Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tt2 VF Javiera Jujihara
Tt2 VF Javiera Jujihara
Profesor Guía:
Profesor Co - Guía:
Octubre - 2018
Valparaíso - Chile
2
Dedicatoria
Agradecimientos
Mis agradecimientos van dirigidos a mi profesor guía Alexis Arriola, por su apoyo en la realización de
este Trabajo de Título, por creer en mis capacidades, dirigirme y aconsejarme en todo el proceso, por su
disposición y transferencia de conocimientos.
A cada profesor (a), funcionario (a) y compañero (a) de la carrera de Ingeniería Civil Biomédica que hizo
mi paso por la universidad más ameno y especial.
A los funcionarios y funcionarias de la Unidad de Informática del Hospital Dr. Gustavo Fricke, quienes
me aceptaron como alumna tesista y me acogieron gratamente.
A las funcionarias de la Unidad de Cirugía Adulto del Hospital Dr. Gustavo Fricke, por su disposición en
la aplicación de mi trabajo, además de su amorosa acogida.
A mi familia, por su gran amor, espero que este logro los haga sentir tan orgullosos como me siento yo,
gracias por contenerme y alentarme en mis momentos difíciles y celebrarme y hacerme sentir especial en
los de éxito.
A Dios, por darme la fortaleza para superar cada obstáculo que se presentó y por creer en mí cada vez que
me puso una prueba.
A mis amigas Constanza Casas, Camila Carreño, Catherina Matus y Mackarena Gómez, por todas las
experiencias vividas, ustedes han sido el mejor regalo que me ha dado esta carrera.
A todos quienes se cruzaron en mi camino, a los que se quedaron y de quienes aprendí, hoy soy una mejor
persona.
4
Resumen
Resumen: La información es uno de los principales activos de cualquier organización o institución y
forma parte de los procesos y quehaceres de los funcionarios, además se encuentra sometida a constantes
riesgos y amenazas. En esta línea, en las organizaciones de salud, la información tiene una connotación
mayor porque se incorpora o se releva la confidencialidad de la información asociada y se ve acrecentada
por la sensibilidad de los datos. Además, la seguridad del paciente depende de mantener la integridad de la
información, así como también su disponibilidad.
El propósito del siguiente trabajo es contribuir con la seguridad de la información en el Hospital Dr.
Gustavo Fricke, mediante la propuesta de implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) a través de la aplicación de la norma NCh-ISO 27001:2013 como objetivo general.
Para su desarrollo se definen las brechas existentes y se propone un diseño y una estrategia para la
implementación del SGSI que cumpla con los objetivos de seguridad esperados por la Institución, la
legislación y la normativa vigente. La aplicación de los productos anteriores se ven reflejados en el
desarrollo de una Herramienta que apoya el SGSI propuesto, la cual es implementada como caso de
estudio en el Servicio de Cirugía Adulto de la Institución, con el objetivo de poder verificar y establecer
mejoras a la planificación y diseño del sistema propuesto.
TABLA DE CONTENIDO
1. INTRODUCCIÓN................................................................................................................................. 1
1.1 Objetivo General (OG) .................................................................................................................. 2
1.2 Objetivos Específicos (OE) ........................................................................................................... 2
2. MARCO TEÓRICO .............................................................................................................................. 3
2.1 Seguridad de la información .......................................................................................................... 3
2.2 Sistema de Gestión de Seguridad de la Información (SGSI) ......................................................... 3
3. ESTADO DEL ARTE ........................................................................................................................... 7
4. METODOLOGÍA E IMPLEMENTACIÓN ....................................................................................... 12
4.1 Primera Etapa .............................................................................................................................. 13
4.2 Segunda Etapa ............................................................................................................................. 13
4.3 Tercera Etapa............................................................................................................................... 14
4.4 Cuarta Etapa ................................................................................................................................ 14
5. RESULTADOS ................................................................................................................................... 14
5.1 Análisis de la Situación Actual.................................................................................................... 14
5.2 Propuesta de Estrategia para la implementación de un SGSI ...................................................... 17
5.3 Herramienta para el apoyo del SGSI Propuesto .......................................................................... 18
5.3.1 Vinculación de la Herramienta con los Servicios Clínicos y Unidades Administrativas .... 20
5.4 Aplicación de la Herramienta a un Caso de Estudio: Cirugía Adulto. ........................................ 21
6. DISCUSIÓN ........................................................................................................................................ 22
7. CONCLUSIÓN ................................................................................................................................... 22
8. REFERENCIAS .................................................................................................................................. 23
9. GLOSARIO ......................................................................................................................................... 25
10. ANEXOS ......................................................................................................................................... 27
10.1 Anexo 1: Requisitos para el cumplimiento de la norma ISO/IEC 27001:2013 ........................... 27
10.2 Anexo 2: Documentos obligatorios a presentar para el cumplimiento de la norma ISO/IEC
27001:2013 .............................................................................................................................................. 28
10.3 Anexo 3: Listado de normativa vigente relacionada con la seguridad de la información ........... 29
10.4 Anexo 4: Carta Gantt Trabajo de Titulación ............................................................................... 31
10.5 Anexo 5: Análisis de la situación actual...................................................................................... 32
10.5.1 Cláusulas de la norma NCh-ISO 27001:2013 ..................................................................... 32
10.5.2 Dominios de control, objetivos y controles ......................................................................... 36
10.6 Anexo 6: Propuesta de Estrategia para la implementación de un Sistema de Gestión de
Seguridad de la Información basado en la norma NCh-ISO 27001:2013 ............................................... 55
10.7 Anexo 7: Organigrama Hospital Dr. Gustavo Fricke .................................................................. 84
10.8 Anexo 8: Herramienta de apoyo del SGSI propuesto para el Hospital Dr. Gustavo Fricke ........ 85
10.8.1 Anexo 8.1: Hoja “NCh-ISO27001.Of2013”........................................................................ 85
6
10.8.2 Anexo 8.2: Hoja “Inventario”.............................................................................................. 85
10.8.3 Anexo 8.3: Hoja “Análisis de Riesgos” .............................................................................. 86
10.8.4 Anexo 8.4.1: Hoja “Plan General Parte 1” .......................................................................... 86
10.8.5 Anexo 8.4.2: Hoja “Plan General Parte 2” .......................................................................... 87
10.8.6 Anexo 8.5: Hoja “Implementación” .................................................................................... 87
10.9 Anexo 9: Manual de Instalación y uso “Herramienta de apoyo a un Sistema de Gestión de
Seguridad de la Información ................................................................................................................... 88
PROPUESTA DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN EN EL
HOSPITAL DR. GUSTAVO FRICKE A TRAVÉS DE
LA APLICACIÓN DE LA NORMA NCh-ISO
27001:2013
Javiera Ignacia Tetsuo Jujihara Escudero
Escuela de Ingeniería Civil Biomédica
Facultad de Ingeniería, Universidad de Valparaíso, Chile
Palabras clave: Sistema de Gestión de Seguridad de la Información, ISO/IEC 27001:2013, Riesgo, Activo
de información, Confiabilidad, Disponibilidad, Integridad.
1. INTRODUCCIÓN
La información es uno de los principales activos de cualquier organización o institución y forma parte de
los procesos y quehaceres de los funcionarios, además se encuentra sometida a constantes riesgos y
amenazas, los que incrementan cuanto mayor sea el valor de la información. Estas vulnerabilidades
pueden provenir tanto de manera interna como externa a la organización y la defensa de este activo puede
asegurar la continuidad y desarrollo del negocio, así como también proveer confianza a los usuarios y/o
clientes [1] [2].
En esta línea, debido a que un gran volumen de información es producida, manipulada y almacenada con
el uso creciente de las tecnologías de información (TIC), debe existir un balance entre el valor del activo a
proteger y la seguridad de este, frente a la necesidad de resguardar la información para evitar
consecuencias tales como: divulgación ilícita, alteración o modificación, pérdida, robo, eliminación o
destrucción, problemas relacionados a autenticación, problemas legales, entre otros [3].
Por lo anterior, la seguridad de la información se fundamenta en la protección de los datos bajo tres
aspectos: confidencialidad, que asegura que solo quienes estén autorizados puedan acceder a la
información; integridad, que asegura exactitud y totalidad de la información en su procesamiento,
transmisión y almacenamiento; disponibilidad, que asegura que los usuarios autorizados tengan acceso a
la información y a sus activos asociados cuando lo requieran [4].
En este contexto, gestionar la seguridad de la información se vuelve un imperativo que se debe cumplir
por medio de todas las actividades y tareas que sean necesarias para establecer los niveles de seguridad
que la propia organización determine con el firme propósito de disminuir los incidentes o eventos no
deseados que puedan repercutir en la disponibilidad, integridad y/o confidencialidad de la información [4].
Por otra parte, en las organizaciones de salud, la información tiene una connotación mayor porque se
incorpora o se releva la confidencialidad de la información asociada, por ejemplo, a la identificación del
paciente o el diagnóstico clínico, y se ve acrecentada por la sensibilidad de los datos que son objeto de
tratamiento y por el impacto que se puede tener sobre la vida misma del paciente en caso de su alteración
o el funcionamiento inadecuado de los sistemas de información de salud [3]. Además, la seguridad del
paciente depende de mantener la integridad de la información, así como también su disponibilidad; no
2
hacerlo puede agravar la condición de salud, provocar lesiones o incluso la muerte considerando la
importancia de contar con la información de manera completa y oportuna ya sea para diagnosticar o tratar
alguna enfermedad.
De esta forma, el estado del arte establece que la forma de gestionar la seguridad de la información es a
través de la instalación de un sistema gerencial general basado en un enfoque de riesgos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información, ayudando a
establecer políticas y procedimientos con objeto de mantener un nivel de exposición menor al nivel de
riesgo que la propia organización ha decidido asumir [5] [6].
En efecto, considerando que las organizaciones de salud son complejas y manejan un gran volumen de
información sensible, se vuelve imprescindible gestionar la seguridad de la información de forma integral
y es en este contexto que surge la necesidad particular del Hospital Dr. Gustavo Fricke de desarrollar y en
consecuencia de instalar un SGSI.
La Seguridad de la información, como tema o eje central de este trabajo de título hace referencia a las
características y condiciones de los sistemas de procesamiento de datos y su almacenamiento, para
garantizar [6]:
Esto significa que solamente cuando se está consciente de las potenciales amenazas, agresores y sus
intenciones dañinas (directas o indirectas), se pueden tomar medidas de protección adecuadas para evitar
la pérdida de datos e información [7].
En este contexto, sistemáticamente dentro de cualquier Institución se realizan distintos procesos para dar
cumplimiento tanto a la misión como visión de esta y cada proceso es relevante para la obtención de
productos y /o servicios requeridos por los procesos subsiguientes en la cadena productiva.
4
Para un SGSI es importante visualizar dichos procesos como una cadena de activos de información, los
que se encuentran regulados por leyes, políticas y/o normas gubernamentales y organizacionales. En la
Figura 1 se visualiza el modelo operacional del SGSI sobre los procesos en cualquier institución u
organización.
Figura 1: Modelo operacional general del SGSI sobre los procesos de una organización o institución. Fuente: [3].
Por lo anterior, el SGSI es el concepto central sobre el que se construye la norma ISO/IEC 27001:2013,
promoviendo la adopción de un enfoque del proceso para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar el SGSI de una organización.
Un enfoque del proceso para la gestión de la seguridad de la información fomenta que sus usuarios
enfaticen la importancia de [5]:
Además, proporciona un modelo sólido para implementar los principios en aquellos lineamientos que
gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la
seguridad [5].
En Chile, el Instituto Nacional de Normalización (INN) adopta la norma ISO/IEC 27001:2013 por
traducción bajo la referencia NCh-ISO 27001:2013, y contiene una serie de requisitos que son
indispensables para ser conformes a ella. Estos corresponden a las cláusulas N°4 a la N°10, ver Anexo 1.
En este contexto, como el estándar ISO/IEC 27001:2013 es certificable, las organizaciones auditoras
requieren una serie de documentos y registros obligatorios, que corresponden a los adjuntos en el Anexo
2.
5
En efecto, para establecer y gestionar un SGSI se utiliza el ciclo PDCA, también conocido como "Círculo
de Deming", ya que fue el Dr. Williams Edwards Deming uno de los primeros que utilizó este esquema
lógico en la mejora de la calidad y le dio un fuerte impulso.
Basado en un concepto ideado por Walter A. Shewhart, el Ciclo PDCA constituye una estrategia de
mejora continua de la calidad en cuatro pasos y es muy utilizado por los diversos sistemas aplicados en las
organizaciones para gestionar aspectos tales como calidad (ISO 9000), medio ambiente (ISO 14000),
salud y seguridad ocupacional (OHSAS 18000), o inocuidad alimentaria (ISO 22000), entre otros.
Las siglas PDCA son el acrónimo de las palabras inglesas Plan, Do, Check, Act, equivalentes en español a
Planificar, Hacer, Verificar, y Actuar. La interpretación de este ciclo es muy sencilla: cuando se busca
obtener algo, lo primero que hay que hacer es planificar cómo conseguirlo, después se procede a realizar
las acciones planificadas (hacer), a continuación, se comprueba qué tal se ha hecho (verificar) y
finalmente se implementan los cambios pertinentes para no volver a incurrir en los mismos errores
(actuar). Nuevamente se empieza el ciclo planificando su ejecución, pero introduciendo las mejoras
provenientes de la experiencia anterior [9].
Este modelo consta de éstas serie de fases que permiten medir el estado actual del sistema con el fin de
realizar un mejoramiento continuo [5]:
➢ Planear (Plan): En esta fase se diseña o planea el SGSI, definiendo las políticas de seguridad
generales que aplicarán a la organización, los objetivos que se pretenden y cómo ayudarán a
lograr los objetivos misionales. Se realiza el inventario de activos y la selección de la metodología
de riesgos a implementar que estén acordes a los objetivos y políticas propuestos.
➢ Hacer (Do): Es la fase donde se implementa el SGSI mediante la aplicación de los controles de
seguridad escogidos, se asignan los responsables y se ejecutan los procedimientos.
➢ Verificar (Check): Es la fase de monitorización del SGSI donde se verifica y audita que los
controles, políticas, procedimientos de seguridad se están aplicando de la manera esperada.
➢ Actuar (Act): Esta fase implementa las acciones correctivas y mejoras del SGSI.
La Figura 2 muestra cómo un SGSI toma como insumo los requerimientos y expectativas de la seguridad
de la información de las partes interesadas y a través de las acciones y procesos necesarios produce
resultados de seguridad de la información que satisfacen aquellos requerimientos y expectativas. La figura
también muestra los vínculos en los procesos presentados en las Cláusulas N°4 a la N°8. La adopción del
modelo PDCA también refleja los principios tal como se establecen en los Lineamientos OECD (2002)
que gobiernan los sistemas y redes de seguridad de la información [5].
En este contexto, se presenta la principal normativa por la que se rige la seguridad de la información:
✓ Ley N° 20.584: Sobre derechos y deberes que tienen las personas en relación con acciones
vinculadas a su atención de salud.
Dentro de los derechos relacionados con la seguridad de la información, destacan: tener información
oportuna y comprensible de su estado de salud; que la información médica no se entregue a personas no
relacionadas con su atención; ser informado de los costos de su atención en salud; informarse acerca de los
procedimientos de reclamo; recibir informe de la atención recibida durante su hospitalización. Así
también, los deberes que destacan son: entregar información acerca de su estado de salud, identidad y
dirección; informarse acerca de los horarios de funcionamiento, modalidades de atención y formas de
pago, informarse acerca de los procedimientos de reclamos y consultas establecidos en el establecimiento
[10].
Tipifica las figuras penales relativas a la informática; de acuerdo con distintos delitos, por ejemplo: la
destrucción de sistemas de tratamiento de información, utilización o conocimiento indebido de
información de un sistema de tratamiento de la misma, destrucción o alteración maliciosa de información,
como así también la difusión y revelación de datos contenidos en un sistema de información [13].
✓ Decreto Supremo N° 83: Sobre aprobación norma técnica para los órganos de la administración
del estado sobre seguridad y confidencialidad de los documentos electrónicos.
Establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los
documentos electrónicos de los órganos de la Administración de Estado, con la finalidad de garantizar
estándares mínimos de seguridad en el uso, almacenamiento, acceso y distribución del documento
electrónico; facilitar la relación electrónica entre los órganos de la Administración del Estado y entre éstos
y la ciudadanía y el sector privado en general; y salvaguardar el uso del documento respecto a la
normativa vigente sobre confidencialidad de la información intercambiada.
7
Por otra parte, considera aspectos de acuerdo con el nivel básico de seguridad del documento electrónico,
como el establecimiento de una política de seguridad, la designación de un encargado de seguridad,
además de temas relacionados a la seguridad del personal, física y del ambiente, entre otros [14].
En la Tabla 1 se observa que, a finales del año 2016, al menos existieron 33.290 certificados ISO/IEC
27001:2005, lo que indica un crecimiento del 21% (+5.754) con respecto al año anterior.
Así también, desde el año 2007 hasta el 2016, el crecimiento anual en el mundo con respecto a las
certificaciones de la norma en cuestión ha sido favorable. El mayor crecimiento se produjo en el año 2009
llegando a un 40%. Desde el año 2010 al 2014, si bien el crecimiento no fue sido tan radical como el
ocurrido del año 2008 al 2009, el año 2015 y 2016, volvió a surgir un incremento, demostrando que los
distintos países han tomado en consideración la importancia de su certificación (ver Figura 3).
8
Figura 3: Certificaciones ISO/IEC 27001 anuales a nivel mundial año 2016. Fuente: [16]
Otra estadística que nos presenta el estudio realizado por la ISO, es el top 10 de los países certificados al
año 2016 (Ver Figura 4), mostrando a Japón como líder en certificación ISO/IEC 27001 y sólo a EE.UU.
dentro del ranking como país del continente americano.
Por otro lado, la realidad en Latinoamérica muestra que nuestro país (destacado en amarillo), al año 2016
cuenta con 49 certificaciones ISO/IEC 27001 (Ver Figura 5).
9
ISO/IEC 27001 - Central / South America
Year 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016
Country 18 38 72 100 117 150 203 272 273 347 564
Argentina 1 1 6 4 8 24 33 40 23 52 88
Barbados 1 1 0 1
Bolivia 1 1 3 1 1 1 1 6
Belize 1 1
Brazil 10 25 40 48 41 50 53 82 85 94 117
Chile 2 3 7 10 13 18 23 24 24 32 49
Colombia 3 8 11 14 23 27 58 82 78 103 163
Costa Rica 2 5 6 7 7 10 22 4 21
Cuba 1 1 2 0 0 0
Dominican Republic 1 1 2 3 4 3 4 8
Ecuador 1 1 1 3 5 7 6 11
El Salvador 1 1 1 1 1 1 4
Guatemala 1 1 1 2 3 2 5
Guyana 1 1 0 0 0
Honduras 1 1 0 1 0 5
Jamaica 1 1 0 0 10
Panama 1 1 2 1 0 2
Peru 1 1 2 6 9 5 7 9 12 22 32
Puerto Rico 2 2 2 2 2 2 0 2
Saint Lucia 1 1
Saint Vincent and the Grenadines 1 0
Trinidad and Tobago 1 1 1 1 2
Uruguay 1 1 4 4 7 7 8 11 21 28
Venezuela 1 1 8
Figura 5: Certificaciones ISO/IEC 27001 en países de Sudamérica y América Central. Fuente: [16]
En la figura anterior, Colombia queda clasificado como el país con mayor número de certificaciones
ISO/IEC 27001. Esto puede ser inferido por el hecho de que hay Instituciones Educativas que dictan la
Especialización en Seguridad Informática, por ejemplo, la Universidad Nacional Abierta y a Distancia es
una de ellas, en donde los estudiantes realizan su trabajo de grado considerando la norma ISO/IEC 27001.
En su repositorio se encuentran 288 búsquedas con el filtro “ISO 27001” dando a conocer las distintas
aplicaciones realizadas por los futuros especialistas [17] [18].
Por otra parte, a nivel nacional, el Ministerio del Interior y Seguridad Pública ha desarrollado la
implementación de los sistemas del Programa de Metas de Gestión (PMG) como apoyo a la gestión de los
Servicios Públicos. Se cuenta con el apoyo de una red de expertos que cumple un rol de apoyo interno en
el Sector Público, con competencias estratégicas establecidas en el Programa Marco del PMG y que tienen
por función asesorar [19]:
➢ a la Secretaría Técnica,
➢ al Ministerio de Hacienda,
➢ al Ministerio del Interior,
➢ a la Secretaría General de la Presidencia, y
➢ al Ministerio del Ramo; en el proceso de ejecución, preevaluación, evaluación y seguimiento de
los PMG.
Los Programas de Mejoramiento de la Gestión (PMG) en los servicios públicos tienen su origen en la Ley
N°19.553 de 1998, y asocian el cumplimiento de objetivos de gestión a un incentivo de carácter monetario
para los funcionarios. Desde 2014, los PMG cubren un total de 194 instituciones y más de 87 mil
funcionarios, formando parte de uno de los mecanismos de incentivo de remuneraciones de tipo
institucional más importante aplicado en la administración pública de nuestro país [21].
Para el caso específico del Sistema PMG de Seguridad de la Información (SSI), su Red de Expertos está
compuesta por [20]:
10
➢ Subsecretaría del Interior
➢ Unidad de Gobierno Digital del Ministerio Secretaría General de la Presidencia
➢ Subsecretaría de Telecomunicaciones
De acuerdo con la información manejada por la red de expertos, las siguientes Instituciones están adscritas
al PMG-SSI (sector salud)1:
En este contexto, respecto a la situación del HGF con la seguridad de la información, el año 2012 por
medio de Resolución Exenta, se crea el Comité de Normas y Políticas de Seguridad de la Información,
teniendo como función principal desarrollar la Política de Seguridad de la Institución.
A raíz de lo anterior, en mayo del año 2013 fue elaborado el documento “Política de Seguridad de la
Información Electrónica” con Resolución Exenta en diciembre del año 2014 para su aprobación y
difusión, actualmente no existe versión actualizada de dicha política, encontrándose obsoleta.
Por otra parte, teniendo en consideración la metodología de implementación de la norma tanto a nivel
nacional como internacional, podemos destacar la diferencia existente en la evaluación de los riesgos
dentro de la etapa de planificación del SGSI.
El Ministerio del Interior y Seguridad Pública recomienda en la “Guía Metodológica 2015, Indicador
transversal SSI” la implementación de un proceso de gestión de riesgos cuyo enfoque metodológico está
basado principalmente en la norma ISO 31000 (Ver Figura 5) según lo definido en la Guía Técnica N° 53
del Consejo de Auditoría Interna General de Gobierno (CAIGG) [22].
Figura 6: Esquema representativo del Proceso de Gestión de Riesgos en el Sector Público NCh-ISO 31000:2012. Fuente: [23]
1
Datos entregados por Hernán Espinoza Medina, Jefe de CSIRT, Ministerio del Interior y Seguridad Pública,
Gobierno de Chile. Contacto: hespinoza@interior.gob.cl
11
Mientras que, a nivel internacional, en Colombia particularmente, se aplica la metodología MAGERIT
[18]. La metodología de análisis y gestión de riesgos de los sistemas de información (MAGERIT),
elaborada por el Consejo Superior de Administración Electrónica del Gobierno Español, es un instrumento
para facilitar la implantación y aplicación del Esquema Nacional de Seguridad proporcionando los
principios básicos y requisitos mínimos para la protección adecuada de la información [24].
MAGERIT persigue los siguientes objetivos [24]:
✓ Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la
necesidad de atajarlos a tiempo.
✓ Ofrecer un método sistemático para analizar tales riesgos.
✓ Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
✓ Preparar a la organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso.
Cabe destacar que MAGERIT se encuentra en el inventario de métodos de análisis y gestión de riesgos en
la Agencia de la Unión Europea para Redes y Seguridad de la Información (ENISA, por sus siglas en
inglés) [25].
12
4. METODOLOGÍA E IMPLEMENTACIÓN
Para lograr el Objetivo General, se propone la organización de este Trabajo de Título en base a actividades
a desarrollar para cada uno de los Objetivos Específicos tal como se muestra esquematizado a
continuación:
ETAPAS
Producto Esperado: Situación actual del HGF respecto a la norma NCh-ISO 27001:2013.
OBJETIVO ESPECÍFICO N°3: •Definir la plataforma para el diseño de una herramienta que
Desarrollar una herramienta que
apoye la implementación del SGSI propuesto.
apoye el funcionamiento del SGSI •Diseñar y construir, de acuerdo a la estrategia propuesta la
propuesto herramienta para la implementación de un SGSI.
A continuación, se realiza una descripción más detallada de las actividades realizadas para lograr los
productos de cada etapa.
Para el cumplimiento del OE 1 se define que, en conjunto con el jefe de la Unidad de Informática y la
Encargada de Seguridad de la Información del HGF, es necesaria la participación en las funciones que
respectan a la seguridad de la información, por otra parte, se considera imprescindible la visita periódica a
la Unidad para que exista retroalimentación en el desarrollo del Trabajo de Título.
Respecto al estado actual de la seguridad de la información en el HGF, durante el mes de marzo de 2018,
Paula Bugueño, Profesional de la Unidad de Informática, asumió el cargo de Encargada de Seguridad de
la Información del Comité de Normas y Políticas de Seguridad de la Información. En este contexto, se
realizó revisión de documentación, considerando las Resoluciones Exentas de la creación del comité y la
Política de Seguridad.
Para el análisis de la situación actual, se diseñó una planilla Excel que consideraba las cláusulas N°4 a la
N°10 de la norma NCh-ISO 27001:2013 y los controles del “Anexo A” de la misma, con el propósito de
que tanto la Encargada de Seguridad de la Información como el jefe de la Unidad de Informática pudiesen
determinar el grado de cumplimiento del HGF respecto a la norma. Adicionalmente, se preparó una
presentación para la Unidad de Informática, para entregar conceptos básicos y contextualizar al personal.
De acuerdo con el Estado del Arte, tomando en consideración la documentación presentada por el
Ministerio del Interior y Seguridad Pública respecto al Programa de Metas de Gestión de Seguridad de la
Información (PMG-SSI) y la Oficina de Seguridad para Redes Informáticas de Cuba, se formuló una
14
propuesta de estrategia para la implementación de un SGSI en el HGF teniendo en cuenta la etapa de
planificación del ciclo PDCA del mismo, para la posterior revisión y validación por parte del Referente.
Actualmente, existen variadas aplicaciones web que permiten el diseño y aplicación de herramientas
automatizadas para el apoyo de procesos o sistemas de gestión, como Google Drive, por ejemplo. Sin
embargo, considerando el eje central de este Trabajo de Título que es la seguridad de la información, y las
vulnerabilidades que se podrían presentar considerando que Google Drive corresponde a una plataforma
online, se estima conveniente que la plataforma a utilizar sea la herramienta Excel de Microsoft Office,
ningún otro tipo de licencias para su uso, además que tiene la posibilidad de poder compartir y comunicar
información en tiempo real a través de carpetas compartidas.
El diseño de la herramienta está establecido de acuerdo con el producto obtenidos en la Segunda Etapa y
está dada por el Ministerio del Interior y Seguridad Pública [26].
Para lo anterior se fijaron visitas periódicas tanto con la Enfermera del Servicio Clínico como con el resto
de las/os funcionarias/os, con el propósito de dar a conocer la Herramienta de apoyo al SGSI. Con cada
funcionaria/o se realizó una breve introducción respecto a la seguridad de la información, la importancia
de esta sobre los activos de información críticos de su servicio y el impacto de la implementación de un
SGSI, teniendo como resultado el Inventario de los activos.
5. RESULTADOS
Los resultados son presentados como los productos esperados de cada etapa.
Para verificar el estado actual del cumplimiento de la norma NCh-ISO 27001:2013 en el Hospital Dr.
Gustavo Fricke, se realizó un Análisis Diferencial de las cláusulas obligatorias N°4 al N°10 y del “Anexo
A” (Dominios, Objetivos de Control y Controles de Seguridad). Este análisis permitió comparar las
condiciones actuales con el propósito de determinar las brechas existentes y el nivel de cumplimiento en
base al estándar, para consiguiente desarrollar un plan de mejora de acuerdo con los objetivos de
seguridad deseados.
Para lo anterior, se preparó una planilla (Anexo 5) que contiene las cláusulas de la norma y el “Anexo A”
de esta. Se confeccionó de tal manera que las cláusulas debieron ser respondidas con “SI/NO” según su
cumplimiento y el “Anexo A” de la norma debió ser respondido con “SI/NO/NO APLICA”, la opción
“no aplica” está considerada porque dicha norma aplica para todo tipo de organización que maneje activos
de información con la necesidad de protegerlos, sin embargo, no todos los controles son necesarios de
acuerdo con las características de la Institución. Como se mencionó anteriormente en la metodología,
quienes participaron de esta etapa fueron el jefe de la Unidad de Informática y la Encargada de Seguridad
de la Información, considerando que son las personas idóneas y quienes tienen claridad respecto a la
situación actual del HGF respecto a la seguridad de la información.
Para la evaluación de cumplimiento se consideraron las siete cláusulas de la norma, donde cada una posee
cierta cantidad de aspectos. Cada aspecto tiene igual valor y es el total de estos en cada cláusula el que
15
determina el factor de ponderación, por ejemplo, la cláusula N°4 tiene cuatro aspectos a evaluar de un
total de veintidós, por tanto, su factor de ponderación es 0,18 y así sucesivamente.
El nivel de cumplimiento para cada uno de los requisitos mínimos de la norma NCh-ISO 27001:2013 se
resume de la siguiente manera:
FACTOR DE CUMPLE
REQUISITO TOTAL (%)
PONDERACIÓN (%)
4. CONTEXTO DE LA 0,18 50 9
ORGANIZACIÓN
5. LIDERAZGO 0,14 100 14
6. PLANIFICACIÓN 0,09 0 0
7. SOPORTE 0,23 40 9,2
8. OPERACIÓN 0,14 0 0
9. EVALUACIÓN DEL 0,14 0 0
DESEMPEÑO
10. MEJORA 0,09 0 0
TOTAL 1 - 32,2
Tabla 2: Nivel de cumplimiento de los requisitos de la norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Y el nivel de cumplimiento general que se tiene actualmente frente a los requisitos de la norma es el
siguiente:
32%
68%
Figura 7: Gráfico cumplimiento cláusulas norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Del gráfico anterior, se deduce que, de acuerdo con las cláusulas de la norma, el HGF cumple con un 32%
de la norma NCh-ISO 27001:2013.
16
➢ Dominios, Objetivos de Control y Controles de Seguridad
Además de lo anterior, se realiza un análisis diferencial referente al “Anexo A” del estándar NCh-ISO
27001:2013 con el fin de determinar el nivel de cumplimiento de los Dominios, Objetivos de Control y
Controles de Seguridad. Estos corresponden a los numerales 5 al 18, donde se dedujo que 110 de los 114
controles definidos por la norma aplican para la Institución, esto según los que fueron contestados con la
opción “NO APLICA”. Este resultado visualizado en forma porcentaje se muestra a continuación:
4%
96%
Figura 8: % de controles del "Anexo A" NCh-ISO 27001:2013 que aplican al HGF. Fuente: Elaboración propia
Por consiguiente, considerando los controles que aplican a la Institución se tiene el cumplimiento de cada
dominio de control, ver Tabla 5:
NO
CUMPLE
DOMINIO DE CONTROL CUMPLE
(%)
(%)
A.5 POLÍTICAS DE LA SEGURIDAD DE LA 0 100
INFORMACIÓN
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA 16,7 83,3
INFORMACIÓN
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 50 50
A.8 GESTIÓN DE ACTIVOS 70 30
A.9 CONTROL DE ACCESO 100 0
A.10 CRIPTOGRAFÍA 100 0
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 100 0
A.12 SEGURIDAD DE LAS OPERACIONES 100 0
A.13 SEGURIDAD DE LAS COMUNICACIONES 100 0
A.14 ADQUISICIÓN, DESARROLLO Y 100 0
MANTENIMIENTO DE SISTEMAS
A.15 RELACIONES CON LOS PROVEEDORES 60 40
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA 33,3 66,7
17
NO
CUMPLE
DOMINIO DE CONTROL CUMPLE
(%)
(%)
INFORMACIÓN
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN 25 75
DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.18 CUMPLIMIENTO 50 50
Tabla 3: Nivel de cumplimiento de los Dominios de control de la norma NCh-ISO 27002:2013. Fuente: Elaboración propia
El nivel de cumplimiento general que se tiene actualmente frente a los Dominios de Control es el
siguiente:
24%
76%
Figura 9: Gráfico cumplimiento de controles "Anexo A" norma NCh-ISO 27001:2013. Fuente: Elaboración propia
Cabe mencionar que, si bien existe un alto grado de ejecución de los controles, estos no están
documentados, no existiendo un procedimiento escrito ni respaldo de lo que se realiza.
•Preparación
Figura 10: Esquema de actividades a realizar para la etapa de Planificación del SGSI. Fuente:Elaboración propia
Para todas las actividades anteriormente mencionadas se establece que los responsables son la Dirección,
el Comité de Seguridad de la Información, la Unidad de Informática, y los jefes de Servicio o Unidades
que darán inicio a la implementación (Ver Anexo 7, Organigrama HGF).
Considerando el diseño y la estrategia propuesta para el SGSI en la Segunda Etapa, se ha desarrollado una
Herramienta dada por el Ministerio del Interior y Seguridad Pública [26] en la plataforma Microsoft Excel
que representa la aplicación de la norma NCh-ISO 27001:2013. En la siguiente figura se esquematizan los
elementos que la componen, cómo interactúan entre ellos y su correspondencia con el proceso PDCA del
SGSI.
19
Figura 11: Modelo lógico de Herramienta de apoyo al SGSI propuesto. Fuente: Elaboración propia
1. Hoja “NCh-ISO27001.Of2013”:
Se visualizan los controles del “Anexo A” de la norma NCh-ISO 27001:2013, los objetivos de cada
control, los requisitos para cumplirlos, y la descripción para su verificación, esta especificación debiese
tomarse como guía al momento de declarar cumplimientos, ver Anexo 8.1.
Esta hoja permite el alcance oportuno de los controles de la norma al momento de realizar las etapas del
proceso de planificación del SGSI.
2. Hoja “Inventario”
Como primera parte del proceso de planificación de un SGSI, se debe realizar el inventario de los activos
de información. En esta hoja, se diseñó un apartado para la descripción de los procesos, la identificación
de los activos de información y el análisis de criticidad, ver Anexo 8.2.
5. Hoja “Implementación”
El objetivo de esta hoja es controlar la ejecución del Plan General, registrando la realización de los hitos o
actividades comprometidas en la etapa de planificación, ver Anexo 8.5.
La Herramienta de apoyo al SGSI propuesto está diseñada para que su acceso esté previsto desde todos los
Servicios Clínicos y Unidades Administrativas del HGF (Figura 12), siendo restringidas para su edición
las hojas “NCh-ISO27001.Of2013”, “Plan General” e “Implementación” teniendo autorización para su
modificación sólo el Comité de Seguridad de la Información.
Figura 12: Diagramación lógica de acceso desde los Servicios Clínicos y Unidades Administrativas con la Herramienta de apoyo
al SGSI propuesto. Fuente: Elaboración propia
21
La comunicación entre los usuarios y la herramienta será utilizando la red de área local (LAN) y el acceso
es a través de carpetas compartidas (Figura 13), pudiendo más de un usuario ingresar a la herramienta,
pero sólo pudiendo editar la información correspondiente a su servicio o unidad de origen.
Figura 13: Comunicación entre los Servicios y Unidades con la Herramienta de apoyo al SGSI propuesto. Fuente: Elaboración
propia
La Herramienta de apoyo al SGSI propuesto en su formato digital y los resultados de su aplicación son
entregados en un CD adjunto a este Trabajo de Título.
De acuerdo con lo anterior, el Servicio de Cirugía Adulto no tiene sus procesos documentados que, si bien
no se presenta como una dificultad al momento de realizar el inventario de los activos, es información que
quedará incompleta en la Herramienta. La importancia de poder identificar el proceso en el cual participa
el activo se radica en el control que se otorgará para el tratamiento del riesgo, entendiendo que un mismo
activo puede ser utilizado en distintos servicios, por tanto, en distintos procesos y con distinto grado de
importancia.
Otro aspecto relevante que considerar es el nivel de conocimiento de los funcionarios de la Institución
respecto a la seguridad de la información y en consecuencia con el sistema de gestión de seguridad de la
información. Es importante que cada usuario que haga uso de la Herramienta sea oportunamente
capacitado. Considerando lo expuesto anteriormente, se elaboró un Manual de Instalación y Uso para
apoyar y garantizar un eficiente uso de la Herramienta (Anexo 9).
22
6. DISCUSIÓN
En nuestro país, la seguridad de la información aún es un tema en boga, a pesar de toda la reglamentación
existente al respecto. En esta línea, es importante que la Institución asuma un compromiso con la
seguridad de sus activos, teniendo en cuenta que con ello implica también la seguridad y derechos del
paciente y por consecuencia la percepción que tiene el mismo con el nivel de calidad en la atención
recibida.
El principal impacto que tuvo el desarrollo de este trabajo fue el crear consciencia sobre la relevancia de la
seguridad de la información, más aun considerando el tipo de información que maneja la Institución, por
otra parte, no todos los funcionarios manejan el concepto ni dimensionan los beneficios que trae consigo
la aplicación de la seguridad sobre sus activos, considerando erradamente que sólo los activos
informáticos son susceptibles a posibles riesgos y amenazas, dejando las responsabilidades en manos de la
Unidad de Informática. Por ello, es necesaria una capacitación para quienes manejen la Herramienta de
apoyo al SGSI propuesto o tengan acceso a ella.
Si bien, para definir la situación actual del HGF de acuerdo al cumplimiento de la norma NCh-ISO
27001:2013 participó el jefe de la Unidad de Informática y la Encargada de Seguridad de la Información
respondiendo la planilla (Anexo 5) es importante que para su diagnóstico futuro, en el marco del
mejoramiento continuo, su aplicación sea más representativa e incluya a todos los usuarios de la
Herramienta, al Comité de Seguridad de la Información, la Unidad de Informática y todo aquel
funcionario que maneje directa e indirectamente los principales activos de información de la Institución.
En consecuencia, de acuerdo con lo presentado en el capítulo de resultados, se pudo cumplir con los
objetivos propuestos para el desarrollo de este Trabajo de Título. En este contexto, la aplicación de la
Herramienta es un proceso que involucra la verificación y mejora continua del sistema de gestión, por
tanto, se debe seguir trabajando en ella. La contribución más concreta fue el desarrollo del documento
para la estrategia y propuesta de diseño del SGSI, que será presentado al Comité de Seguridad de la
Información para su revisión y futura tramitación para obtener la resolución que apruebe formalmente su
aplicación en la Institución.
7. CONCLUSIÓN
Los sistemas de información y las tecnologías en general juegan un papel fundamental en la prestación de
servicios de las organizaciones, satisfacción del cliente, logro de objetivos, cumplimiento de la misión y
visión, entre otras. Sin embargo, el uso, manejo y almacenamiento de información conlleva riesgos que la
mayoría de las veces son desconocidos por la Dirección y no invierten en mecanismos de protección, así
como tampoco en la implementación de modelos de seguridad de la información.
Este trabajo de título permitió conocer y dar a conocer los beneficios que conlleva la implementación de
un SGSI, además de la aplicación sistémica de una norma de gestión, poniendo a prueba mis capacidades
como futuro Ingeniero Civil Biomédico.
La estrategia y propuesta de diseño presentada fue aplicada en el servicio de Cirugía Adulto, como caso de
estudio, pudiendo replicarse en un futuro a otros servicios y unidades de la Institución, no tan sólo
clínicos, sino también administrativos.
23
8. REFERENCIAS
[1] Ministerio de Salud, División Jurídica, "Política general de seguridad de la información," 2014.
[Online]. Available: http://ciperchile.cl/pdfs/2016/03/red-minsal/Seguridad-de-la-Informacion.pdf.
[2] AENOR Chile, "La clave de seguridad para su sistema de información," Abril 2018. [Online].
Available: http://www.aenorchile.com/seguridad-de-la-informaci%C3%B3n.aspx.
[3] A. Arriola Vera y R. Salas Fuentes, "Curso: Sensibilización en la seguridad de la información en
redes sociales y canales de comunicación informal," in Pontificia Universidad Católica de
Valparaíso, Escuela de Economía y Negocios, Valparaíso, 2018.
[4] Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual
(INDECOPI), "Principios de la seguridad de la información," [Online]. Available:
https://www.indecopi.gob.pe/principios-de-la-seguridad-de-la-informacion. [Accessed Mayo 2018].
[5] ISO/IEC 27001:2005, "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión
de seguridad de la información - Requerimientos," 2005.
[6] ISO27000.ES, "SGSI," 2012. [Online]. Available: http://www.iso27000.es/sgsi.html. [Accessed
Abril 2018].
[7] Porfitline, "Seguridad Informática," [Online]. Available: https://profitline.com.co/servicios/it-
seguridad-informatica/. [Accessed Junio 2018].
[8] Universidad Nacional de Colombia, "Plan de Gestión de un SGSI," [Online]. Available:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/capitulo_4_plan_de_gestion_de_un_sgsi.html.
[9] Calidad & Gestión, "CICLO PDCA - ESTRATEGIA PARA LA MEJORA CONTINUA," [Online].
Available: http://www.calidad-
gestion.com.ar/boletin/58_ciclo_pdca_estrategia_para_mejora_continua.html. [Accessed Junio
2018].
[10] Gobierno de Chile, "Ley 20584, Regula los derechos y deberes que tienen las personas en relación
con las acciones vinculadas a su atención en salud," 2012. [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=1039348.
[11] Gobierno de Chile, "Ley 19628, Sobre protección de la vida privada," 1999. [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=141599.
[12] Gobierno de Chile, "Ley 20285, Sobre acceso a la información pública," 2008. [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=276363&tipoVersion=0.
[13] Gobierno de Chile, "Ley 19223, Tipifica figuras penales relativas a la información," 1993. [Online].
Available: https://www.leychile.cl/Navegar?idNorma=30590&idVersion=1993-06-07.
[14] Gobierno de Chile, "Decreto 83, Aprueba norma técnica para los órganos de la administración del
Estado sobre seguridad y confidencialidad de los documentos electrónicos," [Online]. Available:
https://www.leychile.cl/Navegar?idNorma=234598.
[15] International Organization for Standardization, "The ISO Survey of Management System Standar
Certifications 2016," Septiembre 2017. [Online]. Available:
https://isotc.iso.org/livelink/livelink/fetch/-
8853493/8853511/8853520/18808772/00._Executive_summary_2016_Survey.pdf?nodeid=1920889
8&vernum=-2. [Accessed Julio 2018].
[16] International Organization for Standardization, "ISO Survey of certifications to management system
standards - Full results," Noviembre 2017. [Online]. Available:
https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1.
24
[Accessed Julio 2018].
[17] Universidad Nacional Abierta y a Distancia, "Especialización Seguridad Informática," [Online].
Available: https://estudios.unad.edu.co/especializacion-en-seguridad-informatica.
[18] Universidad Nacional Abierta y a Distancia, "Repositorio Institucional UNAD, "ISO 27001","
[Online]. Available: https://repository.unad.edu.co/simple-search?query=ISO+27001.
[19] Dirección de Presupuestos Gobierno de Chile (DIPRES), "Red de Expertos," [Online]. Available:
http://www.dipres.gob.cl/598/w3-propertyvalue-16176.html. [Accessed Abril 2018].
[20] CSIRT, Ministerio del Interior y Seguridad Pública, "Qué es el PMG SSI," [Online]. Available:
https://csirt.gob.cl/ques_es_el_pmg.html.
[21] Dirección de Presupuestos Gobierno de Chile (DIPRES), "Programa de Mejoramiento de Gestión
(PMG)," [Online]. Available: http://www.dipres.gob.cl/598/w3-propertyvalue-15230.html.
[Accessed Abril 2018].
[22] Red de Expertos, Subsecretaría del Min. Interior - División Informática, Dirección de Presupuestos
del Min. de Hacienda, División Tecnologías de la Información, "Guía Metodológica 2015, Indicador
Transversal SSI, Sistema de Seguridad de la Información, Programa Marco PMG 2015," 2015.
[Online]. Available: http://www.dipres.gob.cl/598/articles-
51683_intro_Guia_Metodologica04_2015.pdf.
[23] Consejo de Auditoría Interna General del Gobierno (CAIGG), "Fases Gestión de Riesgos," [Online].
Available: http://www.auditoriainternadegobierno.gob.cl/la-gestionriesgo/fases-gestion-de-riesgos/.
[24] Portal Administración Electrónica, "MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información," [Online]. Available:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mageri
t.html#.WzO-BNJKjIV. [Accessed Junio 2018].
[25] European Union Agency for Network and Information Security, "Magerit," [Online]. Available:
https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-
management-inventory/rm-ra-methods/m_magerit.html. [Accessed Agosto 2018].
[26] Dirección de Presupuesto Gobierno de Chile (DIPRES), "Sistema Seguridad de la Información,
Instrumentos 2016," [Online]. Available: http://www.dipres.gob.cl/598/w3-article-51683.html.
[Accessed Abril 2018].
[27] Instituto Nacional de Normalización (INN), "Norma Chilena NCh-ISO 27001," 2013.
[28] D. Kosutic, "Informe: Lista de documentación obligatoria requerida por ISO/IEC 27001," 2014.
[Online]. Available:
https://cdn2.hubspot.net/hubfs/1983423/27001Academy/27001Academy_FreeDownloads/ES/Checkl
ist_of_ISO_27001_Mandatory_Documentation_ES.pdf?t=1531821514679&utm_campaign=free-
resources-
27001&utm_source=hs_automation&utm_medium=email&utm_content=37193827&_hsenc.
25
9. GLOSARIO
• Activo de información: Se define como todo aquello que pueda generar valor para la empresa u
organización y que éstas sientan la necesidad de proteger. Un activo o recurso informático está
representado por los objetos físicos, objetos abstractos e incluso el personal de trabajo y las
oficinas.
• Amenaza: Es el potencial que un intruso o evento explote una vulnerabilidad específica. Es
cualquier probabilidad que pueda ocasionar un resultado indeseable para la organización o para un
activo en específico. Son acciones que pueden causar daño, destrucción, alteración, pérdida o
relevancia de activos que podrían impedir su acceso o prevenir su mantenimiento.
• Ataque: Es cualquier intento no autorizado de acceso, uso, alteración, exposición, robo,
indisposición o destrucción de un activo.
• Confidencialidad: Necesidad de permitir el acceso al activo solo a las personas debidamente
autorizadas de acuerdo con lo definido por la Institución. El acceso no autorizado tiene impacto
para la Institución o terceros. Para establecer este atributo, se debe considerar las leyes 20.285, y
19.628, así como también la etapa del proceso en la cual se realiza el análisis del activo.
• Control de seguridad: Es un conjunto de normas, técnicas, acciones y procedimientos que
interrelacionados e interactuando entre sí con los sistemas y subsistemas organizacionales y
administrativos, permite evaluar, comparar y corregir aquellas actividades que se desarrollan en
las organizaciones, garantizando la ejecución de los objetivos y el logro de las metas
institucionales.
• Disponibilidad: Necesidad de preservar el tiempo de acceso al activo bajo un umbral predefinido
por la Institución. Sobrepasar dicho umbral implica indisponibilidad del activo la que genera
distintos niveles de impacto para la Institución o terceros. El valor de este atributo está
directamente relacionado con la magnitud de dicho impacto.
• Evento: Es una situación que es posible pero no certera; es siempre una circunstancia futura y
tiene influencia directa o indirecta sobre el resultado. Un evento se trata como un suceso negativo
y representa algo indeseado.
• Impacto: Es la cantidad de daño que puede causar una amenaza que explote una vulnerabilidad.
• Integridad: Necesidad de preservar la configuración y contenido de un activo de información. Su
modificación no deseada tiene consecuencias que generan distintos niveles de impacto para la
Institución o terceros. El valor de este atributo está directamente relacionado con la magnitud de
dicho impacto.
• Políticas de seguridad: Es un documento que define el alcance de la necesidad de la seguridad
para la organización y discute los activos que necesitan protección y el grado para el cual deberían
ser las soluciones de seguridad con el fin de proveer la protección necesaria.
• Riesgo informático: Es la probabilidad de que una amenaza en particular exponga una
vulnerabilidad que podría afectar a la organización. Es la posibilidad de que algo pueda dañar,
destruir o revelar datos u otros recursos.
• Sistema de Gestión de Seguridad de la Información (SGSI): Es un marco de administración
general a través del cual las organizaciones identifican, analizan y direccionan sus riesgos en la
seguridad de la información. Su correcta implementación garantiza que los acuerdos de seguridad
están afinados para mantenerse al ritmo constante con las amenazas de seguridad,
26
vulnerabilidades e impactos en el negocio, el cual es un aspecto que considerar, teniendo en
cuenta la competitividad y cambios a los que se enfrentan las organizaciones hoy en día.
• Vulnerabilidad: Es una falla o debilidad en los procedimientos, diseño, implementación o
controles internos en un Sistema de Gestión de Seguridad de la Información. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una organización o para un
activo en específico.
27
10. ANEXOS
Tabla 5: Documentos obligatorios a presentar para el cumplimiento de la norma ISO/IEC 27001:2013. Fuente: Elaboración
propia basada en [28]
29
10.3 ANEXO 3: LISTADO DE NORMATIVA VIGENTE RELACIONADA CON LA
SEGURIDAD DE LA INFORMACIÓN
➢ Ley N°19.553, febrero 1998. Concede asignación de modernización y otros beneficios que indica.
Ministerio de Hacienda.
➢ Decreto N°475. Reglamento Ley 19.553 para la aplicación del incremento por Desempeño
institucional del artículo 6° de la Ley y sus modificaciones.
➢ Ley N°20.212, agosto de 2007. Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales,
con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de Hacienda.
➢ Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios de
certificación de dicha firma. Ministerio de Economía.
➢ DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la
certificación de dicha firma.
➢ Instructivo Presidencial Nº 05, mayo de 2001: Define el concepto de Gobierno Electrónico.
Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico en
Chile.
➢ Instructivo Presidencial Nº 06, junio de 2004: Imparte instrucciones sobre la implementación de la
firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del
Estado, para dotar así de un mayor grado de seguridad a las actuaciones gubernamentales que
tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de
las personas que suscriben tales documentos.
➢ DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos
electrónicos.
➢ DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y
confidencialidad de los documentos electrónicos.
➢ DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no
deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus
funcionarios.
➢ DS N°14, 27 de febrero de 2014, Ministerio de Economía, Fomento y Turismo. Modifica Decreto
Nº 181 de 2002.
➢ Ley Nº 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el
derecho de acceso a la información de los órganos de la administración del Estado. Ministerio
Secretaría General de la Presidencia.
➢ Instrucción General N°2, mayo de 2009, del Consejo para la Transparencia: Designación de
Enlaces con el Consejo para la Transparencia.
➢ Instrucción General N°3, mayo de 2009, del Consejo para la Transparencia: Índice de Actos o
Documentos calificados como secretos o reservados.
➢ Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia
Activa y Publicidad de la Información de la Administración del Estado.
➢ Circular Nº3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y
dispone los materiales necesarios para facilitar la implementación del instructivo presidencial
sobre transparencia activa y publicidad de la información de la Administración del Estado.
➢ Ley Nº 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen
los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la
Presidencia.
➢ Instructivo Presidencial N°4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley de
Bases de Procedimientos Administrativos.
➢ Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales. Ministerio
Secretaría General de la Presidencia.
➢ Ley Nº 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública.
➢ Ley Nº 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
30
➢ Ley Nº 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.
➢ Guía Metodológica del Sistema Gobierno Electrónico.
➢ Guía Metodológica del Sistema Seguridad de la Información.
31
10.4 ANEXO 4: CARTA GANTT TRABAJO DE TITULACIÓN
CUMPLE
REQUISITO 4. CONTEXTO DE LA ORGANIZACIÓN
(SI/NO)
Determinar asuntos internos y externos a la
organización, importantes para sus objetivos y para
COMPRENSIÓN DE
los resultados esperados del SGSI.
LA
4.1 SI
ORGANIZACIÓN Y
NOTA: De acuerdo a lo considerado en ISO
SU CONTEXTO
31000:2009 5.3. Esto es, establecer el contexto de
gestión de riesgos.
COMPRENSIÓN DE Determinar partes interesadas pertinentes para el
LAS NECESIDADES SGSI y sus requisitos.
4.2 Y EXPECTATIVAS SI
DE LAS PARTES NOTA: Requerimientos legales, regulatorios,
INTERESADAS contractuales.
DETERMINACIÓN
DEL ALCANCE DEL
Determinar límites y aplicabilidad del SGSI,
SISTEMA DE
4.3 considerando los puntos anteriores. El alcance NO
GESTIÓN DE LA
debe ser documentado.
SEGURIDAD DE LA
INFORMACIÓN
SISTEMA DE
Establecer, implementar, mantener y mejorar de
GESTIÓN DE
4.4 manera continua un SGSI de acuerdo a lo NO
SEGURIDAD DE LA
establecido en la norma ISO 27001:2013.
INFORMACIÓN
CUMPLE
REQUISITO 5. LIDERAZGO
(SI/NO)
La Dirección debe demostrar liderazgo y
compromiso con respecto al SGSI, asegurando que
los objetivos de la política de la seguridad de la
información sean compatibles con la dirección
estratégica de la Institución, asegurando la
integración entre el SGSI y los procesos de la
LIDERAZGO Y
5.1 Institución, asegurando los recursos necesarios SI
COMPROMISO
disponibles, además, comunicando la importancia
de la gestión de la seguridad de la información y el
cumplimiento de los requisitos del SGSI, por otro
lado, dirigiendo y apoyando a las personas que
contribuyen en el SGSI y promoviendo la mejora
continua.
La Dirección debe establecer una política de
seguridad de la información y esta debe ser
5.2 POLÍTICA pertinente al objetivo de la Institución, incluir los SI
objetivos de seguridad de la información e incluir
compromisos para satisfacer los requisitos
33
CUMPLE
REQUISITO 5. LIDERAZGO
(SI/NO)
aplicables relacionados a la seguridad de la
información y la mejora continua. Dicha política
debe estar disponible y documentada y
comunicada y difundida dentro de la
Institución.
ROLES
ORGANIZACIONA- La Dirección debe asignar las responsabilidades y
LES, autoridad para asegurar que el SGSI cumple con
5.3 SI
RESPONSABILIDA- los requisitos de la norma e informar sobre el
DES Y desempeño de este.
AUTORIDADES
CUMPLE
REQUISITO 6. PLANIFICACIÓN
(SI/NO)
ACCIONES PARA
ABORDAR LOS
6.1 _ _
RIESGOS Y
OPORTUNIDADES
Considerar punto 4.1 y 4.2 y determinar los riesgos
y oportunidades que necesitan ser cubiertos para
asegurar que el SGSI logre los resultados
esperados, disminuir o evitar los efectos no
6.1.1 GENERALIDADES deseados y lograr la mejora continua, por tanto, la NO
Institución debe planificar las acciones para
abordar estos riesgos y oportunidades y definir
cómo implementarlas e integrarlas en los procesos
del SGSI, además de evaluar su eficacia.
EVALUACIÓN DE
RIESGOS DE LA Definir y aplicar un proceso de evaluación de
6.1.2 NO
SEGURIDAD DE LA riesgo de seguridad de la información.
INFORMACIÓN
TRATAMIENTO DE
Definir y aplicar un proceso de tratamiento de
LOS RIESGOS DE
6.1.3 riesgo de la seguridad de la información que NO
SEGURIDAD DE LA
permita determinar los controles necesarios.
INFORMACIÓN
Establecer objetivos de seguridad de la
información en niveles y funciones relevantes,
OBJETIVOS DE
considerando que sea consistente con la política de
SEGURIDAD DE LA
seguridad de la información (5.2), sean medibles,
6.2 INFORMACIÓN Y NO
si es posible, además tomar en consideración los
PLANIFICACIÓN
requisitos de seguridad de la información aplicable
PARA LOGRARLO
y los resultados del punto 6.1.3, por otra parte, los
objetivos deben ser comunicados y actualizados.
34
CUMPLE
REQUISITO 7. SOPORTE
(SI/NO)
Determinar y proporcionar recursos para el punto
7.1 RECURSOS SI
4.4
Determinar competencias necesarias del RRHH
que afecta en el desempeño de seguridad de la
7.2 COMPETENCIAS información, tomar acciones para adquirir las SI
competencias necesarias y retener la información
documentada como evidencia de competencia.
Las personas deben estar al tanto de la política de
la seguridad de la información, la contribución del
7.3 CONOCIMIENTO NO
SGSI y las implicaciones de no cumplir con los
requisitos del SGSI.
La Institución debe determinar la necesidad de
7.4 COMUNICACIÓN comunicaciones internas y externas que sean NO
pertinentes al SGSI.
INFORMACIÓN
7.5 _ _
DOCUMENTADA
El SGSI debe incluir la información
documentada necesaria definida en la norma ISO
7.5.1 GENERALIDADES NO
27001:2013 y la definida por la misma Institución
como necesaria.
Se debe asegurar la identificación y descripción de
CREACIÓN Y
7.5.2 la información, así como el formato y la revisión y NO
ACTUALIZACIÓN
aprobación de esta.
La información documentada necesaria para el
SGSI debe estar disponible y debidamente
CONTROL DE LA
protegida. Además, la Institución debe abordar su
7.5.3 INFORMACIÓN NO
distribución, acceso, recuperación y uso;
DOCUMENTADA
almacenamiento y conservación; control de
cambios; retención y disposición.
CUMPLE
REQUISITO 8. OPERACIÓN
(SI/NO)
La Institución debe planificar, implementar y
controlar los procesos necesarios para cumplir con
los requisitos de seguridad de la información y
PLANIFICACIÓN Y para implementar las acciones definidas los puntos
8.1 CONTROL 6.1 y 6.2. Además, se debe mantener la NO
OPERACIONAL información documentada y tener la certeza de
que los procesos se llevan a cabo según lo
planeado, por otro lado, se deben controlar los
cambios planificados y los nos planificados,
VALORACIÓN DE Se deben realizar evaluaciones de riesgo de la
RIESGOS DE seguridad de la información en intervalos
8.2 NO
SEGURIDAD DE LA planificados considerando los criterios establecidos
INFORMACIÓN en el punto 6.1.2
35
CUMPLE
REQUISITO 8. OPERACIÓN
(SI/NO)
TRATAMIENTO DE
La Institución debe implementar el plan de
LOS RIESGOS DE
8.3 tratamiento del riesgo de la seguridad de la NO
SEGURIDAD DE LA
información, se deben documentar los resultados,
INFORMACIÓN
CUMPLE
REQUISITO 9. EVALUACIÓN DEL DESEMPEÑO
(SI/NO)
SEGUIMIENTO,
La Institución debe evaluar el desempeño de la
MEDICIÓN,
9.1 seguridad de la información y la efectividad del NO
ANÁLISIS Y
SGSI.
EVALUACIÓN
La Institución debe llegar a cabo auditorías
AUDITORIA
9.2 internas en intervalos planificados para NO
INTERNA
proporcionar información sobre el SGSI.
La Dirección debe revisar el sistema de gestión de
REVISIÓN DE la seguridad de la información en los plazos
9.3 NO
GESTIÓN planificados para asegurar su conveniencia,
suficiencia y efectividad continua.
CUMPLE
REQUISITO 10. MEJORA
(SI/NO)
Cuando ocurre una no conformidad, la
Institución debe reaccionar frente a esta y
evaluar la necesidad de acción para eliminar las
causas de no conformidad y que asi esto no
NO
vuelva a ocurrir o bien que ocurra en otro lugar.
CONFORMIDADES Y
10.1 Además, debe implementar las acciones NO
ACCIONES
necesarias y hacer cambios en el SGSI de así
CORRECTIVAS
requerirlo. Toda información debe ser
documentada como evidencia de la naturaleza
de las no conformidades y los resultados de las
acciones correctivas.
La Institución debe mejorar de manera continua
10.2 MEJORA CONTINUA la conveniencia, suficiencia y efectividad del NO
SGSI.
36
10.5.2 Dominios de control, objetivos y controles
A.6.1.4 Contacto con Control: Se deben mantener los contactos apropiados con los CUMPLE
37
grupos especiales grupos especiales de interés u otros foros especializados en
de interés seguridad, así como asociaciones de profesionales
NO
SI
Objetivo: Asegurar que los empleados y contratistas estén en conocimiento y cumplan con sus
responsabilidades de seguridad de la información
Control: La Dirección debe solicitar a todos los empleados y
contratistas que apliquen la seguridad de la información de CUMPLE
acuerdo con las políticas y procedimientos establecidos por
Responsabilidade
A.7.2.1 la organización
s de la Dirección
SI
SI
SI
A.10 CRIPTOGRAFÍA
A.10.1 Controles criptográficos
Objetivo: Asegurar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad,
autenticidad o integridad de la información
Control: Se debe desarrollar e implementar una política
sobre el uso de controles criptográficos para la protección de CUMPLE
Política sobre el la información
A.10.1.1 uso de controles
criptográficos
SI
SI
43
A.11.2 Equipamiento
Objetivo: Objetivo: Prevenir pérdidas, daños, hurtos o el compromiso de los activos asi como la
interrupción de las actividades de la organización
44
Control: El equipamiento se debe ubicar y proteger para
reducir los riesgos ocasionado por amenazas y peligros CUMPLE
Ubicación y ambientales, y oportunidades de acceso no autorizado
A.11.12.
protección del
1
equipamiento
SI
SI
A.11.2.8 Equipo de Control: Los usuarios se deben asegurar de que a los equipos CUMPLE
45
usuario desatendidos se les de protección apropiada
desatendido
SI
A.12.3 Respaldo
Objetivo: Proteger en contra de la pérdida de datos
Control: Se deben hacer copias de respaldo y pruebas de la
información, del software de las imágenes del sistema con CUMPLE
regularidad, de acuerdo con la política de respaldo acordada
Respaldo de la
A.12.3.1
información
SI
A.12.4 Respaldo
Objetivo: Registrar eventos y generar evidencia
Control: Se deben generar, mantener y revisar con
regularidad los registros de eventos de las actividades del CUMPLE
usuario, excepciones, faltas y eventos de seguridad de la
Registro de
A.12.4.1 información
evento
SI
A.13.1.3 Separación en las Control: Los grupos de servicios de información, usuarios y CUMPLE
48
redes sistemas de información se deben separar en redes
NO
APLICA
A.18 CUMPLIMIENTO
A.18.1 Cumplimiento con los requisitos legales y contractuales
Objetivo: Evitar incumplimientos de las obligaciones legales, estatutarias, regulatorias o contractuales
relacionadas con la seguridad de la información y todos los requisitos de seguridad
Control: Todos los requisitos estatutarios, regulatorios y
Identificación de contractuales pertinentes y el enfoque de la organización para CUMPLE
la legislación cumplirlos, se deben definir y documentar explícitamente, y
A.18.1.1 vigente y los mantenerlos actualizados para cada sistema de información
requisitos para la organización
contractuales SI
Figura 14: Hoja "NCh-ISO27001.Of2013" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
Figura 15: Hoja "Inventario" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
86
10.8.3 Anexo 8.3: Hoja “Análisis de Riesgos”
Figura 16: Hoja "Análisis de Riesgos" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
Figura 17: Hoja "Plan General Parte 1" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
87
10.8.5 Anexo 8.4.2: Hoja “Plan General Parte 2”
Figura 18: Hoja "Plan General Parte 2" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
Figura 19: Hoja "Implementación" de la Herramienta para el apoyo del SGSI propuesto. Fuente: [26]
88
10.9 ANEXO 9: MANUAL DE INSTALACIÓN Y USO “HERRAMIENTA DE APOYO A UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN