UNIVERSIDAD NACIONAL DE SAN MARTÍN- TARAPOTO

FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

Escuela Académico Profesional de Ingeniería de Sistemas e
Informática
Semestre Académico 2020 – I

“AÑO DE LA UNIVERSALIZACIÓN DE LA SALUD”

 DATOS GENERALES:

 Asignatura : Auditoría y seguridad en sistemas de

información

 Trabajo : Caso práctico

 Ciclo Académico : IX

 Docente : Ing. Dr. Carlos Enrique López Rodríguez

 Estudiantes : Germán Cotrina Valles

Juan Carlos Colala Sandoval
Heráclides Martín Fasanando Barrera

TARAPOTO
2020
 FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
CASO DE ESTUDIO
AUDITORÍA Y SEGURIDAD EN SISTEMAS DE INFORMACION
SEMESTRE 2020-I

SITUACIÓN DE PARTIDA
Una clínica dental se dirige a una empresa de servicios informáticos solicitando un
estudio de sus equipos e instalaciones para determinar el grado de seguridad informática
y los ajustes que se consideren necesarios.
Un trabajador de la empresa informática se dirige a la clínica y mantiene una entrevista
con el titular de la misma, quien le informa de los siguientes aspectos:
El personal de la clínica está formado por: el titular, médico especialista en odontología.
Como contratados: otro odontólogo, dos auxiliares de clínica y un auxiliar
administrativo, que también ejerce como recepcionista, y una persona para la limpieza.
La clínica cuenta con dos consultas, cada una de ellas con un especialista en
odontología. En cada consulta hay un ordenador desde el que pueden consultar la base
de datos de pacientes tanto el especialista como el auxiliar de clínica que trabaja en esa
consulta. En recepción hay otro ordenador con un programa de tipo agenda para
consultar las horas libres y anotar las citas. En un despacho aparte están los archivos en
soporte papel y donde se encuentra el servidor. El personal recibe capacitación
periódica sobre la correcta atención a los clientes, esto con la finalidad de buscar que los
clientes se sientan cómodos además de su fidelización. Todas las capacitaciones están
orientados a la conservación e incremento de los clientes.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es
Linux.
El objetivo de la clínica es proteger la información, especialmente la relativa a los
historiales médicos de sus pacientes.
Para llevar a cabo el estudio de este caso, deberemos realizar las siguientes actividades:
1.- Elabora un listado de los activos de la clínica 2
• ¿Cuáles son los activos?
Activos tangibles
 Equipos de cómputo (PC’s, Servidor)
 Consultorios
 Servicios de atención
Activos intangibles
 Información de los historiales clínicos (físicos)
 Información de la Base de datos de la clínica (digitales)
 Experiencia y profesionalismo del personal
2. Observa qué sistemas de seguridad física y lógica están protegiendo actualmente
el sistema. Si están revisados y actualizados. 1
• ¿Qué es seguridad física y lógica?
En términos informáticos y según el caso leído, la seguridad física viene
a ser las medidas de protección, controles y normas contra posibles
riesgos y amenazas que son tomadas respecto a los medios físicos
(hardware) para que estén protegidos (valga la redundancia) y ubicados
en instalaciones aptas y seguras contra robos, incendios, inundaciones,
terremotos, etc. Y la seguridad lógica son los protocolos con los que el
sistema cuenta y las medidas de seguridad que se tomaron al momento de
diseñar, desarrollar e implementar tales como los controladores, accesos,
permisos, respaldos de la base de datos, etc.
Según el caso, dicho sistema no cuenta con la seguridad ni física ni
lógica, debido a los siguientes puntos claves: La zona donde está el
servidor es de fácil acceso y no tiene protocolos o normas de acceso, no
hay evidencia de un acondicionamiento adecuado de las instalaciones
contra robos, incendios, inundaciones, etc. Del mismo modo, para la
parte lógica, no hay evidencia y/o existencia acerca de controles internos,
permisos, perfiles de acceso al sistema, respaldos de la base de datos,
mantenimiento del sistema, etc.
3. Comprueba cuáles son las vulnerabilidades del sistema informático, tanto en el
software, como en el hardware, el personal y las instalaciones. 2
• ¿Qué propiedades debe tener el sistema informático para ser seguro?
Hardware
El servidor del sistema debe encontrarse en un lugar con instalaciones
aptas y seguras contra robos, incendios, inundaciones, terremotos, etc. Con
acceso solo a personal autorizado. Los ordenadores, tienen que estar en
perfecto estado, y se tiene que dar un mantenimiento mensual.

Software
El sistema debe cumplir con las siguientes propiedades: confidencialidad,
integridad, escalabilidad, disponibilidad y con autenticación de usuarios.
Del mismo modo el sistema debe generar respaldos diarios de la base de
datos tanto locales como remotos siguiendo los estándares de calidad y
seguridad
• ¿Qué amenazas y riesgos existen?
 Borrado y/o adulteración de historiales clínicos
 Interceptación pasiva de información
 Estructura y ubicación no apta para el servidor
 Respaldos de la base de datos no programados
  Personal no apto y/o capacitado para el control y prevención contra
fallos, amenazas y riesgos del sistema
 Escaso control y seguridad para el acceso a la ubicación del servidor
 Inexistencia de un plan de contingencia
 Inexistencia de una política de seguridad
 Personal que realiza varias actividas.
• ¿Qué vulnerabilidades tiene el sistema?
Respecto a este caso, la vulnerabilidad del sistema reside en la estructura TI,
debido a que no hay una política de seguridad y jerarquía organizacional
relacionado al acceso de la ubicación del servidor como del propio sistema. Del
mismo modo, no hay evidencia de la documentación del acta de
conformidad de los usuarios sobre el uso del sistema, por lo que no se
hizo el correcto levantamiento de información y toma de requerimientos
al momento de diseñar, desarrollar e implementar dicho sistema.
4. Elabora una lista de servicios y mecanismos que incrementarían la seguridad de
la información. 2
• ¿Qué servicios de seguridad se necesitan y qué mecanismos son
necesarios para asegurar esos servicios?
- Respaldos de la base de datos
 Crear procesos autónomos que generen backups tanto locales como
remotos periódicamente.
 Encriptación y cifrado de la información de la base de datos.
- Antivirus
 Medidas preventivas para detección de intrusiones de usuarios no
autorizados.
 Medidas preventivas para detección y eliminación de virus o
programas maliciosos.
- Firewall
 Seguridad perimetral para bloquear los accesos no autorizados,
fuera de la red local.
- Cámaras de videovigilancia
 Registrar acciones y movimientos del personal y de los clientes.
- Capacitaciones sobre el uso del sistema
 Talleres para el correcto uso y manejo del sistema.
- Mantenimiento de los equipos de computo
 Mantenimiento periódico de los equipos de cómputo para la
detección y corrección temprana de posibles fallas de los
componentes
5. Investiga si la clínica dispone de una política de seguridad o de un plan de
contingencias. 1
 • ¿Está informado todo el personal de la política de seguridad?
Según lo expuesto en el caso, si bien hay roles de trabajo definidos en la clínica,
no hay evidencia de la implementación de una política de seguridad y/o plan de
contingencia para salvaguardar la información y los intereses de la empresa,
además el caso de a entender que, debido a falta de estos, se está solicitando un
estudio de los equipos e instalaciones para determinar el grado de seguridad
informática necesarios para poder asegurar la información y los activos de la
empresa.
• ¿Se realizan ensayos y simulacros según el plan de contingencias?
No hay evidencia de la realización de simulacros debido a la inexistencia
del plan de contingencias, solo se realizan capacitaciones al personal para
mejorar los estándares y la calidad de atención para el incremento de
clientes.
6. Determina si la clínica requiere una auditoría informática. 1
• ¿En qué consistirá la auditoría?
Esta auditoría consistiría en la evaluación de la estructura informática y
de los equipos que lo conforman, para poder evaluar y medir el nivel de
seguridad, calidad, confiabilidad y rendimiento de los sistemas al
momento de operar y procesar los movimientos del negocio (registro de
historiales, citas, etc.)
• ¿Se realizará con algún software específico para auditoría informática?
Según lo anteriormente descrito, en ningún momento se menciona que se
va a hacer uso de un software para la auditoria de la clínica, e incluso un
trabajador de la empresa se va personalmente a levantar la información
con el cual se realizaría la auditoria, si bien existen softwares capaces de
medir y especificar los diferentes niveles de calidad y seguridad software
o sistemas (valga la redundancia) de una empresa, en este caso no se hará
uso de ninguno de ellos.