T061 40990882 T PDF

UNIVERSIDAD PRIVADA NORBERT WIENER
FACULTAD DE INGENIERA Y NEGOCIOS

ESCUELA ACADMICO PROFESIONAL DE INGENIERAS
Implementacin de un Sistema de Gestin de Seguridad de la

Informacin aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016
Para optar el ttulo profesional de Ingeniero de Sistemas e

Informtica
AUTOR
Br. Zavaleta Rodrguez, Deyvis
LIMA - PER
2016
Implementacin de un Sistema de Gestin de Seguridad de la
Informacin aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016
ii
Miembros del Jurado
Presidente del Jurado

Dr. Luis Miguel Romero Echevarra
Secretario
Mg. Alfredo Marino Ramos Muoz
Vocal
Mg. Cora Marisol Martua Timoteo
Asesor metodolgico
Mg. Nolazco Labajos, Fernando Alexis
Asesor temtico
Mg. Ramos Muoz, Alfredo Marino
iii
Dedicatoria
A mi Seor, Jess, quien me dio la fe, la
fortaleza, la salud y la esperanza para terminar
este trabajo.
A mi esposa e hijas que me brindaron todo el
tiempo, apoyo, compresin y paciencia en
esperarme hasta la culminacin la cerrera.
iv
Agradecimiento
Me gustara que estas lneas sirvieran para expresar
mi ms profundo y sincero agradecimiento a todas
aquellas personas que con su ayuda han colaborado
en la realizacin del presente trabajo, en especial al
Mg. Nolazco Labajos, Fernando Alexis, director de
esta investigacin, por la orientacin, el seguimiento
y la supervisin contina de la misma, pero sobre todo
por la motivacin y el apoyo recibido a lo largo de
estos meses.
Especial reconocimiento merece el inters mostrado
por mi trabajo y las sugerencias recibidas del profesor
y amigo Ing. Ramos Muoz, Alfredo Marino, con quien
me encuentro en deuda por el nimo infundido y la
confianza en m depositada.
v
Presentacin
Seores miembros del jurado:
El presente estudio de investigacin titulado Implementacin de un Sistema de

Gestin de Seguridad de la Informacin aplicando NTP ISO/IEC 27001:2014 en
el sector Hospitalario, 2016, tuvo como finalidad, desarrollar el Anlisis y Diseo
de un Sistema de Gestin de Seguridad de la Informacin para una entidad
pblica del sector Salud, en cumplimiento de Grados y Ttulos de la Universidad
Privada Norbert Wiener para optar por el ttulo de Ingeniero de Sistemas e
Informtica.
El estudio de investigacin se realiz en el rea de Archivo, perteneciente a la

oficina de Admisin del Hospital San Juan de Lurigancho HSJL.
Para la recopilacin de informacin se utiliz los instrumentos de encuestas para

datos cuantitativos y entrevistas para datos cualitativos.
El estudio consta de 5 captulos, estructurados por la universidad Norbert
Wiener. El captulo I corresponde a los problemas de investigacin que incluye
la identificacin del problema ideal, la formulacin del problema, los objetivos
generales, especficos y la justificacin. El captulo II corresponde al marco
terico metodolgico donde se incluye el sustento terico, antecedentes, marco
conceptual, metodologa, sintagma, enfoque, tipo, diseo, las categoras y
subcategoras apriorsticas y emergentes, unidad de anlisis, instrumentos y
tcnicas, procedimientos y mtodo de anlisis. El captulo III corresponde al
trabajo de campo donde se incluye el diagnstico cuantitativo y cualitativo y el
diagnstico final. El captulo IV corresponde a la propuesta de investigacin
donde se incluye fundamentos y objetivos de la propuesta, estructura y plan de
accin de la propuesta, viabilidad y validacin de la propuesta. El captulo V
corresponde a la discusin, conclusiones, sugerencias y referencias
bibliogrficas.
Autor: Zavaleta Rodriguez, Deyvis
vi
NDICE
Pg.
Dedicatoria 4
Agradecimiento 5
Presentacin 6
CAPTULO I
PROBLEMA DE LA INVESTIGACIN
1.1 Problema de investigacin 18

1.1.1 Identificacin del problema ideal 18
1.1.2 Formulacin del problema 20
1.2 Objetivos 20
1.2.1 Objetivo general 20
1.2.2 Objetivos especficos 20
1.3 Justificacin 21
CAPTULO II
MARCO TERICO METODOLGICO
2.1 Marco terico 23

2.1.1 Sustento terico 23
2.1.2 Antecedentes 28
2.1.3 Marco conceptual 32
2.2 Metodologa 42
2.2.1 Sintagma 42
2.2.2 Enfoque 42
2.2.3 Tipo 43
2.2.4 Diseo 43
2.2.5 Categoras y subcategoras apriorsticas y emergentes 44
2.2.6 Unidad de anlisis 45
2.2.7 Instrumentos y tcnicas 45
2.2.8 Procedimientos y mtodo de anlisis 48
CAPTULO III
TRABAJO EN CAMPO
3.1 Diagnstico cuantitativo 50
3.2 Diagnstico cualitativo 59
3.3 Triangulacin de datos: Diagnstico final 64
vii
CAPTULO IV
PROPUESTA DE LA INVESTIGACION
PROPUESTA IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE

SEGURIDAD DE LA INFORMACIN APLICANDO NTP ISO/IEC 27001:2014,
EN EL SECTOR HOSPITALARIO, 2016
Pg.
4.1 Fundamentos de la propuesta 70
4.2 Objetivos de la propuesta 92

4.3 Estructura y plan de accin de la Propuesta 95
4.4 Viabilidad de la propuesta 97
4.5 Validacin de la propuesta 100

CAPTULO V
DISCUSIN
Discusin 103
Conclusiones 106
Sugerencias 108
Referencias bibliogrficas 110

ANEXOS
Anexo 1: Ficha de validez de la propuesta 101
Anexo 2: Definicin conceptual de la variables 114
Anexo 3: Matriz de consistencias y operacionalizacin 115
Anexo 4: Ficha de validez de instrumento enfoque cuantitativo 116
Anexo 5: Certificado de validez de contenido del instrumento 117
Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho 128
Anexo 7: Funciones del Servicio de Admisin 129
Anexo 8: Funciones Consultorios Externos 130
Anexo 9: Situacin actual de infraestructura 131
viii
ndice de tablas
Pg
Tabla 1.Muestra holstica para la investigacin 45
Tabla 2.Niveles de Seguridad de la informacin 50
Tabla 3. Niveles de Compromiso en la implementacin 51
Tabla 4. Niveles de cultura en la implementacin 52
Tabla 5. Niveles de Misin en la implementacin 53
Tabla 6. Niveles de Recursos en la implementacin 54
Tabla 7. Niveles de formacion para la implementacin 55
Tabla 8. Niveles de Necesidad en la implementacin 56
Tabla 9. Niveles Infraestructura para la implementacin 57
Tabla 10. Niveles de Soporte en la implementacin 58
ix
ndice de figuras
Pg.
Figura 1. Proceso de Implantacin del SGSI 35
Figura 2. Estrategia de mejora contina del SGSI, Ciclo de Deming 37
Figura 3. Proceso de Gestin de Riesgos 39
Figura 4. Grfico de barras Sistemas de seguridad de la informacin 50
Figura 5. Grfico de compromiso en la implementacin 51
Figura 6. Grfico de Cultura en la implementacin 52
Figura 7. Grfico de Misin en la implementacin 53
Figura 8. Grfico de Recursos para la implementacin 54
Figura 9. Grfico de Formacin para la implementacin 55
Figura 10. Grfico de Necesidad en la implementacin 56
Figura 11. Grfico de Infraestructura para la implementacin 57
Figura 12. Grfico de Soporte en la implementacin 58
Figura 13. Grfico Ciclo de Deming 72
Figura 14. Organigrama Estructural del Hospital San Juan de Lurigancho 128
Figura 15. Funciones del Servicio de Admisin 129
Figura 16. Funciones Consultorios Externos 130
Figura 17. Situacin actual de los equipos de cmputo 131
x
ndice de cuadros
Pg.
Cuadro 1. Clasificacin de Categoras y Subcategoras Apriorsticas. 44

Cuadro 2. Instrumentos holsticos de la investigacin. 46
Cuadro 3. Ficha Tcnica de la Encuesta. Fuente: Elaboracin Propia 46
Cuadro 4. Ficha Tcnica de Entrevista. Fuente: Elaboracin propia. 47
Cuadro 5. Diagnstico cualitativo 63
Cuadro 6. Criterio de Probabilidad 77
Cuadro 7. Criterio de Impacto 78
Cuadro 8. Matriz de Calor 78
Cuadro 9. Escala de Valoraciones 81
Cuadro 10. Matriz de Inventario de Activos de Informacin 82
Cuadro 11. Matriz de Riesgos del Hospital 83
Cuadro 12. Cronograma de implementacin del sistema de gestin de seguridad de la

Informacin 96
Cuadro 13. Costos de Implementacin 98
xi
Resumen
El presente estudio, titulado Implementacin de un Sistema de Gestin de

Seguridad de la Informacin aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016, tuvo como objetivo garantizar la seguridad de la informacin
y el cumplimiento legal en los hospitales mediante la implementacin de SGSI
de acuerdo a los requerimientos de la NTP ISIEC 27001:2014 ello permitir tener
un estudio actual de los principales procesos que involucra el manejo de
informacin crtica para el Hospital San Juan Lurigancho as como del
establecimiento del anlisis y diseo de un SGSI en una organizacin de este
tipo, teniendo en cuenta el cumplimiento de las normas actuales que se apliquen
a estos procesos crticos.
La investigacin es de tipo proyectiva y de diseo no experimental, de sintagma

holstico y de enfoque mixto. Para la recopilacin de informacin se utiliz los
instrumentos de encuesta y entrevista. La encuesta se realiz a 15 trabajadores
de la oficina de Admisin, incluyendo a los del rea de Informtica. La entrevista
se realiz a tres funcionarios de la oficina de Informtica.
Por lo tanto, se demostr que existen gran disposicin para la implementacin,

de 15 encuestados, 14 usuarios (93.33%), sealan que existe un nivel alto para
la implementacin del SGSI. Asimismo, 1 de ellos (6.67%), manifiesta que existe
un nivel medio alto para la implementacin del SGSI, teniendo en cuenta el
cumplimiento de las normas actuales que se apliquen a estos procesos crticos.
Palabras clave: seguridad de la informacin, categoras emergentes,

investigacin cientfica, investigacin cuantitativa, investigacin cualitativa.
xii
Abstract
This study, entitled "Implementation of a Management System Information

Security using NTP ISO / IEC 27001: 2014 in the hospital sector, 2016", aimed
to ensure information security and legal compliance in hospitals by the
implementation of ISMS in accordance with the requirements of the NTP ISIEC
27001: 2014, which will allow to have a current study of the main processes
involved in managing critical information HSJL and the establishment of analysis
and design of an ISMS an organization of this type, taking into account
compliance with the current rules apply to these critical processes.
The research study is of projective type and non-experimental design, holistic

phrase and mixed approach to information gathering tools and interview survey
was used. The survey was conducted in 15 office workers Admission, including
the area of Information Technology, the interview was conducted with three
officials of the Office of Information Technology.
Therefore, it was shown that there is great willingness for implementation of 15

respondents, 14 users (93.33%) indicate that there is a high level for the
implementation of the ISMS. Also, 1 of them (6.67%), show that there is a high
average level for the implementation of the ISMS, taking into account compliance
with the current rules apply to these critical processes.
Keywords: information security, emerging categories, scientific research,

quantitative research, qualitative research.
xiii
Introduccin
Los Sistemas de Informacin y las Tecnologas de Informacin han cambiado la

forma en que operan las organizaciones actuales. A travs de su uso se logran
importantes mejoras, pues automatizan los procesos operativos, suministran una
plataforma de informacin necesaria para la toma de decisiones y, lo ms
importante, su implantacin logra ventajas competitivas o reducir la ventaja de
los rivales. Con el fin de mejorar la productividad y el rendimiento de una
organizacin competitiva, es fundamental evaluar las tcnicas actuales y la tecnologa
disponible para desarrollar sistemas que brinden eficiencia y eficacia de la gestin de la
informacin relevante. La implementacin de sistemas de informacin en una
compaa, brindan la posibilidad de obtener grandes ventajas, incrementar la capacidad
de organizacin de la empresa, y tornar de esta manera los procesos a una
verdadera competitividad. Para ello, es necesario un sistema eficaz que ofrezca
mltiples posibilidades, permitiendo acceder a los datos relevantes de manera
frecuente y oportuna. Los sistemas de informacin se han vuelto ms complejos
debido a la globalizacin que tiene por consecuencia que las distancias
geogrficas ya no supongan un obstculo.
En el mundo digital actual el riesgo de brechas de seguridad, fugas o

prdidas de informacin nunca ha sido mayor. No slo se ha multiplicado el
volumen de informacin en circulacin sino tambin el nmero de vas en las que
la informacin puede ser almacenada y transferida sin el consentimiento del
propietario. A pesar de la mayor concienciacin sobre los riesgos y amenazas a
la seguridad que encaran las empresas y firmas profesionales de todo el mundo,
las brechas de seguridad estn aumentando y amenazando seriamente la
solidez de los negocios y la privacidad de sus clientes
En respuesta a este nuevo escenario, las instituciones pblicas han sido

llamadas a realizar la implementacin de diversos controles a travs de un
Sistema de Gestin de Seguridad de la Informacin a travs de diferentes
normas, entre ellas la Norma Tcnica NTP ISO/IEC 2700:2014 con la finalidad
xiv
de asegurar el buen uso y proteccin de la informacin crtica que manejen, ya
sea de clientes o informacin estratgica interna.
El hospital San Juan de Lurigancho es una institucion perteneciente al

sector pblico especializado en brindar servicio de salud. Maneja informacin
sobre sus pacientes lo que permite mantener un historial de las atenciones y
diagnsticos de los mismos contenidos en la Historia Clnica que es un
documento mdico-legal que surge del contacto entre el profesional de la salud
y el paciente donde se recoge la informacin necesaria para la correcta atencin
de los pacientes. La historia clnica es un documento vlido desde el punto de
vista clnico y legal, ya que recoge informacin de tipo asistencial, preventivo y
social y debe ser protegida ya sea para poder garantizar la correcta atencin de
los pacientes como para evitar la fuga de informacin que pueda ser utilizada de
manera maliciosa por alguna persona o institucin externa al flujo de informacin.
El detalle de la informacin mnima requerida que debe ser almacenada

en este documento incluyendo los formatos utilizados para registrar los
diferentes tipos de atencin se encuentra descrito en la Norma Tcnica de
Historias Clnicas (MINSA, 2005), publicada por el Ministerio de Salud quien
adems da libertad a las instituciones bajo su jurisdiccin a agregar datos
adicionales y modificar el formato de dichos documentos.
La norma especfica que las Historias Clnicas de los pacientes deben

estar almacenadas en formato fsico, pero esto no excluye que dichos
documentos puedan ser digitalizados. Iniciar un proyecto de digitalizacin de
estos documentos enfocndose en el archivo activo de la institucin permitir
que se cuente con un respaldo de la informacin de las mismas que podra ser
utilizado en las actividades asistenciales ms no en cuestiones legales.
El modelamiento de procesos se apoyar en la herramienta de

modelamiento Bizagi la cual permitir presentar de manera grfica el flujo de
tareas que conforman los procesos de negocios que se requiera estudiar, as
como la documentacin que incluya los datos y conocimientos obtenidos en el
xv
levantamiento de informacin. Adems se elabor un diagrama de procesos para
la implementacin del SGSI usando el project manager.
Se propuso la Implementacin de un Sistema de Gestin de Seguridad de

la Informacin aplicando NTP ISO/IEC 27001:2014 ya que el establecimiento de
una Poltica de Seguridad de la Informacin es de vital importancia dado que
especifica los lineamientos generales de seguridad que deben ser cumplidos en
la organizacin los cuales deben ir alineados a los objetivos del negocio adems
de los objetivos que se busca alcanzar respecto a la seguridad de la informacin
en los mbitos definidos en el alcance.
Para la validacin de los instrumentos se recurri a juicio de 3 expertos

conocedores de la materia. Asimismo para la validacin de datos de las
encuestas se hizo el anlisis de coeficiente de confiabilidad de Kuder-Richardson
(KR 20) para datos dicotmicos, obtenindose como resultado un coeficiente
de 0.83, quiere decir que la confiabilidad es muy alta.
Tambin se realiz el procesamiento de informacin de datos cualitativos

y cuantitativos y un diagnstico del mismo. Para datos cuantitativos se hizo el
anlisis de frecuencias, teniendo como categoras los problemas de bsqueda,
tiempo, procesos, costos, retraso y estrs e insatisfaccin, donde la mayora de
los encuestados coincide en que existen problemas en las categoras
mencionadas. Para datos cualitativos se realiz la triangulacin cualitativa, luego
se realiz la triangulacin de datos cualitativos y cuantitativos a travs de un
diagnstico final.
xvi
CAPTULO I
PROBLEMA DE INVESTIGACIN
1.1 Problema de investigacin
1.1.1 Identificacin del problema ideal
Los sistemas de informacin han cambiado la forma en que operan las

organizaciones actuales. A travs de su uso se han logrado importantes mejoras,
pues automatizan los procesos operativos de las empresas, proporcionan
informacin de apoyo al procesos de toma de decisiones y, lo que es ms
importante, facilitan el logro de ventajas competitivas a travs de su
implementacin en la empresa. Los sistemas de informacin se han vuelto ms
complejos debido a la globalizacin que tiene por consecuencia que las
distancias geogrficas no supongan un obstculo. De esta forma se tiene que
existe una cantidad mayor de personas que tienen acceso a informacin que
podra ser crtica para las diferentes empresas e instituciones en las que
trabajan. En el mundo digital el riesgo de brechas de seguridad, fugas o prdidas
de informacin nunca ha sido mayor. No slo se ha multiplicado el volumen de
informacin en circulacin sino tambin el nmero de vas en las que la
informacin puede ser almacenada y transferida sin el consentimiento del
propietario. A pesar de la mayor conciencia sobre los riesgos y amenazas a la
seguridad que encaran las empresas y firmas profesionales de todo el mundo,
las brechas de seguridad estn aumentando y amenazando seriamente la
solidez de los negocios y la privacidad de sus usuarios.
Hospitalsjl.(2016), indica que la institucion: pertenece al sector pblico

especializado en brindar servicio de salud en las reas de Consulta Externa y
Hospitalizacin, Medicina, Ciruga y Anestesiologa, Pediatra, Ginecologa y
Obstetricia, Odontoestomatologa, Enfermera, Emergencia, Apoyo al
Diagnstico y Apoyo al Tratamiento. El Hospital San Juan de Lurigancho es una
entidad pblica que brinda prestacin de servicios de profesionales mdicos, de
enfermera y otros relacionados. Maneja informacin sobre sus pacientes que
permite mantener un historial de las atenciones y diagnsticos de los mismos
contenidos en la Historia Clnica que es un documento mdico-legal que surge
del contacto entre el profesional de la salud y el paciente, donde se recoge la
informacin necesaria para la correcta atencin de los pacientes. La historia
18
clnica es un documento vlido desde el punto de vista clnico y legal, que recoge
informacin de tipo asistencial, preventivo y social y debe ser protegida ya sea
para poder garantizar la correcta atencin de los pacientes como para evitar la
fuga de informacin que pueda ser utilizada de manera maliciosa por alguna
persona o institucin externa al flujo de informacin.
En el Per todas las entidades pblicas prestadoras de salud estn

sujetas a las regulaciones establecidas por el Estado, entre ellos tememos la Ley
N 29733 de proteccin de Datos Personales. Dicha Ley tiene el objeto de
garantizar el derecho fundamental a la proteccin de los datos personales,
previsto en el artculo 2 numeral 6 de la Constitucin Poltica del Per, a travs
de su adecuado tratamiento, en un marco de respeto de los dems derechos
fundamentales que en ella se reconocen.
En el 2006 se public los Lineamientos de Poltica de Seguridad de la

Informacin del Ministerio de Salud (MINSA, 2006) que tienen por finalidad
orientar y brindar soporte a la gestin de la seguridad de la informacin, velando
por la preservacin de la integridad, disponibilidad y confidencialidad de la
informacin en todos sus medios de soporte y tratamiento (RM) N 42-
2008/INDECOPI se aprob la Norma Tcnica Peruana (NTP) ISO/IEC
27001:2008 (CNB - INDECOPI, 2008) con el fin de ofrecer un modelo para
establecer, implementar, operar, monitorear, mantener y mejorar un efectivo
Sistema de Gestin de Seguridad de la Informacin la cual mediante (RM) 129-
2012-PCM adquiri carcter de obligatoria en el mes de mayo del 2012 teniendo
por objetivo todas las organizaciones pblicas del pas.
Esta norma tcnica exige que las entidades pblicas realicen la

implementacin de un Sistema de Gestin de Seguridad de la Informacin
(SGSI) siguiendo las recomendaciones y controles sealados en la misma; sin
embargo no se detalla especficamente la manera en la que este sistema de
gestin debe ser implementado ya que sus recomendaciones son generales.
Mediante la Resolucin Ministerial N 004-2016-pcm establece el uso

obligatorio de la NTP ISO/IEC 27001:2014 en las entidades pblicas que
conforman el sistema informtico nacional.
19
El hospital San Juan de Lurigancho como institucin pblica se encuentra
en la necesidad de alinearse a las nuevas normas legislativas que comprenden
y regulan los temas de privacidad y seguridad, de mecanismos de control y
seguimiento de seguridad de la informacin.
1.1.2 Formulacin del problema
Cmo garantizar la seguridad de la informacin y el cumplimiento legal en los

hospitales mediante la implementacin de SGSI de acuerdo a los requerimientos
de la NTP ISIEC 27001:2014?
1.2 Objetivos
1.2.1 Objetivo general
Proponer la implementacin un sistema de gestin de seguridad de la
informacin para hospitales, de acuerdo a la NTP ISO/IEC 27001:2014, con
un enfoque sistemtico para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la informacin de la organizacin
para conseguir los objetivos de negocio.
1.2.2 Objetivos especficos
Diagnosticar la necesidad de los hospitales pblicos de contar con un anlisis

que les permita realizar la implementacin de un Sistema de Gestin de
Seguridad de la Informacin.
Teorizar las categoras consideradas en las investigaciones tanto apriorsticas

como emergentes.
Disear un modelado de los procesos correspondientes al alcance del Sistema

de Gestin de Seguridad de la Informacin.
Validar los instrumentos del diagnstico y propuesta de la aplicacin a travs de

un juicio de expertos.
Evidenciar la propuesta a travs de pilotos a la misma aplicacin.
20
1.3 Justificacin
El Hospital San Juan de Lurigancho no cuenta un Sistema de Gestin de

Seguridad de la Informacin (SGSI), el cual le permitira tener un estudio de los
principales procesos que involucra el manejo de informacin crtica, teniendo en
cuenta el cumplimiento de las normas actuales que se apliquen a estos procesos.
Implementar dicho sistema har que esta entidad cuente con la proteccin
necesaria para su informacin.
Teniendo en cuenta los riesgos a los que estn expuestos los activos de
informacin, adems de la gran cantidad de cambios en la normativa de carcter
obligatorio para las organizaciones que hagan uso de informacin personal y
privada en sus procesos, se propone la implementacin de un (SGSI), el cual
permiti tener en claro todos los procedimientos y lineamientos necesario para
identificar y evaluar los riesgos, las amenazas en la informacin hasta su
tratamiento y a su vez, est alienado a las polticas establecidas por el (SGSI)
definiendo aquellas especificaciones requeridas por la legislacin vigente.
Permiti gestionar la seguridad de la informacin del hospital mediante la

implementacin de controles tcnicos, organizativos y legales; as como tambin
el cumplimiento de la normativa legal relacionada con las actividades de la
institucin Ley N 29733, Ley de Proteccin de Datos Personales y su
reglamento, Resolucin ministerial N776-2004/MINSA CONGRESO DE LA
REPBLICA. (2011). Estas normas tienen como objeto garantizar el derecho
fundamental a la proteccin de los datos personales, se entiende como datos
personales a la informacin numrica, alfabtica, grfica, fotogrfica, acstica,
sobre hbitos personales o de cualquier otro tipo concerniente a las personas
naturales que las identifica y se hace a travs de un adecuado tratamiento.
21
CAPTULO II
MARCO TERICO METODOLGICO
21
2.1 Marco terico
2.1.1 Sustento terico
La ingeniera de sistemas es un modo de enfoque interdisciplinario que permite
estudiar y comprender la realidad, con el propsito de implementar u
optimizar sistemas complejos. Puede tambin verse como la
aplicacin tecnolgica de la teora de sistemas a los esfuerzos de la ingeniera,
adoptando en todo este trabajo el paradigma sistmico. La ingeniera de
sistemas integra otras disciplinas y grupos de especialidad en un esfuerzo de
equipo formando un proceso de desarrollo centrado.
La Ingeniera de Sistemas tiene, como campo de estudio, cualquier

sistema existente. Por ejemplo, la ingeniera de sistemas, puede estudiar el
sistema digestivo o el sistema inmunolgico humano o, quiz, el sistema
tributario de un pas especfico. Como es natural, los sistemas informticos son
una pequea parte de un enorme abanico de posibilidades.
La ingeniera de sistemas es la aplicacin de las ciencias matemticas y

fsicas para desarrollar sistemas que utilicen econmicamente los materiales y
fuerzas de la naturaleza para el beneficio de la humanidad.
Una de las principales diferencias de la ingeniera de sistemas respecto a

otras disciplinas de ingeniera tradicionales, consiste en que la ingeniera de
sistemas no construye productos tangibles. Mientras que los ingenieros civiles
podran disear edificios o puentes, los ingenieros electrnicos podran disear
circuitos, los ingenieros de sistemas tratan con sistemas abstractos con ayuda
de las metodologas de la ciencia de sistemas, y confan adems en otras
disciplinas para disear y entregar los productos tangibles que son la realizacin
de esos sistemas.
La Organizacin Internacional para la Normalizacin (ISO) y la Comisin

Electrotcnica Internacional (IEC) forman el sistema especializado para la
normalizacin mundial. Los rganos nacionales que son miembros de ISO o de
IEC participan en el desarrollo de las Normas Internacionales a travs de comits
tcnicos establecidos por la respectiva organizacin para ocuparse de campos
particulares de actividad tcnica. Los comits tcnicos de ISO e IEC colaboran
en campos de inters mutuo. Otras organizaciones internacionales,
23
gubernamentales y no gubernamentales, en enlace con ISO y con IEC, tambin
participan en el trabajo.
La Seguridad de la Informacin tiene como fin la proteccin de la

informacin y de los sistemas de la informacin del acceso, uso, divulgacin,
interrupcin o destruccin no autorizada.
La seguridad es un concepto asociado a la certeza, falta de riesgo o

contingencia. Podemos entender como seguridad un estado de cualquier
sistema o tipo de informacin (informtico o no) que nos indica que ese sistema
o informacin est libre de peligro, dao o riesgo. Se entiende como peligro o
dao todo aquello que pueda afectar a su funcionamiento directo o a los
resultados que se obtienen.
La seguridad conjunto de polticas, estndares y controles que se

implementan en la organizacin con la finalidad de asegurar la preservacin de
las siguientes propiedades de la informacin:
Confidencialidad. Proteccin de la informacin confidencial del acceso o

divulgacin por parte de entidades, personas jurdicas o naturales no autorizadas
al mismo, tanto por parte del originario de la informacin como por parte de la
entidad que maneja la misma.
Integridad. Proteccin de la informacin frente a la modificacin o

eliminacin sin la autorizacin o accesos necesarios. De esta forma se garantiza
que la informacin sea la correcta en todo momento.
Disponibilidad. La informacin se encuentra accesible en todo momento,

bajo demanda de todo usuario que se encuentre autorizado a poder acceder a
la misma.
Autenticacin, Mediante esta propiedad, se permite identificar a la

persona o personas que han generado la informacin que se est verificando,
24
permite una validacin en la autora de la informacin por parte de un usuario
especfico.
No repudio. Permite que la informacin sea validada a travs de algn

mecanismo que compruebe su integridad y contenido, declarndola como
genuina.
Para Aguirre y Aristizabal (2012):

Indica que actualmente se vive en una poca en la que la informacin y
los datos poseen una importancia decisiva en la gran mayora de
organizaciones, convirtindose as en su activo ms importante. Por
ejemplo, en caso de una emergencia, una catstrofe natural y se llegara
a caer la instalacin de la organizacin; se puede volver a reconstruir.
En cambio, si llegamos a perder la informacin de la organizacin, es
muy probable que no podamos volver a recuperarla si no se tienen las
consideraciones debidas, con lo que es probable que la empresa deje
de operar (p. 79).
Para este estudio; cabe resaltar que partiendo de esta premisa, es muy
importante contar con una herramienta tecnolgica para poder asegurar y
respaldar la informacin privilegiada de la organizacin, a un nivel aceptable
donde se cumpla todas las polticas recomendadas por estndares
internacionales.
Para Longley y Shain (2012):

Tecnologa de la informacin es el estudio, diseo, desarrollo,
implementacin, soporte o direccin de los sistemas de informacin
computarizados, en particular de software de aplicacin y hardware de
computadoras (p. 64).
La tecnologa de la informacin cumple un ciclo de fases donde se

analizan diversos puntos que van a permitir mejorar los sistemas de
informacin de las organizaciones ya sean desde a nivel de hardware o
software.
25
La informacin es un activo esencial y es decisiva para la viabilidad
de una organizacin. Adopta diferentes formas; impresa, escrita en papel,
digital, transmitida por correo, mostrada en videos o hablada en
conversaciones. Debido a que est disponible en ambientes cada vez ms
interconectados, est expuesta a amenazas y vulnerabilidades. La
seguridad de la informacin es la proteccin de la informacin contra una
amplia gama de amenazas y se utiliza para minimizar los daos, ampliar
las oportunidades del negocio, maximizar el retorno de las inversiones y
asegurar la continuidad del negocio.
Espinoza (2013) indica que:la implementacion de un SGSI es muy

importante ya que en los ltimos 20 aos la informacin se ha convertido
en un activo muy importante y crucial dentro de las organizaciones. Por
esta razn, la organizacin tiene la necesidad de protegerla si es que la
informacin tiene relacin ya sea con el negocio o con sus clientes. Para
gestionar la informacin y su seguridad, las entidades pueden adoptar
alguna de las normas y buenas prcticas existentes en el mercado. Para
el caso de una empresa del rubro de produccin y distribucin de
alimentos de consumo masivo, tambin aplica esta necesidad de proteger
la informacin. Se tomaran en cuenta los aspectos ms importantes de la
norma ISO/IEC 27001:2005, a partir de los cuales se buscar poder
desarrollar cada una de las etapas del diseo de un sistema de gestin de
seguridad de informacin para que pueda ser empleado por una empresa
dedicada a la produccin de alimentos de consumo masivo en el Per, lo
cual permitir que sta cumpla con las normas de regulacin vigentes en
lo que respecta a seguridad de informacin.
Para este estudio; SGSI ayuda a establecer estas polticas y

procedimientos en relacin a los objetivos de negocio de la organizacin,
con objeto de mantener un nivel de exposicin siempre menor al nivel de
riesgo que la propia organizacin ha decidido asumir.
Barrantes y Hugo (2012) indica el implementar una poltica de

seguridad y que los colaboradores la conozcan e interiorizan, es de gran
26
utilidad cuando se quiere implementar cualquier sistema de gestin en
una organizacin, ya que les da una visin clara de cmo sus labores
cotidianas aportan para el mantenimiento y mejora de un sistema de
gestin empresarial.
Para este estudio el SGSI ISO-27001 es eficaz y generar valor

aadido a las organizaciones ya que les permiten hacer mejor las cosas,
es decir, de una forma mucho ms econmica y ms rpida.
ISO 27001. (2014): nos Indica que el SGSI; preserva la

confidencialidad, integridad y disponibilidad de la informacin aplicando
un proceso de gestin de riesgos y proporciona confianza a las partes
interesadas en el sentido en que los riesgos se manejan adecuadamente.
Para este estudio; se considera que es importante que el sistema

de gestin de la seguridad de la informacin sea parte de y est integrado
con los procesos de la organizacin y la estructura de gestin general y
que la seguridad de la informacin se considere en el diseo de procesos,
sistemas y controles de la informacin. Se espera que la implementacin
de un sistema de gestin de seguridad de la informacin crezca a escala
en concordancia con las necesidades de la organizacin.
Pallas (2009) en la implementacion de un SGSI; Entendemos que

debe primar fundamentalmente un enfoque costo / beneficio orientado a
las necesidades de seguridad de la informacin del negocio, y que, a los
efectos de (re)dimensionar adecuada y efectivamente el alcance del
SGSI, una estrategia multifase que determine en una primera etapa los
procesos y activos crticos, permite, en fases posteriores, dedicar el
esfuerzo y recursos a los activos y procesos que as lo ameritan, dotando
a la metodologa de eficiencia adems de eficacia.
Este redimensionamiento del alcance, puede ser importante a los

efectos dar conformidad a la norma ISO/IEC 27.001 en cuanto a la
identificacin y clasificacin de todos los activos alcanzados por el SGSI,
27
y a su vez mantenerse alineado con las reales necesidades del negocio
de forma oportuna, sin un costo excesivo de anlisis detallado de la
totalidad de los procesos y activos.
Para Morgan y Claypool (2013):

Indica que los centros de datos son edificios donde se encuentran
distribuidos varios servidores y equipos de comunicacin debido a sus
requisitos ambientales comunes y las necesidades de seguridad fsica,
y para facilidad de mantenimiento. Los centros de datos por lo general
albergan un gran nmero de aplicaciones relativamente pequeas o
medianas, cada uno se ejecuta en una infraestructura de hardware
dedicado que est asociado y ha proteger otros sistemas en un mismo
entorno (p. 2).
En este estudio, comentan que los centros de datos son

ambientes donde usualmente se pueden visualizar ms de un servidor, en
donde cada uno cumple un rol distinto que va desde servidor de directorio
activo, servidor de aplicaciones, servidor de archivos, servidor de
impresin, servidor DNS. Adems en la actualidad se debe proponer la
seguridad de los recursos tecnolgicos y de mantenimiento de los equipos
de cmputo.
2.1.2 Antecedentes
Antecedentes nacionales
Un primer trabajo corresponda Talavera (2015) quien realiz la Propuesta del

diseo SGSI para una institucin estatal de salud, de acuerdo a la norma
ISO/IEC 27001:2013. Tiene como Objetivo generar una solucin especfica para
una organizacin del sector pblico y especficamente del rubro salud, debido a
que se tomarn los procesos institucionales de una empresa de este tipo como
campo de estudio para aplicar las metodologas y herramientas anteriormente
mencionadas. La metodologa de riesgos utiliza el estndar ISO/FDIS
31000:2009 la cual brinda principios genricos para la gestin del riesgo que
deben ser contextualizados en base a las particularidades encontradas en el
INMP y al alcance escogido. En conclusin podemos decir que existe una brecha
28
importante en cuanto a seguridad de la informacin en la institucin sobre la que
se ha realizado el presente proyecto. La principal falencia que debera ser
resuelta cuanto antes es involucrar a la direccin en las acciones del plan que
se debe definir con motivo de la implementacin del SGSI institucional, el cual
debera ser gestionado como un proyecto institucional, de manera que se cuente
con el apoyo de las distintas direcciones y reas del INMP.
Este trabajo se relaciona con la investigacin en curso ya que propone la

Propuesta del diseo SGSI para una institucin estatal de salud, de acuerdo a la
norma ISO/IEC 27001:2013, que tiene como objetivo especificar los
requerimientos para establecer, implementar, mantener y mejorar continuamente
un (SGSI) para cualquier entidad pblica.
El trabajo de Barrantes & Herrera (2012), Diseo e implementacin un

SGSI en procesos tecnolgicos, tiene como objetivo reducir y mitigar los riesgos
de los activos de informacin de los procesos que se encuentran bajo la gerencia
de tecnologa de Card Per S.A. que ponen en peligro los recursos, servicios y
continuidad de los procesos tecnolgicos. La metodologa usada es el ciclo
Deming la cual es una herramienta de mejora continua. El ciclo consiste de una
secuencia lgica de cuatro pasos repetidos que se deben de llevar a cabo
consecutivamente. Se concluye que aun despus de implementar un buen
sistema de gestin de seguridad de informacin, en el futuro se presentan ms
activos de informacin, ms amenazas, vulnerabilidades y por lo tanto, mayores
riesgos. Este escenario no se puede evitar; es por ello que se concluye, que se
debe estar preparado para actuar de manera inmediata ante cualquier nueva
vulnerabilidad que se identifique.
Este trabajo se relaciona con la investigacin planteada, ya que muestra

el Diseo e implementacin un SGSI en procesos tecnolgicos usando la
metodologa el ciclo Deming. El ciclo consiste de una secuencia lgica de cuatro
pasos repetidos que se deben de llevar a cabo consecutivamente
Un tercer trabajo es el de Espinoza (2013) que lleva por ttulo Analizar y

disear de un sistema de gestin de seguridad de informacin basado en la
29
norma ISO/IEC 27001:2005 para una empresa de produccin y comercializacin
de productos de consumo masivo. Tiene como objetivo garantizar la seguridad
y continuidad de los activos de informacin crticos que participan en el proceso
de produccin y sus subprocesos (planeamiento de la produccin, calidad,
produccin, bodegas e inventarios) de la empresa productora de alimentos,
sobre la base del anlisis de riesgos que haya llevado a cabo la organizacin.
Se usara la metodologa MAGERIT II se concluye que el diseo de SGSI
presentado se adapta a los objetivos actuales del proceso de produccin, en el
cual se ha basado el proyecto, y que este diseo podra variar ya que los
objetivos estratgicos y de gobierno de le empresa pueden cambiar y por ello
algunos sub procesos que forman parte del alcance del proyecto, tambin lo
harn.
Este trabajo es pertinente con la investigacin aqu planteada, ya que

aborda El ciclo de Deming o espiral de mejora continua, es una estrategia
de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado
por Walter A. Shewhart. Es muy utilizado por los sistemas de gestin de la
calidad (SGC) y los sistemas de gestin de la seguridad de la
informacin (SGSI).
Antecedentes internacionales
La investigacin de Pallas (2009), en la que el propsito fue dar lineamientos

metodolgicos, de aplicacin sistemtica para el diseo, implantacin,
mantenimiento, gestin, monitoreo y evolucin de un SGSI segn la norma ISO
27.001, para un grupo empresarial, con el fin de gestionar la seguridad de la
informacin, en particular, orientadas al Anlisis y Gestin de Riesgos. Se
concluye que este trabajo aporta una metodologa con esta concepcin de
enfoque global y sistmico, atendiendo a la pertenencia a un grupo empresarial,
y a su vez pragmtico, a los efectos que la misma sea, no solo es viable, sino
conveniente y efectiva, dando una estructura u organigrama para lograr la
coordinacin necesaria y especificando los procedimientos que deben cumplirse
30
en cada fase, promoviendo no slo la reutilizacin y coherencia integral de la
seguridad sino tambin fomentando la sinergia entre las empresas del grupo.
l determin que la metodologa que se propone, se centra en una

empresa subordinada como parte constitutiva de un grupo empresarial
jerrquico, donde existe otra, que denomina principal. Esta ltima,
eventualmente podra tener ya, un SGSI implantado y ser considerada en
cuanto al contexto y cmo condiciona al SGSI de la primera, pero no ser el
objeto principal de anlisis. Esta metodologa tiene un amplio campo de
aplicacin, donde exista una relacin de dependencia o integracin vertical entre
empresas. Tambin puede aportar aspectos metodolgicos, en lo referente a la
jerarquizacin de los lineamientos de seguridad, para una entidad
gubernamental en su rol de regular o generar lineamientos y/o (meta) polticos
en seguridad de la informacin para empresas y organismos estatales. No
obstante, este no es el fin perseguido en este trabajo.
Bankinter (2006): Es la primera entidad financiera espaola en obtener

esta certificacin para sus plataformas y sistemas informticos. Bankinter ha
recibido de British Standard Institucin (BSI), la certificacin internacional
ISO/IEC 27001:2005 que acredita al Banco con los estndares ms elevados de
calidad y rigor profesional en la gestin de la seguridad de sus plataformas y
sistemas informticos, siendo la primera entidad financiera espaola en lograr
esta certificacin que avala una vez ms el liderazgo de Bankinter en el mbito
de la tecnologa, los sistemas de banca a distancia y la calidad de servicio a sus
clientes. La certificacin del sistema de gestin de la seguridad de la informacin
(SGSI) hace referencia a los procesos de "identificacin, autenticacin, firma de
operaciones financieras y sus respectivas evidencias electrnicas a travs del
canal Internet". Para ello, la entidad ha sido sometida a una revisin exhaustiva
de los aspectos organizativos y tcnicos asociados a la gestin de la seguridad,
sus procesos operativos para la deteccin y respuesta ante incidentes y su
gestin del riesgo mediante un anlisis riguroso, metodolgico y peridico.
31
2.1.3 Marco conceptual
ISO 27001. (2014). La Norma Tecnica Peruana NTP-ISO/IEC 27001:2014, ha

sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e
Intercambio electrnico de datos, mediante el Sistema 1 o de Adopcin, durante
los meses de abril a junio del 2014, utilizando como antecedente a la norma
ISO/IEC 27001:2013 Information Technology.
Esta Norma Tcnica Peruana ha sido preparada para proporcionar los

requisitos para establecer, implementar, mantener y mejorar continuamente un
sistema de gestin de seguridad de la informacin. Su implementacin es una
decisin estratgica para una organizacin. El establecimiento e implementacin
de tal en la organizacin est influenciado por las necesidades y objetivos de la
organizacin, los requisitos de seguridad, los procesos organizativos utilizados y
el tamao y estructura de la organizacin. Se espera que todos estos factores
influyentes cambien con el tiempo.
Esta Norma Tcnica Peruana especifica los requisitos para establecer,

implementar, mantener y mejorar continuamente un sistema de gestin de
seguridad de la informacin dentro del contexto de la organizacin. Incluye los
requisitos para la evaluacin y tratamiento de los riesgos de seguridad de la
informacin orientados a las necesidades de la organizacin. Los requisitos
establecidos estn hechos para aplicarse a todas las organizaciones, sin
importar su tipo, tamao o naturaleza. Excluir cualquiera de los requisitos
especificados en las Clusulas 4 a 10 no es aceptable cuando una organizacin
declara conformidad.
La seguridad de la informacin es la preservacin de la confidencialidad,

integridad y disponibilidad de la informacin; adems, pueden ser involucradas
otras caractersticas como la autenticacin, responsabilidad, no repudio y
fiabilidad. La confidencialidad es la propiedad por la que la informacin no se
pone a disposicin o se revela a individuos, entidades o procesos no
autorizados; la integridad es la propiedad de proteger la exactitud y completitud
32
de la misma y la disponibilidad es la propiedad de ser accesible y utilizable por
una entidad autorizada.
El sistema de gestin de seguridad de la informacin es un enfoque

sistemtico para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la informacin de una organizacin para conseguir los
objetivos de negocio. Se basa en una evaluacin del riesgo y de los niveles de
aceptacin del riesgo de la organizacin diseados para tratar y gestionar los
riesgos de manera eficaz. Analizar los requisitos para la proteccin de los activos
de informacin y aplicar controles adecuados para garantizar la proteccin de
estos activos de informacin. Establece un completo plan de acciones que
ayudar a la organizacin a solucionar los problemas de seguridad tcnicos,
organizativos y legislativos mediante el anlisis de riesgos, mejorando y
manteniendo la seguridad de la informacin empresarial y garantizando una
continuidad de negocio. Su diseo e implementacin est influenciado por las
necesidades y objetivos, requerimientos de seguridad, procesos empleados y el
tamao y estructura de la organizacin.
Un SGSI es para una organizacin el diseo, implantacin, mantenimiento

de un conjunto de procesos para gestionar eficientemente la accesibilidad de la
informacin buscando asegurar la confidencialidad, integridad y disponibilidad
de los activos de informacin minimizando a la vez los riesgos de seguridad de
la informacin.
La implementacin de un SGSI bajo el marco del cumplimiento de la

ISO/IEC 27001 es: Gestin y reduccin de riesgos, es decir conocer cules son
los riesgos a los cuales se exponen nuestros activos de informacin (informacin,
sistemas, hardware, personal, red; infraestructura; procesos). Estos riesgos se
reducen mediante el establecimiento y seguimiento de controles sobre ellos
logrando reducir las amenazas hasta alcanzar un nivel asumible por la
organizacin de tal manera que se produce una incidencia, los daos se
minimizan y la continuidad del negocio est asegurada.
33
Ahorro de costos: Se produce derivado de una racionalizacin de recursos
eliminndose las inversiones innecesarias e ineficientes como las producidas por
desestimar o sobrestimar riesgos.
La seguridad se considera un sistema y se convierte en una actividad

gestionada: La seguridad deja de ser un conjunto de actividades ms o menos
organizadas y pasa a transformarse en un ciclo de vida metdico y controlado
en el que participa toda la organizacin.
La organizacin se asegura del cumplimiento de la legislacin vigente: Se

evitan riesgos y costos innecesarios asegurando el cumplimiento del marco legal
que protege a la organizacin de aspectos que probablemente no se haban
tenido en cuenta anteriormente.
Una garanta de continuidad y disponibilidad del negocio: La ISO/IEC

27001:2013, establece la necesidad de implementar un Plan de Continuidad del
Negocio para poder responder a las amenazas que pueden atentar contra la
continuidad de las operaciones de nuestros procesos.
La certificacin del SGSI contribuye a mejorar la competitividad en el

mercado, diferenciando a las organizaciones que lo han conseguido hacindolas
ms fiables e incrementando su prestigio.
Adems de las ventajas mencionadas, tambin podemos mencionar entre otras:
Una de las actividades en el proceso de implementacin del SGSI es

realizar el inventario de activos (informacin, hardware, software, sistemas,
personal, infraestructura, telecomunicacin) por lo que la organizacin puede
conocer el estado de dichos activos.
Reduccin de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes y partners.
El aumento del valor comercial y mejora de la imagen de la organizacin.
34
PROCESO DE IMPLANTACIN DEL SGSI
ENTRADA Contexto de la
organizacin
Liderazgo Mejora Requisitos y

Requisitos y
expectativas expectativas
de las partes
de las partes
interesadas interesadas
respecto al Planificacin Evaluacin gestionadas
SGSI con el SGSI
Soporte
Operacin SALIDA
Figura 1. Proceso de Implantacin del SGSI Fuente: Elaboracin propia.
ISO 31000. (2011), es el estndar internacional que establece una gua general
sin establecer medidas especficas para algn tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genrica en cualquier tipo de organizacin.
En su calidad de ser una gua generalizada de gestin de riesgo, puede

ser aplicable a una gran cantidad de escenarios en diferentes organizaciones. Al
igual que la norma ISO 27005, este estndar sigue el ciclo de Deming (plan-do-
check-act) como metodologa de anlisis de riesgos.
La norma utiliza la metodologa Plan-Do-Check-Act tambin llamado ciclo

de Deming,E.(2016), para definir las fases de vida y mejora continua del SGSI a
travs de un seguimiento del mismo que asegura el mantenimiento de los
controles y los cambios necesarios para poder mitigar los posibles nuevos
35
riesgos que aparezcan luego de la implementacin del sistema. Deming (2016):
El ciclo Deming como modelo para implantacin de SGSI, permanece en una
constante revaluacin, por cuanto funciona, bajo la filosofa del mejoramiento
continuo. En seguridad sera la revaluacin de las medidas de prevencin,
correccin y evaluacin, manteniendo un constante ciclo que por sus
caractersticas no podra terminar. A continuacin se detalla cada uno de los
pasos del modelo Deming como metodologa apropiada los SGSI.
Planear
En esta etapa se enmarca todo el proceso de anlisis de la situacin en que
actualmente se encuentra la empresa respecto a los mecanismos de seguridad
implementados y la normativa ISO/IEC 17799:2005, la cual se pretende
implantar para evaluacin y certificacin. As mismo en la etapa de planeacin se
organizan fases relevantes como son: Establecer el compromiso con los
directivos de la empresa para el inicio, proceso y ejecucin.
Fase de anlisis de informacin de la organizacin. En esta fase se

comprueba cules son los sistemas informticos de hardware y los sistemas de
informacin que actualmente utiliza la empresa para el cumplimiento de su
misin u objeto social.
Fase de evaluacin del riesgo. En esta fase se evala los riesgos, se

tratan y se seleccionan los controles a implementar.
Hacer
En esta etapa se implementan todos los controles necesarios de acuerdo a una
previa seleccin en la etapa de planeacin, teniendo en cuenta el tipo de
empresa. Tambin se formula y se implementa un plan de riesgo
Verificar
Consiste en efectuar el control de todos los procedimientos implementados en el
SGSI. En este sentido, se realizan exmenes peridicos para asegurar la
eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y
residuales y se realicen peridicamente auditoras internas para el SGSI.
36
Actuar
Consiste en desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,
realizar las acciones correctivas y preventivas, mantener comunicacin con el
personal de la organizacin relevante.
Figura 2. Estrategia de mejora contina del SGSI, Ciclo de Deming Fuente:

Figura 2. Estrategia
Elaboracin propia. de la mejora continua del SGSI, ciclo Deming
Fuente: Elaboracin propia.
ISO 27005. (2011), apoya los conceptos generales especificados en la

norma ISO/IEC 27001 y est diseado para asistir a la implementacin
satisfactoria de la seguridad de la informacin en base a un enfoque de gestin
del riesgo.
Esta Norma Tcnica Peruana es aplicable a todo tipo de organizaciones;

por ejemplo: empresas comerciales, dependencias gubernamentales,
organizaciones sin fines de lucro y otros que tratan de administrar los riesgos
que podran comprometer la seguridad de la informacin de la organizacin.
La gestin del riesgo en seguridad de la informacin debe ser un proceso

continuo. El proceso debe establecer el contexto, evaluar los riesgos y tratarlos
utilizando un plan de riesgos para implementar las recomendaciones y
37
decisiones. La gestin del riesgo analiza lo que puede ocurrir y cules seran las
consecuencias posibles, antes de decidir qu debe hacerse y cundo para
reducir el riesgo a un nivel aceptable.
La gestin del riesgo en seguridad de la informacin debe contribuir a lo

siguiente:
Identificar los riesgos.
Evaluar los riesgos en trminos de sus consecuencias para la empresa y la
posibilidad de su ocurrencia.
La comunicacin y comprensin de la posibilidad y consecuencias de estos
riesgos.
El establecimiento de un orden de prioridades para el tratamiento del riesgo.
Priorizacin de acciones para reducir la ocurrencia de riesgo.
Participacin de los interesados cuando se toman las decisiones de gestin del
riesgo e informacin sobre la situacin de la gestin del riesgo.
Eficacia del monitoreo del tratamiento del riesgo.
Monitoreo y revisin regulares de los riesgos y del proceso de gestin del riesgo.
Captacin de informacin para mejorar el enfoque de gestin del riesgo.
Educacin a gerentes y personal respecto a los riesgos y acciones que se toman
para mitigarlos.
El proceso de gestin del riesgo en seguridad de la informacin puede

aplicarse a la organizacin en su conjunto o cualquier parte especfica de la
organizacin (por ejemplo, un departamento, una ubicacin fsica, un servicio),
a cualquier sistema de informacin, existente o planeado, o a aspectos
particulares del control (por ejemplo: planeamiento de la continuidad del
negocio).
38
Figura 3. Proceso de Gestin de Riesgos Fuente: Elaboracin Ministerio de
Trabajo.
La ISO 27001 requiere que los controles sean medibles en ese sentido la ISO
27004:2009 aporta la forma de llevar a cabo dichas mediciones.
La norma est destinada a ayudar a las organizaciones a medir, informar

y, por tanto, mejorar sistemticamente la eficacia de sus sistemas de gestin de
seguridad de informacin.
"Proporciona orientacin sobre el desarrollo y el uso de medidas y de

medicin con el fin de evaluar la eficacia de un sistema de informacin
39
implementado la gestin de la seguridad (ISMS) y los controles o grupos de
controles, como se especifica en la norma ISO / IEC 27001 . Esto incluira la
poltica, la informacin gestin de riesgos de seguridad, objetivos de control,
controles, procesos y procedimientos, y apoyar el proceso de su revisin, lo que
ayuda a determinar si alguno de los procesos o controles ISMS necesita ser
cambiado o mejorado".
El uso de seguimiento, medicin, anlisis y evaluacin en la norma ISO /

IEC 27001 es confuso y se explicar en la norma ISO / IEC 27001 27004.
Controles tcnicos de la seguridad de la informacin. Los controles

tcnicos utilizan la tecnologa como una base para controlar el acceso y uso de
datos confidenciales a travs de una estructura fsica y sobre la red. Los
controles tcnicos son mucho ms extensos en su mbito e incluyen tecnologas
tales como:
Encriptacin. La encriptacin o cifrado de archivos, es un procedimiento

que vuelve completamente ilegibles los datos de un documento o de cualquier
archivo. De esta manera, el archivo se vuelve prcticamente inservible para un
usuario no autorizado a leerlo, ya que incluso si lo ha interceptado o lo ha
copiado, si no cuenta con el password correspondiente, no podr leerlo o
visualizarlo
Este sistema de seguridad, se utiliza para resguardar informacin

importante que puede ser almacenada o enviada va Internet para cualquier
trmite como por ejemplo nmeros de tarjetas de crdito, datos personales, etc.
Existen muchos programas especficos especialmente diseados para realizar
encriptacin de archivos: Windows posee una herramienta con la que podemos
encriptar nuestros archivos de un modo fcil y rpidamente.
Tarjetas inteligentes es una pequea tarjeta de plstico que contiene un

chip informtico. Los usuarios usan las tarjetas inteligentes junto con los nmeros
de identificacin personal (PIN) para iniciar una sesin en una red, un equipo o
40
un dispositivo. El uso de tarjetas inteligentes es ms seguro que usar
contraseas porque para una persona ajena es ms difcil sustraer la tarjeta y
averiguar el PIN que aprenderse la contrasea.
Por lo general, las tarjetas inteligentes las emiten los departamentos de

tecnologa de la informacin (TI) de grandes organizaciones. Para usarla se debe
tener tambin un lector de tarjeta que es un dispositivo que se instala en el equipo
o se conecta a l y que puede leer la informacin almacenada.
Autenticacin a nivel de la red. Es un mtodo de autenticacin que se

puede usar para mejorar la seguridad del servidor de Host de sesin de Escritorio
remoto exigiendo para ello que el usuario se autentique antes de crear una
sesin.
La Autenticacin a nivel de red completa la autenticacin del usuario antes

de que se establezca una conexin a escritorio remoto y de que aparezca la
pantalla de inicio de sesin. Se trata de un mtodo ms seguro que puede ayudar
a proteger el equipo remoto de usuarios y software malintencionados. Las
ventajas de la Autenticacin a nivel de red son las siguientes:
Inicialmente requiere menos recursos del equipo remoto. El equipo remoto usa
un nmero limitado de recursos antes de autenticar al usuario, en lugar de iniciar
una conexin completa al Escritorio remoto como en versiones anteriores.
Puede ayudar a mejorar la seguridad al reducir el riesgo de los ataques por

denegacin de servicio.
Para usar la Autenticacin a nivel de red, deben cumplirse todos los requisitos
siguientes:
El equipo cliente debe usar como mnimo la versin 6.0 de Conexin a Escritorio
remoto.
41
El equipo cliente debe usar un sistema operativo como Windows 7,
Windows Vista o Windows XP con Service Pack 3 que admita el protocolo
Proveedor de compatibilidad con seguridad de credenciales (CredSSP).
El servidor de Host de sesin de Escritorio remoto debe ejecutar Windows

Server 2008 R2 o Windows Server 2008.
2.2 Metodologa
2.2.1 Sintagma
Esta investigacin est basada en el Sintagma Holstico propuesto por Capra,

Weil, Bohm, Wilber, Pribram en Hurtado (2000), el cual a la fecha ha venido
siendo ampliamente utilizado por muchos investigadores debido a que la
investigacin holstica enfatiza el logro de los objetivos como parte de un proceso
iterativo, incremental y continuo rompiendo el esquema del paradigma tradicional
de una investigacin enfocada al mero logro de los objetivos trazados como el
resultado de la investigacin.
Poleo (2009) destaca la importancia de la investigacin holstica y los
beneficios que sta aporta para la comunidad cientfica: La investigacin
holstica basada en la lgica del sintagma, integradora de paradigmas,
desarrolla una metodologa vinculante que permite conocer, a partir de la
gua clasificadora de los objetivos, los aportes y beneficios de cada una de
las tcnicas de recoleccin, anlisis e integracin de datos, considerados
por los diferentes modelos epistmicos. Permite utilizar diversas vetas del
saber con fines de construccin del conocimiento. No se preocupa por la
lgica epistmica que se usa para conocer la realidad, sino ms bien por
identificar el nivel de profundidad que alcanza desde los resultados a los
que se llega en las investigaciones, y luego continuar con un ciclo holstico
de ascenso en el conocimiento.
2.2.2 Enfoque
La investigacin en curso sigue el enfoque netamente holstico considerando las

caractersticas propias de los enfoques cuantitativos y cualitativos como una
42
sinergia para profundizar ampliamente en el logro del conocimiento. Todo ello
mediante el cumplimiento de los objetivos definidos y haciendo uso de las
tcnicas adecuadas.
Para Hurtado (2000) la investigacin holstica es: Un proceso continuo

que intenta abordar una totalidad o un holos (no el absoluto ni el todo) para llegar
a un cierto conocimiento de l. Como proceso, la investigacin trasciende las
fronteras y divisiones en s misma; por eso, lo cualitativo y lo cuantitativo son
aspectos (sinergias) del mismo evento.
En cuanto a la naturaleza de la investigacin, la presente es de tipo mixto

ya que sigue el enfoque cuali-cuantitativo propuesto por Hernndez, Fernndez
y Baptista (2010). En consecuencia, para la investigacin se emplear los
aspectos cuantitativos para diagnosticar y validar la problemtica y los aspectos
cualitativos permitirn desarrollar la propuesta solucin empleando a su vez
categoras cuantitativas y cualitativas.
2.2.3 Tipo
La investigacin es de tipo proyectiva ya que consiste en la elaboracin de una

propuesta, un plan, un programa o un modelo, como solucin a un problema o
necesidad de tipo prctico, ya sea de un grupo social, o de una institucin, o de
una regin geogrfica, en un rea particular del conocimiento, a partir de un
diagnstico preciso de las necesidades del momento, los procesos explicativos
o generadores involucrados y de las tendencias futuras, es decir, con base en
los resultados de un proceso investigativo.
2.2.4 Diseo
El diseo de la investigacin es de tipo transversal ya que se centraliz en
analizar el nivel de las variables en un determinado tiempo y para lo cual se
aplic un instrumento determinado
43
2.2.5 Categoras y subcategoras apriorsticas y emergentes
Categora 1 Categora 2
Norma Tcnica Peruana-ISO/IEC Norma Tcnica Peruana-ISO/IEC

27001 2014 3100 2011
Subcategora Subcategora
Seguridad de la Informacin Norma Tcnica Peruana-ISO/IEC

27005
Evaluacin de riesgos
Sistema de Gestin De Seguridad De
La Informacin
Controles y mediciones
Implementacin de SGSI
Categoras emergentes
Controles tcnicos de la seguridad de la informacin
Cuadro 1. Clasificacin de Categoras y Subcategoras Apriorsticas. Fuente:

Elaboracin Propia
44
2.2.6 Unidad de anlisis
La poblacin est determinada por todos los miembros del rea informtica,
estadstica, servicio de Admisin, consultorios externos y la alta direccin y los
empleados que son usuarios finales de los sistemas desarrollados del hospital
San Juan de Lurigancho
Muestreo
Para Bisquerra (2009) el tipo de muestreo de la investigacin ser de tipo

no probabilstico, porque la seleccin de los individuos de la muestra no depende
de la probabilidad, sino que se ajusta a otros criterios relacionados con las
caractersticas de la investigacin o de quien hace la muestra (p.145).
La muestra estar representada por el equipo de Desarrollo del proyecto y

por los usuarios finales del hospital San Juan de Lurigancho.
Tabla 1
Muestra holstica para la investigacin.

Muestra f % Muestra f %
cuantitativa cualitativa
Trabajadores 15 100 Gerente de 1 33.3
del hospital Tecnologa de
informacin
Jefe de Sistemas 1 33.3

Analista de 1 33.3
Sistemas
Total 15 100% 3 100%
Fuente: Elaboracin propia
2.2.7 Instrumentos y tcnicas
Para la recoleccin de datos se utilizar como tcnicas la encuesta y la

entrevista. Para la encuesta se har uso del instrumento de tipo cuantitativo,
denominado cuestionario; mientras que para la entrevista se usar el instrumento
cualitativo denominado ficha de entrevista.
45
Tcnicas Instrumentos
Tc: Cuantitativa Encuesta Ficha de Entrevista
Tc: Cualitativa Entrevista Cuestionario
Cuadro 2. Instrumentos holsticos de la investigacin. Fuente: Elaboracin Propia
Ficha tcnica instrumento 1
Ficha Tcnica de la Encuesta de la Investigacin
Nombre Evaluacin de Factores Crticos de xito para

Implementar Seguridad en Sistemas de Informacin
Procedencia Adaptacin Condori (2012)
Objetivo Determinar el impacto de los Factores Crticos de xito para

Implementar SGSI.
Estructura El cuestionario consta de 32 preguntas de tipo politmicas

cerradas, estructurados en 8 niveles.
Diseo muestral No probabilstico, de tipo muestral o por conveniencia.
Poblacin Objetivo El rea informtica, estadstica y la alta direccin del

hospital San Juan de Lurigancho.
Tcnica Encuesta cara a cara, en las instalaciones de la

institucin.
Tamao de la 15 miembros de la organizacin en estudio.

Muestra
Momento Del 18 al 22 de Abril

Estadstico
Financiacin Recursos Propios
Cuadro 3. Ficha Tcnica de la Encuesta. Fuente: Elaboracin Propia
46
Ficha tcnica instrumento 2
Ficha Tcnica de la Entrevista de la Investigacin
Nombre Evaluacin de Factores Crticos de xito para Implementar

Seguridad en Sistemas de Informacin
Procedencia Elaboracin propia
Objetivo Recabar las opiniones del personal de salud, con la finalidad

de conocer sus expectativas y/o realidades.
Estructura La entrevista consta de 5 preguntas de tipo abiertas.
Diseo muestral No probabilstico, de tipo muestral o por conveniencia.
Poblacin Objetivo Los trabajadores del hospital San Juan de Lurigancho
Tamao de la 3 stakeholders del proyecto de Desarrollo de Software.

Muestra
Universo 1 jefe de proyecto, 1 programador y 1 usuario final

Representado
Tcnica Encuesta cara a cara, en las instalaciones de la

organizacin.
Momento Del 18 al 22 de Abril

Estadstico
Financiacin Recursos propios
Cuadro 4. Ficha Tcnica de Entrevista. Fuente: Elaboracin propia.
47
2.2.8 Procedimientos y mtodo de anlisis
Para la reduccin de los datos, se debe recolectar la informacin bibliogrfica y

de experiencias exitosas para elaborar eficientemente los instrumentos que nos
permitirn recolectar datos como: cuestionarios, gua de entrevista para obtener
datos del objeto de investigacin. Luego para fortalecer los instrumentos es
importante contar con la validacin de expertos los cuales nos permitirn
fortalecer los instrumentos en estudio.
Tambin es importante el trabajo en campo y para ello se solicitar la

aprobacin del mismo con autoridades pertinentes y adems solicitar a las
autoridades de la entidad para poder aplicar los instrumentos elaborados tales
como: la entrevista, cuestionarios y revisin de los documentos.
Desde el punto de vista de anlisis descriptivo se debe realizar una

revisin crtica de los datos obtenidos, clasificndolos de acuerdo a las
categoras y subcategoras. Se debe realizar un anlisis y sistematizacin
descriptiva de las conclusiones de acuerdo a la organizacin de las categoras y
subcategoras. Ahora para la interpretacin se deben establecer las
conclusiones tericas y explicativas (triangulacin).
Para la fase de anlisis de datos se utilizar el programa estadstico de

anlisis cuantitativo el SPSS 22 el cual permitir obtener las medidas de
frecuencia y el resolver todas las necesidades del negocio o investigacin. Esta
herramienta es muy til ya que cuenta con una amplia gama de funcionalidades
para acceder y gestionar fcilmente grandes cantidades de datos, analizarlos y
representarlos grficamente. Luego, se utilizar el mtodo de triangulacin
donde se categorizarn para luego detectar si existen categoras emergentes y
finalizar con un diagnstico final.
48
CAPTULO III
TRABAJO DE CAMPO
3.1 Diagnstico cuantitativo
Tabla 2
Niveles de Seguridad de la Informacin en el Hospital San Juan de Lurigancho
Niveles Frecuencia Porcentaje
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 4. Grfico de barras Sistemas de seguridad de la informacin.
De los 15 usuarios encuestados, 14 de ellos (93.33%) manifiestan que el Hospital

San Juan de Lurigancho tiene un nivel deficiente con respecto a la seguridad de
la informacin. Asimismo un usuario (6.67%) indica un nivel adecuado.
50
Tabla 3
Niveles de compromiso en la implantacin de un Sistema de Gestin de

Seguridad de la Informacin en el Hospital San Juan de Lurigancho
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 5. Grfico de compromiso en la implantacin de un Sistema de Gestin

de Seguridad de la Informacin en el Hospital San Juan de Lurigancho.

San Juan de Lurigancho tienen un nivel excelente con respecto al compromiso
en la implementacin de SGSI. Asimismo un usuario (6.67%) indica un nivel
adecuado.
51
Tabla 4
Niveles de Cultura en la implantacin de un Sistema de Gestin de Seguridad

de la Informacin en el Hospital San Juan de Lurigancho
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 6. Grfico de Cultura en la implantacin de un Sistema de Gestin de

Seguridad de la Informacin en el Hospital San Juan de Lurigancho.

San Juan de Lurigancho tienen un nivel excelente con respecto a la Cultura en
la implementacin de SGSI. Asimismo un usuario (6.67%) indica un nivel
adecuado.
52
Tabla 5
Niveles de Misin en la implantacin de un Sistema de Gestin de Seguridad

Adecuado 2 13,3
Excelente 13 86,7
Total 15 100,0
Figura 7. Grfico de Misin en la implantacin de un Sistema de Gestin de


San Juan de Lurigancho tienen un nivel excelente con respecto a la Misin en la
implementacin de SGSI. Asimismo 2 usuarios (13.33%) indica un nivel
adecuado.
53
Tabla 6
Niveles de Recursos para la implantacin de un Sistema de Gestin de

Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 8. Grfico de Recursos para la implantacin de un Sistema de Gestin


San Juan de Lurigancho tiene un nivel excelente con respecto a los Recursos
Econmicos para la implementacin de SGSI. Asimismo 3 usuarios (20.00%)
indican un nivel adecuado.
54
Tabla 7
Niveles de Formacin para la implantacin de un Sistema de Gestin de

Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 9. Grfico de Formacin para la implantacin de un Sistema de Gestin


San Juan de Lurigancho tiene un nivel excelente con respecto a la Formacin
para la implementacin de SGSI. Asimismo un usuario (6.67%) indica un nivel
adecuado.
55
Tabla 8
Niveles de Necesidad en la implantacin de un Sistema de Gestin de

Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 10. Grfico de Necesidad en la implantacin de un Sistema de Gestin


San Juan de Lurigancho tiene un nivel excelente con respecto a la Necesidad en
la implementacin de SGSI. Asimismo 3 usuarios (20.00%) indican un nivel
adecuado.
56
Tabla 9
Niveles de Infraestructura para la implantacin de un Sistema de Gestin de

Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
Figura 11. Grfico de Infraestructura para la implantacin de un Sistema de

Gestin de Seguridad de la Informacin en el Hospital San Juan de Lurigancho.
De los 15 usuarios encuestados, 14 de ellos (93.33%), manifiestan que el

Hospital San Juan de Lurigancho tiene un nivel excelente con respecto a la
Infraestructura para la implementacin de SGSI. Asimismo un usuario (6.67%)
indica un nivel adecuado.
57
Tabla 10
Niveles de Soporte en la implantacin de un Sistema de Gestin de Seguridad

Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
Figura 12. Grfico de Soporte en la implantacin de un Sistema de Gestin de


San Juan de Lurigancho tiene un nivel excelente con respecto al Soporte en la
implementacin de SGSI. Asimismo 3 usuarios (20.00%) indican un nivel
adecuado.
58
3.2 Diagnstico cualitativo
Pregunta Sujetos Sujeto 1 Sujeto 2 Sujeto 3 Codificacin Categora Conclusiones aproximativas
s de la encuestado
entrevist s Emergente
a
Qu benficos Un SGSI facilita el El correcto Para dar C1: Sistema de El Sistema de Gestin de la
aportara a la cumplimiento de las desarrollo del confianza a Gestin de Seguridad de la Informacin
empresa la distintas normativas SGSI en la clientes y se trata de un conjunto de
seguridad de la
implementacin de que afectan a una organizacin proveedores que polticas de administracin
un SGSI? empresa u permite a la la seguridad de la Informacin de la informacin que tienen
organizacin en lo misma obtener informacin se como objetivo asesorar o
que respecta a datos la certificacin toma en serio guiar a la empresa para lograr
almacenados y reconocida dentro de la la certificacin ISO/IEC
privacidad, ISO/IEC 27001, organizacin, C2: Proteccin 27001. Gracias al SGSI,
proteccin de datos y lo cual mejora la estando a la de datos podemos por un lado
seguridad de la imagen y el vanguardia en la establecer una poltica de
informacin en prestigio de la aplicacin de la seguridad de la informacin
general. organizacin tcnica de de la empresa, y por otro
ante pblicos procesos para C3:Seguridad lado, analizar el riesgo y
que conocen la hacer frente a las de la valorar las diferentes
naturaleza de amenazas de la informacin amenazas potenciales a las
dicho informacin y a que podra enfrentarse la
certificado. Se los problemas de organizacin. Facilita el
convierte, por la seguridad. cumplimiento de las distintas
tanto, en una C4:Certificaci normativas que afectan a una
demostracin de n en la ISO/IEC empresa u organizacin en lo
la que respecta a datos
27001
profesionalidad almacenados y privacidad,
de la proteccin de datos y
organizacin y
59
en una garanta C5: Tcnicas y seguridad de la informacin
de su correcto procesos para en general.
funcionamiento.
hacer frente a
las amenazas de
la informacin
Cmo califica a la Es el conjunto de La informacin es Cuando hablamos C6: Sistemas Cuando hablamos de
seguridad de la medidas preventivas y uno de los de seguridad de la
tecnolgicos seguridad de la informacin
informacin? reactivas de las principales informacin estamos indicando que dicha
organizaciones y de los activos de las estamos indicando informacin tiene una
sistemas tecnolgicos organizaciones. que dicha
relevancia especial en un
que permiten resguardar La defensa de este informacin tiene
C7: Proteccin contexto determinado y que,
y proteger activo es una tarea una relevancia
la informacin buscan esencial para especial en un
por tanto, hay que proteger
de la seguridad la seguridad de la
do mantener la asegurar la contexto
confidencialidad, la continuidad y el determinado y que, Informacin se puede definir
disponibilidad e desarrollo del por tanto, hay que como conjunto de medidas
integridad de la misma. negocio, as como proteger. tcnicas organizativas y
tambin es una legales que permiten a la
exigencia legal. organizacin asegurar la
confidencialidad, integridad
y disponibilidad de su
sistema de informacin.
60
Cree que la SGSI es Muchas organizaciones El Implementar Las organizaciones C8: La implementacin de un
un costo o una acuden a la un Sistema de que se certifican en SGSI ms que gasto es una
certificacin ISO 27001 Gestion de la ISO 27001, son
Certificacin en
inversin? inversin porque asegura la
ya que necesitan dicho Seguridad de la ms competitivas y la ISO
continuidad de la empresa y a
certificado para Informacion ms ms atractivas para
la vez atrae nuevos clientes.
conseguir un nuevo que un gasto es los clientes. 27001.
cliente mediante una una inversin
licitacin o porque porque de esta
quieren convencer a sus manera podemos
clientes de que sus datos asegurar a nuestro
C9: Proteccin
se encuentran cliente y atraer
perfectamente ms clientes. de la
protegidos. Si partimos informacin.
desde este punto,
muchas organizaciones
piensan que necesitan
implementar
C10:
un Sistema de Gestin
de Seguridad de la Implementaci
Informacin para n de un Sistema
llegar a nuevos clientes
de gestin de
o para mantener los que
ya tienen seguridad de la
informacin.
Se dice que el SGSI S, SGSI establece un S, En una S, el propsito de C11: Anlisis Un Sistema de Gestin de
contribuye a la completo plan de organizacin, el un sistema de Seguridad en la Informacin
acciones que ayudar a diseo e gestin de la
de riesgos
mejora de la (SGSI) es la mejora continua
su empresa a solucionar implementacin seguridad de la
continuidad del de la organizacin en la
los problemas de de un SGSI est informacin es, por
negocio, lo cree as? gestin de la seguridad. Esto
seguridad tcnicos, influenciado por tanto, garantizar que
organizativos y sus necesidades y los riesgos de la C12: Procesos es posible gracias a la
legislativos mediante el objetivos, seguridad de la implantacin de este sistema
objetivos y
61
anlisis de riesgos, requerimientos de informacin sean requerimientos mediante la
mejorando y seguridad, conocidos, norma ISO27001. Esta acoge
manteniendo la procesos asumidos,
de la
el modelo de mejora continua
seguridad de la empleados y el gestionados y informacin.
Planificar, Hacer, Verificar y
informacin tamao y minimizados por la
Actuar (PHVA), que est
empresarial y estructura de la organizacin de una
garantizando una organizacin. A la forma aplicado a la estructura de
continuidad de negocio. vez establece un documentada, todos los procedimientos del
plan de acciones sistemtica, SGSI. Es vital llevar a cabo
para solucionar estructurada, una revisin regular y una
problemas de repetible, eficiente y actualizacin y mejora
seguridad adaptada a los continua permitiendo el
mediante anlisis cambios que se empleo de instrumentos
de riesgos. produzcan en los
adecuados para el control y la
riesgos, el entorno y
medicin del sistema en las
las tecnologas.
organizaciones.
62
Tengo un firewall, Estas medidas no son El SGSI da la Para asegura la C13: Controles CE: Controles Los controles tcnicos
actualizo ms que unos pocos garanta a la informacin no
controles tcnicos que, empresa de que basta un antivirus o
tcnicos tcnicos de la no significan que se
regularmente el
por s mismos, no los riesgos que un firewall. La seguridad de la
antivirus y realizo estn gestionando la
significan que se est afectan a su norma ISO27001 n informacin
copias de backup.
gestionando la informacin son os dice que el
qu aporta un sgsi a C14: Niveles de seguridad.
seguridad. Un SGSI conocidos y personal debe estar
mi empresa? implica que la gestionados. No formado para riesgos de la
organizacin ha se debe olvidar, realizar la gestin Un SGSI implica que la
estudiado los riesgos a por tanto, que no de la Seguridad de
informacin
los que est sometida hay seguridad la Informacin, organizacin ha
toda su informacin, ha total sino adems debe
evaluado qu nivel de seguridad realizar su trabajo
estudiado los riesgos a
riesgo asume, ha gestionada. en equipo y contar C15: Gestin los que est sometida
implantado controles con habilidades de de seguridad de
(no slo tecnolgicos, liderazgo. toda su informacin.
sino tambin
la informacin
organizativos) para
aquellos riesgos que
superan dicho nivel, ha
documentado las
polticas y
procedimientos
relacionados y ha
entrado en un proceso
continuo de revisin y
mejora de todo el
sistema.
Cuadro 5. Diagnstico cualitativo Fuente: elaboracin propia
63
3.3 Triangulacin de datos: Diagnstico final
Se entiende por seguridad de la informacin a todas aquellas medidas

preventivas y reactivas del hombre, de las organizaciones y de los sistema
tecnolgicos que permitan resguardar y proteger la informacin buscando
mantener la confidencialidad, la autenticidad e Integridad de la misma.
El concepto de seguridad de la informacin no debe ser confundido con el

de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en
el medio informtico, pudiendo encontrar informacin en diferentes medios o
formas.
Para el hombre como individuo, la seguridad de la informacin tiene un

efecto significativo respecto a su privacidad, la que puede cobrar distintas
dimensiones dependiendo de la cultura del mismo.
El campo de la seguridad de la informacin ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una
carrera acreditada a nivel mundial. Esta ofrece muchas reas de especializacin,
incluidos la auditora de sistemas de informacin, Planificacin de la continuidad
del negocio, Ciencia Forense Digital y Administracin de Sistemas de Gestin de
Seguridad por nombrar algunos.
La informacin es un activo vital para el xito y la continuidad en el

mercado de cualquier organizacin. El aseguramiento de dicha informacin y de
los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la
organizacin.
Para la adecuada gestin de la seguridad de la informacin es necesario

implantar un sistema que aborde esta tarea de una forma metdica,
documentada y basada en unos objetivos claros de seguridad y una evaluacin
de los riesgos a los que est sometida la informacin de la organizacin.
64
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
Se entiende por informacin todo aquel conjunto de datos organizados en

poder de una entidad que posean valor para la misma, independientemente de
la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en
papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-
mail, transmitida en conversaciones, etc.), de su origen (de la propia
organizacin o de fuentes externas) o de la fecha de elaboracin.
El propsito de un sistema de gestin de la seguridad de la informacin

no es garantizar la seguridad (que nunca podr ser absoluta) sino garantizar que
los riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, continua, repetible, eficiente y adaptada a los cambios
que se produzcan en la organizacin, los riesgos, el entorno y las tecnologas.
La seguridad de la informacin, segn ISO 27001, consiste en la

preservacin de su confidencialidad, integridad, disponibilidad y legalidad, as
como de los sistemas implicados en su tratamiento, dentro de una organizacin.
As pues, estos cuatro trminos constituyen la base sobre la que se cimienta todo
el edificio de la seguridad de la informacin:
Integridad: Mantener la exactitud y completitud de la informacin y sus

mtodos de proceso.
Privacidad: La informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos no autorizados.
65
Legalidad: La informacin debe de cumplir con las leyes vigentes
dependiendo del lugar donde se encuentran y son manejadas.
Disponibilidad: El acceso y la utilizacin de la informacin y los sistemas

de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
Es un estndar ISO que proporciona un modelo para establecer,

implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de
Gestin de Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida
PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua,
al igual que otras normas de sistemas de gestin (ISO 9001 para calidad, ISO
14001 para medio ambiente, etc.).
De manera especfica, ISO 27001 indica que un SGSI debe estar formado
por los siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al

SGSI incluyendo una identificacin clara de las dependencias, relaciones y
lmites que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el mbito de influencia del SGS
considere un subconjunto de la organizacin como delegaciones, divisiones,
reas, procesos, sistemas o tareas concretas).
Poltica y objetivos de seguridad: Documento de contenido genrico

que establece el compromiso de la direccin y el enfoque de la organizacin en
la gestin de la seguridad de la informacin.
Procedimientos y mecanismos de control que soportan al SGSI:

Comprende aquellos procedimientos que regulan el propio funcionamiento del
SGSI: Documentacin necesaria para asegurar la planificacin, operacin y
66
control de los procesos de seguridad de la informacin, as como para la medida
de la eficacia de los controles implantados.
Enfoque de evaluacin de riesgos: Descripcin de la metodologa a

emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relacin a los activos de informacin
contenidos dentro del alcance seleccionado), desarrollo de criterios de
aceptacin de riesgo y fijacin de niveles de riesgo aceptables.
Informe de evaluacin de riesgos: Estudio resultante de aplicar la

metodologa de evaluacin anteriormente mencionada a los activos de
informacin de la organizacin.
Plan de tratamiento de riesgos: Documento que identifica las acciones

de la direccin, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la informacin, en funcin de las
conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control
identificados, de los recursos disponibles, etc.
Procedimientos documentados: Todos los necesarios para asegurar la

planificacin, operacin y control de los procesos de seguridad de la informacin,
as como para la medida de la eficacia de los controles implantados.
Registros: Documentos que proporcionan evidencias de la conformidad

con los requisitos y del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus

siglas inglesas): Documento que contiene los objetivos de control y los controles
contemplados por el SGSI basado en los resultados de los procesos de
evaluacin y tratamiento de riesgos justificando inclusiones y exclusiones.
67
La existencia de un SGSI por s solo se encuentra enfocada a la
proteccin de la informacin crtica para la institucin ya sea segn su impacto
en la confidencialidad, integridad o disponibilidad de modo que se eviten
incidentes de seguridad que puedan ocasionar escenarios que afecten las
actividades o generen un impacto reputacional o financiero.
De manera complementaria a la implementacin del SGSI, se recomienda

que la institucin realice la implementacin de un Sistema de Gestin de
Continuidad de Negocios, enfocado en establecer planes a seguir durante un
escenario que afecte la operativa de la institucin. Este sistema de gestin y el
SGSI permitirn tener un mayor nivel de proteccin no solo sobre la informacin
si no sobre los procesos crticos de la institucin ya que se cont con planes de
contingencia que aseguren su recuperacin luego de ser afectados por un
escenario de desastre o incidente interno.
La obligacin normativa que especifica que las Historias Clnicas de los

pacientes deben estar almacenadas en formato fsico dado que son documentos
legales no excluye que dichos documentos puedan ser digitalizados. Iniciar un
proyecto de digitalizacin de estos documentos enfocndose en el archivo activo
de la institucin permitir que se cuente con un respaldo de la informacin de las
mismas que podra ser utilizado en las actividades asistenciales ms no en
cuestiones legales.
68
CAPTULO IV
PROPUESTA IMPLEMENTACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA INFORMACIN
APLICANDO NTP ISO/IEC 27001:2014, EN EL SECTOR
HOSPITALARIO, 2016
69
4.1 Fundamentos de la propuesta
Todos los hospitales y clnicas pertenecen al sector salud y prestan sus servicios
da a da a miles de personas que ponen sus vidas en las manos del personal
mdico. Estas atenciones a pesar de presentarse en distintas especialidades
ciruga, neumologa, neurologa y muchas ms, deben ser registradas por
disposicin legal en la Historia Clnica del paciente el cual y deben ser
almacenados en un registro fsico que puede ser utilizado incluso en un proceso
judicial.

en este documento incluyendo los formatos utilizados para registrar los
diferentes tipos de atencin se encuentra descrito en la Norma Tcnica de
Historias Clnicas (MINSA, 2005) teniendo en cuenta el cumplimiento de lo
requerido por la Ley de Proteccin de Datos Personales. Esta Ley fue publicada
por el Ministerio de Salud quien adems da libertad a las instituciones bajo su
jurisdiccin a agregar datos adicionales y modificar el formato de dichos
documentos.
Dicha norma adicionalmente contiene una serie de directivas que

establecen las consideraciones que las instituciones deben tener en cuenta para
el manejo de las Historias Clnicas de sus pacientes, entre las cuales podemos
resaltar aquellas referentes a la custodia, entrega de copias e informacin,
almacenamiento y depuracin de las mismas que son de mucho inters en el
desarrollo del presente proyecto.
Mediante Resolucin Ministerial N 004-2016-PCM, del 8 de enero de 2016,

se aprueba el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC
27001:2014 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistema de
Gestin de Seguridad de la Informacin. Requisitos. 2a Edicin, en todas las
entidades integrantes del Sistema Nacional de Informtica. Referida norma
70
proporciona los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestin de Seguridad de la Informacin (SGSI).
Adems, la promulgacin de la Ley de Proteccin de Datos Personales

modifica el escenario sobre el cual debe realizarse la implementacin ya
comentada, debindose adems asegurar el cumplimiento de lo estipulado por
dicha ley. Se debe tener en cuenta que el activo de informacin ms importante
que maneja una entidad prestadora de servicios de salud es la Historia Clnica,
la cual contiene tanto informacin personal como sensible de los pacientes que
debe ser resguardada y utilizada bajo el consentimiento de los mismos.
Haciendo un anlisis de la situacin presentada, podemos observar que

el principal agente impulsor del cambio es el Cumplimiento Normativo aplicado
a las nuevas leyes promulgadas, lo cual conlleva a una mejora en la atencin del
cliente final dado que su informacin ser resguardada, evitando filtraciones o
prdidas que puedan impactar negativamente su atencin o intereses
personales.
Segn el cronograma establecido para la implementacin de la Norma

Tcnica Peruana NTP ISO/IEC 27001:2014, las instituciones tendrn un plazo
mximo de dos (2) aos para la implementacin y/o adecuacin de la presente
norma.
Dichas entidades pblicas tendrn un plazo de 60 das contados a partir

de la fecha de publicacin de la presente norma, para la presentacin del
cronograma de implementacin y/o adecuacin del sistema de gestin de la
Seguridad de la Informacin, que deber ser presentado a la Oficina Nacional de
Gobierno Electrnico e Informtica (ONGEI) de la Presidencia del Consejo de
Ministros.
71
Proyecto de implementacin del SGSI
Base Legal
Mediante Resolucin Ministerial N 004-2016-PCM, del 8 de enero de 2016,

se aprueba el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC
27001:2014 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistema de
Gestin de Seguridad de la Informacin. Requisitos. 2a Edicin, en todas las
entidades integrantes del Sistema Nacional de Informtica.
NTP ISO/IEC 27001:2014
Proporciona los requisitos para establecer, implementar, mantener y mejorar

continuamente un Sistema de Gestin de Seguridad de la Informacin (SGSI).
Sistema De Gestin De Seguridad De La Informacin
Un Sistema de Gestin de Seguridad de la Informacin es un enfoque

sistemtico para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la informacin de una organizacin para conseguir los
objetivos de negocio.
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la

Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestin de la calidad.
Figura 13. Ciclo Deming Fuente: Elaboracin propia
72
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI
Entregables del proyecto
Durante el proyecto de implementacin del SGSI, los entregables del

proyecto estarn clasificados en:
Alcance del SGSI
Alcance Organizacional
En la actualidad en nuestro sistema de salud pblica los largos tiempos de

espera para conseguir una cita mdica o para programar una ciruga hacen que
se aglomeren muchos pacientes, estas atenciones son realizadas en ambientes
en los cuales se dificulta el control sobre el pblico entre los cuales tenemos
trabajadores, pacientes, visitas, siendo difcil el control de cada uno de estos
grupos. El hospital San Juan de Lurigancho no es la excepcin, siendo los
servicios ms caticos el Servicio de Admisin y Consultorios Externos.
Las funciones de las reas involucradas en este servicio son los siguientes:
Servicio de Admisin
Cada centro de asistencia mdica, clnica u hospital disponen de un rea

que se dedica especialmente al ingreso de los pacientes. Se la conoce
popularmente como admisin y su meta es organizar, regular y monitorear los
ingresos de pacientes que ya estn programados y que por ejemplo sern
intervenidos quirrgicamente, que se realizarn alguna prctica tambin se
encarga de la elaboracin, mantenimiento, custodia, archivo, entrega y recepcin
73
de las Historias Clnicas de las pacientes que siguen tratamiento en los diferentes
servicios.
Consultorios Externos
Consultorios dedicados a la atencin ambulatoria de las pacientes en

diferentes especialidades. Entre ellos tenemos: medicina preventiva, vacunas,
psicologa y ginecologa.
Por lo expuesto en este proyecto, se identifica que la historia clnica es el

activo de la informacin ms importante en los procesos hospitalarios. Este
documento se ve expuesto a distintos riesgos, entre los cuales influye la ya
mencionada cantidad de personal que se encuentra en el rea cercana a
Admisin, as como el poco control especfico para el manejo de dicha
informacin. Por este motivo se ha establecido realizar el anlisis y diseo sobre
los procesos ms crticos de dicha rea relacionados a la gestin de Historias
Clnicas.
Alcance en Tecnologas de Informacin
El servicio de admisin del hospital San Juan de Lurigancho cuenta con

un programa de gestin de citas, el cual selecciona el servicio para el que se
desea la cita, escoge el da y hora, rellena los datos personales y confirma la
reserva de la cita. Este programa genera un nmero correlativo a cada paciente
nuevo y procede a imprimir la ficha FUA.
El manejo de estas ficha FUA que se encuentra contenida en la historia

clnica es manual, el traslado a los diferentes consultorios, archivamiento y
custodia.
Al analizar los procesos, se puede evidenciar que las informaciones

contenidas en las Historias Clnicas de los pacientes son utilizadas en diferentes
ambientes, saliendo continuamente del archivo hacia los consultorios, as como
generndose copias ya sean simples o legalizadas para su entrega a los
pacientes, apoderados o personal perteneciente a la polica o personal judicial
que as lo requiera.
74
La responsabilidad principal por la seguridad de estos documentos es del
personal del rea de Archivo y Admisin reas que se encuentran en la misma
locacin fsica rea con la que se realizar la identificacin de activos de
informacin y el anlisis de riesgo necesarios para poder establecer los controles
requeridos para garantizar la seguridad de la informacin en ambos procesos de
negocio.
Poltica de Seguridad de la Informacin
La norma ISO 27001 requiere que la Poltica de gestin de la seguridad

de la informacin (SGSI), al ser el documento ms importante, contenga lo
siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes
requisitos y obligaciones, la alineacin con la realidad de la organizacin
respecto de la gestin estratgica del riesgo y el establecimiento de criterios de
evaluacin.
Una vez establecido el alcance para el desarrollo del Sistema de Gestin

de Seguridad de la Informacin, el establecimiento de una Poltica de Seguridad
de la Informacin es de vital importancia dado que especifica los lineamientos
generales de seguridad que deben ser cumplidos en la organizacin los cuales
deben ir alineados a los objetivos del negocio adems de los objetivos que se
busca alcanzar respecto a la seguridad de la informacin en los mbitos
definidos en el alcance y aprobados por la Alta Direccin.
Objetivos de seguridad de la informacin en el hospital San Juan de

Lurigancho
-Brindar una atencin de calidad a las pacientes, garantizando que se apliquen

los controles necesarios para asegurar su informacin.
-Cumplir con las normas legales en cuanto a la proteccin de la informacin de

los pacientes.
75
-Establecer y monitorear un Sistema de Gestin de Seguridad de la Informacin
que identifique los riesgos a los que se expone la informacin en el hospital San
Juan de Lurigancho y pueda definir controles para los mismos.
-Concienciar al personal sobre la importancia del SGSI, as como su

responsabilidad sobre el cumplimiento de lo dispuesto por el SGSI.
Metodologa de Anlisis de Riesgos
El anlisis de riesgos es la herramienta a travs de la cual se puede

obtener una visin clara y priorizada de los riesgos a los que se enfrenta una
entidad, tiene como propsito identificar los principales riesgos a los que una
entidad est expuesta, ya sean desastres naturales, fallos en infraestructura o
riesgos introducidos por el propio personal. En este sentido pretende identificar
los riesgos ms significativos que pueden afectar a la operativa de la entidad y
priorizar medidas a implantar para minimizar la probabilidad de materializacin
de dichos riesgos o el impacto en caso de materializarse.
La metodologa de riesgos a usar es la Norma ISO 31000(2009), es una

norma global que proporciona principios y directrices genricas para la
implantacin de un sistema de gestin compatible con los estndares de gestin
de riesgos de cualquier sector. Esta norma internacional establece un conjunto
de principios que se deben satisfacer para que la gestin del riesgo sea eficaz.
Recomienda que las organizaciones desarrollen, implementen y mejoren de
manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de
gestin del riesgo en los procesos de gobierno, de estrategia y de planificacin,
de gestin, y de elaboracin de informes, as como en las polticas, los valores y
en la cultura de toda la organizacin.
La gestin de riesgos en el hospital San Juan de Lurigancho es requerido

para el cumplimiento de la implementacin de un SGSI que sea efectivo en el
control de la informacin que se transmite a travs de los procesos de negocio
de la institucin, siendo responsabilidad de la entidad institucional creada con la
finalidad de mantener la gestin de la seguridad de la informacin siguiendo los
lineamientos de la implementacin de la ISO 27001(2014), esta entidad debera
76
ser constituida como Comit de Seguridad de la Informacin teniendo adems
la responsabilidad de realizar un seguimiento de los riesgos y controles
establecidos como parte del sistema de seguridad dado que los cambios de
diferentes factores organizacionales, creacin de nuevos servicios, cambios de
personas.
Para la clasificacin y valoracin de los riesgos, en el presente proyecto se ha

optado por definir una matriz de calor.
PROBABILIDAD CRITERIO APLICADOS
Baja Regularidad de la incidencia baja (un evento cada 2 aos a ms).
Media Regularidad de la incidencia media (un evento cada 1 a 2 aos).
Alta Regularidad de la incidencia mensual.
Muy Alta Regularidad de la incidencia semana, certeza muy alta de que ocurrir dicho
evento.
Cuadro 6. Criterio de probabilidad Fuente: elaboracin propia
Para el uso de la presente categorizacin, se deber tener en cuenta la

probabilidad de ocurrencia, teniendo como gua el tiempo que ejemplifica a cada
una de las clases establecidas.
77
SEVERIDAD CONSECUENCIAS PREVISIBLES
Insignificante La informacin afectada es de dominio pblico o con una baja

importancia, como por ejemplo las citas generadas, o las recetas
mdicas.
Leve La informacin afectada tiene un impacto bajo en la atencin del

paciente, afectando el tiempo de atencin del mismo pero no
limitndolo.
Grave La informacin afectada afecta la atencin de los pacientes,

paralizando el servicio por mximo 1 da.
Muy Grave La informacin afectada impacta en un nivel alto el servicio,

paralizndolo por una semana. Incluye tambin la filtracin o prdida
de informacin personal.
Cuadro 7. Criterio de impacto Fuente: elaboracin propia
Para el uso del presente criterio, se deber tener en cuenta qu tanto afecta las
operaciones del servicio la materializacin de una amenaza, adems de la
informacin que pueda verse comprometida como consecuencia de la misma.
Matriz de calor
Los criterios que se han definido se utilizan en conjunto para conformar la matriz
de calor sobre la que se realizar la valoracin de los riesgos identificados en el
anlisis. A continuacin, se presenta la matriz de calor generada en base a
dichos criterios.
SEVERIDAD
Insignificante Leve Grave Muy Grave
Riesgo Riesgo Riesgo

Baja Riesgo Trivial
Moderado Moderado Moderado

Media Riesgo Trivial
Moderado Moderado Importante
PROBABILIDAD
Alta Riesgo Trivial
Moderado Importante Intolerable
Muy Riesgo Riesgo Riesgo Riesgo

Alta Moderado Importante Intolerable Intolerable
Cuadro 8. Matriz de calor Fuente: elaboracin propia
78
Nivel de Riesgo
Cuando el nivel de riesgos es alto, se debe de implantar inmediatamente

acciones para reducir la posibilidad de materializacin o el impacto que puede
considerar en el criterio de costo beneficio. Para poder determinar las acciones
ms apropiadas que minimicen o eliminen los riesgos, se debe considerar el nivel
del riesgo encontrado, si es alto, medio o bajo, para darle el tratamiento
adecuado. El hospital San Juan de Lurigancho posee algunos controles ya
establecidos para el control de riesgos, por lo cual se debe central en controlar
los riesgos de nivel Alto y Critico.
Riesgo Residual
Estos son los riesgos que permanecen despus de la planificacin de la

respuesta a los riesgos. Los riesgos residuales han sido aceptados para que se
puedan crear los planes de contingencia y los planes alternativos. Deben ser
documentados apropiadamente y revisados a lo largo del proyecto para ver si su
clasificacin ha cambiado.
Son aquellos, generalmente pequeos, que aparecen despus de que se

hayan tomado las acciones de eliminacin, transferencia y mitigacin previstas.
Tambin se incluyen aqu riesgos menores que han sido aceptados e
identificados, generalmente con cargo a la contingencia
Riesgos Segundarios
El anlisis de los nuevos riesgos creados mediante la implementacin de

las estrategias de respuesta a los riesgos seleccionados debe ser parte de la
planificacin de la respuesta a los riesgos.
Son los riesgos que aparecen como consecuencia de la aplicacin de

medidas de respuesta a la aparicin de riesgos. Estos riesgos secundarios
79
deben ser identificados y su respuesta debe ser analizada de la misma manera
que los riesgos primarios.
Identificacin de activos
El primer paso en la gestin de los riesgos es la definicin del alcance que

tendr el estudio. En este paso se definen los lmites del sistema en estudio a la
vez que se detallan los recursos y la informacin que constituyen el sistema, que
se denominarn activos de informacin, algo esencial para posteriormente definir
el riesgo. Desde ya, es necesario un amplio conocimiento del ambiente en
cuestin.
El proceso de identificacin de los activos de informacin se debe realizar

en conjunto con el personal que cuente con el mayor conocimiento de los
procesos de negocio del alcance, as como de los recursos que stos requieren
para realizar sus funciones. Es una buena prctica que se establezca una escala
cuantitativa que mida el nivel en que una prdida o falla en el activo motivo del
estudio afecte alguno de los pilares previamente descritos.
Segn la clasificacin que se encuentra en la norma ISO 17799:2005 se

observa que las clasificaciones de los activos de informacin pueden ser de los
siguientes tipos: datos, documentos impresos, software, activos fsicos como
computadoras o archivos de documentos fsicos y personal. Sin embargo, el
caso especfico del Hospital San Juan de Lurigancho, entidad prestadora de
servicios de salud, requiere que se tenga en cuenta algunas consideraciones
especiales que se alineen a las necesidades de este tipo de entidades. De este
modo se tendr en cuenta lo recomendado en la ISO 27799(2008), que aplica el
Cdigo de buenas prcticas establecido por la ISO/IEC 27002 sobre el escenario
de entidades dedicadas a brindar servicios de este tipo, de esta manera la
metodologa asociada al reconocimiento de stos activos de informacin debe
realizarse teniendo en cuenta que estas entidades deben cumplir con:
80
Establecer reglas documentadas para el uso aceptable de la informacin
de salud. Sobre ste ltimo punto se determinan varias directivas en la Norma
tcnica de Historias Clnicas MINSA (2005) y en la Ley de Proteccin de Datos
Personales (CONGRESO DE LA REPBLICA, 2011).
Activos Primordiales, definidos como todos aquellos que participan directamente

en el flujo de informacin de los procesos del alcance y que contienen
informacin.
Se debe tener en cuenta durante el proceso de identificacin de activos

de informacin que estos no son exclusivamente sistemas de informacin o
informacin digitalizada, para el presente caso de estudio se considera activo de
informacin y cabe destacar que sera el ms crtico el documento denominado
Historia Clnica.
Valorizacin de Activos
Como siguiente paso en la metodologa despus de haber identificado los

activos que participan en los procesos de negocio se debe realizar una
valoracin de los mismos de manera que se establezca aquellos que tienen una
mayor importancia y, por ende, deben ser protegidos.
En el desarrollo del anlisis para el diseo del SGSI para el Hospital San
Juan de Lurigancho, se utilizar la escala de Likert (donde 1 es muy poco y 4
es muy alto), se utilizar la siguiente tabla como formato del inventario de
activos de informacin.
Valor en escala Likert Descripcin de la valoracin
1 La informacin no presenta riesgo para la institucin.
2 La informacin es de uso de la institucin pero su filtracin no presenta

riesgo
3 La informacin es de ndole privada y reservada.
4 La informacin de sensible y muy reservada.
Cuadro 9. Escala de la valoracin Fuente: elaboracin propia
81
Nro. Procesos Identificacin del Descripcin del Clasificacin Lugar Valoracin
Activo Activo del Activos del del Activo
Activo
001 Servicio Sistema de Utilizado para la Activo Admisin 4

de Admisin y emisin de citas y fundamental
Admisin Documentacin elaboracin
Clnica numrica de
historia clnicas.
002 Servicio Archivo de Utilizado para Activo Archivo 4

de Historias guardar fundamental
Admisin Clnicas (fsico) fsicamente la
Historias Clnicas.
003 Servicio Archivo de Utilizado para Activo Archivo 3

de Historias guardar fundamental
Admisin Clnicas y hoja fsicamente la
de referencia Historias Clnicas
(fsico) contenidas las
hojas de
referencias.
004 Servicio Cita Medica Documento que Activo no paciente 2

de comprueba una fundamental
Admisin atencin
programada de los
pacientes en
consultorios
externos.
Cuadro 10. Matriz de inventario de Activos de Informacin Fuente: elaboracin

propia
Identificacin y anlisis de riesgos
Luego de haber realizado la identificacin de los activos, as como su valoracin

para determinar su criticidad, se procede a realizar el anlisis de riesgos sobre
las actividades que se identificaron en el modelado de procesos del alcance del
proyecto.
Haciendo uso de la metodologa de Anlisis de Riesgos se realiza una revisin

de los riesgos a los que dichas actividades se encuentran expuestas,
determinando los factores que originan el riesgo, sus consecuencias y la
82
evaluacin del mismo que nos permitir definir si se proceder a tratar o se
aceptar como parte del nivel del riesgo de la institucin.
Matriz de Anlisis de Nivel de Impacto

Riesgo
Sucesos fsicos Negligencia Criminalidad
Elemento de Magnitud Falta de Compartir

Desorden Robo
Informacin de Dao corriente contrasea
1 2 3 4
Sistema
4 4 8 12 16
informtico
Historia clnica 3 3 6 9 12
Hoja de
2 2 4 6 8
Referencia
Cita Medica 1 1 2 3 4
Cuadro 11. Matriz de riesgos del hospital Fuente: elaboracin propia
Bajo Riesgo = 1 6 (verde)
Medio Riesgo = 8 9 (amarillo)
Alto Riesgo = 12 16 (rojo)
Dependiendo del color de cada celda, podemos sacar conclusiones no

solo sobre el nivel de riesgo que corre cada elemento de informacin de sufrir un
dao significativo, causado por una amenaza, sino tambin sobre las medidas
de proteccin necesarias.
83
Digitalizacin de la Historias Clnicas
La obligacin normativa que especifica que las Historias Clnicas de los

pacientes deben estar almacenadas en formato fsico dado que son documentos
legales no excluye que dichos documentos puedan ser digitalizados. Iniciar un
proyecto de digitalizacin de estos documentos enfocndose en el archivo activo
de la institucin permitir que se cuente con un respaldo de la informacin de las
mismas que podra ser utilizado en las actividades asistenciales ms no en
cuestiones legales.
Los establecimientos de salud podrn optar por el uso de la Historia

Clnica Informatizada, debiendo sujetarse a la presente norma.
El uso de soportes informticos, pticos o de cualquier otra naturaleza

tecnolgica para uso de la Historia Clnica, deber contar con las garantas que
aseguren su autenticidad, integridad y conservacin indefinida.
El Sistema de Historia Clnica Informatizada antes de su implementacin

deber estar acreditado por las Direcciones Regionales de Salud
correspondientes
El diseo, desarrollo e implementacin de la Historia Clnica

informatizada, debe tener en consideracin el uso de los datos, procesos y
metodologas estandarizadas a travs de la Oficina de Estadstica e Informtica
del MINSA ( Directiva 001-2002 OEI y Resolucin Ministerial 608-2002-SA/DM
del 27 de diciembre del 2002)
Obtencin de copias en formato documental y/o digital
La obtencin de las copias, en formato documental o digital, se puede

hacer por medias de diferentes medios. Los ms habituales son:
Digitalizacin de las imgenes por medio de escneres, atreves de

cmaras digitales de forma directa.
84
Una vez obtenido la imagen o documento, es necesario realizar un tratamiento
de esta utilizando el ms adecuado a las necesidades particulares de cada
usuario. Este proceso puede incluir cambios la resolucin de la imgenes,
tamao, aplicaciones de filtros artsticos, as como obtencin de algunas de la
partes de la imagen o documento.
Nuance AutoStore
AutoStore (2016), Es una aplicacin basada en servidor que coordina la

captura y entrega segura en las aplicaciones empresariales de documentos
impresos y electrnicos. Se adapta bien a una organizacin de cualquier tamao
que desee eliminar la gestin manual de documentos, tan propensa a errores y
prdidas. AutoStore puede automatizar los procesos empresariales basados en
documentos, lo que permite reducir los costes, mejorar la colaboracin,
comunicacin y eficiencia de las operaciones, y apoyar el cumplimiento de la ley.
AutoStore utiliza la infraestructura actual y captura informacin a partir de

perifricos multifuncin, telfonos inteligentes, correos electrnicos, servidores
de fax, carpetas compartidas y pblicas, sitios FTP, aplicaciones de Microsoft
Office, ordenadores, secuencias de datos XML y otros orgenes. A continuacin,
la informacin capturada se procesa en funcin del flujo de trabajo
predeterminado de la organizacin. Las imgenes digitalizadas se mejoran para
que sean ms legibles, el texto puede convertirse en informacin electrnica
modificable. Todo ello da como resultado una informacin con mayor contenido
que puede ser recuperada ms adelante.
Una vez finalizado el procesamiento, los documentos y las palabras clave

que los describen se distribuyen a cualquier cantidad de destinos. Estos pueden
ser nmeros de fax, direcciones de correo electrnico, sistemas de gestin
documental (DMS), sitios FTP, carpetas de red seguras o incluso varios destinos
simultneos. Todo esto se realiza cmodamente con solo tocar un botn en el
panel frontal del dispositivo; con eso basta. El flujo de trabajo tiene lugar de forma
inmediata y garantiza que la informacin se enva donde desea el usuario, y
siempre de forma rpida y precisa.
85
Todo esto es posible gracias a los flujos de trabajo y los paneles de men de
personalizables de AutoStore. Con la ayuda de AutoStore Process Designer, los
flujos de trabajo se pueden configurar previamente y guardar con el fin de reducir
el nmero de pasos que el usuario final debe realizar manualmente. Esta funcin,
sencilla y fcil de utilizar, elimina procesos manuales, lo que permite reducir los
errores del usuario y da como resultado un procesamiento eficiente y preciso de
los documentos.
Procedimiento
Capturar
Rene los flujos de documentos electrnicos e impresos en un proceso

uniforme. Capture documentos tanto electrnicos como impresos a partir de
prcticamente cualquier fuente, sea un PC o Mac, un escner de red MFP o
MFD, una fotocopiadora o incluso su telfono inteligente. AutoStore funciona con
las principales fotocopiadoras, telfonos inteligentes, escneres y MFP, siempre
de la misma manera en todas las plataformas. Con AutoStore, cambiar o aadir
un dispositivo nuevo es tan fcil como enchufarlo a la red.
Capture informacin:
Perifricos multifuncin (MFP)
Telfonos inteligentes
Fotocopiadoras
Escneres
Aplicaciones de Microsoft Office
Clientes de correo electrnico
Bandeja de entrada de correo electrnico
Directorio (en red o local)
Servidores de fax
Carpetas locales o remotas
86
Sitios FTP (seguros e inseguros)
Procesar
Procese todo tipo de documentos, incluidas las imgenes y los formularios, y

convirtalos a una gran variedad de formatos, como texto, PDF de Adobe con
capacidad de bsqueda o Microsoft Word. Las sencillas caractersticas de
mejora de imgenes permiten una mayor calidad del documento. Procese los
documentos mediante OCR, cdigos de barras, gestin de la imagen, servicios
documentales y conversin de documentos para aportar mayor inteligencia a la
red.
Procesamiento mediante:
Reconocimiento de texto completo
Reconocimiento de texto por zonas
Reconocimiento de caracteres en letra de imprenta (ICR)
Reconocimiento de formularios (estructurados o semiestructurados)
Reconocimiento ptico de marcas (OMR)
Limpieza de imgenes
Compresin MRC de PDF
Reconocimiento de cdigos de barras (lineales y bidimensionales)
Numeracin secuencial (sellado Bates)
Cifrado y descifrado
Superposicin de formularios
Informes
Notificacin automatizada por correo electrnico
Encaminar
Una empresa en tiempo real consiste en utilizar la informacin ms reciente,

eliminar los retrasos y aprovechar la velocidad para conseguir una ventaja
competitiva. Enve los documentos de forma instantnea a uno o varios destinos,
87
como ordenadores, aplicaciones para fax, aplicaciones empresariales,
direcciones de correo electrnico, sitios FTP, archivos y carpetas de red, as
como sistemas de gestin documental.
Encaminar la informacin:
Carpetas de red
Correo electrnico
Servidores de fax
Impresoras
Bases de datos compatibles con ODBC
Enviar a sitios HTTP
Sitios FTP seguros
Enviar a sitios XML y WebDAV
Sistemas de gestin documental y servicios en la nube de proveedores como

Microsoft, Google, EMC, OpenText, FileNet, Interwoven, IBM, Docuware.
Caractersticas de seguridad:
Autenticacin (Common Access Card, Windows, Active Directory, LDAP)
Acceso de red restringido
Validacin de los correos electrnicos o faxes salientes
Filtrado de los faxes salientes
Censura de la informacin confidencial
Requisitos del sistema:
Hardware
Un equipo con sistema operativo (SO) Microsoft Windows y un procesador de 2

GHz como mnimo
Se necesita como mnimo 2 GB de RAM, pero se recomienda 4 GB o ms
10 GB como mnimo de espacio libre en el disco duro
88
Tarjeta NIC
Sistema operativo
Sistemas operativos Microsoft Windows compatibles:
Windows Server 2012 R2: Standard y Datacenter.
Windows Server 2012: Standard y Datacenter, con el Service Pack ms

reciente.
Windows Server 2008 R2: Standard, Enterprise y Datacenter, con el Service

Pack ms reciente.
Windows Server 2008 (de 32 y 64 bits): Standard, Enterprise y Datacenter, con

el Service Pack ms reciente.
Windows 8 u 8.1 (de 32 o 64 bits): Pro y Enterprise.
Windows 7 (de 32 o 64 bits): Professional, Ultimate y Enterprise, con el Service

Pack ms reciente.
Windows 10
Software adicional:
Microsoft .NET Framework 3.5
Precio de la licencia
El producto como el mantenimiento de dispositivos de licencia por un ao precio

en dlares sin IGV: $1,530.00 por dispositivo.
Do: Implementar y utilizar el SGSI
Plan de tratamiento de riesgos
ISO 31000. (2009). Estndar internacional que establece una gua general
sin establecer medidas especficas para algn tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genrica en cualquier tipo de organizacin.
89
En su calidad de ser una gua generalizada de gestin de riesgo, puede ser
aplicable a una gran cantidad de escenarios en diferentes organizaciones. Al
igual que la norma ISO 27005, ste estndar sigue el ciclo de Deming (Plan-Do-
Check-Act) como metodologa de anlisis de riesgos.
Con la etapa de tratamiento de riesgos se establece e implementan las

acciones a tomar para mitigar los riesgos encontrados y lograr riesgos residuales
aceptables por la organizacin, dentro de las acciones a tomar encontramos
principalmente: reducir, aceptar, eliminar y transferir Como parte del tratamiento
se definen las posibles acciones a seguir sobre los riesgos y se establece un
plan de tratamiento segn la priorizacin previa que se realiz. Este plan debe
definir recursos, responsabilidades y actividades teniendo en cuenta las posibles
restricciones a nivel econmico, legal, temporal, tcnico, operativo, poltico,
cultural y las dems que sean determinadas. Los controles que sean
recomendados deben incluir un anlisis costo-beneficio (incluyendo costos de
implementacin y mantenimiento).
El plan debe ser documentado y finalmente definidas las polticas a seguir.

Con la definicin de polticas se establece los lineamientos base y se logra
ejercer la lnea de mando el don de mando requerida para cumplir con las
definiciones de seguridad indicadas con anterioridad.
Check: Monitorizar y revisar el SGSI
La organizacin deber:
Ejecutar procedimientos de monitorizacin y revisin para:
detectar a tiempo los errores en los resultados generados por el

procesamiento de la informacin.
identificar brechas e incidentes de seguridad.
ayudar a la direccin a determinar si las actividades desarrolladas por las

personas y dispositivos tecnolgicos para garantizar la seguridad de la
informacin se desarrollan en relacin a lo previsto.
detectar y prevenir eventos e incidentes de seguridad mediante el uso de

indicadores.
90
determinar si las acciones realizadas para resolver brechas de seguridad
fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento

de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad,
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de

riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los
posibles cambios que hayan podido producirse en la organizacin, la tecnologa,
los objetivos y procesos de negocio, las amenazas identificadas, la efectividad
de los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales.
Realizar peridicamente auditoras internas del SGSI en intervalos

planificados para determinar si los controles, procesos y procedimientos del
SGSI mantienen la conformidad con los requisitos de ISO 27001:2014, el entorno
legal y los requisitos y objetivos de seguridad de la organizacin, estn
implementados y mantenidos con eficacia y tienen el rendimiento esperado.
Revisar el SGSI por parte de la direccin peridicamente para garantizar

que el alcance definido sigue siendo las adecuadas y posibles mejoras en el
proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la
informacin.
Actualizar los planes de seguridad en funcin de las conclusiones y

nuevos hallazgos encontrados durante las actividades de monitorizacin y
revisin.
91
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organizacin deber regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas para prevenir

potenciales no conformidades antes de que se produzcan y solucionar no
conformidades detectadas y materializadas. En relacin a la clusula 8 de ISO
27001:2014 y a las lecciones aprendidas de las experiencias propias y de otras
organizaciones.
Comunicar las acciones y mejoras a todas las partes interesadas con el

nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos:

la eficacia de cualquier accin, medida o cambio debe comprobarse siempre.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act
lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Tngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo
cuando otras de planificacin an no han finalizado; o que se monitoricen
controles que an no estn implantados en su totalidad
4.2 Objetivos de la propuesta

El proyecto presentado tiene como alcance realizar el Anlisis y Diseo
de un Sistema de Seguridad de la Informacin utilizando para ello la Norma
ISO/IEC 27001:2014 teniendo en cuenta el cumplimiento de lo requerido por la
Ley de Proteccin de Datos Personales. A continuacin se detallan los
principales objetivos alcanzar con la implementacin de esta solucin
tecnolgica.
92
Establecimiento y difusin de la Poltica General de Seguridad de la
Informacin del Hospital San Juan de Lurigancho (H.S.J.L).
Mejora en la organizacin para la gestin de la seguridad de la informacin

en el H.S.J.L (Comit de Gestin de Seguridad de la Informacin, Comit
Operativo de Seguridad de la Informacin, Oficial de Seguridad de la
Informacin, Facilitadores).
Concientizacin a los colaboradores del H.S.J.L en seguridad de la

informacin.
Gestin y mitigacin de riesgos de seguridad de la informacin.
Clasificacin de la informacin para asegurar que la informacin recibe un

nivel apropiado de proteccin en concordancia con su importancia para el
H.S.J.L.
Mejoras en el control de acceso para limitar el acceso a la informacin y a

las instalaciones de procesamiento de informacin.
Mejoras en la gestin de acceso de usuarios autorizados y prevenir el acceso

no autorizado a los sistemas y servicios.
Mejoras en el control de accesos a las instalaciones de procesamiento de la

informacin.
Incrementar los niveles de prevencin para evitar la prdida, dao, robo de

equipos e interrupcin de operaciones.
Mejoras en el establecimiento e implementacin de procedimientos que

permitan asegurar que el procesamiento de la informacin sea correcto y seguro.
Garantizar que la seguridad de la informacin es una parte integral de los

sistemas de informacin que se desarrollan.
Mejora en la gestin de incidentes de seguridad de la informacin.
93
Asegurar la continuidad de los servicios de Tecnologas de la Informacin del
H.S.J.L (Plan de Continuidad de Negocio).
94
4.3 Estructura y plan de accin de la Propuesta
CRONOGRAMA DE IMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
(RESOLUCIN MINISTERIAL N 04-2016-PCM)

M arz o A b r il M a yo J u n io J u lio A g o s to
A c t iv id a d e s S a lid a s S e m an as S e m an as S e m an as S e m an as S e m an as S e m an as
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
1. D e s c r ip c i n b re ve
C o m p r e n s i n d e la in s t it u c i n y
d e la o r g a n iz a c i n . X X
c la r if ic a c i n d e o b je t iv o s .
2 . L is t a d e la s p a r t e s
R e v is i n / D e f in ic i n d e l a lc a n c e d e l
1 . m b it o d e a p lic a c i n X X
S G S I.
d o c u m e n ta d o d e l
C o n s t it u c i n del C o m it de
G e s t i n de S e g u r id a d de la 1 . - C o m it d e G e s t i n X X
In f o r m a c i n ( C G S I) . de S e g u r id a d d e la
In f o r m a c i n ( C G S I)
E l a b o r a c i n d e l a p o l t i c a g e n e r a l
1 . P o l t i c a d e s e g u r i d a d
d e s e g u r id a d d e la in f o r m a c i n y
de la in f o r m a c i n y X
d e lo s o b je t iv o s d e s e g u r id a d d e la
o b je t iv o s d e s e g u r id a d
in f o r m a c i n .
d e la in f o r m a c i n .
A n lis is , e v a lu a c i n y
X X X X
tr a t a m ie n to d e r ie s g o s .
1 . D e c la r a c i n de
D e c la r a c i n de a p lic a b ilid a d y
a p lic a b ilid a d .
d e c is i n d e la A lt a D ir e c c i n p a r a X
a p l i c a r e l S G S I.
1 .D o c u m e n to de
D e f in ic i n de la e s t r u c t u r a o r g a n iz a c i n de
o r g a n iz a t iv a de s e g u r id a d de la s e g u r id a d de la X
in f o r m a c i n . in f o r m a c i n y de
p r o t e c c i n d e d a t o s
1 . P r o c e d im ie n t o de
D e f in ic i n d e l p r o c e s o d e g e s t i n c o n t r o l de
X
d e d o c u m e n to s . d o c u m e n to s y de
r e g is t r o s .
D is e o d e c o n tr o le s d e
s e g u r id a d y e la b o r a c i n d e
X X X X X
p o ltic a s y p r o c e d im ie n t o s
1 . D e s c r ip c i n d e lo s
e s p e c f ic o s .
p ro c e s o s y c o n t r o le s
E la b o r a r P o ltic a s d e d e s e g u r id a d .
P r o t e c c i n d e D a to s
P e r s o n a le s
1 . - P la n d e C o n t in u id a d
E la b o r a c i n d e l P la n d e In f o r m t i c o .
X X X
C o n t in u id a d . 2 . - R e g is t r o s de
p ru e b a s .
P la n d e c o m u n ic a c i n X
95
Plan de capacitacin y 1.Plan de capacitacin
X
sensibilizacin. y sensibilizacin.
1.Procesos y
Implementacin de controles de
controles de X*
seguridad.
seguridad que estn
1.Procesos y
Gestin de incidentes procedimientos de X X
gestin de incidentes.
1.Procesos y
Gestin de operaciones controles de X
seguridad
Medicin, supervisin y evaluacin
X
del SGSI
1. Indicadores.
1.Programa de
Auditora interna auditora. X
1. Objetivos y polticas
Revisin por la direccin actualizadas. X X
2. Aprobacin de los
Tratamiento de problemas y No
1.Procedimiento de X*
Conformidades.
acciones correctivas.
1.La continua
Mejora continua pertinencia del SGSI X*
con los objetivos de
1.Certificacin ISO
Certificacin X X
27001.
Cuadro 12. Cronograma De Implementacin Del Sistema De Gestin De Seguridad De La Informacin Fuente: elaboracin
propia
96
4.4 Viabilidad de la propuesta
Costos de implementacin
Costes relacionados con los cambios organizacionales.
Necesidad de elevar la concienciacin de la organizacin (personal y directivo),

adaptacin/racionalizacin de las normas, procedimientos, prcticas vigentes de
seguridad de la informacin.
Costes de diseo & desarrollo
Revisin y actualizacin de las normas, directrices, procedimientos vigentes de

seguridad de la informacin. Preparacin de las nuevas normas, directrices,
procedimientos de seguridad de informacin.
Costes de la implementacin
Los costos nicos iniciales para actualizar y/o complementar diversos controles
existentes para cumplir con la norma. Costes de concienciacin y formacin.
Costo
Esta Implementacin durar 6 meses por se realizara por 2 expertos (6.000.00

soles sueldo promedio en el mercado) = 70.000.00 soles
Costos de Auditara interna
Es una actividad independiente y objetiva de aseguramiento y consulta

concebida para agregar valor y mejorar las operaciones de una organizacin.
Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque
sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de
gestin de riesgos, control y gobierno.
Costo
Auditora interna: S/.11,500.00 soles / una semana
97
Costos de Auditora externa para la certificacin
Visitas de pre certificacin y de certificacin iniciales por entidades de

certificacin acreditadas por la norma ISO/IEC 27001.
Costo
Auditora externa para la certificacin: 25, 000.00 soles
COSTO APROXIMADO HASTA LOGRAR LA CERTIFICACIN
TEM RECURSOS/ACTIVIDADES CANTIDAD COSTO

PRINCIPALES /TIEMPO APROXIMADO
1 Personal encargado de la 2 colaboradores / S/. 70 000

implementacin. 6 meses
2 Auditora Interna 1 Auditora / Una S/. 11 500

semana
3 Auditora Externa de 1 Auditora / Dos S/. 25 000

Certificacin semanas
TOTAL S/. 106 500
Cuadro 13: costos de la implementacin Fuente: elaboracin propia
Ventajas econmicas de tener implementado la NTP ISO IEC 27001.
La certificacin del SGSI contribuye a mejorar la competitividad en el

mercado, diferenciando a las organizaciones que lo han conseguido hacindolas
ms fiables e incrementando su prestigio.
Adems de las ventajas mencionadas, tambin podemos mencionar entre otras:
Una de las actividades en el proceso de implementacin del SGSI es realizar

el inventario de activos (informacin, hardware, software, sistemas, personal,
infraestructura, telecomunicacin); por lo que la organizacin puede conocer el
estado de dichos activos.
98
Reduccin de los costos vinculados a los incidentes.
El incremento de los niveles de confianza de clientes.
El aumento del valor comercial y mejora de la imagen de la organizacin.
Podras recalcar el tema de proteccin de datos personales, ya que la

Historia Clnica es un banco de datos personales y tiene datos sensibles
considerados as en la Ley N 29733 "Ley de Proteccin de Datos Personales y
en su reglamento. Si se difunde informacin de los pacientes estaran
vulnerando esos datos. La Autoridad Nacional de Proteccin de Datos
Personales es la que se encarga de hacer cumplir la Ley N 29733.
La Ley de Proteccin de Datos Personales, en su Art. N 2, numeral 5,

define datos sensibles como datos personales constituidos por los datos
biomtricos que por s mismos pueden identificar al titular; datos referidos al
origen racial y tnico; ingresos econmicos, opiniones o convicciones polticas,
religiosas, filosficas o morales; afiliacin sindical; e informacin relacionada a la
salud o la vida sexual.
Infracciones y sanciones administrativas
El numeral 2 del Art. 38 de la Ley de Proteccin de Datos Personales,

establece como infracciones graves, entre otras a. Dar tratamiento a los datos
personales contraviniendo los principios establecidos en la presente Ley o
incumpliendo sus dems disposiciones o las de su Reglamento. b. Incumplir la
obligacin de confidencialidad establecida en el artculo 17.
Del mismo modo el numeral 3 del Art. 38 de la referida Ley establece como
infraccin muy grave, entre otras, a. Dar tratamiento a los datos personales
contraviniendo los principios establecidos en la presente Ley o incumpliendo sus
dems disposiciones o las de su Reglamento, cuando con ello se impida o se
atente contra el ejercicio de los derechos fundamentales
En el Art. 39 de la Ley de Proteccin de Datos Personales, referido a las

sanciones administrativas, establece que, 2. Las infracciones graves son
99
sancionadas con multa desde ms de cinco unidades impositivas tributarias
(UIT) hasta cincuenta unidades impositivas tributarias. 3. Las infracciones muy
graves son sancionadas con multa desde ms de cincuenta unidades impositivas
tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).
4.5 Validacin de la propuesta
La validacin de la propuesta involucr el uso de mtodos cualitativos y

cuantitativos. Estos mtodos se utilizan ms cuando no existe un conjunto de
datos histricos tiles en los cuales pueda basarse un anlisis. Los anlisis
cualitativos son cada vez ms importantes y comienzan a formar parte de las
investigaciones en mltiples esferas. Tambin se ha contado con la asesora e
inspeccin de un profesional experto en el campo de la informtica y sistemas.
A continuacin, se anexa como constancia para la validacin de la

propuesta se demuestra adjuntando 2 certificados de validez firmados por
expertos en el tema de la investigacin.
100
Anexo 1: Ficha de validez de la propuesta
CAPTULO V
DISCUSIN
Los sistemas de informacin se han vuelto ms complejos debido a la
globalizacin que tiene por consecuencia que las distancias geogrficas no
supongan un obstculo. De esta forma se tiene que existe una cantidad mayor
de personas que tienen acceso a informacin que podra ser crtica para las
diferentes empresas e instituciones en las que trabajan. En el mundo digital el
riesgo de brechas de seguridad, fugas o prdidas de informacin nunca ha sido
mayor. No slo se ha multiplicado el volumen de informacin en circulacin sino
tambin el nmero de vas en las que la informacin puede ser almacenada y
transferida sin el consentimiento del propietario. A pesar de la mayor
concienciacin sobre los riesgos y amenazas a la seguridad que encaran las
empresas y firmas profesionales de todo el mundo, las brechas de seguridad
estn aumentando y amenazando seriamente la solidez de los negocios y la
privacidad de sus usuarios.
El Hospital San Juan De Lurigancho pertenece al sector salud y prestan

sus servicios da a da a miles de personas que ponen sus vidas en las manos
del personal mdico que les atienden. Estas atenciones a pesar de presentarse
en distintas especialidades ciruga, neumologa, neurologa y muchas ms,
deben ser registradas por disposicin legal en la Historia Clnica del paciente el
cual debe ser almacenado en un registro fsico que puede ser utilizado incluso
en un proceso judicial.

en este documento incluyen los formatos utilizados para registrar los diferentes
tipos de atencin se encuentra descrito en la Norma Tcnica de Historias
Clnicas (MINSA, 2005), teniendo en cuenta el cumplimiento de lo requerido por
la Ley de Proteccin de Datos Personales. Publicada por el Ministerio de Salud
quien adems da libertad a las instituciones bajo su jurisdiccin a agregar datos
adicionales y modificar el formato de dichos documentos.
En adicin a las disposiciones previas el Hospital San Juan de Lurigancho se

enfrenta a la necesidad de cumplir con la Norma Tcnica Peruana NTP-ISO/IEC
27001:2014 en cuya publicacin se establece explcitamente que dicha
104
institucin, como parte del Sistema Nacional de Salud, debe proceder con el
proceso de implementacin de un Sistema de Gestin de Seguridad de la
Informacin que garantice la Confidencialidad, Integridad y Disponibilidad de la
informacin que se utilice como parte de sus procesos de negocio.
Adems, la promulgacin de la Ley de Proteccin de Datos Personales

modifica el escenario sobre el cual debe realizarse la implementacin ya
comentada, debindose adems asegurar el cumplimiento de lo estipulado por
dicha ley. Se debe tener en cuenta que el activo de informacin ms importante
que maneja una entidad prestadora de servicios de salud es la Historia Clnica,
la cual contiene tanto informacin personal como sensible de los pacientes que
debe ser resguardada y utilizada bajo el consentimiento de los mismos.
El proyecto presentado tiene como alcance realizar el Anlisis y Diseo

de un Sistema de Seguridad de la Informacin utilizando para ello la Norma
ISO/IEC 27001:2014, se tiene en cuenta el cumplimiento de lo requerido por la
Ley de Proteccin de Datos Personales.
La norma especfica que las Historias Clnicas de los pacientes deben

estar almacenadas en formato fsico, pero ello no excluye que dichos
documentos puedan ser digitalizados. Iniciar un proyecto de digitalizacin de
estos documentos enfocndose en el archivo activo de la institucin permitir
que se cuente con un respaldo de la informacin de las mismas que podra ser
utilizado en las actividades asistenciales ms no en cuestiones legales.
105
Conclusiones
Primera: La Seguridad de la Informacin, es una parte esencial e importante

en las organizaciones ya que la informacin se constituye un activo
primordial y se debe mantener en ella la confidencialidad,
disponibilidad e integridad. El eslabn ms dbil de la cadena son
las personas o el recurso humano tambin llamado ya que la
mayora de veces existe falta de compromiso para proteger la
informacin o desconocimiento de las polticas o controles de
seguridad de la informacin en las organizaciones. Es por esta
razn que el equipo SGSI debe implementar campaas de
sensibilizacin, concienciacin, culturizacin y apropiacin,
dirigidas al recurso humano, para mitigar riesgos asociados a la
falta de cultura de Seguridad de la Informacin y finalmente contar
con un nivel de concienciacin de seguridad de la informacin que
establezcan medidas preventivas y que se estandaricen en la
institucin.
Segunda: La propuesta de implementar un sistema de gestin de seguridad

de la informacin aplicando la norma NTP ISO/IEC 27001:2014, va
a permitir una reduccin en los riesgos ya que implica una
reduccin en los costos, asegura la rentabilidad de la inversin
realizada en materia de seguridad, mayor prestigio y credibilidad en
el mercado y a la vez alinearse con las normas legales que estn
determinadas.
Tercera: Se realiz un anlisis y diseo que permitir la implementacin de

un SGSI a medida para una institucin del sector salud, que a la
vez cumpla con las leyes y normas entre ellas la Ley General de
Salud y la Ley de Proteccin de Datos Personales.
106
Cuarta: La actividad que realiza la institucin y las normas a la cual se
encuentra sujeta en relacin con las historias clnicas, estipula que
la informacin recibida de los pacientes o generada durante la
atencin sea almacenada en formato fsico. Es pertinente acotar
que las medidas actuales de seguridad de estos documentos no
cumplen con los mnimos necesarios, por lo cual se est
proponiendo una digitalizacin de estos.
Quinta: La digitalizacin de las historias clnicas se llevar a cabo con el

software autostore por su fcil manejo. El usuario puede cambiar a
la fotocopiadora o escner que mejor se adapte a sus necesidades
en la empresa sin que ello implique cambiar la tecnologa de flujo
de trabajo de captura de documentos.
107
Sugerencias
Primera: Se recomienda que la institucin en base al diseo presentado en

este proyecto ponga ms nfasis en concientizar a todos los
trabajadores que integran dicha institucin, sobre la seguridad de
la informacin y su importancia, y realizar evaluaciones peridicas
a los indicadores de seguridad de la institucin y de los riesgos
encontrados.
Segunda: Se recomienda aplicar esfuerzos para poder realizar la

implementacin de este diseo para que permita que en el futuro
se pueda gestionar la seguridad de informacin de tal manera que
se pueda aspirar a una certificacin.
Tercera: Es pertinente especificar que el proceso de implementacin del

SGSI, adems de requerir un compromiso por parte de la Alta
Direccin de la institucin, as como de todo el personal de la
misma para garantizar el cumplimiento requerido por el mismo,
implica una inversin monetaria en personal capacitado, equipos y
controles de seguridad. Por este motivo el proceso de
implementacin a nivel institucional debe ser realizado como parte
de un proyecto mayor que sea desarrollado en fases similares a las
que se han realizado en el desarrollo del presente proyecto.
Cuarta: Se sugiere una capacitacin de manejo y diligenciamiento de las

historias clnicas con el objetivo de proporcionar una orientacin
clara sobre la forma de llevar a cabo en la institucin el registro,
manejo, control, custodia, organizacin, y conservacin de la
Historia Clnica, as como dar a conocer los lineamientos sobre los
procedimientos para el acceso a la misma y para el manejo
adecuado de los archivos de gestin, central e histrico de las
historias clnicas.
108
Quinta: La obligacin normativa que especifica que las Historias Clnicas
de los pacientes deben estar almacenadas en formato fsico dado
que son documentos legales no excluye que dichos documentos
puedan ser digitalizados. Iniciar un proyecto de digitalizacin de
estos documentos enfocndose en el archivo activo de la institucin
permitir que se cuente con un respaldo de la informacin de las
mismas que podra ser utilizado en las actividades asistenciales
ms no en cuestiones legales.
109
Referencias bibliogrficas
Aguirre, J. D., & Aristizabal, C. (2012). Diseo del sistema de gestin de

seguridad de la informacin para el grupo empresarial la ofrenda.
Colombia.
AutoStore (2016). Soluciones de flujos de trabajo para capturas en papel,

electrnicas y mviles: http://www.nuance.es/
Bankinter. (2006). eleconomista.es. Obtenido de eleconomista.es:

http://www.eleconomista.es/empresas-
finanzas/noticias/108827/11/06/Bankinter-recibe-la-certificacion-
internacional-ISO-27001-para-sus-sistemas-de-seguridad-
informatica.html
Barrantes, C. E., & Herrera, J. R. (2012). Diseo E Implementacin De Un

Sistema De Gestin De Seguridad De Informacin En Procesos
Tecnolgicos. Lima.
Bisquerra (2009). Metodologa de la investigacin educativa, editorial Muralla

S.A Madrid.
Colegio Mdico Del Per. (2007). Cdigo de tica y Deontologa.
Congreso De La Repblica. (1997). Ley 26842. Ley general de salud. Lima.
Congreso De La Repblica. (2011). Ley 29733. Ley de proteccin de datos

personales. Lima.
Deming,E.(2016).ciclodePDCAhttp://datateca.unad.edu.co/contenidos/233003/
modulo/modulo-2online/151_ciclo_pdca__edward_deming.html
Espinoza, H. R. (2013). Anlisis y diseo de un sistema de gestin de seguridad

de informacin basado en la norma ISO/IEC 27001:2005 para una
empresa de produccin y comercializacin de productos de consumo
masivo . Lima.
Hernandez, S., Fernandez, C., & Baptista, P. (2006). Metodologia de la

investigacion. Mexico: Mc Graw Hill.
Hospitalsjl.(2016). Presentacin. Obtenido de presentacion:

http://www.hospitalsjl.gob.pe/institucional/presentacion.html
Hurtado, J. (2000). Metodologia de la Investigacion Holistica. Caracas: Unesco.
110
Marcelo , A., & Osorio, F. (1998). http://www.redalyc.org/. Obtenido de
http://www.redalyc.org/articulo.oa?id=10100306
Mintra. (2016). Implementacin De Un Sistema De Gestin De Seguridad De La

Informacin (Sgsi) Cumpliendo Los Requerimeintos De La ISO/IEC
27001. Lima.
MINSA. (2005). N.T. N 022-MINSA/DGSP-V.02. Norma tcnica de la historia

clnica de los establecimientos del sector salud.
MINSA. (2006). R.M. 520-2006/MINSA. Lineamientos de poltica de seguridad

de la informacin del Ministerio de Salud. Lima.
Morales, A. (2001). http://catarina.udlap.mx. Obtenido de

http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/morales_x_a/capitul
o2.pdf
Morgan , & Claypool. (2013). The Datacenter as a Computer. California: Mark D.

Hill.
Nez,H.M.(2006). Sistema de Informacion geografica para la gestion de la

estadistica en Cuba
http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S156130032006000
300003
ISO 27001. (2013). ISO 27001:2013. Information technology Security

techniques Information Security management systems - Requirements.

techniques Information Security management systems - Requirements.
ISO 27004. (2009). ISO 27004:2009. Tecnologa de la informacin - Tcnicas

de seguridad - gestin de la seguridad de la informacin - Medicin

techniques Information security risk management
ISO 31000. (2013). ISO 31000:2011. Risk management Principles and
guidelines.
Pallas, G. (2009). Metodologa de Implantacin de un SGSI en un grupo

empresarial jerrquico. Uruguay.
Peinado, J., Chinga, E., Mendoza, D., Rosas, A., Velsquez, E., Nasarre, C., &
Llanos, F. (2002). http://www.scielo.org.pe/. Obtenido de
http://www.scielo.org.pe/scielo.php?script=sci_arttext&pid=S1726-
4634200200030000
111
Poleo, L. (2009). La holstica y la investigacin. UCSAR, 104-105.
Soto, G., & Chvez, A. M. (2014). http://www.dge.gob.pe. Obtenido de

http://www.dge.gob.pe/portal/docs/vigilancia/boletines/2014/11.pdf
Talavera Alvares, V. R. (2015). Diseo de un sistema de gestin de seguridad

de la informacin para una entidad estatal de salud de acuerdo a la iso/iec
27001:2013. Lima.
Ormeo, J., & Valverde, A. (2016). Tecnicas basicas de administracion y gestion,

56-58.
112
Anexos
113
ANEXO 2
DEFINICIN CONCEPTUAL DE LA VARIABLE
Variable /categora 1: Norma Tcnica Peruana-ISO/IEC 27001 2014.
Dimensiones/sub categoras: Seguridad de la Informacin, Sistema de Gestin

De Seguridad De La Informacin, Implementacin de SGS.
Variable /categora 2: Norma Tcnica Peruana-ISO/IEC 3100 2011.
Dimensiones/sub categoras: Norma Tcnica Peruana-ISO/IEC 27005,

Evaluacin de riesgos, Controles y mediciones.
114
ANEXO 3
MATRIZ DE CONSISTENCIA Y OPERACIONALIZACIN DE LA(S) VARIABLE(S)
Ttulo de la Investigacin: Implementacin de un Sistema de Gestin de Seguridad de

la Informacin aplicando NTP ISO/IEC 27001:2014 en el sector Hospitalario, 2016
Planteamiento de la Objetivos Justificacin:

Investigacin
Los sistemas de Objetivo general Permitir gestionar la
seguridad de la informacin
informacin se han vuelto ms Se propone implementar un
del hospital mediante la
sistema de gestin de seguridad
complejos debido a la implementacin de controles
de la informacin para hospitales,
globalizacin. En el mundo digital
tcnicos, organizativos y
de acuerdo a la NTP ISO/IEC
legales; as como tambin el
actual el riesgo de brechas de 27001:2014
cumplimiento de la normativa
seguridad, fugas o prdidas de legal relacionada con las
Objetivos especficos
informacin nunca ha sido mayor. actividades de la institucin
Diagnosticar La necesidad de los
Mediante la resolucin ministerial N hospitales pblicos de contar con
004-2016-PCM establece el uso un anlisis que les permita
realizar la implementacin de un
obligatorio de la NTP ISO/IEC
Sistema de Gestin de Seguridad
27001:2014 en las entidades pblicas de la Informacin.
que conforman el sistema informtico
nacional.
Teorizar las categoras

Ante el manifiesto del problema consideradas en las
podemos llegar a la siguiente investigaciones tanto apriorsticas
formulacin Cmo garantizar la como emergentes.
seguridad de la informacin y el
cumplimiento legal en los hospitales Disear un modelado de los
mediante la implementacin de SGSI procesos correspondientes al
alcance del Sistema de Gestin
de acuerdo a los requerimientos de la
de Seguridad de la Informacin.
NTP ISIEC 27001:2014?
Validar los instrumentos del
diagnstico y propuesta de la
aplicacin a travs de un juicio de
expertos.
Evidenciar la propuesta a
travs de pilotos a la misma
aplicacin
Metodologa
Sintagma y enfoque Tipo y diseo Mtodo e instrumentos
Holstica Mixto Proyectiva No Analtico deductivo
(cuantitativo y experimental (encuesta y entrevista)
cualitativo)
115
Anexo 4: Ficha de validez de instrumento enfoque cuantitativo
116
Anexo 5: Certificado de validez de contenido del instrumento que mide (ficha vlida solo para cuestionario)
117
118
119
120
121
122
123
124
125
126
127
Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho
Figura N14. Organigrama Estructural del Hospital San Juan de Lurigancho Fuente: Hospital San Juan de Lurigancho
128
Anexo 7: Funciones del Servicio de Admisin
Servicio de
Admisin
Admisin de Gestin de
Pacientes Historias Clinicas
Emision de
Generacin de Copias de
Citas Historias Clinicas
Generacion de Recepcion de
Historias Clinicas Referencia
Emision y Emision de
recepcin de Informe Medico
Historias Clinicas
Cuidado de Alta de los

Historias Clinicas Pacientes
Figura N15. Funciones del Servicio de Admisin Fuente: Elaboracin Propia
129
Anexo 8: Funciones Consultorios Externos
Consultorios
Externos
Derivacin de los
Registro de los Recepcion de las Medidas programacin a
Pacientes a los
Pacientes Historias clinicas Antropomtricas Cirugia
diferentes Servicios
Figura N16. Funciones Consultorios Externos Fuente: Elaboracin Propia
130
Anexo 9: Situacin actual de infraestructura
Figura N17. Situacin actual de los equipos de cmputo Fuente: Hospital San Juan de Lurigancho
131

T061 40990882 T PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

T061 40990882 T PDF

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD PRIVADA NORBERT WIENER

FACULTAD DE INGENIERA Y NEGOCIOS

Implementacin de un Sistema de Gestin de Seguridad de la

Para optar el ttulo profesional de Ingeniero de Sistemas e

Presidente del Jurado

El presente estudio de investigacin titulado Implementacin de un Sistema de

El estudio de investigacin se realiz en el rea de Archivo, perteneciente a la

Para la recopilacin de informacin se utiliz los instrumentos de encuestas para

1.1 Problema de investigacin 18

MARCO TERICO METODOLGICO

2.1 Marco terico 23

3.1 Diagnstico cuantitativo 50

3.2 Diagnstico cualitativo 59

3.3 Triangulacin de datos: Diagnstico final 64

PROPUESTA IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE

4.1 Fundamentos de la propuesta 70

4.2 Objetivos de la propuesta 92

4.4 Viabilidad de la propuesta 97

4.5 Validacin de la propuesta 100

Referencias bibliogrficas 110

Anexo 1: Ficha de validez de la propuesta 101

Anexo 2: Definicin conceptual de la variables 114

Anexo 3: Matriz de consistencias y operacionalizacin 115

Anexo 4: Ficha de validez de instrumento enfoque cuantitativo 116

Anexo 5: Certificado de validez de contenido del instrumento 117

Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho 128

Anexo 7: Funciones del Servicio de Admisin 129

Anexo 8: Funciones Consultorios Externos 130

Anexo 9: Situacin actual de infraestructura 131

Cuadro 1. Clasificacin de Categoras y Subcategoras Apriorsticas. 44

Cuadro 7. Criterio de Impacto 78

Cuadro 8. Matriz de Calor 78

Cuadro 9. Escala de Valoraciones 81

Cuadro 10. Matriz de Inventario de Activos de Informacin 82

Cuadro 11. Matriz de Riesgos del Hospital 83

Cuadro 12. Cronograma de implementacin del sistema de gestin de seguridad de la

El presente estudio, titulado Implementacin de un Sistema de Gestin de

La investigacin es de tipo proyectiva y de diseo no experimental, de sintagma

Por lo tanto, se demostr que existen gran disposicin para la implementacin,

Palabras clave: seguridad de la informacin, categoras emergentes,

This study, entitled "Implementation of a Management System Information

The research study is of projective type and non-experimental design, holistic

Therefore, it was shown that there is great willingness for implementation of 15

Keywords: information security, emerging categories, scientific research,

Los Sistemas de Informacin y las Tecnologas de Informacin han cambiado la

En el mundo digital actual el riesgo de brechas de seguridad, fugas o

En respuesta a este nuevo escenario, las instituciones pblicas han sido

El hospital San Juan de Lurigancho es una institucion perteneciente al

El detalle de la informacin mnima requerida que debe ser almacenada

La norma especfica que las Historias Clnicas de los pacientes deben

El modelamiento de procesos se apoyar en la herramienta de

Se propuso la Implementacin de un Sistema de Gestin de Seguridad de

Para la validacin de los instrumentos se recurri a juicio de 3 expertos

Tambin se realiz el procesamiento de informacin de datos cualitativos

Los sistemas de informacin han cambiado la forma en que operan las

Hospitalsjl.(2016), indica que la institucion: pertenece al sector pblico

En el Per todas las entidades pblicas prestadoras de salud estn

En el 2006 se public los Lineamientos de Poltica de Seguridad de la

Esta norma tcnica exige que las entidades pblicas realicen la

Mediante la Resolucin Ministerial N 004-2016-pcm establece el uso

1.1.2 Formulacin del problema

Cmo garantizar la seguridad de la informacin y el cumplimiento legal en los

1.2.2 Objetivos especficos