Universidad Técnica del Norte

FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS

CARRERA DE INGENIERÍA EN ELECTRÓNICA Y REDES DE COMUNICACIÓN

ANTEPROYECTO DE TRABAJO DE GRADO

DATOS GENERALES

TEMA: DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) BASADO EN EL ESQUEMA GUBERNAMENTAL DE
SEGURIDAD DE LA INFORMACIÓN (EGSI) Y LA NORMA 27799 EN EL HOSPITAL
SAN LUIS DE OTAVALO.

1. DISCIPLINA / ÁREA: CONECTIVIDAD E INTEGRACIÓN DE SISTEMAS

2. ENTIDAD QUE AUSPICIA:

UNIVERSIDAD TÉCNICA DEL NORTE
3. DIRECTOR: MGS. SANDRA NARVÁEZ

4. AUTOR: Catherine López

DIRECCIÓN: Calle Pichincha y Alejandro Andrade 08-07
TELÉFONO: 0997165930
CORREO ELECTRÓNICO: cllopezq@utn.edu.ec

5. DURACIÓN (Estimado): 6 MESES

6. INVESTIGACIÓN: Nueva ( X ) Continuación ( )

7. PRESUPUESTO (estimado):

PARA USO DEL CONSEJO ACADÉMICO

FECHA DE ENTREGA: FECHA DE REVISIÓN:

APROBADO: SI ( ) NO ( ) FECHA DE APROBACIÓN:

OBSERVACIONES:
 Universidad Técnica del Norte
FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS
CARRERA DE INGENIERÍA EN ELECTRÓNICA Y REDES DE COMUNICACIÓN

PLAN DEL PROYECTO DE TITULACIÓN

Propuesto por: Áreas Técnicas del Tema:

Catherine Liseth López Quilumbango Redes de Comunicación
Normativas de Seguridad de la Información
Gobierno TI

Director sugerido: Fecha:

23/02/2018

1. Tema o Título
“DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
BASADO EN EL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN
(EGSI) Y LA NORMA 27799 EN EL HOSPITAL SAN LUIS DE OTAVALO”.
2. Problema

Gran parte de las empresas del sector público y privado en Ecuador, han sido víctimas de
ataques informáticos que vulneran la integridad de cada organización. En los distintos estudios
de infracciones a los servicios de telecomunicaciones ejecutados tanto a nivel mundial como
nacional, señalan que cerca del 50% de empresas sufrieron alguna brecha de seguridad, debido
a que no cuentan con un proceso de gestión de incidentes (Deloitte, 2017), así como el peligro
en el que recaen por afectaciones y propagaciones de varios tipos de malware, mencionando
que en el país al menos 9 instituciones han sido afectadas (Comercio, 2017); así como otros
delitos registrados. Si bien esta es una visión general de la situación, a las entidades que
conforman el Marco Administrativo Público Central, se les atribuye adoptar el Esquema
Gubernamental de Seguridad de la Información (EGSI), que busca precisamente el resguardar
la seguridad informática adecuando políticas mediante el uso obligatorio de normativas técnicas.
En este caso, las Instituciones del servicio de Salud Pública, que cuentan con información
sensible como registros médicos que almacenan y administran historias clínicas, direcciones,
detalles de seguridad social de pacientes, etc., se convierten en un blanco para atacantes que
posiblemente indagan para obtener acceso a esta información altamente confidencial y actuar
de acuerdo a sus propósitos, lo cual pone en riesgo los recursos informáticos y servicios de TI
de dichas organizaciones.

El Hospital San Luis de Otavalo, cuenta con una infraestructura de red poco alineada a un
estándar de tecnología, una distribución e imposición de activos deficientes, y demás recursos
de red necesarios que no cuentan con una correcta administración. En esta organización se
maneja información crítica y sensible, como son las historias clínicas, y demás información
confidencial; la cual podría ser manipulada por terceros y a su vez vulnerada, sin descartar la
posibilidad de que este tipo de acontecimientos podrían presenciarse inclusive por parte del
mismo personal interno. El inadecuado control de recursos y socialización de políticas de
seguridad por parte del personal del Departamento de Tecnologías del Hospital, han provocado
la propagación de software malicioso; procedimientos inapropiados para respaldar información
y la frecuencia con la cual lo realizan, también son consideradas actividades que vuelven a la
red más susceptible a fallos y ataques informáticos. El Data Center de la Institución carece de
un ambiente físico propicio, como sistemas: eléctrico, control de acceso, cableado estructurado,
etc.; son aspectos esenciales que enfatizan una necesidad y comprometen su seguridad.

En referencia a lo mencionado, el Hospital San Luis de Otavalo se ve en la necesidad de acoger

y cumplir con los lineamientos del EGSI a través del diseño de un SGSI, este esquema es un
conjunto de directrices prioritarias para la Gestión de la Seguridad de la Información, está basado
en la norma técnica ecuatoriana INEN ISO/IEC 27002 y dirigido a las instituciones de la
Administración Pública Central (INEN, 2016). A través de un SGSI, será posible alcanzar los
objetivos planificados integrando además un análisis de Gestión de Riesgos que facilite la
identificación de vulnerabilidades para la consiguiente formulación de políticas.

Debido a la realidad en la que se encuentra el Hospital a nivel de infraestructura de tecnologías,

se requiere la creación de un Sistema de Gestión de Seguridad de la Información, que contribuirá
al salvaguardar la integridad no solamente del hospital, sino que a su vez obedeciendo los
derechos de la privacidad de información de los pacientes; brindando servicios con garantías de
calidad aportando a la generación de un entorno laboral seguro.

3. Objetivos

Objetivo General

Diseñar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el Esquema

Gubernamental de Seguridad de la Información (EGSI) y la norma 27799 en el Hospital San Luis
de Otavalo.

Objetivos Específicos

 Realizar una revisión de las políticas dispuestas en el EGSI así como las normativas que
faciliten llevar una ordenada planificación de procesos para el desarrollo del SGSI y
lineamientos propios para la seguridad informática sanitaria.

 Analizar la situación actual del Hospital San Luis de Otavalo a través del conocimiento
de su infraestructura interna física y lógica mediante un análisis de Gestión de Riesgos
que posibilite determinar sus principales falencias a nivel informático estructural.

 Formular las políticas que intervienen en el desarrollo del SGSI que más se apeguen al
(EGSI) referentes a la gestión de la seguridad y puntualizar las que mejor se adecúen a
los procesos propuestos en esta normativa.

 Implementar las políticas y socializar con todo el personal involucrado en la SI con el fin
de optimizar la operatividad de los recursos de TI y mejorar el desempeño de los
servicios en beneficio de los usuarios.

 Elaborar un análisis Costo/Beneficio de acuerdo a las políticas y procedimientos

considerados alineados a los objetivos estratégicos de la Institución.

4. Alcance
Con la finalidad de obtener mayor información y comprensión de las normativas impuestas por
el Estado en el marco de la Seguridad de la Información en Instituciones Públicas, se realizará
un estudio tanto de contexto como de referencias globales afines al objetivo planteado por el
EGSI, además de políticas propias del Ministerio de Salud Pública, para obtener una perspectiva
del punto de partida para la elaboración del SGSI.

Se evaluará la situación actual del Hospital San Luis de Otavalo, a través de un análisis de
Gestión de Riesgos que corresponde a la norma ISO/IEC 27005 que es un conjunto de directrices
para determinar las principales vulnerabilidades de los activos de información. Este proceso se
llevará a cabo a través de una metodología de identificación de riesgos utilizando mapas y
matrices de gestión de riesgos, documentando y detallando cada evento o situación presente en
la organización.

Se integrarán los controles y directrices establecidos en el estándar ISO/IEC 27799 para la

Gestión de la Seguridad de la Información dentro del sector sanitario y que sigan la misma
perspectiva y línea de acción de la normativa EGSI, para formular las políticas primordiales del
SGSI.

Una vez identificadas las políticas, se elaborará el diseño del SGSI a través de un conjunto de
acciones utilizando herramientas e instrumentos físicos y lógicos para la modificación,
monitorización y optimización de los recursos de TI y el levantamiento de información y
documentación correspondiente; para ello es necesaria la aplicación de estrategias de
socialización y una adecuada coordinación con los principales implicados en la SI.

El análisis Costo/Beneficio tendrá un enfoque cualitativo en cuanto a la evaluación del impacto

de la aplicación de estos lineamientos en la estructura organizativa así como su influencia en la
toma de decisiones; y cuantitativo en cuestiones de cotizaciones de implementos de red. De esta
manera se reflejará la utilidad del SGSI cerrando brechas de seguridad aumentando la integridad
de la Institución y la confidencialidad de la Información.

5. Justificación

El Plan Nacional del Buen Vivir, en su objetivo tres, promueve la mejora de la calidad de vida de
los ciudadanos, lo cual implica colaborar para que los servicios públicos como la Salud, sean de
calidad en todos sus aspectos, mejorando no solo las condiciones de vida de cada paciente,
sino también poniendo a salvo recursos de telecomunicaciones, que son considerados
herramientas esenciales de desarrollo e integración de las tecnologías de comunicación que
benefician a la comunidad.

Debido a las incidencias y brechas de seguridad presenciadas en el Hospital San Luis de

Otavalo, se ve la necesidad de implementar esta normativa que responde al cumplimiento de las
disposiciones propuestas por la Secretaría Nacional de la Administración Pública, partiendo del
análisis de la realidad de la infraestructura de TI en el sitio, determinando las anomalías
encontradas en la gestión de los recursos de red y que como consecuencia no contribuye a llevar
a cabo un mejoramiento, garantía de calidad y transparencia en la prestación adecuada de
Servicios de Salud.

De esta manera, el presente proyecto, contribuirá en beneficio del Hospital en los siguientes
aspectos: la continuidad de los servicios, aseguramiento de la información de los pacientes,
cumplimiento de la normativa nacional, una mejor organización interna del personal encargado
de TI, facilitará la gestión de los activos de comunicaciones, identificación de posibles riesgos en
la red y una coordinación con un plan de respuesta ante posibles ataques informáticos.

Por lo tanto, el Hospital está en la obligación de brindar su servicio cumpliendo con estándares
que garanticen los tres aspectos más importantes en cuanto a la seguridad de la información:
integridad, confidencialidad y disponibilidad. Desarrollando un SGSI, todas las situaciones que
debilitan la gestión interna de cada organización, y al Hospital San Luis de Otavalo como tal,
contarán con un control y monitoreo periódico de la infraestructura de red, el cual es primordial
para tomar iniciativas de prevención por medio de mecanismos que generen confianza y
garanticen la integridad del servicio y sus recursos.

6. Contexto

Cevallos, M. (2014). “Metodología de seguridad informática con base en la norma ISO

27002 y en herramientas de prevención de intrusos para la red Administrativa del Gobierno
Autónomo Descentralizado de San Miguel de Ibarra”. Ibarra: Universidad Técnica del
Norte.

La red Administrativa de Ibarra del GAD se vio en la necesidad de proponer una Metodología de
Seguridad Informática con la implementación de estrategias establecidas en un manual de
Políticas y Procedimientos, que permitan resguardar los activos informáticos y poder administrar
de mejor manera estos recursos tanto internos como externos de la infraestructura de red,
basándose en la Norma ISO 27002. Esta tesis se diferencia del proyecto actual ya que en ésta,
se utilizan herramientas de detección de intrusos como Snort y Snort Inline para montar un
servidor IDS/IPS basado en software libre. (Michilena, 2014)

Méndez, K. (2015). “Plan de contingencia para la unidad de sistemas y tecnología de

información del gobierno Autónomo Descentralizado Antonio Ante en base a la Norma
ISO/IEC 27002”. Ibarra: Universidad Técnica del Norte.

Este trabajo consiste en el desarrollo de un plan de contingencia con un conjunto de

procedimientos para tomar acciones en cuanto a la aseguración y recuperación adecuada de la
información y servicios, con una metodología que toma medidas a través de evaluaciones y
análisis de los riesgos, todo lo que se refiere al impacto que ocurre dentro de la organización
como son las vulnerabilidades y amenazas en la infraestructura informática, proponiendo
soluciones y estrategias que permitan garantizar la continuidad de los servicios, siendo éste uno
de los principales aspectos más importantes en referencia a la Seguridad de la Información; de
esta manera, prevenir situaciones que perjudiquen los recursos y activos informáticos del GAD
Municipal de Antonio Ante. Lo importante para rescatar de este proyecto, para la tesis propuesta,
es que se creará también una metodología con procedimientos, con la diferencia, que ésta se
basa solo en la Norma ISO/IEC 27002, y no todas los lineamientos del EGSI. (Luna, 2015)

Zura, A. (2015). “Diseño del modelo de seguridad de defensa en profundidad en los niveles
de usuario, red interna y red perimetral, aplicando políticas de seguridad en base a la
Norma ISO/IEC 27002 para la red de datos del GAD Municipal de Otavalo”. Ibarra:
Universidad Técnica del Norte.
El GAD Municipal de Otavalo posee una infraestructura de telecomunicaciones con los servicios
que permiten tanto al sector urbano y rural el acceso a las TICs, y al ser Otavalo una comunidad
amplia, debe responder a las necesidades de los usuarios, en cuanto a la disponibilidad, tráfico
que fluye en la red y que sea escalable. Este proyecto propone un modelo de seguridad
denominado defensa en profundidad, aplicado a tres niveles que son: usuario, red interna y
perimetral. A nivel de usuario con un manual de Normas y Procedimientos de seguridad de la
Información basado en la norma ISO IEC 27002 que se socializó internamente, en el nivel interno
mediante un modelo jerárquico en base al estudio por capas; y en el nivel perimetral a través del
uso de herramientas de detección de intrusos, proporcionando una solución económica al migar
de soluciones propietarias a plataformas no licenciadas. Esta tesis de grado se diferencia al
presente proyecto en que se hará uso de herramientas de detección de intrusos, aunque se
utiliza la norma ISO/IEC 27002 con la creación de un manual de buenas prácticas, que se
asemeja al tema planteado en este caso. (Chalá, 2015)

7. Contenidos

1. CAPÍTULO I: ANTECEDENTES

Tema, Planteamiento del Problema, Objetivos General y Específicos, Alcance,

Justificación.

2. CAPÍTULO II: ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA

INFORMACIÓN (EGSI)

Estudio del arte y revisión textual bibliográfica del EGSI y los estándares ISO/IEC
27005 Y 27799 los cuales corresponden a la misma línea de acción referente a la
Seguridad de la Información.

3. CAPÍTULO III: SITUACIÓN ACTUAL DEL HOSPITAL

Conocimiento de la infraestructura física y lógica, desarrollo del sistema de Gestión

de Riesgos, identificación de falencias de operación.

4. CAPÍTULO IV: FORMULACIÓN Y DESARROLLO DEL GOBIERNO TI

Identificación y formulación de políticas primordiales, Instrumentos y herramientas

de implementación de políticas, recomendaciones de procesos, estrategias de
socialización de las políticas.

5. ANÁLISIS COSTO/BENEFICIO

Parámetros de evaluación con enfoques cualitativos y cuantitativos.

6. CONCLUSIONES Y RECOMENDACIONES

8. Cronograma de Actividades
 Actividad Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6
S S S S S S S S S S S S S S S S S S S S S S S S
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Elaboración del
Capítulo I
Recopilación de
Información
Realización del
Anteproyecto
Revisión del Capítulo I
Elaboración del
Capítulo II
Revisión textual
bibliográfica
Estudio de Normativas
ISO/IEC 27799, 27005
Análisis de Normativas
Sanitarias
Revisión del Capítulo II
Elaboración del
Capítulo III
Conocimiento de
personal interno
Evaluación de
infraestructura de red
Organización de
Información
Revisión del Capítulo
III
Elaboración del
Capítulo IV
Formulación de
Políticas
Metodología de
Implementación
Mecanismos de
Implementación
Revisión del Capítulo
IV
Elaboración del
Capítulo V
Implementación de
Políticas
Pruebas de
Implementación
Evaluación de Riesgos
Documentación de
resultados
Revisión del Capítulo V
Elaboración del
Capítulo VI
Conclusiones
Recomendaciones
Correcciones finales
Revisión del Capítulo V

9. Presupuesto

HARDWARE

MATERIAL PRECIO UNIDAD CANTIDAD TOTAL

Cables de consola 20,00 2 40.00
Disco Duro 1 TB 75,00 1 75,00
Patch Cords 3,00 4 12,00
Otros 50,00 50,00
TOTAL $ 177,00

ARTÍCULOS DE OFICINA

MATERIAL PRECIO UNIDAD CANTIDAD TOTAL

Hojas de Papel 5,00 2 10,00
Bond (resma)
Lápices 0,25 5 1,25
Esferos 0,25 4 1,00
Carpetas 0,40 4 1,60
Espiralados 3,00 4 12,00
Empastados 25,00 4 100,00
Otros 50,00 50,00
TOTAL $ 175.85

OTROS
Transporte 200,00
Alimentación 400,00
Internet 30,00

TOTAL $ 630,00
TOTAL 982,85
IMPREVISTOS 10% 98,28

TOTAL $ 1081,13
 10. Bibliografía

Andrés, C. M. (20 de Marzo de 2014). Metodología de seguridad informática con

base en la norma ISO 27002 y en herramientas de prevención de intrusos para
la red Administrativa del Gobierno Autónomo Descentralizado de San Miguel
de Ibarra. Ibarra. Universidad Técnica del Norte.
Chalá, A. Y. (2015). Diseño del modelo de seguridad de defensa en profundidad en
los niveles de usuario, red interna y red perimetral, aplicando políticas de
seguridad en base a la Norma ISO/IEC 27002 para la red de datos del GAD
Municipal de Otavalo. Universidad Técnica del Norte, Ibarra. Obtenido de
http://repositorio.utn.edu.ec/handle/123456789/4469
Comercio, E. (10 de Febrero de 2017). Kaspersky detectó malware que ha infectado
bancos de todo el mundo, entre esos de Ecuador. Obtenido de
https://www.eluniverso.com/vida-estilo/2017/02/10/nota/6041425/kaspersky-
detecto-malware-que-ha-infectado-bancos-todo-mundo
Communications, L. 3. (15 de Junio de 2015). Empresas ecuatorianas pierden USD
50.000 anuales en promedio por ataques cibernéticos. Obtenido de
http://www.ekosnegocios.com/NEGOCIOS/verArticuloContenido.aspx?idArt=
6025
Deloitte. (2017). Seguridad de la Información en Ecuador. Obtenido de
https://www2.deloitte.com/content/dam/Deloitte/ec/Documents/deloitte-
analytics/Estudios/SeguridadInformacion2017.pdf
Fernando, S. (16 de Agosto de 2016). En Ecuador, el 85% de los delitos informáticos
ocurre por descuido del usuario. Obtenido de
https://www.eltelegrafo.com.ec/noticias/judicial/13/en-ecuador-el-85-de-los-
delitos-informaticos-ocurre-por-descuido-del-usuario
Filkins, B. (2014). New Threats Drive Improved Practices: State of Cybersecurity in
Health Care Organizations. Obtenido de https://www.sans.org/reading-
room/whitepapers/analyst/threats-drive-improved-practices-state-
cybersecurity-health-care-organizations-35652
Global, U. (s.f.). Gobierno IT. Obtenido de
http://www.tcpsi.com/servicios/gobierno_ti.htm
INEN, S. E. (2016). NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27000.
Obtenido de http://www.normalizacion.gob.ec/wp-
content/uploads/downloads/2016/05/nte_inen_iso_iec_27000.pdf
Luna, K. A. (2015). Plan de contingencia para la unidad de sistemas y tecnología de
información del gobierno Autónomo Descentralizado Antonio Ante en base a
la Norma ISO/IEC 27002. Universida Técnica del Norte, Ibarra. Obtenido de
http://repositorio.utn.edu.ec/handle/123456789/4514
Michilena, M. A. (2014). Metodología de seguridad informática con base en la norma
ISO 27002 y en herramientas de prevención de intrusos para la red
Administrativa del Gobierno Autónomo Descentralizado de San Miguel de
Ibarra. Universidad Técnica del Norte, Ibarra. Obtenido de
http://repositorio.utn.edu.ec/handle/123456789/2676
Sean, C., & Will, H. (17 de Enero de 2016). Los principales errores de ciberseguridad
que hacen las organizaciones de salud. Obtenido de
http://managedhealthcareexecutive.modernmedicine.com/managed-healthcare-
executive/news/top-cybersecurity-mistakes-health-organizations-make?page=0