Caso de estudio –Clínica dental “SUPER MUELA”

Una franquicia de clínica estética dental se dirige a una empresa de servicios informáticos solicitando u
sus equipos e instalaciones para determinar el grado de seguridad informática y los ajustes que se con
necesarios.
Un trabajador de la empresa informática se dirige a la clínica para realizar una revisión y tiene una entr
titular de la misma, quien le informa de los siguientes aspectos:
El personal de la clínica de la oficina “centro” está formado por:
Como contratados:
• el titular, médico especializado en odontología.
• El administrador general de la clínica “centro” y “sur”
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo, que también ejerce como recepcionista,
• una persona para la limpieza
• y una persona de seguridad

La clínica “centro” cuenta con tres consultorios, cada una de ellas con un especialista en odontología. E
consultorio hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el esp
el auxiliar de clínica que trabaja en ese consultorio.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
de los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas

El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo
• una persona para la limpieza
• y una persona de seguridad

La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
de los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas

El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo
• una persona para la limpieza
• y una persona de seguridad

La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
Debajo se recogen tablas orientativas para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel
de detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.

Asimismo, se incluye una tabla para la definición del riesgo aceptable, que debe ser definido previamente a la realización del
análisis de riesgos de acuerdo a la estrategia corporativa.

TABLA PARA ESTIMAR LA PROBABILIDAD

VALOR DESCRIPCIÓN

Bajo (1) La amenaza se materializa a lo sumo una vez cada año.

Medio (2) La amenaza se materializa a lo sumo una vez cada mes.

Alto (3) La amenaza se materializa a lo sumo una vez cada semana.

TABLA PARA ESTIMAR EL IMPACTO

VALOR DESCRIPCIÓN

Bajo (1) El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la organización.

Medio (2) El daño derivado de la materialización de la amenaza tiene consecuencias reseñables para la organización.

Alto (3) El daño derivado de la materialización de la amenaza tiene consecuencias graves reseñables para la organización.

CRITERIOS DE ACEPTACIÓN DEL RIESGO

RANGO DESCRIPCIÓN

Riesgo <= 4 La organización considera el riesgo poco reseñable.

Riesgo > 4 La organización considera el riesgo reseñable y debe proceder a su tratamiento.

 El siguiente listado recoge las principales amenazas a considerar en el ámbito de un análisis de riesgos. Se trata de
un extracto ligeramente modificado del catálogo de amenazas de MAGERIT.

Amenazas Amenazas Amenazas

Fuego Corte del suministro eléctrico Errores de los usuarios

Daños por agua Condiciones inadecuadas de temperatura o humedad Errores del administrador

Desastres naturales Fallo de servicios de comunicaciones Errores de configuración

Interrupción de otros servicios y suministros esenciales

Amenazas Desastres industriales Amenazas

Fuga de información Denegación de servicio

Introducción de falsa información Amenazas Robo

Alteración de la información Degradación de los soportes de almacenamiento de la informac Indisponibilidad del personal

Corrupción de la información Difusión de software dañino Extorsión

Destrucción de información Errores de mantenimiento / actualización de programas (softwa Ingeniería social

Interceptación de información (escucha) Errores de mantenimiento / actualización de equipos (hardware

Caída del sistema por sobrecarga OTRAS Amenazas

Pérdida de equipos

Indisponibilidad del personal

Abuso de privilegios de acceso

Acceso no autorizado
Esta tabla es una aproximación sencilla a un inventario de activos de la organización, para llevar un control básico de los activos gestionados, así como de sus
responsables, ubicación, y otras características relevantes.
La descripción de los campos es la siguiente:
* Identificador: Código que permite identificar de forma unívoca el activo.
* Nombre: Nombre del activo. Se recomienda asignar nombres a los activos de forma que su identificación sea intuitiva.
* Responsable: Nombre del responsable del activo. Se puede tratar de una persona concreta o de un departamento.
* Tipo: El campo tipo se utiliza para clasificar los activos. Resulta conveniente distinguir si el activo es físico o si es lógico (intangible).
* Ubicación: Indica dónde está ubicado físicamente el activo.
* Crítico: Campo que indica si el activo juega un papel fundamental / imprescindible (crítico) para la organización.(si/no)

INVENTARIO DE ACTIVOS

Identificador Nombre/Descripción Responsable Tipo Ubicación

ID_0001

ID_0002

ID_0003
Añadir a la tabla tantas filas como se requiera.
Crítico
Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probabilidad e impacto de tres niveles. Instrucciones
1. Determinar el riesgo aceptable por la organización, e indicarlo en la pestaña "Tablas AR".
2. Identificar los activos críticos de la organización.
3. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálogo Amenazas".
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores de la pestaña "Tablas AR".
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.
Campos de la tabla:
Activo: Nombre del activo sobre el que se evalúa el riesgo.
Amenaza: Descripción de la amenaza a la que está expuesta el activo.
Probabilidad. Probabilidad de materialización de la amenaza.
Impacto. Impacto derivado de la materialización de la amenaza.
Riesgo. Valor de riesgo resultante. (probabilidad*impacto)
En las pestañas de la hoja Excel se incluye información relevante sobre los niveles orientativos de probabilidad y riesgo, así como un catálogo de amenazas básico.

ANÁLISIS DE RIESGOS
ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO Tratamiento

(Añadir a la tabla tantas filas como sea necesario) 0