Documentos de Académico
Documentos de Profesional
Documentos de Cultura
raul.gallegos@clinicadamesa.com
Descripción breve
El siguiente proyecto tiene como objetivo hacer una pre-auditoria de la
seguridad, centrada en el análisis de riesgos para la Clínica DAME S.A. El
proyecto se desarrollará sobre la base del estándar ISO 27001:2013, para
definición de los controles y de la metodología MAGERIT, para el catálogo de
activos, dimensiones y amenazas. .
Contenido
Contenido................................................................................................................................................ 1
1. Introducción .................................................................................................................................... 2
2. Estándares base .............................................................................................................................. 2
3. Descripción de la empresa .............................................................................................................. 2
4. Descripción del proyecto ................................................................................................................ 3
5. Categorización de activos ............................................................................................................... 3
6. Análisis de controles ....................................................................................................................... 8
7. Análisis del SOA ............................................................................................................................. 14
8. Conclusiones ................................................................................................................................. 17
9. Bibliografía .................................................................................................................................... 17
4
1. Introducción
El uso de las Tecnologías de la Información dentro de las instituciones del sector de salud ha
ido incrementado, permitiendo mejorar la calidad de la prestación servicios, convirtiéndose
en una herramienta valiosa dentro del proceso de atención médica. En la actualidad uno de
los activos importantes es la información; sin embargo, en muchas ocasiones no cuentan con
políticas adecuadas para su aseguramiento, generando brechas de seguridad que pueden ser
aprovechadas por atacantes y amenazan el entorno y por ende afectan a la integridad,
confidencialidad y disponibilidad de activos de información.
2. Estándares base
Sobre la base del estándar ISO 27001:2013, para definición de los controles y la metodología
MAGERIT, para el catálogo de activos, dimensiones y amenazas.
3. Descripción de la empresa
Clínica DAME S.A comenzó a funcionar desde el 25 de octubre de 1999 como una pequeña
clínica especializada en cuidados Intensivos de adultos. El grupo de socios fundadores
justamente eran mayoritariamente médicos intensivistas de mucho prestigio con grandes
deseos de servir a la comunidad y apoyar permanentemente en el proceso de atención de
pacientes graves cuya demanda en ese entonces era alta y con coberturas de atención bajas.
Ello le permitió crecer paulatinamente y con una mirada dirigida al cuidado de la gente más
desprotegida y con necesidad de salvar su vida.
VISIÓN
2
Ser una institución líder y de referencia en servicio de salud, con el mejoramiento continuo
del talento humano y de infraestructura.
VALORES
5. Categorización de activos
La Clínica DAME S.A cuenta con diferentes activos, para realizar la pre-auditoria se ha
valorado cada activo de la siguiente manera (Muy Alto, Alto, medio y Bajo) con los datos
obtenidos se puede estimar como se debería garantizar la confidencialidad, la integridad y la
alta disponibilidad de los servicios ofertados.
Valor
Tipo Nombre Responsable Descripción
Estratégico
"Documentació
n y registros
informáticos
que contiene
datos,
Base de datos Responsable de
[D] Datos / valoraciones e
Muy Alto Historias Dirección
Información información
Clínicas Médica
generado en
cada uno de los
procesos
asistenciales a
un paciente"
3
"Dispositivo
que permite
detectar,
procesar y
desplegar en
forma continua
Responsable de
[HW] Equipos los parámetros
Monitor de Servicios
informáticos fisiológicos del
signos vitales Médicos
(hardware) paciente;
Especializados
Conexión USB o
inalámbrica y
memoria
interna para
mediciones de
los pacientes"
Infraestructura
que va permitir
la Interconexión
Cableado Área de
[COM] Redes de de los equipos
Estructurado Tecnologías de
comunicaciones para que
categoría 6 la información
puedan tener
acceso a la red
LAN.
Alto
Servidor de
Telefonía IP,
que permite la
Central Área de
[COM] Redes de intercomunicaci
telefónica IP Tecnologías de
comunicaciones ón entre las
ISSABELL la información
áreas de la
clínica y salida
de llamadas con
4
restricciones.
Posee un IVR
para el ingreso
de llamadas.
Equipos
Equipos de sensibles a
[COM] Redes de intercomunicaci Departamento fallas, ya que se
comunicaciones ón de Redes de TI pierde la
informáticas disponibilidad
de los servicios.
"Archivos físico
Informe de Responsable de
y digital de las
[D] Datos / resultados de Servicios
imágenes
Información pruebas Médicos
obtenidas de
diagnósticas Especializados
pacientes"
Sistema para
administración
de historias
Área de clínicas, manejo
[SW] Aplicaciones Sistema Clínico
Tecnologías de de camas,
(software) Suite Fiare
la información laboratorio,
pruebas
diagnósticas,
etc.
Talento
Talento Gerencia
[P] Personal Humano que
humano que General - Área
Labora en las
5
labora en de Talento distintas áreas
Clínica Humano de la clínica
"Equipo para la
realización
técnica de
exploración
gastro
endoscópicas,
Responsable de contiene puerto
[HW] Equipos
Torre de Servicios USB para
informáticos
Endoscopia Médicos observar la
(hardware)
Especializados imagen en la
pantalla de un
PC y almacena
videos e
imágenes en su
memoria flash
interna"
"Dispositivos
que permite
Responsable de imprimir
[HW] Equipos Impresora de
Servicios imágenes de
Medio informáticos placas
Médicos resultados de
(hardware) radiográficas
Especializados ecografías,
Endoscopias
entre otros."
6
Para la
[HW] Equipos Personal impresión de
informáticos Impresoras Administrativo documentos e
(hardware) y Médico historias
clínicas.
Registros Balances y
[D] Datos / Área Financiera
Contables - estados
Información y Contabilidad
Financieros financieros
Información de
la asistencia del
personal, es
Registros de decir,
[D] Datos / Área de Talento
asistencia del documentación
Información Humano
personal del control
digital de
entrada/salida
del personal
Permite la
captura de las
huellas
[HW] Equipos Área de
Reloj personal, para
informáticos Tecnologías de
Biométrico que estas sean
(hardware) la información
gestionadas por
el sistema
Sihara
7
Teléfonos que
Personal
[COM] Redes de se encuentran
Teléfono IP Administrativo
comunicaciones instalados en la
y Médico
Clínica (20)
Computadores
[HW] Equipos Personal completos, es
informáticos Computadores Administrativo decir, con
(hardware) y médico monitor,
teclado y ratón
6. Análisis de controles
Mediante el uso de la plataforma emarisma se pudieron encontrar los niveles de control con
los que actualmente cuenta la clínica DAME. En el gráfico se puede observar un resumen de
cómo evolucionan cada uno de los dominios.
8
lado, se notó que hace falta restructurar la asignación de los responsables del manejo de la
información sensible. Y por último se cuenta con un plan de capacitación al personal sobre el
manejo de seguridad de información que debe ser mejorado.
9
está contemplado normativas que permitan al personal llevarse dispositivos móviles fuera de
la instrucción. En el reglamento interno no se especifica el teletrabajo, por motivos del covid-
19 se implementó procesos para solicitud de acceso remoto a los sistemas de la Clínica lo
único que se garantiza en la conexión segura a los sistemas no definido políticas de manejo
de la información a cargo del personal que este teletrabajando.
10
[A.8] Gestión de activos
En este control se puede visualizar que se tiene 70% de cumplimiento de la política de
seguridad lo que nos indica que se debe pulir, lo que corresponde a la responsabilidad sobre
los activos se debe tomar acciones correctivas con respecto a la manipulación de los soportes
en concreto hay que tomar en cuenta la creación de un procedimiento que permita una
adecuada eliminación de los soportes.
11
[A.9] Control de acceso – DOMINIO
En este dominio se hace referencia al control de acceso, aquí podemos observar que la Clínica
DAME cumple con 71%, aquí encontramos los requerimientos sobre cómo se debe manejar
la seguridad de aplicaciones comerciales que se han adquirido, también controla el proceso
que se está efectuando al momento de hacer una entrega de contraseñas al personal que nos
recomienda que no la enviamos en medios electrónicos en texto claro, se debe indicar que
las mismas deben ser almacenadas en programas que nos garanticen la confidencialidad de
las mismas, así como el manejo divulgación y autorización de la información que esté
tratando para efectuar las labores. Se debe mejorar el procedimiento de prohibición de
12
acceso de terminales ajenos al inventario de activos de la institución que no sean autorizados
por El departamento de TI.
[A.10] Criptografía
Este control él es más deficiente al tener un 37% de cumplimiento, se puede observar la
Clínica no cuenta con métodos criptográficos para asegurar las claves y la solicitud de las
mismas.
13
7. Análisis del SOA
El análisis de la pre-auditoria, ha permitido obtener el SOA de la institución, que está dirigido a todos
los funcionarios y áreas, incluyendo las historias clínicas de los pacientes y demás activos de
información relevante que representen riesgo para el funcionamiento, tanto en su administración
como en la atención oportuna de sus pacientes. Con protocolos que brinden confidencialidad,
integridad y disponibilidad de la información. A continuación, se describen los métodos de
implantación y sus responsables.
14
integridad y la
disponibilidad de los
datos sensibles. Es
recomendable esta
sea revisada
periódicamente
para qué los
procesos se
mantengan al día y
no existan brechas
en la seguridad.
15
[A.8] Gestión de Manual de Departamento de La Alta Gerencia, el
procedimientos, RRHH/ departamento de TI
activos
el reglamento Departamento de en conjunto con el
interno y los TI/Comité de Comité de calidad se
contratos del Gestión de la encargan de realizar
personal Calidad/ jefes de recomendaciones a
áreas los procedimientos
existentes y plasman
todas las ideas en un
manual que permita
la gestión eficiente
de los activos. Este
debe ser socializado
con el personal y se
valida su correcto
uso con los jefes de
área
16
el manejo de claves
y servicios
criptográficos
dentro de la
institución
8. Conclusiones
• La Clínica DAME al ser una institución de salud debe encaminar sus esfuerzos al
cumplimiento del SGI para que permitan administrar y gestionar la seguridad de los
sistemas informáticos, su implementación permitirá direccionar los procesos para que
paso a paso, se garantice la integridad, disponibilidad y confidencialidad de la
información que se maneja dentro y fuera de ella.
• La protección de los activos sensibles de las instituciones genera confianza frente a los
pacientes y sus allegados lo que produce una fidelización a los servicios prestados.
• Con este análisis se pudo encontrar el nivel de cumplimiento de la política de
seguridad y los puntos débiles que deben ser mejorados continuamente para una
protección de los activos sensibles de una manera eficiente y eficaz.
• Es recomendable para poder mitigar cualquier deficiencia en las Políticas de seguridad
que la alta Gerencia brinde toda la ayuda posible para llegar al cumplimento esperado.
• La capacitación continua al personal sobre los nuevos cambios en cuanto a seguridad
de la información es pilar importante para garantizar la seguridad de los activos .
9. Bibliografía
• ISACA. (2012). COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI
de la empresa (ISBN 978-1-60420-282-3 ed.). Estados Unidos de América.
• ISO. (2008). 27799 - Health informatics - Information security management in health
using ISO/IEC 27002 (1st ed.).
• ISO 27000.ES. (2005). ISO27000.ES. Recuperado el 17 de noviembre de 2017, de
http://www.iso27000.es/sgsi.html
• ISO/IEC. (2005). 27001 Information Technology - Security Techniques - Information
Security Management Systems – Requirements.
• Ministerio de Salud Pública. (2006). Ley de Derechos y Amparo al Paciente. Ecuador.
Recuperado el 16 de noviembre de 2016, de https://www.salud.gob.ec/wp-
content/uploads/downloads/2014/09/Normativa-Ley-de-Derechos-y-Amparo-del-
Paciente.pdf
17