AUDITORIA DE UN SISTEMA Y PAGINA WEB PARA INSUMOS

HOSPITALARIOS

JOSE MANUEL ALVAREZ ESCOBAR

9941-18-14337
Problemática
El Hospital nacional cuenta en la actualidad con un sistema encargado del procesamiento de la información de
insumos médicos . En este sistema se han presentado varias situaciones como accesos indebidos, situaciones
referentes a virus, vulnerabilidades en los sistemas, confidencialidad y privacidad de los datos. Esto ha
ocasionado problemas tales como lentitud en los procesos, interrupción en la prestación de servicios,
inseguridad en los diferentes elementos dentro del Hospital.
Objetivos
 Objetivos
Obtener un panorama del sistema de insumos de un hospital
publico de la ciudad de Guatemala, evaluando todos los
aspectos lógicos relacionados a la gestión de la seguridad de la
información, tomando como puntos de evaluación, el sistema de
insumos, gestión de roles y permisos de bases de datos.
Alcance y
limitaciones
 ALCANCE Y DELIMITACION
La auditoría se realizará sobre el sistema de insumos de un
hospital publico de la ciudad de Guatemala.
Para evaluar el sistema de Información se tuvieron en cuenta
las características de calidad del estándar ISO 27001:
 Funcionalidad
 Usabilidad
 Portabilidad
 Accesibilidad
 Confiabilidad
 Identificación de riesgos potenciales
 
Para realizar un cálculo de la vulnerabilidad, utilizaré una matriz de riesgos, en el cual los valores de confidencialidad, integridad y
disponibilidad estarán valorizados de la siguiente manera
 Para determinar el nivel de impacto

, se califica como afecta la amenaza identificada a la preservación de la confidencialidad, integridad y disponibilidad, en términos
de “Extremo”, “Alto”, “Mediano”, “bajo” y “No significativo”
 Para determinar la probabilidad
de ocurrencia se evalúa en base a cuantas veces se ha presentado una amenaza y se valoriza de acuerdo con la siguiente
tabla.
Para determinar el nivel del riesgo, se multiplica el valor de impacto por la probabilidad, el resultado obtenido será el riesgo
y ese riesgo se clasificará de acuerdo con la imagen
 
VULNERABILIDAD
se pretende localizar y visualizar las amenazas que están más en peligro de sufrir un daño por algún impacto negativo, para
posteriormente ser capaz de evaluar los objetivos de control y tomar las decisiones y medidas adecuadas para la superación
de las vulnerabilidades y la reducción de las amenazas.

MATRIZ DE RIESGO
 
CONTROL GENERALES DE TI DE LA PAGINA WEB
DETERMINACION DE LOS
PROCEDIMIENTOS DE CONTROL
 Determinación de los procedimientos de control
 
Se determinan los procedimientos adecuados para aplicar cada uno de los objetivos definidos en el paso anterior.
Objetivo N1: priorizar la legibilidad del código fuente
Utilizar estándares de código seguro como JAVA SE8 DOC
Utilizar un analizador de código con Jenkis
No utilizar caracteres propios del español como la “ñ”, se recomienda codificar en ingles para evitar estos caracteres.
 
Objetivo N2: Testeo de código fuente
 
Para pruebas de estrés se solicita la documentación de pruebas de estrés que se desarrolló en el momento de instalar el sistema web en un
ambiente productivo, para estas pruebas se recomienda herramientas como JMETER.
Para pruebas de funcionalidad se recomienda probar cada método de cada clase utilizando un framework propio de java llamado PowerMock, (se
puede utilizar cualquier otro).
 
Objetivo N3: Control de versiones
 
Se recomienda documentar y gestionar cada cambio de versión al momento de instalar una nueva versión del sistema Web.
Se recomienda utilizar aplicaciones In house (hecha en casa), o aplicaciones con licencia como GITHUB o AZURE
 
Objetivo del 4 al 8:
Se recomienda apoyarse en el estándar de calidad ISO27001, el cual brinda una guía de buenas practicas para el aseguramiento de la seguridad de
la información
Pruebas realizadas
 
Solicitar evidencia de código correctamente documentado, basándose en buenas prácticas de codificación.
 Hallazgos encontrados
Como resultado de la auditoria llevada a cabo de la semana 3 al 24 de octubre del presente año, se encontró lo siguiente:

A. No cumple a cabalidad con las buenas practicas de código seguro JAVA SE8 DOC, en lo referente a duplicación de código, poniendo en
riesgo la integridad de la información presentada y también al correcto control de procesos que el sistema realiza internamente.

B. No cumple el objetivo de control relacionado a las pruebas de estrés y funcionalidad de código, poniendo en riesgo la disponibilidad del
sistema y la correcta operación de los procesos internos del mismo.

C. No cuenta con una documentación de pases o instalaciones a ambientes productivos, afectando de está manera la confidencialidad,
disponibilidad e integridad del mismo, ya que no se tiene conocimiento de lo que se está instalando en ambiente productivo.

D. No cuenta con un plan de rol back para el manejo de versiones, impactando de forma directa la disponibilidad del sistema, ya que si una
versión falla, no existe una forma inmediata para volver a la última versión anterior funcional.

E. No cuenta con una política definida para la gestión de soportes extraíbles como USB, CD, etc., impactando de forma directa la
confidencialidad de la información, ya que la misma puede ser objeto de robo.

F. No cuenta con copias de seguridad de la base de datos, impactando de forma directa la integridad y disponibilidad de la información al
momento de una perdida parcial o total de la base de datos.

G. No cuenta con un plan para actualización de sistema operativo y de bases de datos, poniendo en un grave riesgo a la información, ya que la
misma puede ser comprometida mediante un ataque informático.
 Recomendaciones
 
• El plan estratégico o plan operativo anual debe definir como contribuir a los objetivos estratégicos de los recursos de la información, así como metas, costos, riesgos,
fuentes de financiamiento, estrategia de adquisición y requerimientos legales, es decir en este plan se define como se cumplirán y medirán los objetivos de una manera
adecuada.
• El plan estratégico debe estar lo suficientemente detallado para permitir la definición de planes tácticos de Tecnologías de Información.
• En el plan táctico se debe describir las iniciativas y los recursos requeridos por las Tecnologías de Información, así como monitorear y administrar el uso de recursos y el
logro de beneficios de una forma activa.
• Tomar decisiones a partir el plan estratégico que permitan implementar acciones correctivas.
• Evaluar el desempeño de los planes existentes en cuanto a contribución a los objetivos de negocio, su funcionalidad, su estabilidad, su complejidad, sus costos, sus
fortalezas y debilidades.
• Establecer y mantener un modelo de información empresarial que facilite el desarrollo de aplicaciones y las actividades de soporte a la toma de decisiones, consistente con
los planes de TI.
• Este modelo incluye
- Diccionario de datos que incluya reglas de sintaxis
- Esquema de clasificación de los datos e información.
- Documentación de planes existentes
• Definir procedimientos para garantizar la integridad de los datos almacenados en bases de datos, archivos de datos, copias de seguridad.
• Actualizar el manual del Sistema de Información Hospitalario (SIHOS).
• Actualizar el diccionario de datos.
• Realizar mantenimiento a los planes, manuales y documentos.
• Asignar roles y permisos para acceder a secciones o partes de las bases de datos que maneja el Sistema de Información Hospitalario (SIHOS).
• Diseñar el modelo relacional de las bases de datos del Sistema de Información Hospitalario (SIHOS).
• Mantener actualizado el modelo relacional de las bases de datos.
Gracias por
su atención