Beruflich Dokumente
Kultur Dokumente
DATOS GENERALES
7. PRESUPUESTO (estimado):
OBSERVACIONES:
Universidad Técnica del Norte
FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS
CARRERA DE INGENIERÍA EN ELECTRÓNICA Y REDES DE COMUNICACIÓN
1. Tema o Título
“DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
BASADO EN EL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN
(EGSI) Y LA NORMA 27799 EN EL HOSPITAL SAN LUIS DE OTAVALO”.
2. Problema
Gran parte de las empresas del sector público y privado en Ecuador, han sido víctimas de
ataques informáticos que vulneran la integridad de cada organización. En los distintos estudios
de infracciones a los servicios de telecomunicaciones ejecutados tanto a nivel mundial como
nacional, señalan que cerca del 50% de empresas sufrieron alguna brecha de seguridad, debido
a que no cuentan con un proceso de gestión de incidentes (Deloitte, 2017), así como el peligro
en el que recaen por afectaciones y propagaciones de varios tipos de malware, mencionando
que en el país al menos 9 instituciones han sido afectadas (Comercio, 2017); así como otros
delitos registrados. Si bien esta es una visión general de la situación, a las entidades que
conforman el Marco Administrativo Público Central, se les atribuye adoptar el Esquema
Gubernamental de Seguridad de la Información (EGSI), que busca precisamente el resguardar
la seguridad informática adecuando políticas mediante el uso obligatorio de normativas técnicas.
En este caso, las Instituciones del servicio de Salud Pública, que cuentan con información
sensible como registros médicos que almacenan y administran historias clínicas, direcciones,
detalles de seguridad social de pacientes, etc., se convierten en un blanco para atacantes que
posiblemente indagan para obtener acceso a esta información altamente confidencial y actuar
de acuerdo a sus propósitos, lo cual pone en riesgo los recursos informáticos y servicios de TI
de dichas organizaciones.
El Hospital San Luis de Otavalo, cuenta con una infraestructura de red poco alineada a un
estándar de tecnología, una distribución e imposición de activos deficientes, y demás recursos
de red necesarios que no cuentan con una correcta administración. En esta organización se
maneja información crítica y sensible, como son las historias clínicas, y demás información
confidencial; la cual podría ser manipulada por terceros y a su vez vulnerada, sin descartar la
posibilidad de que este tipo de acontecimientos podrían presenciarse inclusive por parte del
mismo personal interno. El inadecuado control de recursos y socialización de políticas de
seguridad por parte del personal del Departamento de Tecnologías del Hospital, han provocado
la propagación de software malicioso; procedimientos inapropiados para respaldar información
y la frecuencia con la cual lo realizan, también son consideradas actividades que vuelven a la
red más susceptible a fallos y ataques informáticos. El Data Center de la Institución carece de
un ambiente físico propicio, como sistemas: eléctrico, control de acceso, cableado estructurado,
etc.; son aspectos esenciales que enfatizan una necesidad y comprometen su seguridad.
3. Objetivos
Objetivo General
Objetivos Específicos
Realizar una revisión de las políticas dispuestas en el EGSI así como las normativas que
faciliten llevar una ordenada planificación de procesos para el desarrollo del SGSI y
lineamientos propios para la seguridad informática sanitaria.
Analizar la situación actual del Hospital San Luis de Otavalo a través del conocimiento
de su infraestructura interna física y lógica mediante un análisis de Gestión de Riesgos
que posibilite determinar sus principales falencias a nivel informático estructural.
Formular las políticas que intervienen en el desarrollo del SGSI que más se apeguen al
(EGSI) referentes a la gestión de la seguridad y puntualizar las que mejor se adecúen a
los procesos propuestos en esta normativa.
Implementar las políticas y socializar con todo el personal involucrado en la SI con el fin
de optimizar la operatividad de los recursos de TI y mejorar el desempeño de los
servicios en beneficio de los usuarios.
4. Alcance
Con la finalidad de obtener mayor información y comprensión de las normativas impuestas por
el Estado en el marco de la Seguridad de la Información en Instituciones Públicas, se realizará
un estudio tanto de contexto como de referencias globales afines al objetivo planteado por el
EGSI, además de políticas propias del Ministerio de Salud Pública, para obtener una perspectiva
del punto de partida para la elaboración del SGSI.
Se evaluará la situación actual del Hospital San Luis de Otavalo, a través de un análisis de
Gestión de Riesgos que corresponde a la norma ISO/IEC 27005 que es un conjunto de directrices
para determinar las principales vulnerabilidades de los activos de información. Este proceso se
llevará a cabo a través de una metodología de identificación de riesgos utilizando mapas y
matrices de gestión de riesgos, documentando y detallando cada evento o situación presente en
la organización.
Una vez identificadas las políticas, se elaborará el diseño del SGSI a través de un conjunto de
acciones utilizando herramientas e instrumentos físicos y lógicos para la modificación,
monitorización y optimización de los recursos de TI y el levantamiento de información y
documentación correspondiente; para ello es necesaria la aplicación de estrategias de
socialización y una adecuada coordinación con los principales implicados en la SI.
5. Justificación
El Plan Nacional del Buen Vivir, en su objetivo tres, promueve la mejora de la calidad de vida de
los ciudadanos, lo cual implica colaborar para que los servicios públicos como la Salud, sean de
calidad en todos sus aspectos, mejorando no solo las condiciones de vida de cada paciente,
sino también poniendo a salvo recursos de telecomunicaciones, que son considerados
herramientas esenciales de desarrollo e integración de las tecnologías de comunicación que
benefician a la comunidad.
De esta manera, el presente proyecto, contribuirá en beneficio del Hospital en los siguientes
aspectos: la continuidad de los servicios, aseguramiento de la información de los pacientes,
cumplimiento de la normativa nacional, una mejor organización interna del personal encargado
de TI, facilitará la gestión de los activos de comunicaciones, identificación de posibles riesgos en
la red y una coordinación con un plan de respuesta ante posibles ataques informáticos.
Por lo tanto, el Hospital está en la obligación de brindar su servicio cumpliendo con estándares
que garanticen los tres aspectos más importantes en cuanto a la seguridad de la información:
integridad, confidencialidad y disponibilidad. Desarrollando un SGSI, todas las situaciones que
debilitan la gestión interna de cada organización, y al Hospital San Luis de Otavalo como tal,
contarán con un control y monitoreo periódico de la infraestructura de red, el cual es primordial
para tomar iniciativas de prevención por medio de mecanismos que generen confianza y
garanticen la integridad del servicio y sus recursos.
6. Contexto
La red Administrativa de Ibarra del GAD se vio en la necesidad de proponer una Metodología de
Seguridad Informática con la implementación de estrategias establecidas en un manual de
Políticas y Procedimientos, que permitan resguardar los activos informáticos y poder administrar
de mejor manera estos recursos tanto internos como externos de la infraestructura de red,
basándose en la Norma ISO 27002. Esta tesis se diferencia del proyecto actual ya que en ésta,
se utilizan herramientas de detección de intrusos como Snort y Snort Inline para montar un
servidor IDS/IPS basado en software libre. (Michilena, 2014)
Zura, A. (2015). “Diseño del modelo de seguridad de defensa en profundidad en los niveles
de usuario, red interna y red perimetral, aplicando políticas de seguridad en base a la
Norma ISO/IEC 27002 para la red de datos del GAD Municipal de Otavalo”. Ibarra:
Universidad Técnica del Norte.
El GAD Municipal de Otavalo posee una infraestructura de telecomunicaciones con los servicios
que permiten tanto al sector urbano y rural el acceso a las TICs, y al ser Otavalo una comunidad
amplia, debe responder a las necesidades de los usuarios, en cuanto a la disponibilidad, tráfico
que fluye en la red y que sea escalable. Este proyecto propone un modelo de seguridad
denominado defensa en profundidad, aplicado a tres niveles que son: usuario, red interna y
perimetral. A nivel de usuario con un manual de Normas y Procedimientos de seguridad de la
Información basado en la norma ISO IEC 27002 que se socializó internamente, en el nivel interno
mediante un modelo jerárquico en base al estudio por capas; y en el nivel perimetral a través del
uso de herramientas de detección de intrusos, proporcionando una solución económica al migar
de soluciones propietarias a plataformas no licenciadas. Esta tesis de grado se diferencia al
presente proyecto en que se hará uso de herramientas de detección de intrusos, aunque se
utiliza la norma ISO/IEC 27002 con la creación de un manual de buenas prácticas, que se
asemeja al tema planteado en este caso. (Chalá, 2015)
7. Contenidos
1. CAPÍTULO I: ANTECEDENTES
Estudio del arte y revisión textual bibliográfica del EGSI y los estándares ISO/IEC
27005 Y 27799 los cuales corresponden a la misma línea de acción referente a la
Seguridad de la Información.
5. ANÁLISIS COSTO/BENEFICIO
6. CONCLUSIONES Y RECOMENDACIONES
8. Cronograma de Actividades
Actividad Mes 1 Mes 2 Mes 3 Mes 4 Mes 5 Mes 6
S S S S S S S S S S S S S S S S S S S S S S S S
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Elaboración del
Capítulo I
Recopilación de
Información
Realización del
Anteproyecto
Revisión del Capítulo I
Elaboración del
Capítulo II
Revisión textual
bibliográfica
Estudio de Normativas
ISO/IEC 27799, 27005
Análisis de Normativas
Sanitarias
Revisión del Capítulo II
Elaboración del
Capítulo III
Conocimiento de
personal interno
Evaluación de
infraestructura de red
Organización de
Información
Revisión del Capítulo
III
Elaboración del
Capítulo IV
Formulación de
Políticas
Metodología de
Implementación
Mecanismos de
Implementación
Revisión del Capítulo
IV
Elaboración del
Capítulo V
Implementación de
Políticas
Pruebas de
Implementación
Evaluación de Riesgos
Documentación de
resultados
Revisión del Capítulo V
Elaboración del
Capítulo VI
Conclusiones
Recomendaciones
Correcciones finales
Revisión del Capítulo V
9. Presupuesto
HARDWARE
ARTÍCULOS DE OFICINA
OTROS
Transporte 200,00
Alimentación 400,00
Internet 30,00
TOTAL $ 630,00
TOTAL 982,85
IMPREVISTOS 10% 98,28
TOTAL $ 1081,13
10. Bibliografía