de flujos de trabajo para capturas en papel,electrónicas y móviles: http://www.nuance.es/
Bankinter. (2006). eleconomista.es. Obtenido de eleconomista.es:http://www.eleconomista.es/empresas-finanzas/noticias/108827/11/06/Bankinter-recibe-la-certificacion-internacional-ISO-27001-para-sus-sistemas-de-seguridad-informatica.html
Barrantes, C. E., & Herrera, J. R. (2012). Diseño E Implementación De UnSistema De Gestión De Seguridad De Información En ProcesosTecnológicos. Lima.
Bisquerra (2009). Metodología de la investigación educativa, editorial MurallaS.A Madrid.
Colegio Médico Del Perú. (2007). Código de Ética y Deontología.
Congreso De La República. (1997). Ley 26842. Ley general de salud. Lima.
Congreso De La República. (2011). Ley 29733. Ley de protección de datospersonales. Lima.
Deming,E.(2016).ciclodePDCAhttp://datateca.unad.edu.co/contenidos/233003/modulo/modulo-2online/151_ciclo_pdca__edward_deming.html
Espinoza, H. R. (2013). Análisis y diseño de un sistema de gestión de seguridadde información basado en la norma ISO/IEC 27001:2005 para unaempresa de producción y comercialización de productos de consumomasivo . Lima.
Hernandez, S., Fernandez, C., & Baptista, P. (2006). Metodologia de lainvestigacion. Mexico: Mc Graw Hill.
Hospitalsjl.(2016). Presentaciòn. Obtenido de presentacion:http://www.hospitalsjl.gob.pe/institucional/presentacion.html
Hurtado, J. (2000). Metodologia de la Investigacion Holistica. Caracas: Unesco.
111
Marcelo , A., & Osorio, F. (1998). http://www.redalyc.org/. Obtenido dehttp://www.redalyc.org/articulo.oa?id=10100306
Mintra. (2016). Implementación De Un Sistema De Gestión De Seguridad De LaInformación (Sgsi) Cumpliendo Los Requerimeintos De La ISO/IEC27001. Lima.
MINSA. (2005). N.T. N° 022-MINSA/DGSP-V.02. Norma técnica de la historiaclínica de los establecimientos del sector salud.
MINSA. (2006). R.M. 520-2006/MINSA. Lineamientos de política de seguridadde la información del Ministerio de Salud. Lima.
Morales, A. (2001). http://catarina.udlap.mx. Obtenido dehttp://catarina.udlap.mx/u_dl_a/tales/documentos/lis/morales_x_a/capitulo2.pdf
Morgan , & Claypool. (2013). The Datacenter as a Computer. California: Mark D.Hill.
Núñez,H.M.(2006). Sistema de Informacion geografica para la gestion de laestadistica en Cubahttp://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S156130032006000300003
ISO 27001. (2013). ISO 27001:2013. Information technology – Securitytechniques – Information Security management systems - Requirements.
ISO 27001. (2014). ISO 27001:2014. Information technology – Securitytechniques – Information Security management systems - Requirements.
ISO 27004. (2009). ISO 27004:2009. Tecnología de la información - Técnicasde seguridad - gestión de la seguridad de la información - Medición
ISO 27005. (2013). ISO 27005:2011. Information technology — Securitytechniques Information security risk management
ISO 31000. (2013). ISO 31000:2011. Risk management – Principles andguidelines.
Pallas, G. (2009). Metodología de Implantación de un SGSI en un grupoempresarial jerárquico. Uruguay.
Peinado, J., Chinga, E., Mendoza, D., Rosas, A., Velásquez, E., Nasarre, C., &Llanos, F. (2002). http://www.scielo.org.pe/. Obtenido dehttp://www.scielo.org.pe/scielo.php?script=sci_arttext&pid=S1726-4634200200030000
112
Poleo, L. (2009). La holística y la investigación. UCSAR, 104-105.
Soto, G., & Chávez, A. M. (2014). http://www.dge.gob.pe. Obtenido dehttp://www.dge.gob.pe/portal/docs/vigilancia/boletines/2014/11.pdf
Talavera Alvares, V. R. (2015). Diseño de un sistema de gestión de seguridadde la información para una entidad estatal de salud de acuerdo a la iso/iec27001:2013. Lima.
Ormeño, J., & Valverde, A. (2016). Tecnicas basicas de administracion y gestion,
56-58.
113
Anexos
114
ANEXO 2DEFINICIÓN CONCEPTUAL DE LA VARIABLE
Variable /categoría 1: Norma Técnica Peruana-ISO/IEC 27001 2014.
Dimensiones/sub categorías: Seguridad de la Información, Sistema de Gestión
De Seguridad De La Información, Implementación de SGS.
Variable /categoría 2: Norma Técnica Peruana-ISO/IEC 3100 2011.
Dimensiones/sub categorías: Norma Técnica Peruana-ISO/IEC 27005,Evaluación de riesgos, Controles y mediciones.
115
ANEXO 3
MATRIZ DE CONSISTENCIA Y OPERACIONALIZACIÓN DE LA(S) VARIABLE(S)
Título de la Investigación: Implementación de un Sistema de Gestión de Seguridad dela Información aplicando NTP ISO/IEC 27001:2014 en el sector Hospitalario, 2016
Planteamiento de laInvestigación
Objetivos Justificación:
Permitirá gestionar laseguridad de la informacióndel hospital mediante laimplementación de controlestécnicos, organizativos ylegales; así como también elcumplimiento de la normativalegal relacionada con lasactividades de la institución
Los sistemas de
información se han vuelto más
complejos debido a laglobalización. En el mundo digital
actual el riesgo de brechas de
seguridad, fugas o pérdidas de
información nunca ha sido mayor.
Mediante la resolución ministerial Nº
004-2016-PCM establece el uso
obligatorio de la NTP ISO/IEC
27001:2014 en las entidades públicas
que conforman el sistema informático
nacional.
Ante el manifiesto del problema
podemos llegar a la siguiente
formulación ¿Cómo garantizar la
seguridad de la información y el
cumplimiento legal en los hospitales
mediante la implementación de SGSI
de acuerdo a los requerimientos de la
NTP ISIEC 27001:2014?
Objetivo generalSe propone implementar unsistema de gestión de seguridadde la información para hospitales,de acuerdo a la NTP ISO/IEC27001:2014
Objetivos específicosDiagnosticar La necesidad de loshospitales públicos de contar conun análisis que les permitarealizar la implementación de unSistema de Gestión de Seguridadde la Información.
Teorizar las categoríasconsideradas en lasinvestigaciones tanto apriorísticascomo emergentes.
Diseñar un modelado de losprocesos correspondientes alalcance del Sistema de Gestiónde Seguridad de la Información.
Validar los instrumentos deldiagnóstico y propuesta de laaplicación a través de un juicio deexpertos.
Evidenciar la propuesta através de pilotos a la mismaaplicación
MetodologíaSintagma y enfoque Tipo y diseño Método e instrumentosHolística – Mixto(cuantitativo ycualitativo)
Proyectiva – Noexperimental
Analítico – deductivo(encuesta y entrevista)
116
Anexo 4: Ficha de validez de instrumento – enfoque cuantitativo
117
Anexo 5: Certificado de validez de contenido del instrumento que mide (ficha válida solo para cuestionario)
118
119
120
121
122
123
124
125
126
127
128
Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho
Figura N°14. Organigrama Estructural del Hospital San Juan de Lurigancho Fuente: Hospital San Juan de Lurigancho
129
Anexo 7: Funciones del Servicio de Admisión
Figura N°15. Funciones del Servicio de Admisión Fuente: Elaboración Propia
Servicio deAdmisión
Admisión dePacientes
Generación deCitas
Generacion deHistorias Clinicas
Emision yrecepción de
Historias Clinicas
Cuidado deHistorias Clinicas
Gestión deHistorias Clinicas
Emision deCopias de
Historias Clinicas
Recepcion deReferencia
Emision deInforme Medico
Alta de losPacientes
130
Anexo 8: Funciones Consultorios Externos
Figura N°16. Funciones Consultorios Externos Fuente: Elaboración Propia
ConsultoriosExternos
Registro de losPacientes
Recepcion de lasHistorias clinicas
MedidasAntropométricas
Derivación de losPacientes a los
diferentes Serviciosprogramación a
Cirugia
131
Anexo 9: Situación actual de infraestructura
Figura N°17. Situación actual de los equipos de cómputo Fuente: Hospital San Juan de Lurigancho