Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Director
FRANCISCO SOLARTE SOLARTE
Ingeniero de Sistemas, Mg. Docencia Universitaria
2
Nota de Aceptacin
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
3
DEDICATORIA
Dedicamos en primer lugar nuestro trabajo a Dios fue el creador de todas las
cosas, el que ha dado la fortaleza para continuar.
De igual forma, a nuestros padres, a quienes les debemos toda nuestra vida,
agradecemos su cario y su comprensin a ustedes quienes han sabido
formarnos con buenos sentimientos, hbitos y valores, lo cual han ayudado a salir
adelante buscando siempre el mejor camino.
4
AGRADECIMIENTOS
Agradecemos primero y antes que nada a Dios, por estar con nosotros en cada
paso que damos, por fortalecer nuestros corazones e iluminar nuestra mente y por
haber puesto en nuestro camino a aquellas personas que de una u otra manera
apoyaron y contribuyeron al desarrollo de este trabajo.
Agradecer hoy y siempre a nuestras familias por el esfuerzo realizado por ellos,
por la comprensin y paciencia, por su apoyo incondicional.
5
CONTENIDO
INTRODUCCION ................................................................................................... 15
2. JUSTIFICACION ..................................................................................... 19
3. OBJETIVOS............................................................................................ 21
3.1 OBJETIVO GENERAL ............................................................................ 21
3.2 OBJETIVOS ESPECFICOS ................................................................... 21
6
4.5 MARCO CONCEPTUAL ......................................................................... 67
7
5.2.2.10 Gestin de Continuidad del Negocio. ................................................ 212
5.2.2.11 Implementacin del Plan de Tratamiento de Riesgos. ..................... 216
5.2.2.12 Implementacin de los controles seleccionados. ............................ 220
5.3 VERIFICAR ........................................................................................... 221
5.4 ACTUAR ............................................................................................... 222
8
LISTA DE TABLAS
9
LISTA DE FIGURAS
10
Figura 27. Desfogue aire acondicionado rea de servidores ................................ 95
Figura 28. Extintor rea de servidores .................................................................. 96
Figura 29. Switches Centro de Cableado ............................................................. 97
Figura 30. Distribucin de cableado....................................................................... 98
Figura 31. Distribucin Backbones Fibra ptica .................................................... 98
Figura 32. Usuarios del rea de Atencin Asistencial ........................................... 99
Figura 33. Manejo de Cables ............................................................................... 100
Figura 34. Ubicacin inadecuada de equipos ...................................................... 100
Figura 35. Tableros de circuitos rea asistencial ................................................. 101
Figura 36. Cmaras de vigilancia rea asistencial. .............................................. 101
Figura 37. Equipos de seguridad entrada UMI..................................................... 102
Figura 38. Control tarjeta magntica .................................................................... 103
Figura 39. Control Biomtrico cuarto tcnico ....................................................... 103
Figura 40. Paneles de control UPS UMI .............................................................. 104
Figura 41. UPS UMI ............................................................................................. 105
Figura 42. Distribucin cables elctricos rea de UPS UMI ................................ 105
Figura 43. Armarios de distribucin centro de cableado UMI.............................. 106
Figura 44. Distribucin de cables en centro de cableado UMI ............................ 107
Figura 45. Soporte red de cableado UMI ............................................................. 108
Figura 46. Elementos de seguridad contra incendios UMI .................................. 108
Figura 47. Seales de advertencia Subestacin Elctrica .................................. 109
Figura 48. Marquillado de Armarios .................................................................... 109
Figura 49. Controles subestacin elctrica ......................................................... 110
Figura 50. Transferencias Subestacin Elctrica ................................................ 111
Figura 51. Planos elctricos en las transferencias .............................................. 111
Figura 52. Identificacin circuitos subestacin elctrica UMI .............................. 112
Figura 53. Circuitos estacin elctrica edificio antiguo ....................................... 112
Figura 54. Controles de transferencia edificio antiguo ........................................ 113
Figura 55. Transformador subestacin elctrica edificio antiguo ........................ 113
Figura 56. Transformador subestacin elctrica UMI ......................................... 114
11
Figura 57. Tierras................................................................................................ 114
Figura 58. Consola de administracin subestacin elctrica UMI ....................... 115
Figura 59. Tanque de combustible subestacin elctrica edificio antiguo .......... 116
Figura 60. Tuberas subestacin elctrica UMI ................................................... 116
Figura 61. Identificacin de Activos .................................................................... 121
Figura 62. Identificacin de un Activo ................................................................. 122
Figura 63. Activos Identificados .......................................................................... 123
Figura 64. Mapa de Activos HSLV Popayn ....................................................... 124
Figura 65. Diagrama de Interconexin y Dependencia de Activos....................... 125
Figura 66. Ponderacin de Activos Aplicaciones ................................................ 127
Figura 67. Ponderacin activos equipos .............................................................. 128
Figura 68. Ponderacin activos Servicios internos ............................................. 128
Figura 69. Amenazas Activo Backup .................................................................. 130
Figura 70. Amenazas activos aplicaciones ......................................................... 130
Figura 71. Amenazas activos equipos ................................................................ 132
Figura 72. Amenazas activos comunicaciones ................................................... 132
Figura 73. Amenazas activos Servicios internos................................................. 133
Figura 74. Escaneo IPS disponibles .................................................................... 148
Figura 75. Prueba de escaneo direcciones fsicas .............................................. 149
Figura 76. Prueba de escaneos de puertos en los servidores ............................ 150
Figura 77. Escaneo deteccin sistema operativo................................................ 151
Figura 78. Pruebas deteccin SO con Xprobe ..................................................... 151
Figura 79. Anlisis de puertos con netcat ........................................................... 152
Figura 80. Uso de user2sid ................................................................................. 153
Figura 81. Uso de userdump................................................................................ 154
Figura 82. Escaneo de vulnerabilidades con nmap ............................................. 155
Figura 83. Escaneo de vulnerabilidades con Gflanguard ..................................... 156
Figura 84. Escaneo de vulnerabilidades con Nessus .......................................... 157
Figura 85. Reporte de vulnerabilidades Nessus .................................................. 157
Figura 86. Anlisis de Impacto ............................................................................. 177
12
Figura 87. Identificacin de Activos ..................................................................... 178
Figura 88. Anlisis de las salvaguardas .............................................................. 187
13
LISTA DE ANEXOS
14
INTRODUCCION
15
Con este propsito el documento presenta el anlisis de los riesgos lo mismo que
las recomendaciones presentadas al rea de informacin y tecnologa del hospital
Susana Lpez de Valencia en la ciudad de Popayn. Todo esto bajo la utilizacin
de la metodologa Magerit y enmarcado en la norma ISO 27001.
16
1. PLANTEAMIENTO DEL PROBLEMA
17
y documentadas con el propsito de implantar mecanismos de control que
permitan detectar riesgos inminentes frente a las anomalas presentes y futuras.
18
2. JUSTIFICACION
19
renovacin tecnolgica y de telecomunicaciones, que se constituyen en los
aspectos fundamentales que atiende la oficina de informtica.
Con este proyecto se busca realizar un estudio de las vulnerabilidades que pueda
afectar la seguridad de la informacin que maneja el hospital en los diferentes
servicios, lo cual permitir identificar las principales falencias resultantes de este
estudio como producto del anlisis de los recursos tecnolgicos que intervienen en
los procesos desarrollados dentro de la institucin y recomendar alternativas para
darle tratamiento a los riesgos encontrados sobre los procesos, procedimientos y
recursos que tienen informacin sensible para el hospital, permitiendo la creacin
de mecanismos, estrategias y cultura en las personas mediante un proceso de
capacitacin y/o concienciacin del personal del hospital en el uso correcto de los
recursos tecnolgicos.
20
3. OBJETIVOS
21
4. MARCO DE REFERENCIA
1
Resolucin nmero 10000509 del 25 de febrero del 2013. Ministerio de Salud y
de la Proteccin Social
22
Dentro del presente proyecto de igual manera se revisa estudios adelantados
como el desarrollado por la universidad Pontificia Bolivariana Seccional
Bucaramanga, en cual se desarroll una investigacin denominada (3)., el
desarrollo de la tecnologa y la implementacin de la misma en las diferentes
reas, ha permitido un mayor avance en campos como la ciencia y la medicina; sin
embargo, as como el avance genera desarrollo y este a su vez innovacin,
tambin aparecen nuevas brechas en el mbito de seguridad que antes no se
haban percibido. Siempre se ha procurado buscar la confidencialidad de cierto
tipo de datos, su cuidado y sobre todo la integridad de los mismos, por lo cual a
este ritmo de crecimiento acelerado de la tecnologa es imposible no incluir los
datos mdicos de los pacientes en este nuevo avance. El objeto de esta
investigacin fue realizar un anlisis profundo sobre las regulaciones actuales en
Colombia con respecto al trato de los datos mdicos contenidos en la historia
clnica, y las regulaciones existentes en otros pases, con el fin de presentar las
recomendaciones necesarias para alcanzar la confidencialidad, integridad y
disponibilidad de los datos de la historia clnica.
2
Ley 1438 de 2011, que reform el Sistema de Seguridad Social en Salud Colombiana.
23
4.2 MARCO CONTEXTUAL
24
pabelln San Roque, al nuevo hospital de vas respiratorias inaugurado el 10 de
diciembre de 1964.
Con la ley 100 de 1993, que cre el Sistema General de Seguridad Social en
Salud, se defini que los hospitales pblicos deban transformarse en Empresa
Sociales del Estado E.S.E, por lo cual en enero de 1995 mediante ordenanza No.
001, se transform al Hospital en Empresa Social del Estado, como
25
establecimiento pblico, descentralizado, de carcter departamental, con la
funcin de prestar servicios de salud en el segundo nivel de atencin en el
Departamento del Cauca.
En enero de 1997 empieza su operacin como Empresa Social del Estado, una
vez se independiza de la Direccin Departamental de Salud del Cauca y de los
Hospitales que hacen parte de la Unidad Regional Centro.
26
4.2.2 Polticas de direccin, gestin y funcionamiento del HSLV E.S.E.
4.2.2.1 Atencin en Salud. Todos los servicios de salud del hospital preste a
la poblacin, estarn acordes con los lineamientos del sistema obligatorio de
Garanta de Calidad de Atencin en Salud SOGCS adems normas aplicables;
se caracterizaran por alcanzar y mantener niveles superiores de calidad,
garantizando la debida accesibilidad, oportunidad, seguridad, penitencia,
continuidad y equidad; para lograr la adhesin y satisfaccin de los usuarios.
4.2.2.4 Operacin. La marcha del hospital estar guiada por una gestin
integral de sistemas y procesos, soportados en actividades y procedimientos
debidamente concatenados, documentados y registrados con apoyo en guas y
manuales para consulta y uso de todos los trabajadores en el desarrollo de sus
tareas y funciones. Dicha gestin se organizar a su vez, bajo una estructura
funcional acorde con los procesos definidos y orientados al logro de resultados,
metas y objetivos del Hospital.
27
4.2.2.5 Principios y Valores. El comportamiento y actuaciones de todos los
trabajadores del Hospital estarn guiados por los principios y valores definidos
institucionalmente, de forma participativa y conforme al compromiso de
responsabilidad social y conductas ticas.
4.2.2.8 El CORE del Negocio. El CORE del Negocio del Hospital Susana
Lpez de Valencia E.S.E, es la prestacin de servicios de Salud.
Todos los servicios de salud que el Hospital preste a la poblacin, estarn acordes
con los lineamientos del Sistema Obligatorio de Garanta de Calidad de Atencin
en Salud- SOGCS y dems normas aplicables; se caracterizarn por alcanzar y
mantener niveles superiores de calidad, garantizando la debida accesibilidad,
oportunidad, seguridad, pertinencia, continuidad y equidad; para lograr la adhesin
y satisfaccin de los usuarios.
28
Los servicios que actualmente presta el Hospital se describen en el portafolio de
servicios.
4.2.2.10 Quirrgicos.
29
4.2.2.11 Apoyo, diagnstico y complementacin teraputica.
30
4.2.2.12 Ambulatorio
4.2.2.13 Urgencias
31
4.2.2.14 Transporte especial de pacientes
32
la cantidad de informacin que maneja una organizacin y su complejidad crece
de forma exponencial, dificultando los esfuerzos para su proteccin.
33
3. Confidencialidad de datos y de la informacin del sistema. Es el requisito
que intenta que la informacin privada o secreta no se revele a individuos no
autorizados. La proteccin de la confidencialidad se aplica a los datos
almacenados durante su procesamiento, mientras se transmite y se encuentran
en trnsito. Para muchas organizaciones la confidencialidad se encuentra
frecuentemente, detrs de la disponibilidad y de la integridad, en trminos de
importancia. Para algunos sistemas y para tipos especficos de datos, como los
autenticadores, la confidencialidad es de extrema importancia.
4. Responsabilidad a nivel individual (registro de auditora). Es el requisito que
permite que puedan trazarse las acciones de una entidad de forma nica. A
menudo, es un requisito de la poltica de la organizacin y soporta de forma
directa el no repudio, la disuasin, el aislamiento de fallos, la deteccin y la
prevencin de intrusiones y, despus, la accin de recuperacin y las acciones
legales pertinentes.
5. Confiabilidad (aseguramiento). Es la garanta en que los cuatro objetivos
anteriores se han cumplido adecuadamente. Es la base de la confianza en que
las medidas de seguridad, tanto tcnicas, como operacionales, funcionan tal y
como se idearon para proteger el sistema y la informacin que procesa.
34
4.3.2 Familia de Normas ISO 27000. (8), La informacin es un activo vital para
el xito y la continuidad en el mercado de cualquier organizacin. El
aseguramiento de dicha informacin y de los sistemas que la procesan es,
por tanto, un objetivo de primer nivel para la organizacin.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cmo puede una organizacin implantar un sistema de gestin
de seguridad de la informacin (SGSI) basado en ISO 27001.
4.3.3 Origen. (7) Desde 1901, y como primera entidad de normalizacin a nivel
mundial, BSI (British Standards Institution, la organizacin britnica equivalente a
AENOR en Espaa) es responsable de la publicacin de importantes normas
como:
35
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
proporcionar a cualquier empresa - britnica o no- un conjunto de buenas
prcticas para la gestin de la seguridad de su informacin.
ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se
renombra como ISO
36
4.3.4 La serie 27000. A semejanza de otras normas ISO, la 27000 es realmente
una serie de estndares. Los rangos de numeracin reservados por ISO van de
27000 a 27019 y de 27030 a 27044.
37
en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas
mtricas se usan fundamentalmente para la medicin de los componentes
de la fase Do (Implementar y Utilizar) del ciclo PDCA.
38
ISO 27011: En fase de desarrollo; su fecha prevista de publicacin es
finales de 2008. Consistir en una gua de gestin de seguridad de la
informacin especfica para telecomunicaciones, elaborada conjuntamente
con la ITU (Unin Internacional de Telecomunicaciones).
39
seguridad apropiado para la organizacin y circunstancias que van a
mantener la confidencialidad, integridad y disponibilidad de informacin
personal de salud. ISO 27799:2008 se aplica a la informacin en salud en
todos sus aspectos y en cualquiera de sus formas, toma la informacin
(palabras y nmeros, grabaciones sonoras, dibujos, vdeos y imgenes
mdicas), sea cual fuere el medio utilizado para almacenar (de impresin o
de escritura en papel o electrnicos de almacenamiento ) y sea cual fuere el
medio utilizado para transmitirlo (a mano, por fax, por redes informticas o
por correo), ya que la informacin siempre debe estar adecuadamente
protegida.
40
organizacin conoce los riesgos a los que est sometida su informacin y los
asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Fuente: http://sugestion.quned.es/archivos_publicos/conocimiento_fichas/46/2010-10-04--190804--
3425_mini.png
41
Do (hacer): implementar y utilizar el SGSI - es una fase que envuelve la
implantacin y operacin de los controles.
Anlisis de Riesgos
Es una herramienta de diagnstico que permite establecer la exposicin real a los
riesgos por parte de una organizacin. Este anlisis tiene como objetivos la
identificacin de los riesgos (mediante la identificacin de sus elementos), lograr
establecer el riesgo total y posteriormente el riesgo residual luego de aplicadas las
contramedidas en trminos cuantitativos o cualitativos.
42
cul es el activo que ha sido impactado. Presentado en una ecuacin matemtica
para la combinacin vlida de activos y amenazas:
43
desarrollo de programas de seguridad. Otro aspecto que se debe tener en cuenta
es la sobrecarga adicional que los mecanismos y contramedidas puedan tener
sobre el entorno informtico, sin olvidar los costos adicionales que se generan por
su implementacin.
44
SP800-30: Es uno de los 800 informes publicados por NIST. En l se ofrece
una gua muy detallada acerca de lo que se debe considerar dentro
cualquier proceso de evaluacin de riesgos de seguridad. Esta gua incluye
listas de verificacin detalladas, grficos, diagramas de flujo y frmulas de
clculo, as como las referencias a leyes y regulaciones de EE.UU.
ISO / IEC 27005: Forma parte de la familia de normas ISO 27000 o, lo que
es lo mismo, los estndares desarrollados por ISO destinados a
proporcionar un marco de gestin de seguridad de la informacin utilizable
por cualquier tipo de organizacin. La ISO 27005 sustituye a la antigua ISO
/ IEC 13335 y describe el proceso completo de gestin de riesgos
dividindolo en 6 fases: Establecimiento del Alcance, Valoracin de Riesgos
(formada por las tareas de Anlisis y Evaluacin), Tratamiento de Riesgos,
Aceptacin de Riesgos, Comunicacin de Riesgos y Monitorizacin y
Revisin de Riesgos.
45
por CERT y la Universidad Carnegie Mellon. Tiene diferentes versiones
adecuadas para diferentes tamaos y el tipo de organizaciones: OCTAVE-
Method est destinado a las grandes organizaciones, mientras que
OCTAVE-S es para pymes. Por otra parte, OCTAVE - Allegro es una
variacin de OCTAVE-Method muy enfocada a los activos de informacin.
FAIR: Mtodo de evaluacin que suele ser utilizado para realizar anlisis de
riesgos cualitativos y algo ms sofisticados por lo que, en ocasiones, suele
complementar otras metodologas. FAIR no est disponible por completo de
manera pblica y por tanto son pocos los usuarios expertos en la materia.
TARA: Fue desarrollada por Intel para llevar a cabo sus evaluaciones de
riesgos de seguridad y posteriormente decidi hacerla pblica. Se centra en
el seguimiento y la evaluacin continua de los controles de seguridad,
incluyendo documentacin de cambios en los sistemas, la realizacin de
anlisis de impacto a los cambios asociados, y la premisa de informar sobre
el estado de seguridad a los empleados o participantes de la organizacin
de una forma regular.
46
MAGERIT
(11), Finalidad: el anlisis y gestin de los riesgos es uno de los aspectos claves
por medio del cual se regula el Esquema Nacional de Seguridad en el mbito de la
administracin de la Administracin Electrnica en Espaa (13), que tiene la
finalidad de satisfacer el principio de proporcionalidad en el cumplimiento de los
principios bsicos y requisitos mnimos para la proteccin adecuada de la
informacin.
47
Organizacin de las guas
48
Figura 7. Procesos para gestin del riesgo
Fuente: http://www.securityartwork.es/wp-content/uploads/2012/03/magerit.jpg
49
proyectos de anlisis y gestin de riesgos, dentro de ellas se encuentran:
tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas,
anlisis algortmico, rboles de ataque, tcnicas generales, anlisis coste-
beneficio, diagramas de flujo de datos, diagramas de procesos, tcnicas
grficas, planificacin de proyectos, sesiones de trabajo (entrevistas,
reuniones y presentaciones) y valoracin Delphi.
Es una gua de consulta que permite el avance por las tareas del proyecto,
se le recomendar el uso de ciertas tcnicas especficas, de las que esta
gua busca ser una introduccin, as como proporcionar referencias para
que el lector profundice en las tcnicas presentadas.
EAR /PILAR
50
pueda aceptar, o bien intente reducir ms, estableciendo un plan de seguridad
orientado a llevar el riesgo a niveles aceptables.
Metodologa
(14), Las herramientas EAR soportan el anlisis y la gestin de riesgos de un
sistema de informacin siguiendo la metodologa Magerit.
51
grado de implantacin de estas salvaguardas, el sistema pasa a una nueva
estimacin de riesgo que se denomina riesgo residual.
Fuente: https://seguridadinformaticaufps.wikispaces.com/PILAR+-
+Herramienta+para+An%C3%A1lisis+y+Gesti%C3%B3n+de+Riesgos
52
Anlisis cualitativo en PILAR
PILAR puede realizar un anlisis cualitativo, usando una serie de niveles discretos
para la valoracin de los activos. Un anlisis cualitativo se recomienda siempre en
primer lugar, antes de que se intente un anlisis cuantitativo detallado. Un anlisis
cualitativo permite:
Amenazas en PILAR
Modelo de Amenazas:
Se denomina modelo de amenazas a la terminologa utilizada para concretar la
valoracin de las amenazas: probabilidad y degradacin.
53
Figura 9. Modelo de Amenazas PILAR
Fuente: https://seguridadinformaticaufps.wikispaces.com/file/view/2.JPG/329062198/2.JPG.
Los criterios asociados a cada nivel (es decir, argumentos que se pueden utilizar
para establecer cierto nivel) se pueden consultar sobre las pantallas. Sin embargo,
el resumen siguiente puede ayudar a encontrar el nivel correcto:
Fuente: https://seguridadinformaticaufps.wikispaces.com/file/view/4.JPG/329062204/4.JPG.
54
Niveles de Criticidad de los Riesgos. PILAR estima los riesgos segn una
escala simple de seis valores:
Fuente: https://seguridadinformaticaufps.wikispaces.com/file/view/6.JPG/329062208/6.JPG.
Activos a supervisar
Salvaguardas a desplegar o a mejorar
Aceptacin de riesgos operacionales
55
En PILAR, se miden los impactos y los riesgos como sigue:
Fuente: https://seguridadinformaticaufps.wikispaces.com/file/view/7.JPG/329062212/7.JPG.
COBIT
Los trminos de mtricas, medicin y medida en muchos de los casos han sido
relacionados con los instrumentos utilizados mediante un mtodo especfico al
acto mecnico de tomar una medicin mediante escalas cualitativas o
cuantitativas que determinan los valores de esa medicin (16).
En general es as, pero los tres conceptos son diferentes, y sern tratados en este
captulo. Pero lo que no se puede admitir es que sea un acto mecnico, ya que el
proceso de medicin involucra muchas actividades. Inicia con la seleccin y
definicin de la caracterstica que se quiere medir, posteriormente se definir que
mtricas es posible usar para la medicin, luego se definir la escala de tipo
cuantitativo o cualitativo y el mtodo, y por ltimo se procede a hacer al anlisis de
cmo se har la medicin.
56
Efectividad: se refiere a que la informacin relevante sea pertinente para el
proceso del negocio, as como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
Eficiencia: se refiere a la provisin de informacin a travs de la utilizacin
ptima (ms productiva y econmica) de recursos.
Confidencialidad: se refiere a la proteccin de informacin sensible contra
divulgacin no autorizada.
Integridad: se refiere a la precisin y suficiencia de la informacin, as como
a su validez de acuerdo con los valores y expectativas del negocio.
Disponibilidad: se refiere a la disponibilidad de la informacin cuando sta
es requerida por el proceso de negocio ahora y en el futuro. Tambin se
refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.
Cumplimiento: se refiere al cumplimiento de aquellas leyes, regulaciones y
acuerdos contractuales a los que el proceso de negocios est sujeto, por
ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin: se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad y para
ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Datos: los elementos de datos en su ms amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, grficos, sonido,
entre otros.
Aplicaciones: se entiende como sistemas de aplicacin la suma de
procedimientos manuales y programados.
Tecnologa: la tecnologa cubre hardware, software, sistemas operativos,
sistemas de administracin de bases de datos, redes, multimedia, entren
otros.
Instalaciones: recursos para alojar y dar soporte a los sistemas de
informacin.
57
Personal: habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de informacin.
58
Tabla 1. Distribucin de los dominios y procesos de COBIT
DOMINIOS PROCESOS
PLANEACIN Y PO1 Definir un Plan Estratgico de TI.
ORGANIZACIN (PO) PO2 Definir la Arquitectura de Informacin.
PO3 Determinar la direccin tecnolgica.
PO4 Definir la Organizacin y Relaciones de TI.
PO5 Manejar la Inversin en TI.
PO6 Comunicar las directrices gerenciales.
PO7 Administrar Recursos Humanos.
PO8 Asegurar el cumplir Requerimientos Externos.
PO9 Evaluar Riesgos.
PO10 Administrar proyectos.
PO11 Administrar Calidad.
ADQUISICIN E AI1 Identificar Soluciones.
IMPLEMENTACIN (AI) AI2 Adquisicin y Mantener Software de Aplicacin.
AI3 Adquirir y Mantener Arquitectura de TI.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI.
AI5 Instalar y Acreditar Sistemas.
AI6 Administrar Cambios
SERVICIOS Y DS1 Definir niveles de servicio.
SOPORTE (DS) DS2 Administrar Servicios de Terceros.
DS3 Administrar Desempeo y Calidad.
DS4 Asegurar Servicio Continuo.
DS5 Garantizar la Seguridad de Sistemas.
DS6 Identificar y Asignar Costos.
DS7 Capacitar Usuarios.
DS8 Asistir a los Clientes de TI.
DS9 Administrar la Configuracin.
DS10 Administrar Problemas e Incidentes.
DS11 Administrar Datos.
DS12 Administrar Instalaciones.
DS13 Administrar Operaciones
MONITOREO (M) M1 Monitorear los procesos.
M2 Evaluar lo adecuado del control Interno.
M3 Obtener aseguramiento independiente.
M4 Proveer auditora independiente
Fuente: propia
59
Usuarios
La Gerencia: Para apoyar sus decisiones de inversin en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y
el control de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organizacin y determinar el control
mnimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus
reas.
Caractersticas
Orientado al negocio.
Alineado con estndares y regulaciones "de facto.
Basado en una revisin crtica y analtica de las tareas y actividades en TI.
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).
Principios
60
Requerimientos de la informacin del negocio: Para alcanzar los
requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros y Cumplimiento le leyes y regulaciones.
HETICAL HACKING
De acuerdo con (18) Las computadoras en todo el mundo son susceptibles de ser
atacadas por crackers o hackers capaces de comprometer los sistemas
informticos y robar informacin valiosa, o bien borrar una gran parte de ella. Esta
situacin hace imprescindible conocer si estos sistemas y redes de datos estn
protegidos de cualquier tipo de intrusiones.
Por tanto el objetivo fundamental del Ethical Hacking (hackeo tico) es explotar las
vulnerabilidades existentes en el sistema de "inters" valindose de test de
intrusin, que verifican y evalan la seguridad fsica y lgica de los sistemas de
informacin, redes de computadoras, aplicaciones web, bases de datos,
servidores, etc. Con la intencin de ganar acceso y "demostrar" que un sistema es
vulnerable, esta informacin es de gran ayuda a las organizaciones al momento de
tomar las medidas preventivas en contra de posibles ataques malintencionados.
Dicho lo anterior, el servicio de Ethical Hacking consiste en la simulacin de
posibles escenarios donde se reproducen ataques de manera controlada, as
como actividades propias de los delincuentes cibernticos, esta forma de actuar
tiene su justificacin en la idea de que: "Para atrapar a un intruso, primero debes
pensar como intruso"
61
informtica que echa mano de una gran variedad de mtodos para realizar sus
pruebas, estos mtodos incluyen tcticas de ingeniera social, uso de
herramientas de hacking , uso de Metasploits que explotan vulnerabilidades
conocidas, en fin son vlidas todas las tcticas que conlleven a vulnerar la
seguridad y entrar a las reas crticas de las organizaciones.
METAEXPLOITS
Para empezar a hablar del metasploit, (19), lo definiremos como una herramienta
GNU.
Metasploit se ejecuta bajo una consola CYGWIN y trabaja con una base de datos
en la cual se encuentran toda la lista de exploits y vulnerabilidades, lo nico que
tenemos que indicarle a metasploit es que vulnerabilidad utilizaremos, que sistema
atacaremos, que tipo de ataque utilizaremos y datos diversos que utilizara para
atacar al host.
62
Un 'exploit' es un programa o tcnica que aprovecha una vulnerabilidad. Los
exploits dependen de los sistemas operativos y sus configuraciones, de las
configuraciones de los programas que se estn ejecutando en un ordenador y de
la LAN donde estn. Pero qu es una vulnerabilidad? Una 'vulnerabilidad' es
"algo" de un sistema informtico que evitar que se pueda usar correctamente, o
que permitir que lo controlen personas no autorizadas. Hay muchos tipos de
vulnerabilidades. Puede haber un error en la configuracin del servicio o bien un
error en la programacin del servicio. Pueden estar creados en cualquier lenguaje.
Los exploit para windows suelen estar hechos en C y/o ensamblador, mientras que
los de unix pueden estar hechos tambin en perl por ejemplo, aunque suelen estar
hechos en C.
NESUSS
BACTRACK
63
La distribucin incluye utilidades para la auditora de redes wireless, scanners de
puertos y vulnerabilidades, sniffers, archivos de exploits, etc. La mayora de ellas
actualizadas a sus ltimas versiones, Algunas de esas herramientas son:
dnsmap, Netmask, PsTools, TCtrace, Nmap, Protos, utilidades para la deteccin
de vulnerabilidad en redes Cisco, SQL Inject, SMB-NAT, SNMP Scanner, Pirana,
Dsniff, Hydra, Sing, WebCrack, Wireshark, NSCX, Airsnort, aircrack,
BTcrack, SNORT, Hexedit, etc. Hasta completar ms de 300.
Principales caractersticas:
Administracin de actualizaciones para sistemas operativos y aplicaciones
Microsoft y Max OS X.
Implementa software a medida y de terceros y actualizaciones en toda la
red.
Administracin de actualizaciones para otras aplicaciones (no Microsoft).
Correccin automtica de aplicaciones no autorizadas.
Conexin a escritorio remoto.
64
Evaluacin de vulnerabilidad
La auditora de red le da una visin completa de su red -cmo los dispositivos USB
estn conectados, qu software est instalado, comparticiones abiertas, puertos
abiertos y contraseas dbiles en uso, y la informacin del hardware. Informes
detallados del estado de la red. Los resultados del escaneo pueden ser fcilmente
analizados utilizando filtros e informes, lo que permite asegurar de forma proactiva
la red mediante el cierre de los puertos, eliminar usuarios o grupos que ya no
estn en uso, o desactivar puntos de acceso inalmbricos.
Por ello, cumplir con la legislacin vigente en nuestro pas es uno de los requisitos
que se debe satisfacer, el cumplimiento de los objetivos planteados en este
proyecto, su cumplimiento permite la proteccin de amenazas externas, adems
65
de respetar los derechos de los clientes y proveedores y evitar infracciones
involuntarias con sus respectivos costos.
Ley 1273 de 2009: Por medio de la cual se modifica el Cdigo Penal, se crea un
nuevo bien jurdico tutelado - denominado de la proteccin de la informacin y de
los datos- y se preservan integralmente los sistemas que utilicen las tecnologas
de la informacin y las comunicaciones, entre otras disposiciones.
Ley estatutaria 1266 de 2008: Por la cual se dictan las disposiciones generales
del hbeas data y se regula el manejo de la informacin contenida en bases de
datos personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros pases y se dictan otras disposiciones.
Objeto. tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan
recogido sobre ellas en bancos de datos, y los dems derechos, libertades y
garantas constitucionales relacionadas con la recoleccin, tratamiento y
circulacin de datos personales a que se refiere el artculo 15 de la Constitucin
Poltica, as como el derecho a la informacin establecido en el artculo 20 de la
Constitucin Poltica, particularmente en relacin con la informacin financiera y
crediticia, comercial, de servicios y la proveniente de terceros pases.
Ley No 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso
de los mensajes de datos, del comercio electrnico y de las firmas digitales, y se
establecen las entidades de certificacin y se dictan otras disposiciones
66
Decreto No. 2693 de 2012: (21), Por el cual se establecen los lineamientos
generales de Gobierno en lnea de la Repblica de Colombia, se reglamentan
parcialmente las Leyes 1341 de 2009 y 1450 de 2011, Y se dictan otras
disposiciones.
Ley 599 de 2000: Los delitos consagrados en el Cdigo Penal Colombiano, tienen
plena aplicacin, bajo el entendido en que se cumplan las condiciones
establecidas para cada acto criminal, sin importar si se comete en medios
tradicionales o electrnicos.
Activos: Los activos a nivel tecnolgico, son todos los relacionados con los
sistemas de informacin, las redes y comunicaciones y la informacin en s
misma, Por ejemplo los datos, el hardware, el software, los servicios que se
presta, las instalaciones, entre otros.
67
Anlisis de Riesgos: Es una herramienta de diagnstico que permite establecer
la exposicin real a los riesgos por parte de una organizacin. Este anlisis tiene
como objetivos la identificacin de los riesgos (mediante la identificacin de sus
elementos), lograr establecer el riesgo total y posteriormente el riesgo residual
luego de aplicadas las contramedidas en trminos cuantitativos o cualitativos.
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en las operaciones de la organizacin,
comnmente se referencia como amenazas a las fallas, a los ingresos no
autorizados, a los virus, a los desastres ocasionados por fenmenos fsicos o
ambientales, entre otros. Las amenazas pueden ser de carcter fsico como una
inundacin, o lgico como un acceso no autorizado a la base de datos.
Un conjunto de criterios puede ser usado para establecer una prioridad, enfocada
en el impacto financiero potencial de las prdidas, por ejemplo: riesgos crticos,
que son todas las exposiciones a prdida en las cuales la magnitud alcanza la
bancarrota, riesgos importantes donde las exposiciones a prdidas que no
alcanzan la bancarrota, pero requieren una accin de la organizacin para
continuar las operaciones, riesgos no importantes que son las exposiciones a
prdidas que no causan un gran impacto financiero.
68
las posibilidades de incumplimiento o exceso del objetivo planteado. As definido
un riesgo conlleva a dos tipos de consecuencias: Ganancias o prdidas.
69
EAR PILAR: herramienta para el soporte a la tarea de Anlisis y Gestin de los
Riesgos de los Sistemas de Informacin, financiada por el Centro Cristolgico
Nacional (CCN), sigue la metodologa Magerit, elaborada y publicada por la
administracin pblica Espaola: PILAR dispone de una biblioteca estndar de
propsito general, y es capaz de realizar calificaciones de seguridad respecto de
normas ampliamente conocidas como son:
Las medidas de seguridad incluyen los controles de seguridad de los datos, fsica
y de programas. Los controles de cumplimiento aseguran la conformidad con las
leyes y regulaciones, los estndares contables y de auditora, y las polticas y
procedimientos internos.
70
control del sistema de informacin (SI). La discusin de COSO sobre las
actividades de control enfatiza en quin realiza las actividades y en lo operativo
ms que en los objetivos de informes financieros. COSO tambin enfatiza la
deseabilidad de integrar las actividades de control con la evaluacin de riesgos.
71
5. PROPUESTA SISTEMA GESTIN DE SEGURIDAD DE LA INFORMACIN
PARA EL REA DE INFORMTICA DEL HOSPITAL SUSANA LPEZ DE
VALENCIA
72
ser el servicio ms crtico puesto que maneja y controla los procesos de historias
clnicas.
73
utilidad para el objeto de estudio, dentro de las tcnicas utilizadas
encontramos las siguientes:
Para el desarrollo del presente proyecto, se utiliz en las visitas guiadas por
el personal de sistemas del Hospital Susana Lpez de Valencia a las
distintas reas e instancias del Hospital lo que permiti tomar evidencia
fotogrfica y visual del estado actual de los recursos tcnicos y
tecnolgicos, su utilizacin, organizacin y de los dems elementos que
intervienen en el desarrollo normal del core del negocio de la institucin.
74
rodean el uso de los recursos tecnolgicos dentro del hospital Susana
Lpez de Valencia ESE Popayn.
Tcnicas de Recoleccin de
Informacin Utilizadas
Son
Conjunto
de
Procedimientos Herramientas
P
a
r
a
Recoger Generar Analizar Presentar
Informacin
Fuente: Propia
75
5.1.3 Definicin y descripcin del entorno de aplicacin.
En la figura 14 se puede apreciar una vista area de las instalaciones de la sede principal la nueva
construccin dedicad a la atencin materno infantil
Fuente: https://www.google.com/maps/@2.4370374,-76.6190586,1375a,20y,15.81h/data=!3m1!1e3
3
CLARO: Operador de Telmex Colombia S.A.
4
EMTEL: Empresa Municipal de Telecomunicaciones S.A.
76
mediante Backbone de Fibra ptica. Se hace uso de routers para conectar la sede
principal y de switchs de core e interconexin con las dems reas, en la
actualidad el Hospital Susana Lpez de Valencia de la ciudad de Popayn cuenta
con un centro de cableado principal y de 8 subcentros de Cableado tanto de red
como de voz tal como se puede observar en la Figura 15 y se especifica en la
Tabla 2.
Fuente: propia.
77
Tabla 2 Relacin y Conexin entre reas Hospital Susana Lpez de Valencia
Fuente: propia.
78
Tabla 3. Resumen Inventario Tecnolgico/Humano
79
Red inalmbrica
Conexin a internet de respaldo Emtel 10 Megas
SISTEMAS DE Ups de respaldo
RESPALDO
ELECTRICO Planta elctrica
Hospital Susana Lpez de
SEDES FISICAS valencia
Unidad materno infantil
Ing. Cristian Diego Gonzalez H.
Ingeniero de sistemas (Administrador de Red)
Ing. Nelson Chacon (DBA)
Ingeniero jefe de sistemas Ing. Robert Camacho
Auxiliar sistemas Laura Martnez (Auxiliar de Soporte)
Cesar Sierra (Tcnico de
PERSONAL
Mantenimiento)
Tcnicos sistema soporte Mario Martinez (Tcnico
Mantenimiento)
Felipe Castillo (Tecnico de Soporte)
Fuente: propia.
Hay que Enfatizar que como se mencion anteriormente, este proyecto busca
realizar el anlisis de Riesgos y Recomendaciones necesarias al rea de TIC del
Hospital Susana Lpez de Valencia Popayn, siendo esta parte su rea la
encargada de administrar los servicios, y por ende cualquier dispositivo que
intervenga en la prestacin de los mismos.
80
En consecuencia se realiz un reconocimiento general del Hospital Susana Lpez
de Valencia E.S.E el cual se menciona en el marco contextual.
Entre las amenazas fsicas que pueden encontrar en esta divisin se tienen, el
acceso no autorizado, robo, fraude, desastres naturales, fallos tcnicos y daos
accidentales. As mismo se tiene el caso de amenazas de ataques cibernticos y
de actividades maliciosas a travs de internet, lo que puede llevar a causar
lesiones graves a los servicios electrnicos y de las infraestructuras ms crticas.
Proteger la Informacin.
81
Establecer reglas para el comportamiento esperado por los usuarios, los
administradores de sistemas, administracin y personal de seguridad.
Los activos deben ser protegidos de acuerdo a los requisitos de seguridad
de base y la gestin continua de riesgos de seguridad.
La Prestacin continua de los servicios deben asegurarse a travs de los
requisitos de seguridad, incluida la planificacin de continuidad del negocio
y la gestin contina de riesgos de seguridad.
82
para los ciudadanos, las empresas y la propia Administracin Pblica, pero que
tambin da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza en su utilizacin.
83
Figura 16. Ciclo de Fases de la Gestin Global de la Seguridad
Fuente: https://seguridadinformaticaufps.wikispaces.com/MAGERIT
Anlisis de Riesgos
Gestin del Riesgo
84
Anlisis de Riesgos, permite determinar qu tiene la Organizacin y estimar lo
que podra pasar, en esta tarea se desarrollan las siguientes actividades:
85
mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un
nivel residual que la direccin asume.
Informalmente, se puede decir que la gestin de la seguridad de un sistema de
informacin es la gestin de sus riesgos y que el anlisis permite racionalizar
dicha gestin.
86
Figura 17. Datos Proyecto Herramienta PILAR
Fuente: Propia
87
5.1.6.2 Inspeccin Visual Edificio Antiguo. En la figura 18 se muestra la
entrada al rea de servidores
Fuente: Propia
88
Figura 19. Cortinas sala de servidores
Fuente: Propia
Se encuentra a uno de los servidores soportando dos Mdems los cuales deben
estar en una plataforma que los soporte y no el servidor, el cableado de los
mdems se encuentra de una manera desordenada y sin marquillas. En este
servidor no cuenta con marquillas de identificacin. La Figura 20 muestra la
evidencia encontrada.
89
Figura 20. Evidencia en servidor
Fuente: Propia
Se puede identificar que el espacio entre cada servidor es muy limitado para que
fluya el aire. Ya que se cuenta con un espacio suficiente se podran separar un
poco para mejorar la ventilacin entre estos equipos y as se evita que los
dispositivos se sobre calienten, disminuyan su velocidad de procesamiento y que
llegado el caso que se puedan apagar por sobrecalentamiento.
La consola para el rack y monitoreo de los servidores es una pantalla con teclado
y mouse para trabajar sobre los servidores en algunos procesos de configuracin,
el cual debera de tener una llave para poder ser abierto este rack.
90
Figura 21. Consola de administracin servidores
Fuente: propia
91
Se encuentra un disco externo junto a este servidor y no cuenta con una marquilla
de identificacin de aplicaciones instaladas o lo que est soportando, adems
puede ser utilizado para sacar informacin sensible de alguno de los servidores.
Fuente: Propia
92
La evidencia de estos hallazgos encontrados se puede observar en la Figura 24
Fuente: Propia
Fuente: Propia
93
En la Figura 26 se encuentra el sistema de aire acondicionado de la sala de
servidores. El cual se encuentra en la parte superior de una de las paredes y
apuntando su salida al frente del armario donde se encuentran los servidores.
Fuente: Propia
94
Figura 27. Desfogue aire acondicionado rea de servidores
Fuente: Propia
Con lo que no se cuenta dentro de esta sala de servidores para que sea un centro
de datos en las mejores condiciones en la proteccin de los datos.
95
En la Figura 28 se encuentra uno de los extintores que se encuentran en la
entrada de la sala de los servidores. Cumpliendo as con una de las normas de
control contra incendios.
Fuente: Propia
Cuenta con los dispositivos de ups para evitar que se interrumpan la transmisin
de datos en estos dispositivos a la sala de servidores.
96
Figura 29. Switches Centro de Cableado
Fuente: Propia
97
Figura 30. Distribucin de cableado
Fuente: Propia
Fuente: Propia
98
En la Figura 32 se observa la distribucin de los monitores, teclados y mouse en
el sitio de trabajo del personal asistencial, en horas laborales claramente se puede
hacer una recomendacin en la que este personal no debe tener bebidas muy
cerca de los dispositivos porque se puede causar un accidente a los equipos de
trabajo.
Fuente: Propia
99
Figura 33. Manejo de Cables
Fuente: Propia
En la Figura 34 se observa cmo estn ubicadas las CPU por debajo del escritorio
en una forma no tan conveniente tanto para el usuario y su equipo, por la
incomodidad que le causa, y que accidentalmente podra desconectarlo.
Fuente: Propia
100
Los tableros de algunos circuitos se encuentran en el rea de atencin hospitalaria
y estn debidamente marcados como se muestra en la Figura 35
Fuente: Propia
Fuente: Propia
101
5.1.6.3 Inspeccin visual recursos informticos en el edificio de la UMI
(Unidad Materno Infantil). En la Figura 37 se encuentra con unos sistemas de
seguridad de ltima generacin como una cmara que gira los 360 y un detector
de metales y otros elementos que una persona en particular no debera estar
cargando como lo son armas de fuego, cuchillos entre otros.
Fuente: Propia
102
Figura 38. Control tarjeta magntica
Fuente: Propia
En la Figura 39 se muestra una de las puertas del edificio de la UMI por la cual se
ingresa al rea de energa regulada y cuenta con un sistema de verificacin de
ingreso.
Fuente: Propia
103
En la Figura 40 se encuentran los paneles de control de cada una de las UPS que
son el soporte del edificio para todos los sistemas de informacin de la UMI.
Fuente: Propia
104
Figura 41. UPS UMI
Fuente: Propia
En la Figura 42 se puede observar cmo llegan cada uno de los cables elctricos
que son soportados en una escalerilla metlica y entran a los tableros en el cual
quedarn marcados de acuerdo con la distribucin de los circuitos en el plano
elctrico.
Fuente: Propia
105
En la Figura 43 se encuentra los armarios donde se encuentran los Patch panel,
Switches, Router y equipos de voz. Adems en este cuarto no se observa ningn
computador solo los dispositivos de trasporta de datos de la UMI.
Fuente: Propia
En la Figura 44 se puede observar cmo estn distribuidos cada uno de los cables
de red que llegan a los paneles para ser identificados uno a uno y as poder saber
de donde es cada uno de ellos y a qu servicio pertenece dentro de la UMI.
106
Figura 44. Distribucin de cables en centro de cableado UMI
Fuente: Propia
107
Figura 45. Soporte red de cableado UMI
Fuente: Propia
Fuente: Propia
108
Figura 47. Seales de advertencia Subestacin Elctrica
Fuente: Propia
Fuente: Propia
109
En la Figura 49 se observa cmo estn constituidos cada una de las cajas de
controles que conforman el rea de la subestacin adems estas son
monitorizadas por estar conectadas a una red de sensores los cuales estn
programados a un software con una serie de alarmas para mantener el control de
la subestacin en completo funcionamiento.
Fuente: Propia
110
Figura 50. Transferencias Subestacin Elctrica
Fuente: Propia
En la Figura 51 se encuentra uno de los planos de las tres transferencias con las
que cuenta el centro hospitalario. Se aclara que las otras dos tambin cuentan con
sus planos.
Fuente: Propia
111
Figura 52. Identificacin circuitos subestacin elctrica UMI
Fuente: Propia
En la Figura 53 se puede observar los paneles de circuitos del primer edificio del
hospital. Estos eran anlogos y no se podran monitorizar remotamente.
Fuente: Propia
112
Figura 54. Controles de transferencia edificio antiguo
Fuente: Propia
Fuente: Propia
113
Figura 56. Transformador subestacin elctrica UMI
Fuente: Propia
Fuente: Propia
114
En la Figura 58 se observa el panel de control de la planta elctrica de la UMI el
cual es digital y se pueden realizar las acciones de encendido, apagado y
monitorizar su funcionamiento.
Fuente: Propia
115
Figura 59. Tanque de combustible subestacin elctrica edificio antiguo
Fuente: Propia
Se recomienda la desviacin de estos ductos de agua por otro lado y que queden
lejos de la subestacin para evitar algn desastre.
Fuente: Propia
116
El primer paso fue generar un plano de la topologa de la red para determinar la
ubicacin de los activos. El plano de la red de la Institucin se muestra en la como
se puedo observar en la figura 15
[SO] SISTEMAS OPERATIVOS: Este activo agrupa todos los sistemas operativos
presentes en los equipos del hospital como son Windows server 2003, Windows
XP, Windows Vista, Windows Seven, 8 y Centos los cuales poseen licencias
empresariales.
[OF] SOFTWARE OFIMTICO: Este activo agrupa todos los paquetes ofimticos
instalados en los equipos del hospital como son Office 2003, Office 2007, Office
2010 y open office los cuales poseen sus respectivas licencias.
117
[DE] SOFTWARE DE DESARROLLO: Este activo agrupa todos los paquetes
software que se utilizan para el desarrollo de aplicaciones en la institucin como
son Microsoft Visual Studio 2008, Microsoft Visual Fox pro 8.0, Microsoft SQL
server 2008 los cuales cuentan con sus respectivas licencias y paquetes de
licencia GPL como MYsql, PHP.
118
[AN] ANTIVIRUS: Es una herramienta cuyo objetivo es detectar y eliminar virus
informticos. En el hospital se encuentra instalado el antivirus Symantec Endpoint
Protection.
[SQ] SQL SERVER: Microsoft SQL Server es un sistema para la gestin de bases
de datos producido por Microsoft.
119
5.1.6.5 Identificacin de Activos en PILAR. A continuacin se inicia la
Identificacin de los activos en la herramienta PILAR, para esta seccin se siguen
los siguientes pasos:
120
Figura 61. Identificacin de Activos
Fuente: Propia
Los Activos se fueron agregando a cada una de las anteriores capas segn
correspondieron, siguiendo el proceso a continuacin: Se selecciona la capa
donde se quiere incluir un activo determinado, se pulsa Activos > Nuevo Activo
> Nuevo. La Herramienta despliega la siguiente Ventana.
121
Figura 62. Identificacin de un Activo
Fuente: Propia
Entre los equipos que se identificaron se encuentran los Servicios ofrecidos por la
Universidad del Cauca (de Negocio e Internos), aplicaciones que controlan dichos
servicios, Equipos Hardware donde se albergan los servicios (Servidores),
Equipos de Comunicaciones (para las conexiones de red), Instalaciones (Oficinas
o lugares donde se almacenan dichos servidores) y el personal (los
administradores u operarios encargados de los servicios y equipos).
122
Figura 63. Activos Identificados
Fuente: Propia
123
Figura 64. Mapa de Activos HSLV Popayn
Fuente: Propia
124
Figura 65. Diagrama de Interconexin y Dependencia de Activos
Fuente: Propia
5.1.6.6 Valoracin de los Activos. Los activos son importantes para una
organizacin y, por lo tanto, tienen un valor. En el caso de los activos de los
sistemas de informacin, esta valoracin se debe realizar segn cada una de sus
dimensiones. Una vez pulsada la opcin de valoracin, le aparecer la pantalla de
Gestin de Valoracin de los Activos donde podr definir el valor de los activos,
segn el impacto que tendra en la organizacin la merma en alguna de sus
dimensiones.
125
[I] (INTEGRIDAD DE LOS DATOS): Que pondera el impacto que tendra
en la organizacin el hecho de que la informacin que se maneja para
prestar el servicio fuera incorrecta o incompleta.
De esta ponderacin se obtuvo que los activos ms crticos para la institucin son:
126
Figura 66. Ponderacin de Activos Aplicaciones
Fuente: Propia
127
Figura 67. Ponderacin activos equipos
Fuente: Propia
Fuente: Propia
Se debe tener en cuenta que las reas de servidores cuentan con dos circuitos
elctricos de respaldo, ups y el hospital cuenta con plantas elctricas de respaldo.
Los servidores de bases de datos tienen una configuracin en clster para
respaldar la cada de un servidor. De esta forma se determina que los activos
128
relacionados con la base de datos son los ms crticos porque el acceso a esta
debe tener una alta disponibilidad.
129
Figura 69. Amenazas Activo Backup
Fuente: Propia
130
Fuente: Propia
131
Figura 71. Amenazas activos equipos
Fuente: Propia
Fuente: Propia
Con respecto a los activos de servicios internos las amenazas ms frecuentes son
la cada del sistema por agotamiento de recursos como se muestra en la Figura 73
ya que depende de los recursos del equipo donde se encuentra instalado el
132
servicio y denegacin de servicio porque est expuesto a ataques software como
hardware.
Fuente: Propia
5
Reglamento Tcnico de Instalaciones Elctricas (RETIE) expedido por el Ministerio de Minas y
Energa
133
5.1.8.2 Lista de verificacin sala de servidores. En la Tabla 4, se muestran los
resultados de la entrevista realizada al personal responsable del manejo del rea
de servidores.
134
Tabla 4. Resultados entrevista personal rea de servidores
135
SEGURIDAD EN EL AREA
Al Ingresar a la sala de servidores tiene un sistema de x
seguridad que le permita saber quin ingres.
Cuenta con un sistema de seguridad de cmara de vigilancia. x
Tiene sistema de alarma contra incendios. x
Tienen el sistema de alarmas de control de temperatura y x
humedad.
CABLEADO DE RED
Categora de cableado marque con una X: 5A___,6A_X__, x
7A____
Tipo de red marque con una X: clase A____, clase B___, clase x
C_X__
Los puntos de red dentro de las reas son los adecuados. x
Cumple con el radio mnimo de curvaturas: 4x0 en x
funcionamiento.
Diseo lgico de redes en el entorno marque con x: Anillo__, x
Bus___, Mixta___,
Malla___, Doble anillo___, rbol___, Estrella_X__
Topologas y desempeo para cableado de fibra y cobre. x
Utilizan canaletas metlicas o plsticas para la proteccin del X
cableado en el edificio.
Dentro de las oficinas los puntos de red estn dispuestos a la x
distribucin de las reas.
CABLEADO ELCTRICO
El cable esta con la conformidad con los estndares de x
seguridad contra incendios: UL VW-1, IEC 332-1.
Estabilizadores de tensin. x
Transformadores de aislacin. x
Tableros de distribucin. x
136
Los puntos elctricos dentro de las reas son los adecuados y x
estn acordes.
La funcin del back-bone es proveer interconexin entre los x
armarios de telecomunicaciones y las salas de equipos y entre
las salas de equipos y las instalaciones de entrada.
Cuenta con seales de seguridad donde al vierta peligro de x
corto circuito.
TIERRA CONFIABLES
Los gabinetes y los protectores de voltaje estn conectados a x
una barra de cobre de polo a tierra.
E NE RG I A I NI N TE RRUMP I D A. UP S
Proteccin de energa para servidores de nivel de entrada, x
dispositivos
pequeos de conexin en red y de ms dispositivos.
Proteccin de energa redundante de alto rendimiento con x
potencia y
autonoma escalables para servidores.
Proteccin de energa trifsica diseada para cumplir con x
requisitos de
infraestructuras pequeas y grandes y aplicaciones para salas
de equipos.
Administracin remota x
Fuentes de alimentacin. Confiabilidad 24 x 7. x
AI RE ACO NDI CI O N ADO
Ventiladores en la parte superior de los racks de los servidores. x
Existen fugas en el piso elevado o en el sistema de suministro x
de aire.
Los puntos de referencia de los aires acondicionados son x
apropiados.
137
Climatizacin para la sala de servidores. x
Controles de temperatura. x
Cuenta con des humidificacin y ventilacin. x
La configuracin del sistema de retorno de aire es apropiada. x
Tienen implementado un rgimen de mantenimiento del x
sistema de enfriamiento.
Sensores daados o sin calibrar. x
Tuberas de suministro y retorno invertidas. x
Vlvulas defectuosas. x
Hay sistemas de enfriamiento que no fueron puestos en x
marcha.
138
Adems cuentan con un sistema de energa interrumpida de los soporta
mientras hay cortes del fluido elctrico para que los equipos no fallen
mientras hay el corte de energa.
139
cuarto.
Equipos de respaldo para todos los elementos que interviene x
en el funcionamiento.
Accesibilidad para el suministro de equipos. x
SEGURIDAD EN EL REA
Al Ingresar a la sala de Switches tiene un sistema de seguridad x
que le permita saber quin ingreso.
Cuenta con un sistema de seguridad de cmara de vigilancia. x
Tiene sistema de alarma contra incendios. x
Tienen el sistema de alarmas de control de temperatura y x
humedad.
CABLEADO DE RED
Categora de cableado marque con una X: 5A___,6A_X__, x
7A____
Tipo de red marque con una X: clase A____, clase B___, clase x
C_X__
Los puntos de red dentro de las reas son los adecuados. x
Cumple con el radio mnimo de curvaturas:4x0 en x
funcionamiento.
Diseo lgico de redes en el entorno marque con x: Anillo__, x
Bus___, Mixta___,
Malla___, Doble anillo___, rbol___, Estrella _X__
Topologas y desempeo para cableado de fibra y cobre. x
Utilizan canaletas metlicas o plsticas para la proteccin del
cableado en el edificio.
Dentro de las oficinas los puntos de red y elctrico estn
dispuestos con la norma.
CABLEADO ELCTRICO
El cable esta con la conformidad con los estndares de x
140
seguridad contra incendios: UL VW-1,IEC 332-1.
Estabilizadores de tensin. x
Transformadores de aislacin. x
Los puntos elctricos dentro de las reas son los adecuados y x
estn acordes a la norma.
La funcin del back-bone es proveer interconexin entre los x
armarios de telecomunicaciones y las salas de equipos y entre
las salas de equipos y las instalaciones de entrada.
Cuenta con seales de seguridad donde al vierta peligro de x
corto circuito o peligro.
REA DE TIERRA CONFIABLES
Los gabinetes y los protectores de voltaje son conectados a x
una barra de cobre (busbar) con agujeros (de 2 x 1/4)
Estas barras se conectan al sistema de tierras (grounding x
backbone) mediante un cable de cobre cubierto con material
aislante (mnimo nmero 6 AWG, de color verde o etiquetado
de manera adecuada
E NE RG I A I NI N TE RRUMP I D A. UP S
Proteccin de energa funcional para equipos de computacin x
voz y datos.
Proteccin de energa para servidores de nivel de entrada, x
dispositivos
pequeos de conexin en red y dispositivos de punto
Proteccin de energa redundante de alto rendimiento con x
potencia y
autonoma escalables para la redes de voz y datos
Administracin remota x
Fuentes de alimentacin. Confiabilidad 24 x 7. x
141
AI RE ACO NDI CI O N ADO
Ventiladores en la parte superior del cuarto. x
Existen fugas en el piso elevado o en el sistema de suministro x
de aire.
Los puntos de referencia de los aires acondicionados son x
apropiados.
Climatizacin para centros de ups. X
Controles de temperatura. x
Des humidificacin y ventilacin. x
La configuracin del sistema de retorno de aire es apropiada. x
Tienen implementado un rgimen de mantenimiento del x
sistema de enfriamiento.
142
5.1.8.4 Lista Verificacin Sistemas Elctricos y UPS - Listado De
Verificacin. En la Tabla 6 se muestran los resultados de la entrevista realizada
al personal responsable de los equipos elctricos y de respaldo.
143
Estn por separado los circuitos de la red regulada y normal X
adems cuentan con los planos de cada una.
SEGURIDAD EN EL REA
144
Al Ingresar a la sala de UPS tiene un sistema de seguridad que X
le permita saber quin ingreso.
E NE RG I A I NI N TE RRUMP I D A. UP S
Administracin remota X
CABLEADO ELCTRICO
Estabilizadores de tensin. X
Transformadores de aislacin. X
Tableros de distribucin. X
145
estn acordes a la norma.
TIERRA CONFIABLES
Controles de temperatura. X
146
El rea de elctrica cuenta con los dispositivos automticos los cuales al
generarse un corte en el fluido elctrico y mantener los dispositivos del
hospital en completo funcionamiento.
Cuenta con unos trasformadores los cuales le regulan el fluido elctrico que
entra al hospital los cuales uno de ellos cuenta con refrigeracin en aceite y
el otro en refrigeracin en seco.
Cuenta con cada uno de los circuitos independientes y sus paneles de
control tanto en la infraestructura como en medio impresos.
Una de las subestaciones cuenta con un sistema de monitoreo va conexin
remota y esta hace parte del nuevo edificio de la UMI. En donde el
administrador entra y monitorea cada uno de los circuitos de la UMI.
La trasferencia se realiza en la subestacin de la UMI en unos 8 segundos
del pues que se halla hecho el corte elctrico.
Cuenta con un sistema de energa regulada y el otro normal cada uno de
ellos estn marcados por los tomas de colores: Naranja que es para la red
regulada.
Cuenta con un personal encargado de esta rea que es una de las ms
importantes.
147
Figura 74. Escaneo IPS disponibles
Fuente: Propia
148
Figura 75. Prueba de escaneo direcciones fsicas
Fuente: Propia
149
recomienda realizar un anlisis de trfico y cerrar los puertos no necesarios (vase
figura 76)
Fuente: Propia
150
Figura 77. Escaneo deteccin sistema operativo
Fuente: Propia
Fuente: Propia
151
Con la herramienta netcat tambin muestra los puertos y servicios configurados en
los servidores como sendmail, dominio, web lo cual se puede observar en la
Figura 79.
Fuente: Propia
152
Se utiliz user2sid para hallar usuarios y no dio resultados positivos para hallar la
cuenta de usuarios como se muestra en la Figura 80.
Fuente: Propia
153
Figura 81. Uso de userdump
Fuente: Propia
154
Figura 82. Escaneo de vulnerabilidades con nmap
Fuente: Propia
155
Figura 83. Escaneo de vulnerabilidades con Gflanguard
Fuente: Propia
156
Figura 84. Escaneo de vulnerabilidades con Nessus
Fuente: Propia
Fuente: Propia
157
5.1.8.6 Anlisis de vulnerabilidades Herramientas Ethical Hacking.
Despus de identificar los activos crticos y realizar las pruebas de vulnerabilidad
sobre ellos se aplic Cobit para identificar los controles y observaciones que son
necesarias implementar en la institucin.
158
telalas cuales al generarse un riesgo para la sala de
corto o un incidente provocado servidoresy con esto evitar
por personas mal intencionadas prdidas materiales de
puede ocasionar un incendio. informacin y recursos.
159
servidores.
160
dad desorden en el cableado, organizar el cableado y
enchufes mal ubicados con poca cambiar la ubicacin de los
organizacin. enchufes de forma que no
estorben ni provoquen
tropiezos con las personas.
161
combustible. considerables.
162
Riesgo En el requerimiento de soporte Se recomienda elaborar un
no se encuentra un contrato que contrato que responsabilice al
obligue el proveedor a brindar proveedor a cumplir con este
soporte a dinmica gerencial. requerimiento para dinmica
gerencial.
163
que lo requieren.
164
en el ambiente directamente.
165
Con la identificacin de las vulnerabilidades, riesgos y amenazas ms importantes
se construyeron las polticas y procedimientos de seguridad las cuales se
encuentran en la carpeta de anexos.
166
5.1.8.7 Anlisis de Vulnerabilidades. Resultados de las pruebas de ethical hacking, entrevistas y desarrollo de
encuestas
Gravedad
Vulnerables
# Activos
Nombre
Plugin
Descripcin
Item
Nombre
Plugin
Descripcin
Item
5351 3 MS11-030: Alta Escribe texto o la Una falla en la forma en que el Microsoft ha
4 Una gravedad direccin de un cliente DNS de Windows publicado un conjunto
vulnerabilida (s) que se sitio web, o bien, instalados procesos de enlace de parches para
d en la encuentran traduce un local de resolucin de nombres de Windows XP, 2003,
resolucin documento. multidifusin (LLMNR) consultas Vista, 2008, 7 y
DNS podra Arbitraria de puede ser explotado para ejecutar Server 2008 R2:
permitir la cdigo se puede cdigo arbitrario en el contexto de
ejecucin ejecutar en la la cuenta Network.
http://www.microsoft.c
remota de mquina remota om/technet/security/B
cdigo a travs de la Tenga en cuenta que Windows XP ulletin/MS11-
(2509553) instalacin del y 2003 no son compatibles con la 030.mspx
(ver a cliente DNS de explotacin LLMNR y xito en
distancia) Windows. esas plataformas requiere acceso
Dispositivos: local y la capacidad de ejecutar
190.100.1.11 una aplicacin especial. El R2 de
190.100.1.10 Windows Vista, 2008, 7, y 2008,
190.100.1.1 sin embargo, el problema puede
ser explotado de forma remota.
168
Gravedad
Vulnerables
# Activos
Nombre
Plugin
Descripcin
Item
3446 2 Web de Alta El servidor web Segn su versin, el servidor web Quitar el servicio si ya
0 deteccin de gravedad remoto es remoto es obsoleto y ya no se no es necesario. De
servidores (s) que se obsoleto. mantiene por su vendedor o lo contrario, la
obsoletos encuentran proveedor. actualizacin a una
Dispositivos:
La falta de apoyo no implica que versin ms reciente,
190.100.1.7 nuevos parches de seguridad si es posible o
estn siendo liberadas por l. cambiar a otro
servidor.
En la Tabla 8 se encuentra apartes de los registros del anlisis de vulnerabilidades (documento completo ver Anexo
B), donde es posible determinar:
# EQUIPOS QUE VULNERA: Numero de equipos encontrados y que son factibles de amenaza.
NOMBRE PLUGIN: Nombre del plugin utilizado para realizar los test.
169
GRAVEDAD: Nivel de escala para determinar la gravedad de la amenaza, la cual puede oscilar entre los
siguientes valores: Alta, Media y Baja.
170
5.1.8.8 Anlisis de Vulnerabilidades A partir de Controles COBIT
Detectivo/ Prevent.
Manual / Auto.
Priori
Frecuencia
dad de Estado Mejoras a
Objetivo Prueba Propieta Como se
Actividad la Actual de la Quien
de de rio del Eviden Observacin
de Control Activi Actividad de Actividad Verifica
Control control Control cia
dad de Control de Control
Control
Las
excepcion
es al
proceso
Generar
normal
estadstic Con los Se recomienda
estn en
Se as de la registros generar
el Se cuenta
verifica informaci de la estadsticas de
sistema, con un rea de
que est n bases la informacin
IR-20-1-b revisado Media aplicativo de informtic D D A Robert
en almacena de datos almacenada en
por la solicitud a
producci da en las del las bases de
direccin, soportes.
n. bases de aplicativ datos del
y se
datos del o aplicativo.
resolvie
aplicativo.
ron rpida
mente.
Cobertura
: Parcial
171
Detectivo/ Prevent.
Manual / Auto.
Priori
Frecuencia
dad de Estado Mejoras a
Objetivo Prueba Propieta Como se
Actividad la Actual de la Quien
de de rio del Eviden Observacin
de Control Activi Actividad de Actividad Verifica
Control control Control cia
dad de Control de Control
Control
172
Detectivo/ Prevent.
Manual / Auto.
Priori
Frecuencia
dad de Estado Mejoras a
Objetivo Prueba Propieta Como se
Actividad la Actual de la Quien
de de rio del Eviden Observacin
de Control Activi Actividad de Actividad Verifica
Control control Control cia
dad de Control de Control
Control
IR-40-5- Todo el Media Se tiene No se Capacitar Ing Cesar T D A/ Robert Definir una
uno software y antivirus con controla al Sierra M Camach poltica para el
los datos sus todo el personal Tcnico o uso de antivirus
se funciones de software en Mario y herramientas
omprueba deteccin porque manejo Martnez de deteccin de
n en habilitadas puede de malware y
busca de en los provenir antivirus programas
virus terminales y de para similares
antes de se establece diferente minimizar
ser que los s medios el riesgo
cargados usuarios que como de
en el tengan correo, infeccin
sistema acceso a cds,
de la puertos usb dvds,
entidad. deben llevar memoria
las s
memorias al
rea de
informtica
para su
revisin
antes de
conectarlas
173
Detectivo/ Prevent.
Manual / Auto.
Priori
Frecuencia
dad de Estado Mejoras a
Objetivo Prueba Propieta Como se
Actividad la Actual de la Quien
de de rio del Eviden Observacin
de Control Activi Actividad de Actividad Verifica
Control control Control cia
dad de Control de Control
Control
a los
equipos. Se
tiene un
registro con
los equipos
que ms
infecciones
se detectan.
Cobertura Se realiza
: Parcial una limpieza
profunda de
virus en los
equipos
cuando se le
realiza el
mantenimien
to
programado
En la Tabla 9 se encuentra apartes de los registros del anlisis de vulnerabilidades aplicando COBIT (documento
completo ver Anexo C), donde es posible determinar:
174
Objetivo de Control: Cdigo del objetivo analizado.
Actividad de Control: Aqu se relaciona las actividades de control que se han realizado y la cobertura del
mismo
Prioridad de la Actividad de Control: Aqu se relaciona la prioridad del control, la escala de medicin es
cualitativa y va desde el valor bajo, pasando por el medio hasta el alto
Frecuencia: Frecuencia en trminos de tiempo para la posible aplicacin del control el cual se establece en:
o O: Ocasional
o D: Diario
o S: Semanal
o M: Mensual
o T: Trimestral
175
o A: Anual
Detectivo/preventivo: Indica si el control se aplica de forma preventiva antes que suceda un improvisto, o
detectiva cuando se desea buscar alguna anomala.
Quien Verifica: Indica que usuario realiza la verificacin de la aplicacin del control.
176
5.1.8.9 Impacto. El anlisis de impacto indica que las consecuencias de las
materializaciones de las amenazas son crticas para los activos ver figura 86 SQL
SERVER, DINAMICA GERENCIAL Y EL BACKUP
Fuente: Propia
{0}: Despreciable
{OFF}: Este activo, o uno del que depende, est marcado como /indisponible.
En la Figura 87, se puede observar que los riesgos son ms crticos para los
activos de backup, los activos relacionados con la base de datos y el software de
Dinmica Gerencial.
Fuente: Propia
178
En la tabla de riesgo acumulado se muestra la valoracin de los activos que
presentan el mayor riesgo. Para esto se tienen en cuenta los siguientes
parmetros:
VA (Valor acumulado): El valor acumulado del activo (la suma del valor del
propio activo ms el valor de los activos que dependen de l.
179
D (Degradacin): La degradacin que le provoca la amenaza al activo.
La Tabla 10 de riesgo acumulado comprueba que los activos ms crticos son los
que tienen alguna relacin directa con la base de datos o los aplicativos para
gestionarlos.
Dimen
Activo Amenaza V VA D I F Riesgo
sin
[A.11] Acceso no
[BK] BACKUP [C] [10] [10] 50% [9] 100 {8,1}
autorizado
[A.19] Revelacin de
[BK] BACKUP [C] [10] [10] 100% [10] 10 {7,7}
informacin
[A.5] Suplantacin de
[BK] BACKUP la identidad del [A] [10] [10] 100% [10] 10 {7,7}
usuario
[SW.SQ] SQL [A.22] Manipulacin
[I] [10] [10] 100% [10] 5 {7,4}
SERVER de programas
[A.6] Abuso de
[BK] BACKUP [C] [10] [10] 50% [9] 10 {7,2}
privilegios de acceso
[A.5] Suplantacin de
[BK] BACKUP la identidad del [C] [10] [10] 50% [9] 10 {7,2}
usuario
[A.15] Modificacin de
[BK] BACKUP [I] [9] 100% [9] 10 {7,1}
la informacin
180
Tabla 10. (Continuacin)
Dimen
Activo Amenaza V VA D I F Riesgo
sin
[SW.DG]
[A.22] Manipulacin de
DINAMICA [C] [9] [9] 100% [9] 5 {6,9}
programas
GERENCIAL
[SW.DG]
[A.22] Manipulacin de
DINAMICA [I] [9] [9] 100% [9] 5 {6,9}
programas
GERENCIAL
[SW.SQ] SQL [A.22] Manipulacin de
[C] [9] [9] 100% [9] 5 {6,9}
SERVER programas
[SW.SQ] SQL [A.8] Difusin de
[I] [10] [10] 100% [10] 1 {6,8}
SERVER software daino
[SW.SQ] SQL
[A.7] Uso no previsto [D] [10] [10] 100% [10] 1 {6,8}
SERVER
[SW.SQ] SQL [A.8] Difusin de
[D] [10] [10] 100% [10] 1 {6,8}
SERVER software daino
[E.24] Cada del sistema
[BD] BASES
por agotamiento de [D] [9] [9] 50% [8] 10 {6,6}
DE DATOS
recursos
[A.18] Destruccin de la
[BK] BACKUP [D] [4] [9] 50% [8] 10 {6,6}
informacin
[HW.SAN] [E.24] Cada del sistema
SERVIDOR por agotamiento de [D] [9] [9] 50% [8] 10 {6,6}
ANTIVIRUS recursos
[HW.SE] [E.24] Cada del sistema
SERVIDOR por agotamiento de [D] [9] [9] 50% [8] 10 {6,6}
EROS recursos
[COM.LAN] [A.24] Denegacin de
[D] [9] [9] 50% [8] 10 {6,6}
RED LOCAL servicio
[BD] BASES [A.24] Denegacin de
[D] [9] [9] 50% [8] 10 {6,6}
DE DATOS servicio
Fuente: Propia
181
Para la obtencin de los datos se utiliz la herramienta pilar como se mencion
anteriormente, en el anexo D, se puede ver una descripcin detallada y paso a
paso de la forma que se obtuvo los resultados
G: Gestin.
T: Tcnico.
P: Personal.
F: Seguridad fsica.
182
Estrategia: Indica la estrategia que adopta la salvaguarda ante los incidentes para
mitigar las amenazas, los valores posibles son:
183
Ejemplos: desconexin de redes o equipos en caso de ataque, detencin de
servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislacin
vigente, etc.
184
cosas a posterior, con esto se puede aprender del incidente y mejorar el sistema
de salvaguardas de cara al futuro.
Ejemplo: Procedimientos.
185
CERT (Producto certificado/acreditado, Certified): Se refiere a las salvaguardas
basadas en productos certificados.
: Interesante.
: Importante.
: Muy importante.
: Crtica.
186
Figura 88. Anlisis de las salvaguardas
Fuente: Propia
187
5.2.2 Definicin del Plan de Tratamiento de Riesgos.
5.2.2.1 Poltica de Seguridad de la Informacin.
Objetivo
188
Establecer las directrices, los procedimientos y los requisitos para asegurar la
proteccin oportuna y correcta de los equipos computacionales del Hospital
Susana Lpez de Valencia.
Alcance
189
Susana Lpez de Valencia Popayn pueden requerir que terceros accedan
a informacin interna, o bien puede ser necesaria la tercerizacin de ciertas
funciones relacionadas con el procesamiento de la informacin.
Objetivo
190
Tomar conocimiento y supervisar la investigacin y monitoreo de los
incidentes relativos a la seguridad.
Aprobar las principales iniciativas para incrementar la seguridad de la
informacin, de acuerdo a las competencias y responsabilidades asignadas
a cada rea.
Acordar y aprobar metodologas y procesos especficos relativos a la
seguridad de la informacin.
Garantizar que la seguridad sea parte del proceso de planificacin de la
informacin.
Evaluar y coordinar la implementacin de controles especficos de
seguridad de la informacin para nuevos sistemas o servicios.
Promover la difusin y apoyo a la seguridad de la informacin dentro del
Hospital Susana Lpez de Valencia Popayn, especficamente en la
divisin de TIC.
Coordinar el proceso de administracin de la continuidad de la operatoria
de los sistemas de tratamiento de la informacin de la Institucin frente a
interrupciones imprevistas.
191
Es necesario definir el proceso para la autorizacin de nuevos recursos para el
procesamiento de informacin as como los requerimientos de Seguridad en
contratos con Terceros, los principales puntos que se deben considerar lo
siguiente:
192
Mtodos de acceso permitidos, y el control y uso de identificadores nicos
como identificadores de usuario y contraseas de usuarios.
193
5.2.2.3 Gestin de los Activos de la Red.
Objetivo
194
contemplen los requerimientos de seguridad establecidos segn la criticidad de la
informacin que procesan.
195
Tabla 11. Estndares de Confidencialidad
196
Tabla 12. Estndares de Integridad
197
Tabla 13. Estndares de Disponibilidad
198
A continuacin se muestra una tabla a seguir para realizar el inventario del activo
(tabla 14): donde C Valor de Confidencialidad, I Valor de Integridad, y D
Valor de Disponibilidad, donde cada valor depender de las 3 tablas anteriores.
Clasificacin Criticidad
Ubicacin del
actividad que
Responsable
Caracterstic
as Tcnicas
Nombre del
del Activo
Servicio o
Activo
Activo
ofrece
C I D
Baja / Media /
Alta
Fuente: Propia
Realizar los cambios necesarios para que los usuarios conozcan la nueva
clasificacin
199
5.2.2.5 Seguridad Fsica y del Entorno.
Objetivo
200
Controlar los factores ambientales que podran perjudicar el correcto
funcionamiento del equipamiento informtico que alberga la informacin de la
institucin.
201
Las comunicaciones establecidas permiten el intercambio de informacin, se
deber establecer controles para garantizar las condiciones de confidencialidad,
integridad y disponibilidad de la informacin que se emite o recibe por los distintos
canales.
Objetivo
202
para mejorar el control actual de los accesos de los usuarios a diferentes
niveles.
Objetivo
Entre los principales puntos que se desean cubrir con este control se tienen:
203
Alcance
Controles de Acceso
204
Sistemas de auditoras y eventos de usuarios y acciones, as como revisin
de reportes peridicos.
Contraseas
Uso de contraseas
205
Los usuarios deben cumplir las siguientes directivas:
Los usuarios debern garantizar que los equipos desatendidos sean protegidos
adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo
estaciones de trabajo o servidores de archivos, requieren una proteccin
especfica contra accesos no autorizados cuando se encuentran desatendidos.
206
Identificacin y Autenticacin de los usuarios
Todos los usuarios de la Divisin de TIC deben tener un identificador nico (ID de
usuario) solamente para su uso personal exclusivo, de manera que las actividades
puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los
identificadores de usuario no darn ningn indicio del nivel de privilegio otorgado.
207
c) Controlar los derechos de acceso de los usuarios, por ejemplo, lectura,
escritura, supresin y ejecucin.
d) Garantizar que las salidas de los sistemas de aplicacin que administran
informacin sensible, contengan slo la informacin que resulte pertinente
para el uso de la salida, y que la misma se enve solamente a las terminales
y ubicaciones autorizadas.
e) Revisar peridicamente dichas salidas a fin de garantizar la remocin de la
informacin redundante.
f) Restringir el acceso a la informacin por fuera del sistema encargado de su
procesamiento, es decir, la modificacin directa del dato almacenado.
208
implementacin de la seguridad, ya que en general los aplicativos se
asientan sobre este tipo de software.
Objetivo
Con este control se pretende cubrir varios puntos de seguridad, entre los
principales objetivos se tienen:
Alcance
209
Revisin tcnica de los cambios en el sistema operativo
Toda vez que sea necesario realizar un cambio en el Sistema Operativo, los
sistemas sern revisados para asegurar que no se produzca un impacto en su
funcionamiento o seguridad.
210
procedimiento, tcnicas, configuraciones necesarias para reforzar lo
modificado y mejorar la seguridad.
Es necesario que se tenga un mejor control del uso apropiado de los recursos de
la red, en otros trminos, todos los recursos de la informtica deben usarse de una
manera tica y responsable. El uso de recursos de tecnologa de informacin
puede categorizarse ampliamente como aceptable, tolerable, o prohibi:
211
Asegurar que slo personal autorizado tiene el acceso a los archivos
electrnicos.
Minimizar el riesgo de modificacin desautorizado de archivos electrnicos
guardando los datos sensibles en los medios de comunicacin trasladables.
Asegurar que personal apropiado se entrena para proteger los archivos
electrnicos sensibles o clasificados.
Proveer del respaldo y recuperacin de archivos para proteger contra la
prdida de informacin.
Asegurar que la seguridad de los archivos electrnicos est incluido en los
planes de seguridad de informacin globales de la institucin.
Objetivo
Este control es importante para cubrir los puntos crticos de la CMS en caso de
algn desastre, a continuacin se detallan los principales objetivos:
212
Analizar las consecuencias de la interrupcin del servicio y tomar las
medidas correspondientes para la prevencin de hechos similares en el
futuro.
Alcance
213
Que los empleados sean conscientes de la necesidad del plan
Informar a todos los empleados de la existencia del plan y proporcionar los
procedimientos para seguir en caso de una emergencia
Entrenar al personal con las responsabilidades identificadas para cada uno
de ellos, para realizar la recuperacin del desastre y procedimientos de
continuidad de negocio
Dar la oportunidad para que se pueda llevar a cabo el plan de contingencia,
para poder realizar un simulacro de la forma en la que se ejecuta el mismo.
214
habr una mayor demanda para la informacin, y ocurre en un momento en
que los canales normales son interrumpidos por daos en los mismos.
Una vez que se encuentra definido el personal necesario para los diferentes
procesos del plan, es necesario que se realicen pruebas del mismo. Pues un plan
que no ha sido probado puede presentar fallas en el momento de su ejecucin.
Las pruebas no deben ser costosas ni interrumpir la operacin diaria del negocio.
Entre las pruebas que se pueden considerar son:
Prueba de papel. Esto puede ser tan simple como discutir el plan en una
reunin del personal considerando sucesos actuales. Es importante
documentar la discusin y utilizar cualquier leccin aprendida como parte
del proceso para mejorar el plan.
Camino Estructurado. Aqu es donde el personal define diversos
panoramas para supervisar el plan en equipo.
Prueba de componentes. En esta prueba, cada parte del plan total se
puede probar independientemente. Los resultados entonces se miran para
considerar cmo el plan total pudo haber trabajado si todos los
componentes fueron probados simultneamente.
Simulacin. No incluye realmente la mudanza a una localizacin alterna
sino puede incluir la simulacin de interrupciones para uso general como
manera de ver que tan completo es un plan.
Ejercicio de la recuperacin del desastre. En esta prueba, se activa el plan
y los sistemas informticos se cambian a sus sistemas de reserva, que
pueden incluir el funcionamiento en los sitios alternativos. Esto a veces se
llama una prueba "paralela" pues los sistemas de produccin seguirn
siendo funcionales mientras que los sistemas de la recuperacin se ponen
en produccin para probar su funcionalidad.
215
5.2.2.11 Implementacin del Plan de Tratamiento de Riesgos. El objetivo de
esta etapa es tomar la accin ms apropiada de tratamiento para cada uno de los
riesgos identificados, en base a las secciones 5.1.6 Identificacin de amenazas y
5.1.7 Identificacin de vulnerabilidades, en la presente seccin se muestra la tabla
No. 15 con el Plan de Tratamiento de Riesgos para cada amenaza y/o
vulnerabilidad.
216
Modificacin de la Falta de procedimientos para Reducir
Informacin cambio
Servicio Errores de los Usuarios Falta de polticas de Reducir
DNS seguridad
Falta de Monitoreo
Errores del Administrador Falta de polticas de Reducir
del sistema / de seguridad
Seguridad Insuficiente entrenamiento de
empleados
Falta de Monitoreo
Alteracin de la Falta de polticas de Reducir
Informacin seguridad
Falta de Monitoreo
Almacenamiento no
protegido
Destruccin de la Falta de procedimientos para Reducir
Informacin cambio
Cada del Sistema por Falta de planes de Reducir
agotamiento de recursos continuidad del
Negocio
Falta de recursos necesario
Suplantacin de la Falta de control de Acceso Reducir
identidad de usuario
Servicios Errores de los Usuarios Falta de polticas de Reducir
de seguridad
Directorios Insuficiente entrenamiento de
empleados
Falta de Monitoreo
Errores del Administrador Falta de polticas de Reducir
217
del sistema / de seguridad
Seguridad Falta de Monitoreo
Alteracin de la Falta de polticas de Reducir
Informacin seguridad
Falta de Monitoreo
Almacenamiento no
protegido
Destruccin de la Falta de procedimientos para Reducir
Informacin Cambio
Almacenamiento no
protegido
Fugas de Informacin Falta de polticas Reducir
Falta de control de acceso
Cada del Sistema por Falta de planes de Reducir
agotamiento de recursos continuidad del
Negocio
Falta de recursos necesario
Suplantacin de la Falta de control de Acceso Reducir
identidad de usuario
Abuso de Privilegios Falta de polticas de Reducir
seguridad
Uso no Previsto Falta de poltica Reducir
Acceso no autorizado Falta de control de Acceso Reducir
Modificacin de la Falta de procedimientos para Reducir
Informacin cambio
Destruccin de la Falta de procedimientos para Reducir
Informacin Cambio
Falta de control de Acceso
Revelacin de la Falta de polticas de Reducir
218
Informacin seguridad
Equipo de Fuego Falta de proteccin contra Reducir
Comunicac fuego
iones Desastres Industriales Falta de proteccin fsica Asumir
[Servidore adecuada
s1] Avera de origen fsico o Falta de mantenimiento Reducir
Switch de lgico adecuado
Servidores Errores del Administrador Falta de conocimiento del Reducir
del sistema / de administrado
Seguridad
Errores de Falta de conocimiento del Reducir
Mantenimiento / administrado
Actualizaciones de
Equipos
Cada del Sistema por Falta de planes de Reducir
agotamiento de recursos continuidad del
Negocio
Falta de recursos necesario
Abuso de Privilegios de Falta de polticas de Reducir
Acceso seguridad
Uso no Previsto Falta de poltica Reducir
Acceso no Autorizado Falta de polticas Reducir
Falta de proteccin fsica
Falta de control de Acceso
Manipulacin de Falta de control de Acceso Reducir
Hardware
Fuente: Propia
219
5.2.2.12 Implementacin de los controles seleccionados.
Documento de poltica de seguridad de la informacin. A continuacin
se nombran las polticas de seguridad de la informacin recomendadas
para la Divisin de Tecnologas de la Informacin y las Comunicaciones del
Hospital Susana Lpez de Valencia, de acuerdo a las recomendaciones
hechas en cada uno de los dominios de la norma ISO-270002 e ISO 17799
220
para ser utilizado como servidor de monitoreo de seguridad e instalar la aplicacin
OSSIM
OSSIM en una consola de seguridad central, que permite gestionar y saber el nivel
de seguridad (mtrica) que tiene una empresa. Se trata de un proyecto Open
Source, con lo que todo el mundo puede disfrutar de l sin ningn coste, adems
de poder colaborar en su cdigo para formar parte de su evolucin.
5.3 VERIFICAR
221
se llegar a esta etapa dado que la implementacin y verificacin de los cambios
pueden llevar un tiempo estimado entre 6 meses a un ao, con continuo
seguimiento, en consecuencia se puede inferir que la aplicacin redundar en
mejores prcticas y uso responsable de la informacin.
5.4 ACTUAR
Esta etapa al igual que la etapa de verificar, se requiere que se haya verificado y
normalizado todo el proceso, con lo que se permitir documentar todos los
aspectos o de las operaciones que permitirn estandarizar cada uno de los
procesos y procedimientos, as mismo como se iniciar la capacitacin al personal
involucrado.
222
6. CONCLUSIONES
Al trmino del proyecto se cumpli con todos los objetivos propuestos, ayudando a
sentar las bases para la mejora de la seguridad de la informacin en el Hospital
Susana Lpez de Valencia E.S.E.
La informacin es el principal activo que tiene el HSLV, es por ello que se debe
tener mucho cuidado al momento de almacenar y trasladar los dispositivos de
respaldos.
223
7. RECOMENDACIONES
El proyecto puede continuar con el fin de realizar las fases faltantes de la norma
como son las de actualizacin y Chequeo de las polticas, recomendaciones y de
las observaciones entregadas por el grupo a cargo del proyecto.
Igualmente se debe realizar un control del acceso de las personas que ingresan al
centro de cmputo a travs de dispositivos de seguridad electrnicos, para impedir
futuros desmanes en el mismo.
224
BIBLIOGRAFA
225
9. AEC. AEC. [En lnea] 2012. [Citado el: 4 de Agosto de 2013.]
http://www.aec.es/web/guest/centro-conocimiento/norma-une-isoiec-27001.
10. iso27000. El portal de ISO. [En lnea] 2012. [Citado el: 4 de Agosto de 2013.]
http://www.iso27000.es/iso27000.html.
12. Sigea. Sigea. [En lnea] 24 de Junio de 2013. [Citado el: 3 de Septiembre de
2013.] http://www.sigea.es/estandares-para-evaluar-riesgos-de-seguridad-de-la-
informacion/.
14. Seguridad Inforatica. Seguridad . [En lnea] 13 de Mayo de 2012. [Citado el:
13 de Agosto de 2013.]
https://seguridadinformaticaufps.wikispaces.com/page/history/PILAR+-
+Herramienta+para+An%C3%A1lisis+y+Gesti%C3%B3n+de+Riesgos.
16. COBIT. Cobit, Sumario Ejecutivo. Buenos Aires : Systems Auditand Control,
1998.
18. Reyes, Alejandro. Unam_Cert. [En lnea] 22 de Octubre de 2010. [Citado el:
30 de Agosto de 2013.] http://www.seguridad.unam.mx/descarga.dsc?arch=2776.
226
19. Metasploit. Ciscmetasploit. [En lnea] Septiembre de 2011. [Citado el: 15 de
Agosto de 2013.] http://ciscmetasploit.wordpress.com/about/.
25. Hospital, Susana Lopez. Hospital Susana Lopez. [En lnea] 14 de Febrero de
2013. http://www.hosusana.gov.co/resena.
27. Hospital Centro Oriente. esecentro oriente. [En lnea] 4 de Abril de 2013.
http://www.esecentrooriente.gov.co/hco/images/stories/planeacion/gestioncalidad/i
mplementacion%20del%20sig.pdf.
227
28. ITGI Y la OGC. ISACA. [En lnea] 4 de Agosto de 2008.
http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-COBIT-4-
1-ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa_res_Spa_0108.pdf.
228
ANEXOS
229