Gestión de la Seguridad

Pre-auditoria de SGSI de la Clínica DAME S.A

Responsable : Ing. Raúl Gallegos Hererra

raul.gallegos@clinicadamesa.com

Descripción breve
El siguiente proyecto tiene como objetivo hacer una pre-auditoria de la
seguridad, centrada en el análisis de riesgos para la Clínica DAME S.A. El
proyecto se desarrollará sobre la base del estándar ISO 27001:2013, para
definición de los controles y de la metodología MAGERIT, para el catálogo de
activos, dimensiones y amenazas. .
Contenido
Contenido................................................................................................................................................ 1
1. Introducción .................................................................................................................................... 2
2. Estándares base .............................................................................................................................. 2
3. Descripción de la empresa .............................................................................................................. 2
4. Descripción del proyecto ................................................................................................................ 3
5. Categorización de activos ............................................................................................................... 3
6. Análisis de controles ....................................................................................................................... 8
7. Análisis del SOA ............................................................................................................................. 14
8. Conclusiones ................................................................................................................................. 17
9. Bibliografía .................................................................................................................................... 17

4
1. Introducción
El uso de las Tecnologías de la Información dentro de las instituciones del sector de salud ha
ido incrementado, permitiendo mejorar la calidad de la prestación servicios, convirtiéndose
en una herramienta valiosa dentro del proceso de atención médica. En la actualidad uno de
los activos importantes es la información; sin embargo, en muchas ocasiones no cuentan con
políticas adecuadas para su aseguramiento, generando brechas de seguridad que pueden ser
aprovechadas por atacantes y amenazan el entorno y por ende afectan a la integridad,
confidencialidad y disponibilidad de activos de información.

2. Estándares base
Sobre la base del estándar ISO 27001:2013, para definición de los controles y la metodología
MAGERIT, para el catálogo de activos, dimensiones y amenazas.

3. Descripción de la empresa
Clínica DAME S.A comenzó a funcionar desde el 25 de octubre de 1999 como una pequeña
clínica especializada en cuidados Intensivos de adultos. El grupo de socios fundadores
justamente eran mayoritariamente médicos intensivistas de mucho prestigio con grandes
deseos de servir a la comunidad y apoyar permanentemente en el proceso de atención de
pacientes graves cuya demanda en ese entonces era alta y con coberturas de atención bajas.
Ello le permitió crecer paulatinamente y con una mirada dirigida al cuidado de la gente más
desprotegida y con necesidad de salvar su vida.

Actualmente se mantiene el grupo de médicos intensivistas que han hecho un verdadero

equipo con Médicos de todas las especialidades clínico-quirúrgicas, lo que ha permitido
ofrecer de manera integral una atención de calidad para la sociedad quiteña, así como
pacientes de provincia con patologías graves que deben solventarse de manera emergente.
MISIÓN
Brindar servicios de salud de calidad, precautelando la vida de nuestros pacientes, con talento
humano calificado e innovación tecnológica, que responda a las necesidades de los usuarios
internos y externos, con servicio seguros, de excelencia, y mejoramiento continúo motivados
hacia a la sociedad.

VISIÓN

2
Ser una institución líder y de referencia en servicio de salud, con el mejoramiento continuo
del talento humano y de infraestructura.

VALORES

Integridad, Responsabilidad, Capacidad, Respeto

4. Descripción del proyecto
El siguiente proyecto tiene como objetivo hacer una pre-auditoria de la seguridad, centrada
en el análisis de riesgos para la Clínica DAME S.A. El proyecto se desarrollará sobre la base del
estándar ISO 27001:2013, para definición de los controles y de la metodología MAGERIT, para
el catálogo de activos, dimensiones y amenazas.

5. Categorización de activos
La Clínica DAME S.A cuenta con diferentes activos, para realizar la pre-auditoria se ha
valorado cada activo de la siguiente manera (Muy Alto, Alto, medio y Bajo) con los datos
obtenidos se puede estimar como se debería garantizar la confidencialidad, la integridad y la
alta disponibilidad de los servicios ofertados.

En la siguiente tabla se detallan los activos según su valor estratégico.

Valor
Tipo Nombre Responsable Descripción
Estratégico

"Documentació
n y registros
informáticos
que contiene
datos,
Base de datos Responsable de
[D] Datos / valoraciones e
Muy Alto Historias Dirección
Información información
Clínicas Médica
generado en
cada uno de los
procesos
asistenciales a
un paciente"

3
 "Dispositivo
que permite
detectar,
procesar y
desplegar en
forma continua
Responsable de
[HW] Equipos los parámetros
Monitor de Servicios
informáticos fisiológicos del
signos vitales Médicos
(hardware) paciente;
Especializados
Conexión USB o
inalámbrica y
memoria
interna para
mediciones de
los pacientes"

Infraestructura
que va permitir
la Interconexión
Cableado Área de
[COM] Redes de de los equipos
Estructurado Tecnologías de
comunicaciones para que
categoría 6 la información
puedan tener
acceso a la red
LAN.
Alto
Servidor de
Telefonía IP,
que permite la
Central Área de
[COM] Redes de intercomunicaci
telefónica IP Tecnologías de
comunicaciones ón entre las
ISSABELL la información
áreas de la
clínica y salida
de llamadas con

4
 restricciones.
Posee un IVR
para el ingreso
de llamadas.

Equipos
Equipos de sensibles a
[COM] Redes de intercomunicaci Departamento fallas, ya que se
comunicaciones ón de Redes de TI pierde la
informáticas disponibilidad
de los servicios.

"Archivos físico
Informe de Responsable de
y digital de las
[D] Datos / resultados de Servicios
imágenes
Información pruebas Médicos
obtenidas de
diagnósticas Especializados
pacientes"

Sistema para
administración
de historias
Área de clínicas, manejo
[SW] Aplicaciones Sistema Clínico
Tecnologías de de camas,
(software) Suite Fiare
la información laboratorio,
pruebas
diagnósticas,
etc.

Área de Cámaras IP,

[COM] Redes de Sistemas de
Tecnologías de análogas, nvr ,
comunicaciones video vigilancia
la información dvr

Talento
Talento Gerencia
[P] Personal Humano que
humano que General - Área
Labora en las

5
 labora en de Talento distintas áreas
Clínica Humano de la clínica

[HW] Equipos Dra. Payusca

informáticos Tomógrafo Zambrano Equipo médico
(hardware) Imagen

"Equipo para la
realización
técnica de
exploración
gastro
endoscópicas,
Responsable de contiene puerto
[HW] Equipos
Torre de Servicios USB para
informáticos
Endoscopia Médicos observar la
(hardware)
Especializados imagen en la
pantalla de un
PC y almacena
videos e
imágenes en su
memoria flash
interna"

"Dispositivos
que permite
Responsable de imprimir
[HW] Equipos Impresora de
Servicios imágenes de
Medio informáticos placas
Médicos resultados de
(hardware) radiográficas
Especializados ecografías,
Endoscopias
entre otros."

6
 Para la
[HW] Equipos Personal impresión de
informáticos Impresoras Administrativo documentos e
(hardware) y Médico historias
clínicas.

Registros Balances y
[D] Datos / Área Financiera
Contables - estados
Información y Contabilidad
Financieros financieros

Información de
la asistencia del
personal, es
Registros de decir,
[D] Datos / Área de Talento
asistencia del documentación
Información Humano
personal del control
digital de
entrada/salida
del personal

Permite la
captura de las
huellas
[HW] Equipos Área de
Reloj personal, para
informáticos Tecnologías de
Biométrico que estas sean
(hardware) la información
gestionadas por
el sistema
Sihara

[HW] Equipos Servidor de Área de Sistemas de

informáticos Control de Tecnologías de control de
(hardware) asistencia Sirha la información asistencia

7
 Teléfonos que
Personal
[COM] Redes de se encuentran
Teléfono IP Administrativo
comunicaciones instalados en la
y Médico
Clínica (20)

Computadores
[HW] Equipos Personal completos, es
informáticos Computadores Administrativo decir, con
(hardware) y médico monitor,
teclado y ratón

Tabla 1.1 Activos según su valor estratégico

6. Análisis de controles
Mediante el uso de la plataforma emarisma se pudieron encontrar los niveles de control con
los que actualmente cuenta la clínica DAME. En el gráfico se puede observar un resumen de
cómo evolucionan cada uno de los dominios.

Figura 1.1 Evolución de cada uno de los dominios

[A.5] Políticas de Seguridad de la información

Con respecto a este apartado podemos observar que al momento de efectuar la verificación
de los procedimientos que con los que anualmente cuenta la institución, para el cumplimiento
esta política, con un 51% podemos interpretar que el plan de seguridad en algunos aspectos
hace falta más compromiso de la Dirección, para mitigar estos se debería realizar una mejora
continua de las políticas de seguridad y no cuando exista un incidente de gravedad. Por otro

8
lado, se notó que hace falta restructurar la asignación de los responsables del manejo de la
información sensible. Y por último se cuenta con un plan de capacitación al personal sobre el
manejo de seguridad de información que debe ser mejorado.

[A.6] Organización de la seguridad de la información

Dirigida a todos los funcionarios y áreas de la Clínica DAME, incluyendo las historias clínicas
de los pacientes y demás activos de información relevante que representen riesgo para el
correcto modelo operacional de la entidad de salud. Con respecto a la organización interna
se puede observar se cumple con un 70% hay que pulir los procedimientos en cuento a la
asignación de roles referente a la seguridad de la información debe guardar coherencia con
la confidencialidad e integridad de la información. Al no existir rotación en algunos puntos
críticos se puede generar brechas de conspiración. Hay que mejorar las normativas de gestión
correspondientes a proyectos de entidades que no pertenecen a la clínica, ya que maneja
información sensible del historial de pacientes que puede influir en la reputación de la misma.
Donde se produce mayor carencia de normativas en lo que corresponde a los dispositivos
móviles y lo que corresponde al teletrabajo. En cuanto a los dispositivos móviles se cuenta
con 41% de cumplimiento ya que se tiene procedimientos básicos de uso de los mismos, no

9
está contemplado normativas que permitan al personal llevarse dispositivos móviles fuera de
la instrucción. En el reglamento interno no se especifica el teletrabajo, por motivos del covid-
19 se implementó procesos para solicitud de acceso remoto a los sistemas de la Clínica lo
único que se garantiza en la conexión segura a los sistemas no definido políticas de manejo
de la información a cargo del personal que este teletrabajando.

[A.7] Seguridad ligada a los recursos humanos

En este control se puede observar que se tiene un 90% de efectividad lo que se traduce a que
la Clínica DAME es muy rigurosa al momento de contratar personal, cuenta con normativas y
sanciones para los trabajadores que incumplan con las mismas. Pero carece de un buen plan
de capacitaciones para el mejoramiento del personal en lo relativo a seguridad de la
información.

10
[A.8] Gestión de activos
En este control se puede visualizar que se tiene 70% de cumplimiento de la política de
seguridad lo que nos indica que se debe pulir, lo que corresponde a la responsabilidad sobre
los activos se debe tomar acciones correctivas con respecto a la manipulación de los soportes
en concreto hay que tomar en cuenta la creación de un procedimiento que permita una
adecuada eliminación de los soportes.

11
[A.9] Control de acceso – DOMINIO
En este dominio se hace referencia al control de acceso, aquí podemos observar que la Clínica
DAME cumple con 71%, aquí encontramos los requerimientos sobre cómo se debe manejar
la seguridad de aplicaciones comerciales que se han adquirido, también controla el proceso
que se está efectuando al momento de hacer una entrega de contraseñas al personal que nos
recomienda que no la enviamos en medios electrónicos en texto claro, se debe indicar que
las mismas deben ser almacenadas en programas que nos garanticen la confidencialidad de
las mismas, así como el manejo divulgación y autorización de la información que esté
tratando para efectuar las labores. Se debe mejorar el procedimiento de prohibición de

12
acceso de terminales ajenos al inventario de activos de la institución que no sean autorizados
por El departamento de TI.

[A.10] Criptografía
Este control él es más deficiente al tener un 37% de cumplimiento, se puede observar la
Clínica no cuenta con métodos criptográficos para asegurar las claves y la solicitud de las
mismas.

13
7. Análisis del SOA
El análisis de la pre-auditoria, ha permitido obtener el SOA de la institución, que está dirigido a todos
los funcionarios y áreas, incluyendo las historias clínicas de los pacientes y demás activos de
información relevante que representen riesgo para el funcionamiento, tanto en su administración
como en la atención oportuna de sus pacientes. Con protocolos que brinden confidencialidad,
integridad y disponibilidad de la información. A continuación, se describen los métodos de
implantación y sus responsables.

Dominio Método de Responsable Observaciones

implantación
[A.5] Políticas de Instructivo de Gerencia General Se recomienda que
seguridad de la /Departamento de exista un
Seguridad de la
información TI compromiso más
información adecuado por parte
de los directivos con
respecto a la
estructuración de
una política
seguridad que
ofrezca confiabilidad

14
 integridad y la
disponibilidad de los
datos sensibles. Es
recomendable esta
sea revisada
periódicamente
para qué los
procesos se
mantengan al día y
no existan brechas
en la seguridad.

[A.6] Organización de Manual de Departamento de El área de TI y la de

procedimientos y RRHH/ RRHH en conjunto
la seguridad de la
el reglamento Departamento de con el comité de
información interno RRHH/Comité de Gestión de la
Gestión de la Calidad, son los
Calidad/ jefes de encargados de
áreas realizar los ajustes a
la información que
se tiene
actualmente y
posteriormente
plasmarlos en una
manual de los
procesos, que
deberá se
socializado al
personal y cada jefe
de área deberá
verificar su
cumplimiento.

[A.7] Seguridad ligada Manual de Departamento de Aquí lo que se debe

procedimientos, Recursos Humanos pulir el proceso de
a los recursos humanos
el reglamento contratación y
interno y los capacitación para el
contratos del personal nuevo y
personal una
retroalimentación
para el personal que
ya se encuentre
laborando en la
institución

15
[A.8] Gestión de Manual de Departamento de La Alta Gerencia, el
procedimientos, RRHH/ departamento de TI
activos
el reglamento Departamento de en conjunto con el
interno y los TI/Comité de Comité de calidad se
contratos del Gestión de la encargan de realizar
personal Calidad/ jefes de recomendaciones a
áreas los procedimientos
existentes y plasman
todas las ideas en un
manual que permita
la gestión eficiente
de los activos. Este
debe ser socializado
con el personal y se
valida su correcto
uso con los jefes de
área

[A.9] Control de acceso Manual de Departamento de Recursos Humanos,

procedimientos, RRHH/ el Departamento
el reglamento Departamento de Legal y del
interno, los TI/Departamento departamento de
contratos del Legal sistemas deben
personal y agrupar esta
instructivo de información en un
seguridad solo manual de
procedimiento de
gestión control de
acceso y junto con el
comité de calidad
pulirlo para que este
sea entregado para
la aprobación a la
Gerencia General.
Posteriormente
socializarlo al
personal y que lo
jefes verifiquen su
cumplimiento.

[A.10] Criptografía Instructivo de Departamento de TI El departamento de

seguridad de la Ti debe coordinar el
información desarrollo de un
manual de
procedimientos para

16
 el manejo de claves
y servicios
criptográficos
dentro de la
institución

8. Conclusiones
• La Clínica DAME al ser una institución de salud debe encaminar sus esfuerzos al
cumplimiento del SGI para que permitan administrar y gestionar la seguridad de los
sistemas informáticos, su implementación permitirá direccionar los procesos para que
paso a paso, se garantice la integridad, disponibilidad y confidencialidad de la
información que se maneja dentro y fuera de ella.
• La protección de los activos sensibles de las instituciones genera confianza frente a los
pacientes y sus allegados lo que produce una fidelización a los servicios prestados.
• Con este análisis se pudo encontrar el nivel de cumplimiento de la política de
seguridad y los puntos débiles que deben ser mejorados continuamente para una
protección de los activos sensibles de una manera eficiente y eficaz.
• Es recomendable para poder mitigar cualquier deficiencia en las Políticas de seguridad
que la alta Gerencia brinde toda la ayuda posible para llegar al cumplimento esperado.
• La capacitación continua al personal sobre los nuevos cambios en cuanto a seguridad
de la información es pilar importante para garantizar la seguridad de los activos .
9. Bibliografía
• ISACA. (2012). COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI
de la empresa (ISBN 978-1-60420-282-3 ed.). Estados Unidos de América.
• ISO. (2008). 27799 - Health informatics - Information security management in health
using ISO/IEC 27002 (1st ed.).
• ISO 27000.ES. (2005). ISO27000.ES. Recuperado el 17 de noviembre de 2017, de
http://www.iso27000.es/sgsi.html
• ISO/IEC. (2005). 27001 Information Technology - Security Techniques - Information
Security Management Systems – Requirements.
• Ministerio de Salud Pública. (2006). Ley de Derechos y Amparo al Paciente. Ecuador.
Recuperado el 16 de noviembre de 2016, de https://www.salud.gob.ec/wp-
content/uploads/downloads/2014/09/Normativa-Ley-de-Derechos-y-Amparo-del-
Paciente.pdf

17