PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL HOSPITAL DR. GUSTAVO FRICKE A TRAVÉS DE LA APLICACIÓN DE LA NORMA NCh-ISO 27001:2013

FACULTAD DE INGENIERÍA
ESCUELA DE INGENIERÍA CIVIL BIOMÉDICA
PROPUESTA DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN EN EL HOSPITAL
DR. GUSTAVO FRICKE A TRAVÉS DE LA APLICACIÓN
DE LA NORMA NCh-ISO 27001:2013
JAVIERA IGNACIA TETSUO JUJIHARA ESCUDERO
Trabajo para optar al Título de
Ingeniero Civil Biomédico
Profesor Guía:
ALEXIS ARRIOLA VERA
Profesor Co - Guía:
RODRIGO SALAS FUENTES
Octubre - 2018
Valparaíso - Chile
2
Dedicatoria
A la Javiera de agosto de 2014.
“Si crees que algo es imposible, tú lo harás imposible”

Bruce Lee
3
Agradecimientos
Mis agradecimientos van dirigidos a mi profesor guía Alexis Arriola, por su apoyo en la realización de
este Trabajo de Título, por creer en mis capacidades, dirigirme y aconsejarme en todo el proceso, por su
disposición y transferencia de conocimientos.
A cada profesor (a), funcionario (a) y compañero (a) de la carrera de Ingeniería Civil Biomédica que hizo
mi paso por la universidad más ameno y especial.
A los funcionarios y funcionarias de la Unidad de Informática del Hospital Dr. Gustavo Fricke, quienes
me aceptaron como alumna tesista y me acogieron gratamente.
A las funcionarias de la Unidad de Cirugía Adulto del Hospital Dr. Gustavo Fricke, por su disposición en
la aplicación de mi trabajo, además de su amorosa acogida.
A mi familia, por su gran amor, espero que este logro los haga sentir tan orgullosos como me siento yo,
gracias por contenerme y alentarme en mis momentos difíciles y celebrarme y hacerme sentir especial en
los de éxito.
A Dios, por darme la fortaleza para superar cada obstáculo que se presentó y por creer en mí cada vez que
me puso una prueba.
A mis amigas Constanza Casas, Camila Carreño, Catherina Matus y Mackarena Gómez, por todas las
experiencias vividas, ustedes han sido el mejor regalo que me ha dado esta carrera.
A todos quienes se cruzaron en mi camino, a los que se quedaron y de quienes aprendí, hoy soy una mejor
persona.
4
Resumen
Resumen: La información es uno de los principales activos de cualquier organización o institución y
forma parte de los procesos y quehaceres de los funcionarios, además se encuentra sometida a constantes
riesgos y amenazas. En esta línea, en las organizaciones de salud, la información tiene una connotación
mayor porque se incorpora o se releva la confidencialidad de la información asociada y se ve acrecentada
por la sensibilidad de los datos. Además, la seguridad del paciente depende de mantener la integridad de la
información, así como también su disponibilidad.
El propósito del siguiente trabajo es contribuir con la seguridad de la información en el Hospital Dr.
Gustavo Fricke, mediante la propuesta de implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) a través de la aplicación de la norma NCh-ISO 27001:2013 como objetivo general.
Para su desarrollo se definen las brechas existentes y se propone un diseño y una estrategia para la
implementación del SGSI que cumpla con los objetivos de seguridad esperados por la Institución, la
legislación y la normativa vigente. La aplicación de los productos anteriores se ven reflejados en el
desarrollo de una Herramienta que apoya el SGSI propuesto, la cual es implementada como caso de
estudio en el Servicio de Cirugía Adulto de la Institución, con el objetivo de poder verificar y establecer
mejoras a la planificación y diseño del sistema propuesto.
Palabras Clave: Seguridad de la Información, Sistema de Gestión de Seguridad de la Información, Activo

de Información, Riesgo.
5
TABLA DE CONTENIDO
1. INTRODUCCIÓN................................................................................................................................. 1
1.1 Objetivo General (OG) .................................................................................................................. 2
1.2 Objetivos Específicos (OE) ........................................................................................................... 2
2. MARCO TEÓRICO .............................................................................................................................. 3
2.1 Seguridad de la información .......................................................................................................... 3
2.2 Sistema de Gestión de Seguridad de la Información (SGSI) ......................................................... 3
3. ESTADO DEL ARTE ........................................................................................................................... 7
4. METODOLOGÍA E IMPLEMENTACIÓN ....................................................................................... 12
4.1 Primera Etapa .............................................................................................................................. 13
4.2 Segunda Etapa ............................................................................................................................. 13
4.3 Tercera Etapa............................................................................................................................... 14
4.4 Cuarta Etapa ................................................................................................................................ 14
5. RESULTADOS ................................................................................................................................... 14
5.1 Análisis de la Situación Actual.................................................................................................... 14
5.2 Propuesta de Estrategia para la implementación de un SGSI ...................................................... 17
5.3 Herramienta para el apoyo del SGSI Propuesto .......................................................................... 18
5.3.1 Vinculación de la Herramienta con los Servicios Clínicos y Unidades Administrativas .... 20
5.4 Aplicación de la Herramienta a un Caso de Estudio: Cirugía Adulto. ........................................ 21
6. DISCUSIÓN ........................................................................................................................................ 22
7. CONCLUSIÓN ................................................................................................................................... 22
8. REFERENCIAS .................................................................................................................................. 23
9. GLOSARIO ......................................................................................................................................... 25
10. ANEXOS ......................................................................................................................................... 27
10.1 Anexo 1: Requisitos para el cumplimiento de la norma ISO/IEC 27001:2013 ........................... 27
10.2 Anexo 2: Documentos obligatorios a presentar para el cumplimiento de la norma ISO/IEC
27001:2013 .............................................................................................................................................. 28
10.3 Anexo 3: Listado de normativa vigente relacionada con la seguridad de la información ........... 29
10.4 Anexo 4: Carta Gantt Trabajo de Titulación ............................................................................... 31
10.5 Anexo 5: Análisis de la situación actual...................................................................................... 32
10.5.1 Cláusulas de la norma NCh-ISO 27001:2013 ..................................................................... 32
10.5.2 Dominios de control, objetivos y controles ......................................................................... 36
10.6 Anexo 6: Propuesta de Estrategia para la implementación de un Sistema de Gestión de
Seguridad de la Información basado en la norma NCh-ISO 27001:2013 ............................................... 55
10.7 Anexo 7: Organigrama Hospital Dr. Gustavo Fricke .................................................................. 84
10.8 Anexo 8: Herramienta de apoyo del SGSI propuesto para el Hospital Dr. Gustavo Fricke ........ 85
10.8.1 Anexo 8.1: Hoja “NCh-ISO27001.Of2013”........................................................................ 85
6
10.8.2 Anexo 8.2: Hoja “Inventario”.............................................................................................. 85
10.8.3 Anexo 8.3: Hoja “Análisis de Riesgos” .............................................................................. 86
10.8.4 Anexo 8.4.1: Hoja “Plan General Parte 1” .......................................................................... 86
10.8.5 Anexo 8.4.2: Hoja “Plan General Parte 2” .......................................................................... 87
10.8.6 Anexo 8.5: Hoja “Implementación” .................................................................................... 87
10.9 Anexo 9: Manual de Instalación y uso “Herramienta de apoyo a un Sistema de Gestión de
Seguridad de la Información ................................................................................................................... 88
PROPUESTA DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN EN EL
HOSPITAL DR. GUSTAVO FRICKE A TRAVÉS DE
LA APLICACIÓN DE LA NORMA NCh-ISO
27001:2013
Javiera Ignacia Tetsuo Jujihara Escudero
Escuela de Ingeniería Civil Biomédica
Facultad de Ingeniería, Universidad de Valparaíso, Chile
Palabras clave: Sistema de Gestión de Seguridad de la Información, ISO/IEC 27001:2013, Riesgo, Activo
de información, Confiabilidad, Disponibilidad, Integridad.
1. INTRODUCCIÓN
La información es uno de los principales activos de cualquier organización o institución y forma parte de
los procesos y quehaceres de los funcionarios, además se encuentra sometida a constantes riesgos y
amenazas, los que incrementan cuanto mayor sea el valor de la información. Estas vulnerabilidades
pueden provenir tanto de manera interna como externa a la organización y la defensa de este activo puede
asegurar la continuidad y desarrollo del negocio, así como también proveer confianza a los usuarios y/o
clientes [1] [2].
En esta línea, debido a que un gran volumen de información es producida, manipulada y almacenada con
el uso creciente de las tecnologías de información (TIC), debe existir un balance entre el valor del activo a
proteger y la seguridad de este, frente a la necesidad de resguardar la información para evitar
consecuencias tales como: divulgación ilícita, alteración o modificación, pérdida, robo, eliminación o
destrucción, problemas relacionados a autenticación, problemas legales, entre otros [3].
Por lo anterior, la seguridad de la información se fundamenta en la protección de los datos bajo tres
aspectos: confidencialidad, que asegura que solo quienes estén autorizados puedan acceder a la
información; integridad, que asegura exactitud y totalidad de la información en su procesamiento,
transmisión y almacenamiento; disponibilidad, que asegura que los usuarios autorizados tengan acceso a
la información y a sus activos asociados cuando lo requieran [4].
En este contexto, gestionar la seguridad de la información se vuelve un imperativo que se debe cumplir
por medio de todas las actividades y tareas que sean necesarias para establecer los niveles de seguridad
que la propia organización determine con el firme propósito de disminuir los incidentes o eventos no
deseados que puedan repercutir en la disponibilidad, integridad y/o confidencialidad de la información [4].
Por otra parte, en las organizaciones de salud, la información tiene una connotación mayor porque se
incorpora o se releva la confidencialidad de la información asociada, por ejemplo, a la identificación del
paciente o el diagnóstico clínico, y se ve acrecentada por la sensibilidad de los datos que son objeto de
tratamiento y por el impacto que se puede tener sobre la vida misma del paciente en caso de su alteración
o el funcionamiento inadecuado de los sistemas de información de salud [3]. Además, la seguridad del
paciente depende de mantener la integridad de la información, así como también su disponibilidad; no
2
hacerlo puede agravar la condición de salud, provocar lesiones o incluso la muerte considerando la
importancia de contar con la información de manera completa y oportuna ya sea para diagnosticar o tratar
alguna enfermedad.
De esta forma, el estado del arte establece que la forma de gestionar la seguridad de la información es a
través de la instalación de un sistema gerencial general basado en un enfoque de riesgos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información, ayudando a
establecer políticas y procedimientos con objeto de mantener un nivel de exposición menor al nivel de
riesgo que la propia organización ha decidido asumir [5] [6].
En efecto, considerando que las organizaciones de salud son complejas y manejan un gran volumen de
información sensible, se vuelve imprescindible gestionar la seguridad de la información de forma integral
y es en este contexto que surge la necesidad particular del Hospital Dr. Gustavo Fricke de desarrollar y en
consecuencia de instalar un SGSI.
1.1 OBJETIVO GENERAL (OG)
Proponer la implementación de un sistema de gestión de seguridad de la información (SGSI) en el hospital

Dr. Gustavo Fricke (HGF) a través de la aplicación de la norma NCh-ISO 27001:2013.
1.2 OBJETIVOS ESPECÍFICOS (OE)
1. Identificar el estado de la gestión de seguridad de la información en el HGF de acuerdo con la

norma NCh-ISO 27001:2013.
2. Proponer una estrategia para la instalación de un SGSI basado en la norma NCh-ISO 27001:2013.
3. Desarrollar una herramienta que apoye el funcionamiento del SGSI propuesto.
4. Aplicar la herramienta desarrollada a un caso de estudio: Unidad de Cirugía Adulto.
3
2. MARCO TEÓRICO
El marco teórico se abordará según los términos que conforman el título del trabajo para lograr su
comprensión, describiendo qué es la seguridad de la información, el marco legal y jurídico por el cual se
rige; la norma ISO 27001:2013 y qué involucra y considera un SGSI.
2.1 SEGURIDAD DE LA INFORMACIÓN
La Seguridad de la información, como tema o eje central de este trabajo de título hace referencia a las
características y condiciones de los sistemas de procesamiento de datos y su almacenamiento, para
garantizar [6]:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o

procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de esta por
parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Considerando aspectos como:
➢ Conocimiento de los riesgos

➢ Clasificación de estos y
➢ Protección frente a los impactos.
Esto significa que solamente cuando se está consciente de las potenciales amenazas, agresores y sus
intenciones dañinas (directas o indirectas), se pueden tomar medidas de protección adecuadas para evitar
la pérdida de datos e información [7].
2.2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
Asegurar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un

presupuesto ilimitado, así, el propósito de un SGSI es garantizar que los riesgos de la seguridad de la
información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías [6].
En esta línea, un SGSI es una parte del sistema general de gestión de una Institución con base en un
enfoque de riesgo para establecer, operar, supervisar, revisar, mantener y mejorar la seguridad de la
información. La NCh-ISO 27001:2013 expresa que un SGSI es un sistema de gestión que comprende la
política, estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar
la gestión de la seguridad de la información. Este sistema es la herramienta de la cual dispone la Dirección
de las organizaciones para llevar a cabo las políticas y los objetivos de seguridad (confidencialidad,
integridad y disponibilidad, asignación de responsabilidad, autenticación, etc.) y proporciona los
mecanismos para la salvaguarda de los activos de información y de los sistemas que los procesan, en
concordancia con las políticas de seguridad y planes estratégicos de la organización [8].
En este contexto, sistemáticamente dentro de cualquier Institución se realizan distintos procesos para dar
cumplimiento tanto a la misión como visión de esta y cada proceso es relevante para la obtención de
productos y /o servicios requeridos por los procesos subsiguientes en la cadena productiva.
4
Para un SGSI es importante visualizar dichos procesos como una cadena de activos de información, los
que se encuentran regulados por leyes, políticas y/o normas gubernamentales y organizacionales. En la
Figura 1 se visualiza el modelo operacional del SGSI sobre los procesos en cualquier institución u
organización.
Figura 1: Modelo operacional general del SGSI sobre los procesos de una organización o institución. Fuente: [3].
Por lo anterior, el SGSI es el concepto central sobre el que se construye la norma ISO/IEC 27001:2013,
promoviendo la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar el SGSI de una organización.
Un enfoque del proceso para la gestión de la seguridad de la información fomenta que sus usuarios
enfaticen la importancia de [5]:
a) Entender los requerimientos de seguridad de la información de una organización y la necesidad de

establecer una política y objetivos para la seguridad de la información;
b) Implementar y operar controles para manejar los riesgos de la seguridad de la información;
c) Monitorear y revisar el desempeño y la efectividad del SGSI; y el
d) Mejoramiento continuo en base a la medición del objetivo.
Además, proporciona un modelo sólido para implementar los principios en aquellos lineamientos que
gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la
seguridad [5].
En Chile, el Instituto Nacional de Normalización (INN) adopta la norma ISO/IEC 27001:2013 por
traducción bajo la referencia NCh-ISO 27001:2013, y contiene una serie de requisitos que son
indispensables para ser conformes a ella. Estos corresponden a las cláusulas N°4 a la N°10, ver Anexo 1.
En este contexto, como el estándar ISO/IEC 27001:2013 es certificable, las organizaciones auditoras
requieren una serie de documentos y registros obligatorios, que corresponden a los adjuntos en el Anexo
2.
5
En efecto, para establecer y gestionar un SGSI se utiliza el ciclo PDCA, también conocido como "Círculo
de Deming", ya que fue el Dr. Williams Edwards Deming uno de los primeros que utilizó este esquema
lógico en la mejora de la calidad y le dio un fuerte impulso.
Basado en un concepto ideado por Walter A. Shewhart, el Ciclo PDCA constituye una estrategia de
mejora continua de la calidad en cuatro pasos y es muy utilizado por los diversos sistemas aplicados en las
organizaciones para gestionar aspectos tales como calidad (ISO 9000), medio ambiente (ISO 14000),
salud y seguridad ocupacional (OHSAS 18000), o inocuidad alimentaria (ISO 22000), entre otros.
Las siglas PDCA son el acrónimo de las palabras inglesas Plan, Do, Check, Act, equivalentes en español a
Planificar, Hacer, Verificar, y Actuar. La interpretación de este ciclo es muy sencilla: cuando se busca
obtener algo, lo primero que hay que hacer es planificar cómo conseguirlo, después se procede a realizar
las acciones planificadas (hacer), a continuación, se comprueba qué tal se ha hecho (verificar) y
finalmente se implementan los cambios pertinentes para no volver a incurrir en los mismos errores
(actuar). Nuevamente se empieza el ciclo planificando su ejecución, pero introduciendo las mejoras
provenientes de la experiencia anterior [9].
Este modelo consta de éstas serie de fases que permiten medir el estado actual del sistema con el fin de
realizar un mejoramiento continuo [5]:
➢ Planear (Plan): En esta fase se diseña o planea el SGSI, definiendo las políticas de seguridad
generales que aplicarán a la organización, los objetivos que se pretenden y cómo ayudarán a
lograr los objetivos misionales. Se realiza el inventario de activos y la selección de la metodología
de riesgos a implementar que estén acordes a los objetivos y políticas propuestos.
➢ Hacer (Do): Es la fase donde se implementa el SGSI mediante la aplicación de los controles de
seguridad escogidos, se asignan los responsables y se ejecutan los procedimientos.
➢ Verificar (Check): Es la fase de monitorización del SGSI donde se verifica y audita que los
controles, políticas, procedimientos de seguridad se están aplicando de la manera esperada.
➢ Actuar (Act): Esta fase implementa las acciones correctivas y mejoras del SGSI.
La Figura 2 muestra cómo un SGSI toma como insumo los requerimientos y expectativas de la seguridad
de la información de las partes interesadas y a través de las acciones y procesos necesarios produce
resultados de seguridad de la información que satisfacen aquellos requerimientos y expectativas. La figura
también muestra los vínculos en los procesos presentados en las Cláusulas N°4 a la N°8. La adopción del
modelo PDCA también refleja los principios tal como se establecen en los Lineamientos OECD (2002)
que gobiernan los sistemas y redes de seguridad de la información [5].
Figura 2: Procesos PDCA de un SGSI. Fuente: Elaboración propia basada en [5]

6
Ahora bien, con el creciente uso de las tecnologías, así también con el manejo de datos y el respaldo de la
información, se ha favorecido la creación de legislaciones que protejan y resguarden a las partes
interesadas en todo el proceso de uso, intercambio y tratamiento de la información. Por otra parte, se tiene
la existencia de los delitos informáticos que vulneran la seguridad de los activos en las organizaciones,
poniendo en riesgo la continuidad de los procesos. Dado lo anterior, cumplir con el marco legal de nuestro
país, es la base para satisfacer la implementación exitosa de un SGSI.
En este contexto, se presenta la principal normativa por la que se rige la seguridad de la información:
✓ Ley N° 20.584: Sobre derechos y deberes que tienen las personas en relación con acciones
vinculadas a su atención de salud.
Dentro de los derechos relacionados con la seguridad de la información, destacan: tener información
oportuna y comprensible de su estado de salud; que la información médica no se entregue a personas no
relacionadas con su atención; ser informado de los costos de su atención en salud; informarse acerca de los
procedimientos de reclamo; recibir informe de la atención recibida durante su hospitalización. Así
también, los deberes que destacan son: entregar información acerca de su estado de salud, identidad y
dirección; informarse acerca de los horarios de funcionamiento, modalidades de atención y formas de
pago, informarse acerca de los procedimientos de reclamos y consultas establecidos en el establecimiento
[10].
✓ Ley N° 19.628: Sobre protección de la vida privada.
Define conceptos básicos implicados en la seguridad de la información, además destaca sobre la

utilización de datos personales, los derechos de los titulares de datos, la utilización de datos personales
relativos a obligaciones de carácter económico, financiero, bancario o comercial, el tratamiento de datos
por los organismos públicos [11].
✓ Ley N° 20.285: Sobre acceso a la información pública.
Regula el principio de transparencia de la función pública, el derecho de acceso a la información de los

órganos de la Administración del Estado, los procedimientos para el ejercicio del derecho y para su
amparo, y las excepciones a la publicidad de la información [12].
✓ Ley N° 19.223: Sobre los delitos informáticos y la función de auditoría.
Tipifica las figuras penales relativas a la informática; de acuerdo con distintos delitos, por ejemplo: la
destrucción de sistemas de tratamiento de información, utilización o conocimiento indebido de
información de un sistema de tratamiento de la misma, destrucción o alteración maliciosa de información,
como así también la difusión y revelación de datos contenidos en un sistema de información [13].
✓ Decreto Supremo N° 83: Sobre aprobación norma técnica para los órganos de la administración
del estado sobre seguridad y confidencialidad de los documentos electrónicos.
Establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los
documentos electrónicos de los órganos de la Administración de Estado, con la finalidad de garantizar
estándares mínimos de seguridad en el uso, almacenamiento, acceso y distribución del documento
electrónico; facilitar la relación electrónica entre los órganos de la Administración del Estado y entre éstos
y la ciudadanía y el sector privado en general; y salvaguardar el uso del documento respecto a la
normativa vigente sobre confidencialidad de la información intercambiada.
7
Por otra parte, considera aspectos de acuerdo con el nivel básico de seguridad del documento electrónico,
como el establecimiento de una política de seguridad, la designación de un encargado de seguridad,
además de temas relacionados a la seguridad del personal, física y del ambiente, entre otros [14].
De manera general, en el Anexo 3 se presenta un listado de la normativa vigente relacionada con la

seguridad de la información.
3. ESTADO DEL ARTE

Todos los años la Organización Internacional de Estandarización (ISO, por sus siglas en inglés) realiza
una encuesta de certificaciones a sus estándares de sistemas de gestión. La encuesta muestra el número de
certificados válidos para las normas de gestión ISO informados para cada país, cada año. La última
encuesta publicada corresponde al año 2016, publicada en septiembre de 2017.
Las normas expuestas en esta encuesta son las siguientes:
Tabla 1: Sumario ejecutivo de certificaciones ISO 2016. Fuente: [15]
En la Tabla 1 se observa que, a finales del año 2016, al menos existieron 33.290 certificados ISO/IEC
27001:2005, lo que indica un crecimiento del 21% (+5.754) con respecto al año anterior.
Así también, desde el año 2007 hasta el 2016, el crecimiento anual en el mundo con respecto a las
certificaciones de la norma en cuestión ha sido favorable. El mayor crecimiento se produjo en el año 2009
llegando a un 40%. Desde el año 2010 al 2014, si bien el crecimiento no fue sido tan radical como el
ocurrido del año 2008 al 2009, el año 2015 y 2016, volvió a surgir un incremento, demostrando que los
distintos países han tomado en consideración la importancia de su certificación (ver Figura 3).
8
Figura 3: Certificaciones ISO/IEC 27001 anuales a nivel mundial año 2016. Fuente: [16]
Otra estadística que nos presenta el estudio realizado por la ISO, es el top 10 de los países certificados al
año 2016 (Ver Figura 4), mostrando a Japón como líder en certificación ISO/IEC 27001 y sólo a EE.UU.
dentro del ranking como país del continente americano.
Top 10 countries for ISO/IEC 27001 certificates - 2016

1 Japan 8945
2 United Kingdom 3367
3 India 2902
4 China 2618
5 Germany 1338
6 Italy 1220
7 United States of Amerdica 1115
8 Taipei, Chinese 1087
9 Spain 752
10 Netherlands 670
Figura 4: Top 10 países con certificación ISO/IEC 27001 año 2016. Fuente: [16]
Por otro lado, la realidad en Latinoamérica muestra que nuestro país (destacado en amarillo), al año 2016
cuenta con 49 certificaciones ISO/IEC 27001 (Ver Figura 5).
9
ISO/IEC 27001 - Central / South America
Year 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
Country 18 38 72 100 117 150 203 272 273 347 564
Argentina 1 1 6 4 8 24 33 40 23 52 88
Barbados 1 1 0 1
Bolivia 1 1 3 1 1 1 1 6
Belize 1 1
Brazil 10 25 40 48 41 50 53 82 85 94 117
Chile 2 3 7 10 13 18 23 24 24 32 49
Colombia 3 8 11 14 23 27 58 82 78 103 163
Costa Rica 2 5 6 7 7 10 22 4 21
Cuba 1 1 2 0 0 0
Dominican Republic 1 1 2 3 4 3 4 8
Ecuador 1 1 1 3 5 7 6 11
El Salvador 1 1 1 1 1 1 4
Guatemala 1 1 1 2 3 2 5
Guyana 1 1 0 0 0
Honduras 1 1 0 1 0 5
Jamaica 1 1 0 0 10
Panama 1 1 2 1 0 2
Peru 1 1 2 6 9 5 7 9 12 22 32
Puerto Rico 2 2 2 2 2 2 0 2
Saint Lucia 1 1
Saint Vincent and the Grenadines 1 0
Trinidad and Tobago 1 1 1 1 2
Uruguay 1 1 4 4 7 7 8 11 21 28
Venezuela 1 1 8
Figura 5: Certificaciones ISO/IEC 27001 en países de Sudamérica y América Central. Fuente: [16]
En la figura anterior, Colombia queda clasificado como el país con mayor número de certificaciones
ISO/IEC 27001. Esto puede ser inferido por el hecho de que hay Instituciones Educativas que dictan la
Especialización en Seguridad Informática, por ejemplo, la Universidad Nacional Abierta y a Distancia es
una de ellas, en donde los estudiantes realizan su trabajo de grado considerando la norma ISO/IEC 27001.
En su repositorio se encuentran 288 búsquedas con el filtro “ISO 27001” dando a conocer las distintas
aplicaciones realizadas por los futuros especialistas [17] [18].
Por otra parte, a nivel nacional, el Ministerio del Interior y Seguridad Pública ha desarrollado la
implementación de los sistemas del Programa de Metas de Gestión (PMG) como apoyo a la gestión de los
Servicios Públicos. Se cuenta con el apoyo de una red de expertos que cumple un rol de apoyo interno en
el Sector Público, con competencias estratégicas establecidas en el Programa Marco del PMG y que tienen
por función asesorar [19]:
➢ a la Secretaría Técnica,
➢ al Ministerio de Hacienda,
➢ al Ministerio del Interior,
➢ a la Secretaría General de la Presidencia, y
➢ al Ministerio del Ramo; en el proceso de ejecución, preevaluación, evaluación y seguimiento de
los PMG.
Particularmente corresponden a instituciones de la Administración del Estado, con funciones en materias

relativas a las áreas prioritarias establecidas en el Programa Marco, y que realizan habitualmente las
actividades necesarias para que estos sistemas de gestión se instalen en las instituciones de la
administración pública [20].
Los Programas de Mejoramiento de la Gestión (PMG) en los servicios públicos tienen su origen en la Ley
N°19.553 de 1998, y asocian el cumplimiento de objetivos de gestión a un incentivo de carácter monetario
para los funcionarios. Desde 2014, los PMG cubren un total de 194 instituciones y más de 87 mil
funcionarios, formando parte de uno de los mecanismos de incentivo de remuneraciones de tipo
institucional más importante aplicado en la administración pública de nuestro país [21].
Para el caso específico del Sistema PMG de Seguridad de la Información (SSI), su Red de Expertos está
compuesta por [20]:
10
➢ Subsecretaría del Interior
➢ Unidad de Gobierno Digital del Ministerio Secretaría General de la Presidencia
➢ Subsecretaría de Telecomunicaciones
De acuerdo con la información manejada por la red de expertos, las siguientes Instituciones están adscritas
al PMG-SSI (sector salud)1:
1. MINISTERIO DE SALUD CENTRAL DE ABASTECIMIENTOS DEL S.N.S.S.

2. MINISTERIO DE SALUD FONDO NACIONAL DE SALUD
3. MINISTERIO DE SALUD INSTITUTO DE SALUD PUBLICA DE CHILE
4. MINISTERIO DE SALUD SUBSECRETARIA DE REDES
5. MINISTERIO DE SALUD SUBSECRETARIA DE SALUD PUBLICA
En este contexto, respecto a la situación del HGF con la seguridad de la información, el año 2012 por
medio de Resolución Exenta, se crea el Comité de Normas y Políticas de Seguridad de la Información,
teniendo como función principal desarrollar la Política de Seguridad de la Institución.
A raíz de lo anterior, en mayo del año 2013 fue elaborado el documento “Política de Seguridad de la
Información Electrónica” con Resolución Exenta en diciembre del año 2014 para su aprobación y
difusión, actualmente no existe versión actualizada de dicha política, encontrándose obsoleta.
Por otra parte, teniendo en consideración la metodología de implementación de la norma tanto a nivel
nacional como internacional, podemos destacar la diferencia existente en la evaluación de los riesgos
dentro de la etapa de planificación del SGSI.
El Ministerio del Interior y Seguridad Pública recomienda en la “Guía Metodológica 2015, Indicador
transversal SSI” la implementación de un proceso de gestión de riesgos cuyo enfoque metodológico está
basado principalmente en la norma ISO 31000 (Ver Figura 5) según lo definido en la Guía Técnica N° 53
del Consejo de Auditoría Interna General de Gobierno (CAIGG) [22].
Figura 6: Esquema representativo del Proceso de Gestión de Riesgos en el Sector Público NCh-ISO 31000:2012. Fuente: [23]
1
Datos entregados por Hernán Espinoza Medina, Jefe de CSIRT, Ministerio del Interior y Seguridad Pública,
Gobierno de Chile. Contacto: hespinoza@interior.gob.cl
11
Mientras que, a nivel internacional, en Colombia particularmente, se aplica la metodología MAGERIT
[18]. La metodología de análisis y gestión de riesgos de los sistemas de información (MAGERIT),
elaborada por el Consejo Superior de Administración Electrónica del Gobierno Español, es un instrumento
para facilitar la implantación y aplicación del Esquema Nacional de Seguridad proporcionando los
principios básicos y requisitos mínimos para la protección adecuada de la información [24].
MAGERIT persigue los siguientes objetivos [24]:
✓ Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la
necesidad de atajarlos a tiempo.
✓ Ofrecer un método sistemático para analizar tales riesgos.
✓ Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
✓ Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso.
Cabe destacar que MAGERIT se encuentra en el inventario de métodos de análisis y gestión de riesgos en
la Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA, por sus siglas en
inglés) [25].
12
4. METODOLOGÍA E IMPLEMENTACIÓN
Para lograr el Objetivo General, se propone la organización de este Trabajo de Título en base a actividades
a desarrollar para cada uno de los Objetivos Específicos tal como se muestra esquematizado a
continuación:
ETAPAS
•Definir horario de trabajo con referente, considerando la

participación en las funciones que respectan a la seguridad de
la información dentro del HGF.
•Estudiar bibliografía del estado del arte y marco teórico,
OBJETIVO ESPECÍFICO N°1: teniendo como base la norma NCh-ISO 27001:2013
Identificar el estado de la gestión •Analizar información proporcionada por el referente respecto
de seguridad de la información en a seguridad de la información.
el HGF de acuerdo con la norma •Comparar estado actual de la gestión de seguridad de la
NCh-ISO 27001:2013 información en el HGF y lo establecido por la norma NCh-
ISO 27001:2013.
•Establecer situación actual del HGF respecto a la seguridad de
la información.
Producto Esperado: Situación actual del HGF respecto a la norma NCh-ISO 27001:2013.
•Establecer metodología de trabajo de acuerdo al estado del

arte y requerimientos del HGF, conforme a los lineamientos
OBJETIVO ESPECÍFICO N°2: de la norma NCh-ISO 27001:2013 para formular una
Proponer una estrategia para la estrategia que permita la implementación de un SGSI.
instalación de un SGSI basado en •Generar documentación que respalde la estrategia y propuesta
la norma NCh-ISO 27001:2013 de diseño para la implementación de un SGSI en el HGF.
•Obtener aprobación y validación del referente.
Producto Esperado: Propuesta de estrategia para la implementación de un Sistema de Gestión de

Seguridad de la Información basado en la norma NCh-ISO 27001:2013.
OBJETIVO ESPECÍFICO N°3: •Definir la plataforma para el diseño de una herramienta que
Desarrollar una herramienta que
apoye la implementación del SGSI propuesto.
apoye el funcionamiento del SGSI •Diseñar y construir, de acuerdo a la estrategia propuesta la
propuesto herramienta para la implementación de un SGSI.
Producto Esperado: Herramienta de apoyo al Sistema de Gestión de Seguridad de la Información.

13
•Definir de acuerdo con el referente, servicio clínico para

aplicación de la herramienta desarrollada.
OBJETIVO ESPECÍFICO N° 4: •Coordinar reunión con Enfermera Supervisora del Servicio
Aplicar la herramienta Clínico definido como caso de estudio, para presentación del
desarrollada a un caso de estudio: proyecto y la importancia de su implementación en la Unidad.
Unidad de Cirugía Adulto •Coordinar reuniones con el personal del servicio clínico para
dar inicio a la implementación.
Producto Esperado: Experiencias de mejora a partir de la aplicación de la propuesta de estrategia.

La planificación de esta metodología se encuentra esquematizada en una Carta Gantt en el Anexo 4.
A continuación, se realiza una descripción más detallada de las actividades realizadas para lograr los
productos de cada etapa.
4.1 PRIMERA ETAPA
Para el cumplimiento del OE 1 se define que, en conjunto con el jefe de la Unidad de Informática y la
Encargada de Seguridad de la Información del HGF, es necesaria la participación en las funciones que
respectan a la seguridad de la información, por otra parte, se considera imprescindible la visita periódica a
la Unidad para que exista retroalimentación en el desarrollo del Trabajo de Título.
El estudio bibliográfico comprendió la búsqueda en la web respecto a la seguridad de la información, el

sistema de gestión de seguridad de la información y la norma ISO/IEC 27001:2013 y su homologación, la
norma chilena NCh-ISO 27001:2013.
Por otra parte, se generó el contacto con la Red de expertos del Sistema PMG de Seguridad de la
información (PMG-SSI) para consultas técnicas, también con el Especialista en Seguridad Informática
Edgar Bojaca de la Universidad Nacional Abierta y a Distancia de Colombia, quien desarrolló su proyecto
de grado que se titula como “Diseño de un sistema de gestión de seguridad informática basado en la
norma ISO/IEC 27001-27002 para el área administrativa y de historias clínicas del Hospital San Francisco
de Gachetá”
Respecto al estado actual de la seguridad de la información en el HGF, durante el mes de marzo de 2018,
Paula Bugueño, Profesional de la Unidad de Informática, asumió el cargo de Encargada de Seguridad de
la Información del Comité de Normas y Políticas de Seguridad de la Información. En este contexto, se
realizó revisión de documentación, considerando las Resoluciones Exentas de la creación del comité y la
Política de Seguridad.
Para el análisis de la situación actual, se diseñó una planilla Excel que consideraba las cláusulas N°4 a la
N°10 de la norma NCh-ISO 27001:2013 y los controles del “Anexo A” de la misma, con el propósito de
que tanto la Encargada de Seguridad de la Información como el jefe de la Unidad de Informática pudiesen
determinar el grado de cumplimiento del HGF respecto a la norma. Adicionalmente, se preparó una
presentación para la Unidad de Informática, para entregar conceptos básicos y contextualizar al personal.
4.2 SEGUNDA ETAPA
De acuerdo con el Estado del Arte, tomando en consideración la documentación presentada por el
Ministerio del Interior y Seguridad Pública respecto al Programa de Metas de Gestión de Seguridad de la
Información (PMG-SSI) y la Oficina de Seguridad para Redes Informáticas de Cuba, se formuló una
14
propuesta de estrategia para la implementación de un SGSI en el HGF teniendo en cuenta la etapa de
planificación del ciclo PDCA del mismo, para la posterior revisión y validación por parte del Referente.
4.3 TERCERA ETAPA
Actualmente, existen variadas aplicaciones web que permiten el diseño y aplicación de herramientas
automatizadas para el apoyo de procesos o sistemas de gestión, como Google Drive, por ejemplo. Sin
embargo, considerando el eje central de este Trabajo de Título que es la seguridad de la información, y las
vulnerabilidades que se podrían presentar considerando que Google Drive corresponde a una plataforma
online, se estima conveniente que la plataforma a utilizar sea la herramienta Excel de Microsoft Office,
ningún otro tipo de licencias para su uso, además que tiene la posibilidad de poder compartir y comunicar
información en tiempo real a través de carpetas compartidas.
El diseño de la herramienta está establecido de acuerdo con el producto obtenidos en la Segunda Etapa y
está dada por el Ministerio del Interior y Seguridad Pública [26].
4.4 CUARTA ETAPA
De acuerdo con el historial de incidentes y experiencias respecto a la seguridad de la información, además

del manejo de activos de información críticos, por otra parte, considerando el compromiso y disposición
de la Enfermera Supervisora, se ha determinado que el servicio clínico que dará inicio a la
implementación de este proyecto es Cirugía Adulto del HGF.
Para lo anterior se fijaron visitas periódicas tanto con la Enfermera del Servicio Clínico como con el resto
de las/os funcionarias/os, con el propósito de dar a conocer la Herramienta de apoyo al SGSI. Con cada
funcionaria/o se realizó una breve introducción respecto a la seguridad de la información, la importancia
de esta sobre los activos de información críticos de su servicio y el impacto de la implementación de un
SGSI, teniendo como resultado el Inventario de los activos.
5. RESULTADOS
Los resultados son presentados como los productos esperados de cada etapa.
5.1 ANÁLISIS DE LA SITUACIÓN ACTUAL
Para verificar el estado actual del cumplimiento de la norma NCh-ISO 27001:2013 en el Hospital Dr.
Gustavo Fricke, se realizó un Análisis Diferencial de las cláusulas obligatorias N°4 al N°10 y del “Anexo
A” (Dominios, Objetivos de Control y Controles de Seguridad). Este análisis permitió comparar las
condiciones actuales con el propósito de determinar las brechas existentes y el nivel de cumplimiento en
base al estándar, para consiguiente desarrollar un plan de mejora de acuerdo con los objetivos de
seguridad deseados.
Para lo anterior, se preparó una planilla (Anexo 5) que contiene las cláusulas de la norma y el “Anexo A”
de esta. Se confeccionó de tal manera que las cláusulas debieron ser respondidas con “SI/NO” según su
cumplimiento y el “Anexo A” de la norma debió ser respondido con “SI/NO/NO APLICA”, la opción
“no aplica” está considerada porque dicha norma aplica para todo tipo de organización que maneje activos
de información con la necesidad de protegerlos, sin embargo, no todos los controles son necesarios de
acuerdo con las características de la Institución. Como se mencionó anteriormente en la metodología,
quienes participaron de esta etapa fueron el jefe de la Unidad de Informática y la Encargada de Seguridad
de la Información, considerando que son las personas idóneas y quienes tienen claridad respecto a la
situación actual del HGF respecto a la seguridad de la información.
Para la evaluación de cumplimiento se consideraron las siete cláusulas de la norma, donde cada una posee
cierta cantidad de aspectos. Cada aspecto tiene igual valor y es el total de estos en cada cláusula el que
15
determina el factor de ponderación, por ejemplo, la cláusula N°4 tiene cuatro aspectos a evaluar de un
total de veintidós, por tanto, su factor de ponderación es 0,18 y así sucesivamente.
Considerando lo anterior, los resultados de la contestación de esta planilla se ven reflejados a

continuación:
➢ Requisitos de la Norma NCh-ISO 27001:2013
El nivel de cumplimiento para cada uno de los requisitos mínimos de la norma NCh-ISO 27001:2013 se
resume de la siguiente manera:
FACTOR DE CUMPLE
REQUISITO TOTAL (%)
PONDERACIÓN (%)
4. CONTEXTO DE LA 0,18 50 9
ORGANIZACIÓN
5. LIDERAZGO 0,14 100 14
6. PLANIFICACIÓN 0,09 0 0
7. SOPORTE 0,23 40 9,2
8. OPERACIÓN 0,14 0 0
9. EVALUACIÓN DEL 0,14 0 0
DESEMPEÑO
10. MEJORA 0,09 0 0
TOTAL 1 - 32,2
Tabla 2: Nivel de cumplimiento de los requisitos de la norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Y el nivel de cumplimiento general que se tiene actualmente frente a los requisitos de la norma es el
siguiente:
CUMPLIMIENTO NORMA NCH-ISO

27001:2013
HOSPITAL DR. GUSTAVO FRICKE
CUMPLE NO CUMPLE
32%
68%
Figura 7: Gráfico cumplimiento cláusulas norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Del gráfico anterior, se deduce que, de acuerdo con las cláusulas de la norma, el HGF cumple con un 32%
de la norma NCh-ISO 27001:2013.
16
➢ Dominios, Objetivos de Control y Controles de Seguridad
Además de lo anterior, se realiza un análisis diferencial referente al “Anexo A” del estándar NCh-ISO
27001:2013 con el fin de determinar el nivel de cumplimiento de los Dominios, Objetivos de Control y
Controles de Seguridad. Estos corresponden a los numerales 5 al 18, donde se dedujo que 110 de los 114
controles definidos por la norma aplican para la Institución, esto según los que fueron contestados con la
opción “NO APLICA”. Este resultado visualizado en forma porcentaje se muestra a continuación:
% DE CONTROLES DEL "ANEXO A"

NCH-ISO 27001:2013 QUE APLICAN AL
APLICA NO APLICA
4%
96%
Figura 8: % de controles del "Anexo A" NCh-ISO 27001:2013 que aplican al HGF. Fuente: Elaboración propia
Por consiguiente, considerando los controles que aplican a la Institución se tiene el cumplimiento de cada
dominio de control, ver Tabla 5:
NO
CUMPLE
DOMINIO DE CONTROL CUMPLE
(%)
(%)
A.5 POLÍTICAS DE LA SEGURIDAD DE LA 0 100
INFORMACIÓN
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 16,7 83,3
INFORMACIÓN
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 50 50
A.8 GESTIÓN DE ACTIVOS 70 30
A.9 CONTROL DE ACCESO 100 0
A.10 CRIPTOGRAFÍA 100 0
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 100 0
A.12 SEGURIDAD DE LAS OPERACIONES 100 0
A.13 SEGURIDAD DE LAS COMUNICACIONES 100 0
A.14 ADQUISICIÓN, DESARROLLO Y 100 0
MANTENIMIENTO DE SISTEMAS
A.15 RELACIONES CON LOS PROVEEDORES 60 40
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 33,3 66,7
17
NO
CUMPLE
DOMINIO DE CONTROL CUMPLE
(%)
(%)
INFORMACIÓN
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN 25 75
DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.18 CUMPLIMIENTO 50 50
Tabla 3: Nivel de cumplimiento de los Dominios de control de la norma NCh-ISO 27002:2013. Fuente: Elaboración propia
El nivel de cumplimiento general que se tiene actualmente frente a los Dominios de Control es el
siguiente:
CUMPLIMIENTO CONTROLES "ANEXO A"

NCH-ISO 27001:2013
IMPLEMENTADOS NO IMPLEMENTADOS
24%
76%
Figura 9: Gráfico cumplimiento de controles "Anexo A" norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Cabe mencionar que, si bien existe un alto grado de ejecución de los controles, estos no están
documentados, no existiendo un procedimiento escrito ni respaldo de lo que se realiza.
5.2 PROPUESTA DE ESTRATEGIA PARA LA IMPLEMENTACIÓN DE UN SGSI
Los resultados se ven reflejados en la elaboración del documento “PROPUESTA DE ESTRATEGIA

PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN BASADO EN LA NORMA NCh-ISO 27001:2013” (Ver Anexo 6).
La propuesta de estrategia contempla la etapa de Planificación del ciclo PDCA del SGSI, donde el
objetivo de esta etapa es la realización del análisis y evaluación de los riesgos de seguridad y la selección
de controles adecuados.
18
Para lo anterior es necesario considerar los siguientes aspectos que se esquematizan a continuación:
•Preparación
•Análisis de la situación actual
•Política de Seguridad de la Información
•Análisis y Evaluación de Riesgos
•Selección de controles, Declaración de Aplicabilidad y

Plan de Tratamiento de riesgos
Figura 10: Esquema de actividades a realizar para la etapa de Planificación del SGSI. Fuente:Elaboración propia
El aspecto de preparación considera principalmente el compromiso y liderazgo de la Dirección, siendo

una etapa crucial para dar inicio a la implementación de un SGSI. En cuanto al Análisis de la situación
actual pudimos concluir anteriormente en el capítulo 5.2 que el HGF tiene cierto grado de manejo de la
seguridad de la información, aunque aún hay debilidades en cuanto al respaldo documentado de las
medidas que se toman, siendo un aspecto importante considerado en la norma NCh-ISO 27001:2013. Por
otra parte, la elaboración de la “Política de Seguridad de Información Electrónica” da un avance positivo
en el proceso, cumpliendo con el contenido esperado, sin embargo, es necesario que el Comité de
Seguridad de la Información del HGF realice una revisión para garantizar su vigencia.
Para el Análisis y Evaluación de riesgos, se propone una metodología que permita finalmente poder
identificar los riesgos y amenazas, establecer su criticidad y definir los controles o medidas apropiadas
para el tratamiento de los riesgos. Cabe mencionar que todo el proceso debe ser documentado y reflejado
en una Declaración de aplicabilidad y Plan de tratamiento de riesgos.
Para todas las actividades anteriormente mencionadas se establece que los responsables son la Dirección,
el Comité de Seguridad de la Información, la Unidad de Informática, y los jefes de Servicio o Unidades
que darán inicio a la implementación (Ver Anexo 7, Organigrama HGF).
5.3 HERRAMIENTA PARA EL APOYO DEL SGSI PROPUESTO
Considerando el diseño y la estrategia propuesta para el SGSI en la Segunda Etapa, se ha desarrollado una
Herramienta dada por el Ministerio del Interior y Seguridad Pública [26] en la plataforma Microsoft Excel
que representa la aplicación de la norma NCh-ISO 27001:2013. En la siguiente figura se esquematizan los
elementos que la componen, cómo interactúan entre ellos y su correspondencia con el proceso PDCA del
SGSI.
19
Figura 11: Modelo lógico de Herramienta de apoyo al SGSI propuesto. Fuente: Elaboración propia
Dado lo anterior, se explica el contenido de cada elemento (Hoja) de la Herramienta:
1. Hoja “NCh-ISO27001.Of2013”:
Se visualizan los controles del “Anexo A” de la norma NCh-ISO 27001:2013, los objetivos de cada
control, los requisitos para cumplirlos, y la descripción para su verificación, esta especificación debiese
tomarse como guía al momento de declarar cumplimientos, ver Anexo 8.1.
Esta hoja permite el alcance oportuno de los controles de la norma al momento de realizar las etapas del
proceso de planificación del SGSI.
2. Hoja “Inventario”
Como primera parte del proceso de planificación de un SGSI, se debe realizar el inventario de los activos
de información. En esta hoja, se diseñó un apartado para la descripción de los procesos, la identificación
de los activos de información y el análisis de criticidad, ver Anexo 8.2.
3. Hoja “Análisis de Riesgos”

La gestión del riesgo comprende dos etapas: la evaluación y el tratamiento. En esta hoja se debe registrar
todo el detalle del análisis de los riesgos. Una vez que han sido identificados los activos de información,
se requiere caracterizar los riesgos que los amenazan, cuantificando el nivel de severidad y el tratamiento
necesario. Para cada riesgo vinculado a un activo especifico, se asocia uno o más controles para su
mitigación sobre la base de los dominios de seguridad que sean pertinentes (según hoja “NCh-ISO
27001.Of2013”), considerando para ello la naturaleza del riesgo, el tipo y criticidad declarada para el
activo. Al determinar los controles que se necesitan para mitigar cada riesgo, se debe señalar para cada
uno de ellos si los productos asociados se encuentran implementados (y operando) en la Institución. En
caso afirmativo, se señala como un control cumplido; al contrario, si un control no se ha implementado,
20
éste representa una brecha a superar y se debe señalar como NO-cumplido. Esto determina el nivel de
cumplimiento que tiene el Servicio en su diagnóstico por cada dominio de seguridad, el cual se verá
reflejado en la hoja Resumen del Diagnóstico del instrumento, ver Anexo 8.3.
4. Hoja “Plan General”

Esta hoja está diseñada para dar forma al Plan General de Seguridad. Esta es la definición clara y
operativa de los productos que se busca alcanzar y que permitan implementar las acciones de mitigación
de riesgo que correspondan a las brechas detectadas en el diagnóstico.
La identificación de los productos en el Plan debe ser consistente con la descripción de los productos
esperados ya definidos en la fase de análisis de riesgos, en la hoja “Análisis de Riesgos”. Se debe
especificar - para cada producto incluido en el programa- el detalle de sus actividades, sus plazos de
ejecución y sus responsables (cargo y nombre). Se debe incluir en este detalle de actividades la debida
señalización de los hitos (obtención de producto intermedio o final), y por otra parte las acciones
orientadas a difusión/capacitación/sensibilización a todos los funcionarios sobre el programa de trabajo y
sus productos, ver Anexo 8.4.1 y 8.4.2.
5. Hoja “Implementación”
El objetivo de esta hoja es controlar la ejecución del Plan General, registrando la realización de los hitos o
actividades comprometidas en la etapa de planificación, ver Anexo 8.5.
5.3.1 Vinculación de la Herramienta con los Servicios Clínicos y Unidades Administrativas
La Herramienta de apoyo al SGSI propuesto está diseñada para que su acceso esté previsto desde todos los
Servicios Clínicos y Unidades Administrativas del HGF (Figura 12), siendo restringidas para su edición
las hojas “NCh-ISO27001.Of2013”, “Plan General” e “Implementación” teniendo autorización para su
modificación sólo el Comité de Seguridad de la Información.
Figura 12: Diagramación lógica de acceso desde los Servicios Clínicos y Unidades Administrativas con la Herramienta de apoyo
al SGSI propuesto. Fuente: Elaboración propia
21
La comunicación entre los usuarios y la herramienta será utilizando la red de área local (LAN) y el acceso
es a través de carpetas compartidas (Figura 13), pudiendo más de un usuario ingresar a la herramienta,
pero sólo pudiendo editar la información correspondiente a su servicio o unidad de origen.
Figura 13: Comunicación entre los Servicios y Unidades con la Herramienta de apoyo al SGSI propuesto. Fuente: Elaboración
propia
La Herramienta de apoyo al SGSI propuesto en su formato digital y los resultados de su aplicación son
entregados en un CD adjunto a este Trabajo de Título.
5.4 APLICACIÓN DE LA HERRAMIENTA A UN CASO DE ESTUDIO: CIRUGÍA

ADULTO.
La Herramienta representa fielmente la aplicación de la norma NCh-ISO 27001:2013 con orientación a la

gestión de riesgos. Por tanto, el objetivo del caso de estudio, Servicio de Cirugía Adulto, es poder verificar
y establecer mejoras a la planificación y diseño del sistema propuesto.
De acuerdo con lo anterior, el Servicio de Cirugía Adulto no tiene sus procesos documentados que, si bien
no se presenta como una dificultad al momento de realizar el inventario de los activos, es información que
quedará incompleta en la Herramienta. La importancia de poder identificar el proceso en el cual participa
el activo se radica en el control que se otorgará para el tratamiento del riesgo, entendiendo que un mismo
activo puede ser utilizado en distintos servicios, por tanto, en distintos procesos y con distinto grado de
importancia.
Otro aspecto relevante que considerar es el nivel de conocimiento de los funcionarios de la Institución
respecto a la seguridad de la información y en consecuencia con el sistema de gestión de seguridad de la
información. Es importante que cada usuario que haga uso de la Herramienta sea oportunamente
capacitado. Considerando lo expuesto anteriormente, se elaboró un Manual de Instalación y Uso para
apoyar y garantizar un eficiente uso de la Herramienta (Anexo 9).
22
6. DISCUSIÓN
En nuestro país, la seguridad de la información aún es un tema en boga, a pesar de toda la reglamentación
existente al respecto. En esta línea, es importante que la Institución asuma un compromiso con la
seguridad de sus activos, teniendo en cuenta que con ello implica también la seguridad y derechos del
paciente y por consecuencia la percepción que tiene el mismo con el nivel de calidad en la atención
recibida.
El principal impacto que tuvo el desarrollo de este trabajo fue el crear consciencia sobre la relevancia de la
seguridad de la información, más aun considerando el tipo de información que maneja la Institución, por
otra parte, no todos los funcionarios manejan el concepto ni dimensionan los beneficios que trae consigo
la aplicación de la seguridad sobre sus activos, considerando erradamente que sólo los activos
informáticos son susceptibles a posibles riesgos y amenazas, dejando las responsabilidades en manos de la
Unidad de Informática. Por ello, es necesaria una capacitación para quienes manejen la Herramienta de
apoyo al SGSI propuesto o tengan acceso a ella.
Si bien, para definir la situación actual del HGF de acuerdo al cumplimiento de la norma NCh-ISO
27001:2013 participó el jefe de la Unidad de Informática y la Encargada de Seguridad de la Información
respondiendo la planilla (Anexo 5) es importante que para su diagnóstico futuro, en el marco del
mejoramiento continuo, su aplicación sea más representativa e incluya a todos los usuarios de la
Herramienta, al Comité de Seguridad de la Información, la Unidad de Informática y todo aquel
funcionario que maneje directa e indirectamente los principales activos de información de la Institución.
En consecuencia, de acuerdo con lo presentado en el capítulo de resultados, se pudo cumplir con los
objetivos propuestos para el desarrollo de este Trabajo de Título. En este contexto, la aplicación de la
Herramienta es un proceso que involucra la verificación y mejora continua del sistema de gestión, por
tanto, se debe seguir trabajando en ella. La contribución más concreta fue el desarrollo del documento
para la estrategia y propuesta de diseño del SGSI, que será presentado al Comité de Seguridad de la
Información para su revisión y futura tramitación para obtener la resolución que apruebe formalmente su
aplicación en la Institución.
7. CONCLUSIÓN
Los sistemas de información y las tecnologías en general juegan un papel fundamental en la prestación de
servicios de las organizaciones, satisfacción del cliente, logro de objetivos, cumplimiento de la misión y
visión, entre otras. Sin embargo, el uso, manejo y almacenamiento de información conlleva riesgos que la
mayoría de las veces son desconocidos por la Dirección y no invierten en mecanismos de protección, así
como tampoco en la implementación de modelos de seguridad de la información.
Este trabajo de título permitió conocer y dar a conocer los beneficios que conlleva la implementación de
un SGSI, además de la aplicación sistémica de una norma de gestión, poniendo a prueba mis capacidades
como futuro Ingeniero Civil Biomédico.
De acuerdo con el análisis de la situación actual en la Institución en cuanto al cumplimiento de la norma

NCh-ISO 27001:2013, se infiere que existe un alto grado de cumplimiento en cuanto a la implementación
de controles, no así para el cumplimiento de las cláusulas de la norma, siendo la falta de documentación
que respalde la ejecución de dichos controles una de las grandes debilidades que presenta la Institución.
La estrategia y propuesta de diseño presentada fue aplicada en el servicio de Cirugía Adulto, como caso de
estudio, pudiendo replicarse en un futuro a otros servicios y unidades de la Institución, no tan sólo
clínicos, sino también administrativos.
23
8. REFERENCIAS
[1] Ministerio de Salud, División Jurídica, "Política general de seguridad de la información," 2014.
[Online]. Available: http://ciperchile.cl/pdfs/2016/03/red-minsal/Seguridad-de-la-Informacion.pdf.
[2] AENOR Chile, "La clave de seguridad para su sistema de información," Abril 2018. [Online].
Available: http://www.aenorchile.com/seguridad-de-la-informaci%C3%B3n.aspx.
[3] A. Arriola Vera y R. Salas Fuentes, "Curso: Sensibilización en la seguridad de la información en
redes sociales y canales de comunicación informal," in Pontificia Universidad Católica de
Valparaíso, Escuela de Economía y Negocios, Valparaíso, 2018.
[4] Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual
(INDECOPI), "Principios de la seguridad de la información," [Online]. Available:
https://www.indecopi.gob.pe/principios-de-la-seguridad-de-la-informacion. [Accessed Mayo 2018].
[5] ISO/IEC 27001:2005, "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión
de seguridad de la información - Requerimientos," 2005.
[6] ISO27000.ES, "SGSI," 2012. [Online]. Available: http://www.iso27000.es/sgsi.html. [Accessed
Abril 2018].
[7] Porfitline, "Seguridad Informática," [Online]. Available: https://profitline.com.co/servicios/it-
seguridad-informatica/. [Accessed Junio 2018].
[8] Universidad Nacional de Colombia, "Plan de Gestión de un SGSI," [Online]. Available:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/capitulo_4_plan_de_gestion_de_un_sgsi.html.
[9] Calidad & Gestión, "CICLO PDCA - ESTRATEGIA PARA LA MEJORA CONTINUA," [Online].
Available: http://www.calidad-
gestion.com.ar/boletin/58_ciclo_pdca_estrategia_para_mejora_continua.html. [Accessed Junio
2018].
[10] Gobierno de Chile, "Ley 20584, Regula los derechos y deberes que tienen las personas en relación
con las acciones vinculadas a su atención en salud," 2012. [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=1039348.
[11] Gobierno de Chile, "Ley 19628, Sobre protección de la vida privada," 1999. [Online]. Available:
[12] Gobierno de Chile, "Ley 20285, Sobre acceso a la información pública," 2008. [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=276363&tipoVersion=0.
[13] Gobierno de Chile, "Ley 19223, Tipifica figuras penales relativas a la información," 1993. [Online].
Available: https://www.leychile.cl/Navegar?idNorma=30590&idVersion=1993-06-07.
[14] Gobierno de Chile, "Decreto 83, Aprueba norma técnica para los órganos de la administración del
Estado sobre seguridad y confidencialidad de los documentos electrónicos," [Online]. Available:
[15] International Organization for Standardization, "The ISO Survey of Management System Standar
Certifications 2016," Septiembre 2017. [Online]. Available:
https://isotc.iso.org/livelink/livelink/fetch/-
8853493/8853511/8853520/18808772/00._Executive_summary_2016_Survey.pdf?nodeid=1920889
8&vernum=-2. [Accessed Julio 2018].
[16] International Organization for Standardization, "ISO Survey of certifications to management system
standards - Full results," Noviembre 2017. [Online]. Available:
https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1.
24
[Accessed Julio 2018].
[17] Universidad Nacional Abierta y a Distancia, "Especialización Seguridad Informática," [Online].
Available: https://estudios.unad.edu.co/especializacion-en-seguridad-informatica.
[18] Universidad Nacional Abierta y a Distancia, "Repositorio Institucional UNAD, "ISO 27001","
[Online]. Available: https://repository.unad.edu.co/simple-search?query=ISO+27001.
[19] Dirección de Presupuestos Gobierno de Chile (DIPRES), "Red de Expertos," [Online]. Available:
http://www.dipres.gob.cl/598/w3-propertyvalue-16176.html. [Accessed Abril 2018].
[20] CSIRT, Ministerio del Interior y Seguridad Pública, "Qué es el PMG SSI," [Online]. Available:
https://csirt.gob.cl/ques_es_el_pmg.html.
[21] Dirección de Presupuestos Gobierno de Chile (DIPRES), "Programa de Mejoramiento de Gestión
(PMG)," [Online]. Available: http://www.dipres.gob.cl/598/w3-propertyvalue-15230.html.
[Accessed Abril 2018].
[22] Red de Expertos, Subsecretaría del Min. Interior - División Informática, Dirección de Presupuestos
del Min. de Hacienda, División Tecnologías de la Información, "Guía Metodológica 2015, Indicador
Transversal SSI, Sistema de Seguridad de la Información, Programa Marco PMG 2015," 2015.
[Online]. Available: http://www.dipres.gob.cl/598/articles-
51683_intro_Guia_Metodologica04_2015.pdf.
[23] Consejo de Auditoría Interna General del Gobierno (CAIGG), "Fases Gestión de Riesgos," [Online].
Available: http://www.auditoriainternadegobierno.gob.cl/la-gestionriesgo/fases-gestion-de-riesgos/.
[24] Portal Administración Electrónica, "MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información," [Online]. Available:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.WzO-BNJKjIV. [Accessed Junio 2018].
[25] European Union Agency for Network and Information Security, "Magerit," [Online]. Available:
https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-
management-inventory/rm-ra-methods/m_magerit.html. [Accessed Agosto 2018].
[26] Dirección de Presupuesto Gobierno de Chile (DIPRES), "Sistema Seguridad de la Información,
Instrumentos 2016," [Online]. Available: http://www.dipres.gob.cl/598/w3-article-51683.html.
[Accessed Abril 2018].
[27] Instituto Nacional de Normalización (INN), "Norma Chilena NCh-ISO 27001," 2013.
[28] D. Kosutic, "Informe: Lista de documentación obligatoria requerida por ISO/IEC 27001," 2014.
[Online]. Available:
https://cdn2.hubspot.net/hubfs/1983423/27001Academy/27001Academy_FreeDownloads/ES/Checkl
ist_of_ISO_27001_Mandatory_Documentation_ES.pdf?t=1531821514679&utm_campaign=free-
resources-
27001&utm_source=hs_automation&utm_medium=email&utm_content=37193827&_hsenc.
25
9. GLOSARIO
• Activo de información: Se define como todo aquello que pueda generar valor para la empresa u
organización y que éstas sientan la necesidad de proteger. Un activo o recurso informático está
representado por los objetos físicos, objetos abstractos e incluso el personal de trabajo y las
oficinas.
• Amenaza: Es el potencial que un intruso o evento explote una vulnerabilidad específica. Es
cualquier probabilidad que pueda ocasionar un resultado indeseable para la organización o para un
activo en específico. Son acciones que pueden causar daño, destrucción, alteración, pérdida o
relevancia de activos que podrían impedir su acceso o prevenir su mantenimiento.
• Ataque: Es cualquier intento no autorizado de acceso, uso, alteración, exposición, robo,
indisposición o destrucción de un activo.
• Confidencialidad: Necesidad de permitir el acceso al activo solo a las personas debidamente
autorizadas de acuerdo con lo definido por la Institución. El acceso no autorizado tiene impacto
para la Institución o terceros. Para establecer este atributo, se debe considerar las leyes 20.285, y
19.628, así como también la etapa del proceso en la cual se realiza el análisis del activo.
• Control de seguridad: Es un conjunto de normas, técnicas, acciones y procedimientos que
interrelacionados e interactuando entre sí con los sistemas y subsistemas organizacionales y
administrativos, permite evaluar, comparar y corregir aquellas actividades que se desarrollan en
las organizaciones, garantizando la ejecución de los objetivos y el logro de las metas
institucionales.
• Disponibilidad: Necesidad de preservar el tiempo de acceso al activo bajo un umbral predefinido
por la Institución. Sobrepasar dicho umbral implica indisponibilidad del activo la que genera
distintos niveles de impacto para la Institución o terceros. El valor de este atributo está
directamente relacionado con la magnitud de dicho impacto.
• Evento: Es una situación que es posible pero no certera; es siempre una circunstancia futura y
tiene influencia directa o indirecta sobre el resultado. Un evento se trata como un suceso negativo
y representa algo indeseado.
• Impacto: Es la cantidad de daño que puede causar una amenaza que explote una vulnerabilidad.
• Integridad: Necesidad de preservar la configuración y contenido de un activo de información. Su
modificación no deseada tiene consecuencias que generan distintos niveles de impacto para la
Institución o terceros. El valor de este atributo está directamente relacionado con la magnitud de
dicho impacto.
• Políticas de seguridad: Es un documento que define el alcance de la necesidad de la seguridad
para la organización y discute los activos que necesitan protección y el grado para el cual deberían
ser las soluciones de seguridad con el fin de proveer la protección necesaria.
• Riesgo informático: Es la probabilidad de que una amenaza en particular exponga una
vulnerabilidad que podría afectar a la organización. Es la posibilidad de que algo pueda dañar,
destruir o revelar datos u otros recursos.
• Sistema de Gestión de Seguridad de la Información (SGSI): Es un marco de administración
general a través del cual las organizaciones identifican, analizan y direccionan sus riesgos en la
seguridad de la información. Su correcta implementación garantiza que los acuerdos de seguridad
están afinados para mantenerse al ritmo constante con las amenazas de seguridad,
26
vulnerabilidades e impactos en el negocio, el cual es un aspecto que considerar, teniendo en
cuenta la competitividad y cambios a los que se enfrentan las organizaciones hoy en día.
• Vulnerabilidad: Es una falla o debilidad en los procedimientos, diseño, implementación o
controles internos en un Sistema de Gestión de Seguridad de la Información. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una organización o para un
activo en específico.
27
10. ANEXOS
10.1 ANEXO 1: REQUISITOS PARA EL CUMPLIMIENTO DE LA NORMA ISO/IEC

27001:2013
CLÁUSULA NORMA DESCRIPCIÓN GENERAL
La organización debe estar consciente de las cuestiones internas y

4. CONTEXTO DE LA externas que podrían influir en los resultados deseados de la seguridad
ORGANIZACIÓN de la información, así como determinar su alcance, límites y capacidad,
garantizando que el SGSI cumpla los requerimientos de la norma.
La alta gerencia de la organización debe liderar el proceso del SGSI

verificando que se cumplan los requerimientos de la norma,
5. LIDERAZGO garantizando los recursos, documentando las políticas y objetivos de
seguridad propuestos, asignando las responsabilidades para cada una de
las actividades y promoviendo el mejoramiento continuo.
La organización debe escoger una metodología de clasificación, análisis

y evaluación de riesgos, formando criterios para establecer los controles
6. PLANIFICACIÓN
de seguridad y así mantener los niveles de riesgo a un nivel aceptable de
acuerdo con las políticas y objetivos de seguridad.
La organización debe velar por comunicar las políticas de seguridad de

la información a sus empleados y que éstos se comprometan al
mejoramiento continuo del SGSI. A su vez, también se deben garantizar
7. SOPORTE
los recursos y la cualificación de las personas para llevar a cabo cada
actividad. También se deben generar los documentos que exige la
norma y que éstos tengan su nivel de clasificación.
La organización debe documentar y planear los procesos para llevar a

8. OPERACIÓN cabo las actividades, incluyendo las valoraciones de riesgos de la
seguridad de la información y el plan de tratamiento de riesgos.
La organización debe velar el desempeño de la seguridad de la

9. EVALUACIÓN DEL información y medir la eficacia del SGSI, mediante auditorías internas a
DESEMPEÑO intervalos planificados, con el fin de verificar si se están cumpliendo
con los objetivos y políticas de seguridad, así como con la norma.
28
La organización debe aplicar las acciones correctivas y promover un

10. MEJORA
mejoramiento continuo.
Tabla 4: Requisitos para el cumplimiento de la norma NCh-ISO 27001:2013. Fuente: Elaboración propia basada en [27].
10.2 ANEXO 2: DOCUMENTOS OBLIGATORIOS A PRESENTAR PARA EL

CUMPLIMIENTO DE LA NORMA ISO/IEC 27001:2013
DESCRIPCIÓN GENERAL (Capítulo de ISO

DOCUMENTO
27001:2013)
Se redacta al inicio de la implementación y contiene

Alcance del SGSI
el alcance y limitaciones del SGSI. (4.3)
Documento de alto nivel que detalla el principal

Políticas y Objetivos de Seguridad de la
objetivo del SGSI y las directrices generales
Información
relativas a la seguridad de la información. (5.2, 6.2)
Metodología de Evaluación y Tratamiento de Detalla la selección de la metodología de evaluación

Riesgos y tratamiento de riesgos a aplicar. (6.1.2)
Se redacta en base a los resultados del tratamiento

del riesgo y describe qué controles del Anexo A son
Declaración de Aplicabilidad
aplicables, cómo se implementarían y su estado
actual. (6.1.3 d)
Redacta un plan de acción sobre cómo implementar
Plan de Tratamiento del Riesgo, Informe sobre
los diversos controles definidos por la Declaración
Evaluación y Tratamiento de Riesgos
de Aplicabilidad. (6.1.3e, 6.2), (8.2, 8.3)
Definición de Funciones y Responsabilidades Detalla las funciones y responsabilidades relativas a

de Seguridad la seguridad de la información. (A.7.1.2, A.13.2.4)
Detalla todos los activos informáticos de la

Inventario de Activos
organización. (A.8.1.1)
Define el tratamiento que reciben los activos que no

Uso Aceptable de los Activos
han sido involucrados en otro proceso. (A.8.1.3)
Detalla las políticas para el control del acceso lógico

Política de Control de Acceso
y físico. (A.9.1.1)
Tabla 5: Documentos obligatorios a presentar para el cumplimiento de la norma ISO/IEC 27001:2013. Fuente: Elaboración
propia basada en [28]
29
10.3 ANEXO 3: LISTADO DE NORMATIVA VIGENTE RELACIONADA CON LA
SEGURIDAD DE LA INFORMACIÓN
➢ Ley N°19.553, febrero 1998. Concede asignación de modernización y otros beneficios que indica.
Ministerio de Hacienda.
➢ Decreto N°475. Reglamento Ley 19.553 para la aplicación del incremento por Desempeño
institucional del artículo 6° de la Ley y sus modificaciones.
➢ Ley N°20.212, agosto de 2007. Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales,
con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de Hacienda.
➢ Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios de
certificación de dicha firma. Ministerio de Economía.
➢ DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la
certificación de dicha firma.
➢ Instructivo Presidencial Nº 05, mayo de 2001: Define el concepto de Gobierno Electrónico.
Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico en
Chile.
➢ Instructivo Presidencial Nº 06, junio de 2004: Imparte instrucciones sobre la implementación de la
firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del
Estado, para dotar así de un mayor grado de seguridad a las actuaciones gubernamentales que
tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de
las personas que suscriben tales documentos.
➢ DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos
electrónicos.
➢ DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y
confidencialidad de los documentos electrónicos.
➢ DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no
deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus
funcionarios.
➢ DS N°14, 27 de febrero de 2014, Ministerio de Economía, Fomento y Turismo. Modifica Decreto
Nº 181 de 2002.
➢ Ley Nº 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el
derecho de acceso a la información de los órganos de la administración del Estado. Ministerio
Secretaría General de la Presidencia.
➢ Instrucción General N°2, mayo de 2009, del Consejo para la Transparencia: Designación de
Enlaces con el Consejo para la Transparencia.
➢ Instrucción General N°3, mayo de 2009, del Consejo para la Transparencia: Índice de Actos o
Documentos calificados como secretos o reservados.
➢ Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia
Activa y Publicidad de la Información de la Administración del Estado.
➢ Circular Nº3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y
dispone los materiales necesarios para facilitar la implementación del instructivo presidencial
sobre transparencia activa y publicidad de la información de la Administración del Estado.
➢ Ley Nº 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen
los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la
Presidencia.
➢ Instructivo Presidencial N°4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley de
Bases de Procedimientos Administrativos.
➢ Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales. Ministerio
Secretaría General de la Presidencia.
➢ Ley Nº 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública.
➢ Ley Nº 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
30
➢ Ley Nº 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.
➢ Guía Metodológica del Sistema Gobierno Electrónico.
➢ Guía Metodológica del Sistema Seguridad de la Información.
31
10.4 ANEXO 4: CARTA GANTT TRABAJO DE TITULACIÓN
PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE

LA INFORMACIÓN EN EL HOSPITAL DR. GUSTAVO FRICKE A
TRAVÉS DE LA APLICACIÓN DE LA NORMA NCh-ISO
27001:2013
2018
ABRIL MAYO JUNIO JULIO AGOSTO
Planificación
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1
Definir horario de trabajo con referente, considerando la
participación en las funciones que respectan a la seguridad de la
información dentro del HGF
Estudiar bibliografía del estado del arte y marco teórico, teniendo
como base la norma NCh-ISO 27001:2013
Analizar información proporcionada por el referente respecto a
OE 1
seguridad de la información
Comparar estado actual de la gestión de seguridad de la
información en el HGF y lo establecido por la norma NCh- ISO
27001:2013
Establecer situación actual del HGF respecto a la seguridad de la
información
Establecer metodología de trabajo de acuerdo al estado del arte y
requerimientos del HGF, conforme a los lineamientos de la norma
NCh-ISO 27001:2013 para formular una estrategia que permita la
OE 2 implementación de un SGSI
Generar documentación que respalde la estrategia y propuesta de
diseño para la implementación de un SGSI en el HGF
Obtener aprobación y validación del referente
Definir plataforma para el diseño de una herramienta que apoye
la implementación del SGSI propuesto
OE 3
Diseñar y construir, de acuerdo a la estrategia propuesta la
herramienta para la implementación de un SGSI
Definir de acuerdo con el referente, servicio clínico para
aplicación de la herramienta desarrollada
Coordinar reunión con Enfermera Supervisora del Servicio
OE 4 Clínico definido como caso de estudio, para presentación del
proyecto y la importancia de su implementación en la Unidad
Coordinar reuniones con el personal del servicio clínico para dar
inicio a la implementación
32
10.5 ANEXO 5: ANÁLISIS DE LA SITUACIÓN ACTUAL
10.5.1 Cláusulas de la norma NCh-ISO 27001:2013
CUMPLE
REQUISITO 4. CONTEXTO DE LA ORGANIZACIÓN
(SI/NO)
Determinar asuntos internos y externos a la
organización, importantes para sus objetivos y para
COMPRENSIÓN DE
los resultados esperados del SGSI.
LA
4.1 SI
ORGANIZACIÓN Y
NOTA: De acuerdo a lo considerado en ISO
SU CONTEXTO
31000:2009 5.3. Esto es, establecer el contexto de
gestión de riesgos.
COMPRENSIÓN DE Determinar partes interesadas pertinentes para el
LAS NECESIDADES SGSI y sus requisitos.
4.2 Y EXPECTATIVAS SI
DE LAS PARTES NOTA: Requerimientos legales, regulatorios,
INTERESADAS contractuales.
DETERMINACIÓN
DEL ALCANCE DEL
Determinar límites y aplicabilidad del SGSI,
SISTEMA DE
4.3 considerando los puntos anteriores. El alcance NO
GESTIÓN DE LA
debe ser documentado.
SEGURIDAD DE LA
INFORMACIÓN
SISTEMA DE
Establecer, implementar, mantener y mejorar de
GESTIÓN DE
4.4 manera continua un SGSI de acuerdo a lo NO
SEGURIDAD DE LA
establecido en la norma ISO 27001:2013.
INFORMACIÓN
CUMPLE
REQUISITO 5. LIDERAZGO
(SI/NO)
La Dirección debe demostrar liderazgo y
compromiso con respecto al SGSI, asegurando que
los objetivos de la política de la seguridad de la
información sean compatibles con la dirección
estratégica de la Institución, asegurando la
integración entre el SGSI y los procesos de la
LIDERAZGO Y
5.1 Institución, asegurando los recursos necesarios SI
COMPROMISO
disponibles, además, comunicando la importancia
de la gestión de la seguridad de la información y el
cumplimiento de los requisitos del SGSI, por otro
lado, dirigiendo y apoyando a las personas que
contribuyen en el SGSI y promoviendo la mejora
continua.
La Dirección debe establecer una política de
seguridad de la información y esta debe ser
5.2 POLÍTICA pertinente al objetivo de la Institución, incluir los SI
objetivos de seguridad de la información e incluir
compromisos para satisfacer los requisitos
33
CUMPLE
REQUISITO 5. LIDERAZGO
(SI/NO)
aplicables relacionados a la seguridad de la
información y la mejora continua. Dicha política
debe estar disponible y documentada y
comunicada y difundida dentro de la
Institución.
ROLES
ORGANIZACIONA- La Dirección debe asignar las responsabilidades y
LES, autoridad para asegurar que el SGSI cumple con
5.3 SI
RESPONSABILIDA- los requisitos de la norma e informar sobre el
DES Y desempeño de este.
AUTORIDADES
CUMPLE
REQUISITO 6. PLANIFICACIÓN
(SI/NO)
ACCIONES PARA
ABORDAR LOS
6.1 _ _
RIESGOS Y
OPORTUNIDADES
Considerar punto 4.1 y 4.2 y determinar los riesgos
y oportunidades que necesitan ser cubiertos para
asegurar que el SGSI logre los resultados
esperados, disminuir o evitar los efectos no
6.1.1 GENERALIDADES deseados y lograr la mejora continua, por tanto, la NO
Institución debe planificar las acciones para
abordar estos riesgos y oportunidades y definir
cómo implementarlas e integrarlas en los procesos
del SGSI, además de evaluar su eficacia.
EVALUACIÓN DE
RIESGOS DE LA Definir y aplicar un proceso de evaluación de
6.1.2 NO
SEGURIDAD DE LA riesgo de seguridad de la información.
INFORMACIÓN
TRATAMIENTO DE
Definir y aplicar un proceso de tratamiento de
LOS RIESGOS DE
6.1.3 riesgo de la seguridad de la información que NO
SEGURIDAD DE LA
permita determinar los controles necesarios.
INFORMACIÓN
Establecer objetivos de seguridad de la
información en niveles y funciones relevantes,
OBJETIVOS DE
considerando que sea consistente con la política de
SEGURIDAD DE LA
seguridad de la información (5.2), sean medibles,
6.2 INFORMACIÓN Y NO
si es posible, además tomar en consideración los
PLANIFICACIÓN
requisitos de seguridad de la información aplicable
PARA LOGRARLO
y los resultados del punto 6.1.3, por otra parte, los
objetivos deben ser comunicados y actualizados.
34
CUMPLE
REQUISITO 7. SOPORTE
(SI/NO)
Determinar y proporcionar recursos para el punto
7.1 RECURSOS SI
4.4
Determinar competencias necesarias del RRHH
que afecta en el desempeño de seguridad de la
7.2 COMPETENCIAS información, tomar acciones para adquirir las SI
competencias necesarias y retener la información
documentada como evidencia de competencia.
Las personas deben estar al tanto de la política de
la seguridad de la información, la contribución del
7.3 CONOCIMIENTO NO
SGSI y las implicaciones de no cumplir con los
requisitos del SGSI.
La Institución debe determinar la necesidad de
7.4 COMUNICACIÓN comunicaciones internas y externas que sean NO
pertinentes al SGSI.
INFORMACIÓN
7.5 _ _
DOCUMENTADA
El SGSI debe incluir la información
documentada necesaria definida en la norma ISO
7.5.1 GENERALIDADES NO
27001:2013 y la definida por la misma Institución
como necesaria.
Se debe asegurar la identificación y descripción de
CREACIÓN Y
7.5.2 la información, así como el formato y la revisión y NO
ACTUALIZACIÓN
aprobación de esta.
La información documentada necesaria para el
SGSI debe estar disponible y debidamente
CONTROL DE LA
protegida. Además, la Institución debe abordar su
7.5.3 INFORMACIÓN NO
distribución, acceso, recuperación y uso;
DOCUMENTADA
almacenamiento y conservación; control de
cambios; retención y disposición.
CUMPLE
REQUISITO 8. OPERACIÓN
(SI/NO)
La Institución debe planificar, implementar y
controlar los procesos necesarios para cumplir con
los requisitos de seguridad de la información y
PLANIFICACIÓN Y para implementar las acciones definidas los puntos
8.1 CONTROL 6.1 y 6.2. Además, se debe mantener la NO
OPERACIONAL información documentada y tener la certeza de
que los procesos se llevan a cabo según lo
planeado, por otro lado, se deben controlar los
cambios planificados y los nos planificados,
VALORACIÓN DE Se deben realizar evaluaciones de riesgo de la
RIESGOS DE seguridad de la información en intervalos
8.2 NO
SEGURIDAD DE LA planificados considerando los criterios establecidos
INFORMACIÓN en el punto 6.1.2
35
CUMPLE
REQUISITO 8. OPERACIÓN
(SI/NO)
TRATAMIENTO DE
La Institución debe implementar el plan de
LOS RIESGOS DE
8.3 tratamiento del riesgo de la seguridad de la NO
SEGURIDAD DE LA
información, se deben documentar los resultados,
INFORMACIÓN
CUMPLE
REQUISITO 9. EVALUACIÓN DEL DESEMPEÑO
(SI/NO)
SEGUIMIENTO,
La Institución debe evaluar el desempeño de la
MEDICIÓN,
9.1 seguridad de la información y la efectividad del NO
ANÁLISIS Y
SGSI.
EVALUACIÓN
La Institución debe llegar a cabo auditorías
AUDITORIA
9.2 internas en intervalos planificados para NO
INTERNA
proporcionar información sobre el SGSI.
La Dirección debe revisar el sistema de gestión de
REVISIÓN DE la seguridad de la información en los plazos
9.3 NO
GESTIÓN planificados para asegurar su conveniencia,
suficiencia y efectividad continua.
CUMPLE
REQUISITO 10. MEJORA
(SI/NO)
Cuando ocurre una no conformidad, la
Institución debe reaccionar frente a esta y
evaluar la necesidad de acción para eliminar las
causas de no conformidad y que asi esto no
NO
vuelva a ocurrir o bien que ocurra en otro lugar.
CONFORMIDADES Y
10.1 Además, debe implementar las acciones NO
ACCIONES
necesarias y hacer cambios en el SGSI de así
CORRECTIVAS
requerirlo. Toda información debe ser
documentada como evidencia de la naturaleza
de las no conformidades y los resultados de las
acciones correctivas.
La Institución debe mejorar de manera continua
10.2 MEJORA CONTINUA la conveniencia, suficiencia y efectividad del NO
SGSI.
36
10.5.2 Dominios de control, objetivos y controles
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN

A.5.1 Orientación de la Dirección para la gestión de la seguridad de la información
Objetivo: Brindar orientación y soporte por parte de la Dirección, para la seguridad de la información
de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes
Control: La Dirección debe definir, aprobar, publicar y
comunicar a todos los empleados y a las partes externas CUMPLE
Políticas para la pertinentes un grupo de políticas para la seguridad de la
A.5.1.1 seguridad de la información
información
NO
Control: Se deben revisar las políticas de seguridad de la

información a intervalos planificados, o si se producen CUMPLE
Revisión de las
cambios significativos, para asegurar su conveniencia,
políticas de
A.5.1.2 suficiencia, y eficacia continua
seguridad de la
información NO
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1 Organización interna
Objetivo: Establecer un marco de trabajo de la dirección para comenzar y controlar la implementación y
funcionamiento de la seguridad de la información dentro de la organización
Control: Todas las responsabilidades de la seguridad de la
información deben se definidas y asignadas CUMPLE
Roles y
responsabilidades
A.6.1.1
de la seguridad de
la información NO
Control: Se deben segregar las funciones y las áreas de

responsabilidad para reducir las oportunidades de CUMPLE
modificaciones no autorizadas o no intencionales, o el uso
Segregación de
A.6.1.2 inadecuado de los activos de la organización
funciones
NO
Control: Se deben mantener los contactos apropiados con las

autoridades pertinentes CUMPLE
Contacto con
A.6.1.3
autoridades
NO
A.6.1.4 Contacto con Control: Se deben mantener los contactos apropiados con los CUMPLE
37
grupos especiales grupos especiales de interés u otros foros especializados en
de interés seguridad, así como asociaciones de profesionales
NO
Control: Se debe abordar la seguridad de la información en

la gestión de proyecto, sin importar el tipo de proyecto CUMPLE
Seguridad de la
información en la
A.6.1.5
gestión de
proyecto NO
A.6.2 Dispositivos móviles y trabajo remoto

Objetivo: Garantizar la seguridad del trabajo remoto y el uso de dispositivos móviles
Control: Se debe adoptar una política y medidas de apoyo a
la seguridad para gestionar los riesgos presentados al usar CUMPLE
Política de dispositivos móviles
A.6.2.1 dispositivos
móviles NO
APLICA
Control: Se debe implementar una política y medidas de

apoyo a la seguridad para proteger la información a la que se CUMPLE
accede, procesa o almacena en los lugares de trabajo remoto
A.6.2.2 Trabajo remoto
SI
A.7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

A.7.1 Previo al empleo
Objetivo: Asegurar que los empleados y contratistas entiendan sus responsabilidades, y que sea aptos
para los roles para los cuales están siendo considerados
Control: Se debe realizar la verificación de antecedentes en
todos los candidatos al empleo, de acuerdo con las leyes, CUMPLE
regulaciones y normas éticas relevantes en proporción a los
A.7.1.1 Selección requisitos del negocio, la clasificación de la información a
ser accedida, y los riesgos percibidos
SI
Control: Los acuerdos contractuales con los empleados y

contratistas deben indicar sus responsabilidades y las de la CUMPLE
Términos y organización en cuanto a seguridad de le información
A.7.1.2 condiciones de la
relación laboral
SI
A.7.2 Durante el empleo

38
Objetivo: Asegurar que los empleados y contratistas estén en conocimiento y cumplan con sus
responsabilidades de seguridad de la información
Control: La Dirección debe solicitar a todos los empleados y
contratistas que apliquen la seguridad de la información de CUMPLE
acuerdo con las políticas y procedimientos establecidos por
Responsabilidade
A.7.2.1 la organización
s de la Dirección
SI
Control: Todos los empleados de la organización, y en donde

Concientización, sea pertinente, los contratistas deben recibir formación CUMPLE
educación y adecuada en concientización actualizaciones regulares en
A.7.2.2 formación en políticas y procedimientos organizacionales pertinentes para
seguridad de la su función laboral
información NO
Control: Debe existir un proceso disciplinario formal y

sabido por los empleados para tomar acciones en contra de CUMPLE
los empleados que hayan cometido una infracción a la
Proceso
A.7.2.3 seguridad de la información
disciplinario
NO
A.7.3 Desvinculación y cambio de empleo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o desvinculación
del empleo
Control: Se deben definir y comunicar las responsabilidades
Responsabilidade y funciones de la seguridad de la información que siguen en CUMPLE
s en la vigor después de la desvinculación o cambio de relación
A.7.3.1 desvinculación o laboral
cambio de
empleo NO
A.8 ADMINISTRACIÓN DE ACTIVOS

A.8.1 Responsabilidad por los activos
Objetivo: Identificar los activos de la organización y definir las responsabilidades de protección
pertinentes
Control: Los activos asociados a la información y a las
instalaciones de procesamiento de la información deben ser CUMPLE
identificados y se deben mantener y realizar un inventario de
Inventario de
A.8.1.1 dichos activos
activos
NO
Control: Los activos que se mantienen en inventario deben

Propiedad de los pertenecer a un dueño
A.8.1.2 CUMPLE
activos
39
SI
Control: Se deben identificar, documentar e implementar las

reglas para el uso aceptable de la información y los activos CUMPLE
asociados con la información y las instalaciones de
Uso aceptable de
A.8.1.3 procesamiento de información
los activos
NO
Control: Todos los empleados y usuarios de terceras partes

deben devolver todos los activos pertenecientes a la CUMPLE
organización que estén en su poder como consecuencia de la
Devolución de
A.8.1.4 finalización de su relación laboral, contrato o acuerdo
activos
SI
A.8.2 Clasificación de la información

Objetivo: Asegurar que la información recibe el nivel de protección adecuado, según su importancia
para la organización
Control: La información debe ser clasificada en términos de
requisitos legales, valor criticidad y sensibilidad para la CUMPLE
divulgación o modificación sin autorización
Clasificación de
A.8.2.1
la información
SI
Control: Se debe desarrollar e implementar un conjunto

apropiado de procedimientos para el etiquetado de la CUMPLE
información, de acuerdo al esquema de clasificación de
Etiquetado de la
A.8.2.2 información adoptado por la organización
información
SI
Control: Se deben desarrollar e implementar los

procedimientos para el manejo de activos, de acuerdo al CUMPLE
esquema de clasificación de información adoptado por la
Manejo de
A.8.2.3 organización
activos
SI
A.8.3 Manejo de los medios

Objetivo: Prevenir la divulgación no autorizada, modificación, eliminación o destrucción de la
información almacenada en los medios
Control: Se deben implementar los procedimientos para la
Gestión de los gestión de los medios removibles, de acuerdo al esquema de CUMPLE
A.8.3.1 medios clasificación adoptado por la organización
removibles
SI
40
Control: Se deben eliminar los medios de forma segura y sin

peligro cuando no se necesiten más, usando procedimientos CUMPLE
formales
Eliminación de
A.8.3.2
los medios
NO
Control: Los medios que contengan información se deben

proteger contra acceso no autorizado, uso inadecuado o CUMPLE
corrupción durante el transporte
Transferencia
A.8.3.3
física de medios
SI
A.9 CONTROL DE ACCESO

A.9.1 Requisitos de negocio para el control de acceso
Objetivo: Restringir el acceso a la información y a las instalaciones de procesamiento de información
Control: Se debe establecer, documentar y revisar una
política de control de acceso basadas en los requisitos del CUMPLE
negocio y de seguridad de la información
Política de
A.9.1.1
control de acceso
SI
Control: Los usuarios solo deben tener acceso directo a la

red y a los servicios de la red para los que han sido CUMPLE
Accesos a las autorizados específicamente
A.9.1.2 redes y a los
servicios de la red
SI
A.9.2 Gestión de acceso del usuario

Objetivo: Asegurar el acceso de los usuarios autorizados y evitar el acceso sin autorización a los
sistemas y servicios
Control: Se debe implementar un proceso de registro y
cancelación de registro de usuario para habilitar la asignación CUMPLE
Registro y
de derechos de acceso
cancelación de
A.9.2.1
registro de
usuario SI
Control: Debe existir un procedimiento formal de asignación

de acceso de usuario para asignar o revocar los derechos de CUMPLE
Asignación de acceso para todos los tipos de usuarios, todos los sistemas y
A.9.2.2
acceso de usuario servicios
SI
41
Control: Se debe restringir y controlar la asignación y uso de

los derechos de acceso privilegiado CUMPLE
Gestión de
derechos de
A.9.2.3
acceso
privilegiados SI
Control: Se debe controlar la asignación de información de

Gestión de autenticación secreta mediante un proceso de gestión formal CUMPLE
información
A.9.2.4 secreta de
autenticación de
usuarios SI
Control: Los propietarios de activos deben revisar los

derechos de acceso de los usuarios de manera periódica CUMPLE
Revisión de los
A.9.2.5 derechos de
acceso de usuario
SI
Control: Se deben retirar los derechos de acceso de todos los

empleados y usuarios externos a la información y a las CUMPLE
Eliminación o
instalaciones de procesamiento de información, una vez que
ajuste de los
A.9.2.6 termine su relación laboral, contrato o acuerdo o se ajuste
derechos de
según el cambio
acceso SI
A.9.3 Responsabilidades del usuario

Objetivo: Responsabilizar a los usuarios del cuidado de su información de autenticación
Control: Se debe exigir a los usuarios el cumplimiento de las
prácticas de la organización en el uso de la información de CUMPLE
Uso de
autenticación secreta
información de
A.9.3.1
autenticación
secreta SI
A.9.4 Control de acceso al sistema y aplicaciones

Objetivo: Evitar el acceso sin autorización a los sistemas y aplicaciones
Control: Se debe restringir el acceso a la información y a las
funciones del sistema de aplicaciones, de acuerdo con la CUMPLE
Restricción de política de control de acceso
A.9.4.1 acceso a la
información
SI
A.9.4.2 Procedimientos Control: Cuando lo exija la política de control de acceso, el CUMPLE

42
de inicio de acceso a los sistemas y aplicaciones debe ser controlado por
sesión seguro un procedimiento de inicio de sesión seguro
SI
Control: Los sistemas de gestión de contraseñas deben ser

interactivos y deber asegurar contraseñas de calidad CUMPLE
Sistema de
A.9.4.3 gestión de
contraseñas
SI
Control: Se debe restringir y controlar estrictamente el uso

de programas utilitarios que pueden estar en capacidad de CUMPLE
Uso de
anular el sistema y los controles de aplicación
programas
A.9.4.4
utilitarios
privilegiados SI
Control: Se debe restringir el acceso al código fuente de los

programas CUMPLE
Control de acceso
A.9.4.5 al código fuente
de los programas
SI
A.10 CRIPTOGRAFÍA
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad o integridad de la información
Control: Se debe desarrollar e implementar una política
sobre el uso de controles criptográficos para la protección de CUMPLE
Política sobre el la información
A.10.1.1 uso de controles
criptográficos
SI
Control: Se debe desarrollar e implementar una política

sobre el uso, protección y vida útil de las claves CUMPLE
criptográficas durante toda su vida útil
A.10.1.2 Gestión de claves
SI
43
A.11 SEGURIDAD FÍSICA Y DEL AMBIENTE

A.11.1 Áreas seguras
Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones de
procesamiento de la información y la información de la organización
Control: Se deben definir y utilizar perímetros de seguridad
para proteger las áreas que contienen ya sea información CUMPLE
sensible o crítica y las instalaciones de procesamiento de
Perímetro de
A.11.1.1 información
seguridad física
SI
Control: Las áreas seguras deben estar protegidas por

controles de entrada apropiado que aseguren que solo se CUMPLE
permite el acceso a personal autorizado
Controles de
A.11.1.2
acceso físico
SI
Control: Se debe diseñar y aplicar la seguridad física en

oficinas, salas e instalaciones CUMPLE
Seguridad de
A.11.1.3 oficinas, salas e
instalaciones
SI
Control: Se debe diseñar y aplicar la protección física contra

daños por desastre natural, ataque malicioso o accidentes CUMPLE
Protección contra
amenazas
A.11.1.4
externas y del
ambiente SI
Control: Se deben diseñar y aplicar procedimientos para

trabajar en áreas seguras CUMPLE
Trabajo en áreas
A.11.1.5
seguras
SI
Control: Se deben controlar los puntos de acceso tales como

áreas de entrega y de carga y otros puntos donde las personas CUMPLE
no autorizadas puedan acceder a las instalaciones, y si es
Áreas de entrega
A.11.1.6 posible, aislarlas de las instalaciones de procesamiento de la
y carga
información para evitar el acceso no autorizado
SI
A.11.2 Equipamiento
Objetivo: Objetivo: Prevenir pérdidas, daños, hurtos o el compromiso de los activos asi como la
interrupción de las actividades de la organización
44
Control: El equipamiento se debe ubicar y proteger para
reducir los riesgos ocasionado por amenazas y peligros CUMPLE
Ubicación y ambientales, y oportunidades de acceso no autorizado
A.11.12.
protección del
1
equipamiento
SI
Control: Se debe proteger el equipamiento contra fallas en el

suministro de energía y otras interrupciones causadas por CUMPLE
fallas en elementos de soporte
Elementos de
A.11.2.2
soporte
SI
Control: Se debe proteger el cableado de energía y de

telecomunicaciones que transporta datos o brinda soporte a CUMPLE
servicios de información contra interceptación, interferencia
Seguridad en el
A.11.2.3 o daños
cableado
SI
Control: El equipamiento debe recibir el mantenimiento

correcto para asegurar su permanente disponibilidad e CUMPLE
integridad
Mantenimiento
A.11.2.4
del equipamiento
SI
Control: El equipamiento, la información o el software no se

deben retirar del local de la organización sin previa CUMPLE
autorización
A.11.2.5 Retiro de activos
SI
Control: Se deben asegurar todos los activos fuera de las

Seguridad del instalaciones, teniendo en cuenta los diferentes riesgos de CUMPLE
equipamiento y trabajar fuera de las instalaciones de la organización
A.11.2.6 los activos fuera
de las
instalaciones SI
Control: Todos los elementos del equipamiento que contenga

medios de almacenamiento deben ser revisados para asegurar CUMPLE
Seguridad en la
que todos los datos sensibles y software licenciado se hayan
reutilización o
A.11.2.7 removido o se haya sobrescrito con seguridad antes de su
descarte de
descarte o reutilización
equipos SI
A.11.2.8 Equipo de Control: Los usuarios se deben asegurar de que a los equipos CUMPLE
45
usuario desatendidos se les de protección apropiada
desatendido
SI
Control: Se debe adoptar una política de escritorio limpio

para papeles y medios de almacenamiento removibles y una CUMPLE
Política de política de pantalla limpia para las instalaciones de
A.11.2.9 escritorio y procesamiento de información
pantalla limpios
SI
A.12 SEGURIDAD DE LAS OPERACIONES

A.12.1 Procedimientos operacionales y responsabilidades
Objetivo: Asegurar la operación correcta y segura de las instalaciones de procesamiento de información
Control: Los procedimientos de operación se deben
documentar y poner a disposición de todos los usuarios que CUMPLE
Procedimientos los necesiten
A.12.1.1 de operación
documentados
SI
Control: Se deben controlar los cambios a la organización,

procesos de negocio instalaciones de procesamiento de CUMPLE
información y los sistemas que afecten la seguridad de la
Gestión de
cambios
SI
Control: Se debe supervisar y adaptar el uso de los recursos

y se deben hace proyecciones de los futuros requisitos de CUMPLE
capacidad para asegurar el desempeño requerido del sistema
Gestión de la
A.12.1.3
capacidad
SI
Control: Los ambientes para desarrollo, prueba y operación

se deben separar para reducir los riesgos de acceso no CUMPLE
Separación de los
autorizado o cambios al ambiente de operación
ambientes de
A.12.1.4
desarrollo, prueba
y operacionales SI
A.12.2 Protección contra código malicioso

Objetivo: Asegurar que la información y las instalaciones de procesamiento de información están
protegidas contra el código malicioso
A.12.2.1 Controles contra Control: Se deben implantar controles de detección, CUMPLE
46
código malicioso prevención y recuperación para protegerse contra códigos
maliciosos, junto con los procedimientos adecuados para
concientizar a los usuarios
SI
A.12.3 Respaldo
Objetivo: Proteger en contra de la pérdida de datos
Control: Se deben hacer copias de respaldo y pruebas de la
información, del software de las imágenes del sistema con CUMPLE
regularidad, de acuerdo con la política de respaldo acordada
Respaldo de la
A.12.3.1
información
SI
A.12.4 Respaldo
Objetivo: Registrar eventos y generar evidencia
Control: Se deben generar, mantener y revisar con
regularidad los registros de eventos de las actividades del CUMPLE
usuario, excepciones, faltas y eventos de seguridad de la
Registro de
evento
SI
Control: Las instalaciones de registro y la información de

registro se deben proteger contra alteraciones y accesos no CUMPLE
Protección de la autorizados
A.12.4.2 información de
registros
SI
Control: Se deben registrar las actividades del operador y del

administrador del sistema los registros se deben proteger y CUMPLE
Registros del revisar con regularidad
A.12.4.3 administrador y
el operador
SI
Control: Los relojes de todos los sistemas de procesamiento

de información pertinente dentro de una organización o CUMPLE
dominio de seguridad deben estar sincronizado a una sola
Sincronización de
A.12.4.4 fuente horaria de referencia
relojes
SI
A.12.5 Control del software de operación

Objetivo: Asegurar la integridad de los sistemas operacionales
Instalación del Control: Se deben implementar los procedimientos para
A.12.5.1 software en controlar la instalación de software en los sistemas CUMPLE
sistemas operacionales
47
operacionales
SI
A.12.6 Gestión de la vulnerabilidad técnica

Objetivo: Evitar la explotación de las vulnerabilidades técnicas
Control: Se debe obtener la información acerca de las
vulnerabilidades técnicas de los sistemas de información CUMPLE
Gestión de las usados se debe obtener de manera oportuna, evaluar la
A.12.6.1 vulnerabilidades exposición de la organización a estas vulnerabilidades y se
técnicas deben tomar las medidas apropiadas para abordar el riesgo
asociado SI
Control: Se deben establecer e implementar las reglas que

rigen la instalación de software por parte de los usuarios CUMPLE
Restricciones
sobre la
A.12.6.2
instalación de
software SI
A.12.7 Consideraciones de la auditoría de los sistemas de información

Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operacionales
Control: Los requisitos y las actividades de auditoría que
involucran verificaciones de los sistemas operacionales se CUMPLE
Controles de
deben planificar y acordar cuidadosamente para minimizar el
auditoría de
A.12.7.1 riesgo de interrupciones en los procesos del negocio
sistemas de
información SI
A.13 SEGURIDAD DE LAS COMUNICACIONES

A.13.1 Gestión de la seguridad de red
Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de procesamiento de
información de apoyo
Control: Las redes se deben gestionar y controlar para
proteger la información en los sistemas y aplicaciones CUMPLE
A.13.1.1 Controles de red

SI
Control: Los mecanismos de seguridad, los niveles del

servicio y los requisitos de la gestión de todos los servicios CUMPLE
de red se deben identificar e incluir en los acuerdos de
Seguridad de los
A.13.1.2 servicios de red ya sea que estos servicios son prestados
servicios de red
dentro de la organización o por terceros
SI
A.13.1.3 Separación en las Control: Los grupos de servicios de información, usuarios y CUMPLE
48
redes sistemas de información se deben separar en redes
NO
APLICA
A.13.2 Transferencia de información

Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con
cualquier entidad externa
Control: Las políticas, procedimientos y controles de
transferencia formal deben estar en efecto para proteger la CUMPLE
Políticas y
transferencia de la información mediante el uso de todos los
procedimientos
A.13.2.1 tipos de instalaciones de comunicación
de transferencia
de información SI
Control: Los acuerdos deben abarcar la transferencia segura

de la información de negocio entre la organización y terceros CUMPLE
Acuerdos sobre
A.13.2.2 transferencia de
información
SI
Control: La información involucrada en la mensajería

electrónica debe ser debidamente protegida CUMPLE
Mensajería
A.13.2.3
electrónica
SI
Control: Se deben identificar y revisar regularmente los

requisitos de confidencialidad o acuerdos de no divulgación CUMPLE
Acuerdos de que reflejan las necesidades de protección de la información
A.13.2.4 confidencialidad de la organización
o no divulgación
SI
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEL SISTEMA

A.14.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad de la información es parte integral de los sistemas de información
en todo el ciclo. Esto también incluye los requisitos para los sistemas de información que proporcionan
servicios en las redes públicas
Control: Los requisitos relacionados a la seguridad de la
Análisis y información deben ser incluidos en los requisitos para los CUMPLE
especificación de sistemas de información nuevos o las mejoras para los
A.14.1.1 requisitos de sistemas de información existentes
seguridad de la
información SI
49
Control: La información relacionada a servicios de
aplicación que pasan por redes públicas debe ser protegida de CUMPLE
Aseguramiento
la actividad fraudulenta, disputas contractuales y su
de servicios de
A.14.1.2 divulgación y modificación no autorizada
aplicación en
redes públicas SI
Control: La información implicada en transacciones de

servicio de aplicación se debe proteger para evitar la CUMPLE
Protección de las
transmisión incompleta, la omisión de envío, la alteración no
transacciones de
A.14.1.3 autorizada del mensaje, la divulgación no autorizada, la
servidos de
duplicación o repetición no autorizada del mensaje
aplicación SI
A.14.2 Seguridad en procesos de desarrollo y soporte

Objetivo: Asegurar que la seguridad de la información está diseñada e implementada dentro del ciclo de
desarrollo de los sistemas de información
Control: Las reglas para el desarrollo de software y de
sistemas deben ser establecidas y aplicadas a los desarrollos CUMPLE
dentro de la organización
Política de
A.14.2.1
desarrollo seguro
SI
Control: Los cambios a los sistemas dentro del ciclo de

desarrollo deben ser controlados mediante el uso de CUMPLE
Procedimientos
procedimientos formales de control de cambios
de control de
A.14.2.2
cambios del
sistema SI
Revisión técnica Control: Cuando se cambien las plataformas de operación, se

de las deben revisar y poner a prueba las aplicaciones críticas del CUMPLE
aplicaciones negocio para asegurar que no hay impacto adverso en las
A.14.2.3 después de lo operaciones o en la seguridad de la organización
cambios en la
plataforma de SI
operación
Control: Se debe desalentar la realización de modificaciones
a los paquetes de software, que se deben limitar a los CUMPLE
Restricciones en
cambios necesarios, los que deben ser controlados de manera
los cambios a los
A.14.2.4 estricta
paquetes de
software SI
Control: Se deben establecer, documentar, mantener y

Principios de aplicar los principios para los sistemas seguros de ingeniería CUMPLE
A.14.2.5 ingeniería de para todos los esfuerzos de implementación de sistema de
sistema seguro información
SI
50
Control: Las organizaciones deben establecer y proteger los

entornos de desarrolle seguro, de manera apropiada, para el CUMPLE
desarrollo del sistema y los esfuerzos de integración que
Entorno de
A.14.2.6 cubren todo el ciclo de desarrollo del sistema
desarrollo seguro
SI
Control: La organización debe supervisar y monitorear la

actividad del desarrollo de sistema tercerizado CUMPLE
Desarrollo
A.14.2.7
tercerizado
SI
Control: Durante el desarrollo se debe realizar la prueba de

funcionalidad de seguridad CUMPLE
Prueba de
A.14.2.8 seguridad del
sistema
SI
Control: Se deben definir los programas de prueba de

aceptación y los criterios pertinentes para los nuevos CUMPLE
Prueba de sistemas de información, actualizaciones y versiones nuevas
A.14.2.9 aprobación del
sistema
SI
A.14.3 Datos de prueba

Objetivo: Asegurar la protección de los datos usados para prueba
Control: Los datos de prueba se deben seleccionar, proteger
y controlar de manera muy rigurosa CUMPLE
Protección de
A.14.3.1
datos de prueba
NO
APLICA
A.15 RELACIONES CON EL PROVEEDOR

A.15.1 Seguridad de la información en las relaciones con el proveedor
Objetivo: Asegurar la protección de los activos de la organización a los que tienen acceso los
proveedores
Política de Control: Se deben acordar y documentar, junto con el
seguridad de la proveedor, los requisitos de seguridad de la información para CUMPLE
A.15.1.1 información para mitigar los riesgos asociados al acceso de proveedor a los
las relaciones con activos de la organización
el proveedor NO
51
Control: Todos los requisitos de seguridad de la información

pertinente deben ser definidos y acordados con cada CUMPLE
Abordar la
proveedor que pueda acceder, procesar almacenar, comunicar
seguridad dentro
A.15.1.2 o proporcionar componentes de infraestructura de TI para la
de los acuerdos
información de la organización
del proveedor SI
Control: Los acuerdos con los proveedores deben incluir los

Cadena de requisitos para abordar los riesgos de seguridad de la CUMPLE
suministro de información asociados a los servicios de la tecnología de la
A.15.1.3 tecnologías de la información y las comunicaciones y la cadena de suministro
información y del producto
comunicaciones SI
A.15.2 Gestión de entrega del servicio del proveedor

Objetivo: Mantener un nivel acordado de seguridad de la información y entrega del servicio, en linea
con los acuerdos del proveedor
Control: Las organizaciones deben supervisar, revisar y
auditar la entrega del servicio del proveedor CUMPLE
Supervisión y
revisión de los
A.15.2.1
servicios del
proveedor NO
Control: Se deben gestionar los cambios al suministro de los

servicios por parte de los proveedores, incluido el CUMPLE
Gestión de
mantenimiento y la mejora de las políticas de seguridad de la
cambios a los
A.15.2.2 información existentes, procedimientos y controles al
servicios del
considerar la criticidad de la información del negocio, los
proveedor SI
sistemas procesos involucrados y la reevaluación de los
riesgos
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.16.1 Gestión de incidentes de seguridad de la información y mejoras
Objetivo: Asegurar un enfoque consistente y eficaz sobre la gestión de los incidentes de seguridad de la
información incluida la comunicación sobre eventos de seguridad y debilidades
Control: Se deben establecer responsabilidades y
procedimientos de gestión para asegurar una respuesta CUMPLE
Responsabilidade rápida, eficaz y metódica a los incidentes de seguridad de la
A.16.1.1 sy información
procedimientos
NO
Informe de Control: Se deben informar, lo antes posible, los eventos de

A.16.1.2 eventos de seguridad de la información mediante canales de gestión CUMPLE
seguridad de la apropiados
52
información
SI
Control: Se debe requerir que los empleados y contratistas

que usen los sistemas y servicios de información de la CUMPLE
Informe de las
organización observen e informen cualquier debilidad en la
debilidades de
A.16.1.3 seguridad de la información en los sistemas o servicios,
seguridad de la
observada o que se sospeche
información NO
Control: Los eventos de seguridad de la información se

Evaluación y deben evaluar y decidir si van a ser clasificados como CUMPLE
decisión sobre los incidentes de seguridad de la información
A.16.1.4 eventos de
seguridad de la
información NO
Control: Los incidentes de seguridad de la información

deben ser atendidos de acuerdo a los procesos documentados CUMPLE
Respuesta ante
incidentes de
A.16.1.5
seguridad de la
información NO
Control: Se debe utilizar el conocimiento adquirido al

analizar y resolver incidentes de seguridad de la información CUMPLE
Aprendizaje de
para reducir la probabilidad o el impacto de incidentes
los incidentes de
A.16.1.6 futuros
seguridad de la
información SI
Control: La organización debe definir y aplicar los

procedimientos para la identificación, recolección, CUMPLE
adquisición y conservación de información que pueda servir
Recolección de
A.16.1.7 de evidencia
evidencia
NO
APLICA
ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA

A.17 CONTINUIDAD DEL NEGOCIO
A.17.1 Continuidad de la seguridad de la información
Objetivo: Incorporar la continuidad de la seguridad de la información en los sistemas de gestión de
continuidad de negocio de la organización
Control: La organización debe determinar sus
Planificación de requerimientos de seguridad de la información y la
la continuidad de continuidad de la gestión de la seguridad de la información CUMPLE
A.17.1.1
la seguridad de la en situaciones adversas, por ejemplo, durante una crisis o
información desastre NO
53
Control: La organización debe establecer, documentar,

implementar y mantener los procesos, procedimientos y CUMPLE
Implementación
controles para asegurar el nivel necesario de continuidad para
de la continuidad
A.17.1.2 la seguridad de la información durante una situación adversa
de la seguridad de
la información NO
Control: La organización debe verificar, de manera

Verificación,
periódica, los controles de continuidad de la seguridad de la CUMPLE
revisión y
información definida e implementada para asegurar que son
evaluación de la
A.17.1.3 válidos y eficaces durante situaciones adversas
continuidad de la
seguridad de la NO
información
A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de las instalaciones de procesamiento de la información
Control: Las instalaciones de procesamiento de la
información deben se implementadas con la redundancia CUMPLE
Disponibilidad de
suficiente para cumplir con los requisitos de disponibilidad
las instalaciones
A.17.2.1
de procesamiento
de la información SI
A.18 CUMPLIMIENTO
A.18.1 Cumplimiento con los requisitos legales y contractuales
Objetivo: Evitar incumplimientos de las obligaciones legales, estatutarias, regulatorias o contractuales
relacionadas con la seguridad de la información y todos los requisitos de seguridad
Control: Todos los requisitos estatutarios, regulatorios y
Identificación de contractuales pertinentes y el enfoque de la organización para CUMPLE
la legislación cumplirlos, se deben definir y documentar explícitamente, y
A.18.1.1 vigente y los mantenerlos actualizados para cada sistema de información
requisitos para la organización
contractuales SI
Control: Se deben implementar procedimientos apropiados

para asegurar el cumplimiento de los requisitos legislativos, CUMPLE
Derechos de regulatorios y contractuales relacionados a los derechos de
A.18.1.2 propiedad propiedad intelectual y al uso de productos de software
intelectual patentados
SI
Control: Los registros se deben proteger contra pérdida,

destrucción, falsificación, acceso sin autorización y emisión CUMPLE
Protección de los sin autorización, de acuerdo con los requisitos legislativos,
A.18.1.3
registros regulatorios, contractuales y del negocio
SI
54
Control: Se debe asegurar la privacidad y protección de la

Privacidad y información de identificación personal, como se exige en la CUMPLE
protección de la legislación y regulaciones pertinentes, donde corresponda
A.18.1.4 información de
identificación
personal SI
Control: Se deben utilizar controles criptográficos que

cumplan con todos los acuerdos leyes, y regulaciones CUMPLE
Regulación de los pertinentes
A.18.1.5 controles
criptográficos
NO
A.18.2 Revisiones de seguridad de la información

Objetivo: Asegurar que la seguridad de la información se implemente y funcione de acuerdo a las
políticas procedimientos de la organización
Control: El enfoque de la organización para la gestión de la
seguridad de la información y su implementación (es decir, CUMPLE
Revisión
objetivos de control, controles, políticas, procesos y
independiente de
A.18.2.1 procedimientos para seguridad de la información) se debe
la seguridad de la
revisar en forma independiente, a intervalos planificados, o
información NO
cuando ocurran cambios significativos
Control: Los gerentes deben revisar con regularidad el

cumplimiento del procesamiento y los procedimientos de CUMPLE
Cumplimiento
seguridad que están dentro de su área de responsabilidad, de
con las políticas y
A.18.2.2 acuerdo con las políticas de seguridad, normas y otros
normas de
requisitos de seguridad pertinentes
seguridad NO
Control: Se deben verificar regularmente los sistemas de

información en cuanto a su cumplimiento con las políticas y CUMPLE
Verificación del normas de seguridad de la información de la organización
A.18.2.3 cumplimiento
técnico
NO
55
10.6 ANEXO 6: PROPUESTA DE ESTRATEGIA PARA LA IMPLEMENTACIÓN DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA
NORMA NCH-ISO 27001:2013
84
10.7 ANEXO 7: ORGANIGRAMA HOSPITAL DR. GUSTAVO FRICKE
85
10.8 ANEXO 8: HERRAMIENTA DE APOYO DEL SGSI PROPUESTO PARA EL
10.8.1 Anexo 8.1: Hoja “NCh-ISO27001.Of2013”
Figura 14: Hoja "NCh-ISO27001.Of2013" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
10.8.2 Anexo 8.2: Hoja “Inventario”
Figura 15: Hoja "Inventario" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
86
10.8.3 Anexo 8.3: Hoja “Análisis de Riesgos”
Figura 16: Hoja "Análisis de Riesgos" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
10.8.4 Anexo 8.4.1: Hoja “Plan General Parte 1”
Figura 17: Hoja "Plan General Parte 1" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
87
10.8.5 Anexo 8.4.2: Hoja “Plan General Parte 2”
Figura 18: Hoja "Plan General Parte 2" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
10.8.6 Anexo 8.5: Hoja “Implementación”
Figura 19: Hoja "Implementación" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
88
10.9 ANEXO 9: MANUAL DE INSTALACIÓN Y USO “HERRAMIENTA DE APOYO A UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL HOSPITAL DR. GUSTAVO FRICKE A TRAVÉS DE LA APLICACIÓN DE LA NORMA NCh-ISO 27001:2013

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL HOSPITAL DR. GUSTAVO FRICKE A TRAVÉS DE LA APLICACIÓN DE LA NORMA NCh-ISO 27001:2013

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA

ESCUELA DE INGENIERÍA CIVIL BIOMÉDICA

PROPUESTA DE UN SISTEMA DE GESTIÓN DE

JAVIERA IGNACIA TETSUO JUJIHARA ESCUDERO

Trabajo para optar al Título de

Ingeniero Civil Biomédico

ALEXIS ARRIOLA VERA

RODRIGO SALAS FUENTES

A la Javiera de agosto de 2014.

“Si crees que algo es imposible, tú lo harás imposible”

Palabras Clave: Seguridad de la Información, Sistema de Gestión de Seguridad de la Información, Activo

1.1 OBJETIVO GENERAL (OG)

Proponer la implementación de un sistema de gestión de seguridad de la información (SGSI) en el hospital

1.2 OBJETIVOS ESPECÍFICOS (OE)

1. Identificar el estado de la gestión de seguridad de la información en el HGF de acuerdo con la

2.1 SEGURIDAD DE LA INFORMACIÓN

• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o

Considerando aspectos como:

➢ Conocimiento de los riesgos

2.2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Asegurar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un

a) Entender los requerimientos de seguridad de la información de una organización y la necesidad de

Figura 2: Procesos PDCA de un SGSI. Fuente: Elaboración propia basada en [5]

✓ Ley N° 19.628: Sobre protección de la vida privada.

Define conceptos básicos implicados en la seguridad de la información, además destaca sobre la

✓ Ley N° 20.285: Sobre acceso a la información pública.

Regula el principio de transparencia de la función pública, el derecho de acceso a la información de los

✓ Ley N° 19.223: Sobre los delitos informáticos y la función de auditoría.

De manera general, en el Anexo 3 se presenta un listado de la normativa vigente relacionada con la

3. ESTADO DEL ARTE

Las normas expuestas en esta encuesta son las siguientes:

Tabla 1: Sumario ejecutivo de certificaciones ISO 2016. Fuente: [15]

Top 10 countries for ISO/IEC 27001 certificates - 2016

Particularmente corresponden a instituciones de la Administración del Estado, con funciones en materias

1. MINISTERIO DE SALUD CENTRAL DE ABASTECIMIENTOS DEL S.N.S.S.

•Definir horario de trabajo con referente, considerando la

•Establecer metodología de trabajo de acuerdo al estado del

Producto Esperado: Propuesta de estrategia para la implementación de un Sistema de Gestión de

Producto Esperado: Herramienta de apoyo al Sistema de Gestión de Seguridad de la Información.

•Definir de acuerdo con el referente, servicio clínico para

Producto Esperado: Experiencias de mejora a partir de la aplicación de la propuesta de estrategia.

4.1 PRIMERA ETAPA

El estudio bibliográfico comprendió la búsqueda en la web respecto a la seguridad de la información, el

4.2 SEGUNDA ETAPA

4.3 TERCERA ETAPA

4.4 CUARTA ETAPA

De acuerdo con el historial de incidentes y experiencias respecto a la seguridad de la información, además

5.1 ANÁLISIS DE LA SITUACIÓN ACTUAL

Considerando lo anterior, los resultados de la contestación de esta planilla se ven reflejados a

➢ Requisitos de la Norma NCh-ISO 27001:2013

CUMPLIMIENTO NORMA NCH-ISO

% DE CONTROLES DEL "ANEXO A"

CUMPLIMIENTO CONTROLES "ANEXO A"

5.2 PROPUESTA DE ESTRATEGIA PARA LA IMPLEMENTACIÓN DE UN SGSI

Los resultados se ven reflejados en la elaboración del documento “PROPUESTA DE ESTRATEGIA

•Análisis de la situación actual

•Política de Seguridad de la Información

•Análisis y Evaluación de Riesgos

•Selección de controles, Declaración de Aplicabilidad y

El aspecto de preparación considera principalmente el compromiso y liderazgo de la Dirección, siendo

5.3 HERRAMIENTA PARA EL APOYO DEL SGSI PROPUESTO

Dado lo anterior, se explica el contenido de cada elemento (Hoja) de la Herramienta:

3. Hoja “Análisis de Riesgos”

4. Hoja “Plan General”