Documente Academic
Documente Profesional
Documente Cultură
AUTOR
Br. Zavaleta Rodrguez, Deyvis
LIMA - PER
2016
Implementacin de un Sistema de Gestin de Seguridad de la
Informacin aplicando NTP ISO/IEC 27001:2014 en el sector
Hospitalario, 2016
ii
Miembros del Jurado
Secretario
Mg. Alfredo Marino Ramos Muoz
Vocal
Mg. Cora Marisol Martua Timoteo
Asesor metodolgico
Mg. Nolazco Labajos, Fernando Alexis
Asesor temtico
Mg. Ramos Muoz, Alfredo Marino
iii
Dedicatoria
A mi Seor, Jess, quien me dio la fe, la
fortaleza, la salud y la esperanza para terminar
este trabajo.
A mi esposa e hijas que me brindaron todo el
tiempo, apoyo, compresin y paciencia en
esperarme hasta la culminacin la cerrera.
iv
Agradecimiento
Me gustara que estas lneas sirvieran para expresar
mi ms profundo y sincero agradecimiento a todas
aquellas personas que con su ayuda han colaborado
en la realizacin del presente trabajo, en especial al
Mg. Nolazco Labajos, Fernando Alexis, director de
esta investigacin, por la orientacin, el seguimiento
y la supervisin contina de la misma, pero sobre todo
por la motivacin y el apoyo recibido a lo largo de
estos meses.
Especial reconocimiento merece el inters mostrado
por mi trabajo y las sugerencias recibidas del profesor
y amigo Ing. Ramos Muoz, Alfredo Marino, con quien
me encuentro en deuda por el nimo infundido y la
confianza en m depositada.
v
Presentacin
Seores miembros del jurado:
vi
NDICE
Pg.
Dedicatoria 4
Agradecimiento 5
Presentacin 6
CAPTULO I
PROBLEMA DE LA INVESTIGACIN
TRABAJO EN CAMPO
vii
CAPTULO IV
PROPUESTA DE LA INVESTIGACION
Pg.
Discusin 103
Conclusiones 106
Sugerencias 108
viii
ndice de tablas
Pg
Tabla 1.Muestra holstica para la investigacin 45
Tabla 2.Niveles de Seguridad de la informacin 50
Tabla 3. Niveles de Compromiso en la implementacin 51
Tabla 4. Niveles de cultura en la implementacin 52
Tabla 5. Niveles de Misin en la implementacin 53
Tabla 6. Niveles de Recursos en la implementacin 54
Tabla 7. Niveles de formacion para la implementacin 55
Tabla 8. Niveles de Necesidad en la implementacin 56
Tabla 9. Niveles Infraestructura para la implementacin 57
Tabla 10. Niveles de Soporte en la implementacin 58
ix
ndice de figuras
Pg.
Figura 1. Proceso de Implantacin del SGSI 35
Figura 2. Estrategia de mejora contina del SGSI, Ciclo de Deming 37
Figura 3. Proceso de Gestin de Riesgos 39
Figura 4. Grfico de barras Sistemas de seguridad de la informacin 50
Figura 5. Grfico de compromiso en la implementacin 51
Figura 6. Grfico de Cultura en la implementacin 52
Figura 7. Grfico de Misin en la implementacin 53
Figura 8. Grfico de Recursos para la implementacin 54
Figura 9. Grfico de Formacin para la implementacin 55
Figura 10. Grfico de Necesidad en la implementacin 56
Figura 11. Grfico de Infraestructura para la implementacin 57
Figura 12. Grfico de Soporte en la implementacin 58
Figura 13. Grfico Ciclo de Deming 72
Figura 14. Organigrama Estructural del Hospital San Juan de Lurigancho 128
Figura 15. Funciones del Servicio de Admisin 129
Figura 16. Funciones Consultorios Externos 130
Figura 17. Situacin actual de los equipos de cmputo 131
x
ndice de cuadros
Pg.
xi
Resumen
xii
Abstract
xiii
Introduccin
xiv
de asegurar el buen uso y proteccin de la informacin crtica que manejen, ya
sea de clientes o informacin estratgica interna.
xv
levantamiento de informacin. Adems se elabor un diagrama de procesos para
la implementacin del SGSI usando el project manager.
xvi
CAPTULO I
PROBLEMA DE INVESTIGACIN
1.1 Problema de investigacin
1.1.1 Identificacin del problema ideal
18
clnica es un documento vlido desde el punto de vista clnico y legal, que recoge
informacin de tipo asistencial, preventivo y social y debe ser protegida ya sea
para poder garantizar la correcta atencin de los pacientes como para evitar la
fuga de informacin que pueda ser utilizada de manera maliciosa por alguna
persona o institucin externa al flujo de informacin.
19
El hospital San Juan de Lurigancho como institucin pblica se encuentra
en la necesidad de alinearse a las nuevas normas legislativas que comprenden
y regulan los temas de privacidad y seguridad, de mecanismos de control y
seguimiento de seguridad de la informacin.
1.2 Objetivos
1.2.1 Objetivo general
Proponer la implementacin un sistema de gestin de seguridad de la
informacin para hospitales, de acuerdo a la NTP ISO/IEC 27001:2014, con
un enfoque sistemtico para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la informacin de la organizacin
para conseguir los objetivos de negocio.
20
1.3 Justificacin
Teniendo en cuenta los riesgos a los que estn expuestos los activos de
informacin, adems de la gran cantidad de cambios en la normativa de carcter
obligatorio para las organizaciones que hagan uso de informacin personal y
privada en sus procesos, se propone la implementacin de un (SGSI), el cual
permiti tener en claro todos los procedimientos y lineamientos necesario para
identificar y evaluar los riesgos, las amenazas en la informacin hasta su
tratamiento y a su vez, est alienado a las polticas establecidas por el (SGSI)
definiendo aquellas especificaciones requeridas por la legislacin vigente.
21
CAPTULO II
21
2.1 Marco terico
2.1.1 Sustento terico
La ingeniera de sistemas es un modo de enfoque interdisciplinario que permite
estudiar y comprender la realidad, con el propsito de implementar u
optimizar sistemas complejos. Puede tambin verse como la
aplicacin tecnolgica de la teora de sistemas a los esfuerzos de la ingeniera,
adoptando en todo este trabajo el paradigma sistmico. La ingeniera de
sistemas integra otras disciplinas y grupos de especialidad en un esfuerzo de
equipo formando un proceso de desarrollo centrado.
23
gubernamentales y no gubernamentales, en enlace con ISO y con IEC, tambin
participan en el trabajo.
24
permite una validacin en la autora de la informacin por parte de un usuario
especfico.
Para este estudio; cabe resaltar que partiendo de esta premisa, es muy
importante contar con una herramienta tecnolgica para poder asegurar y
respaldar la informacin privilegiada de la organizacin, a un nivel aceptable
donde se cumpla todas las polticas recomendadas por estndares
internacionales.
25
La informacin es un activo esencial y es decisiva para la viabilidad
de una organizacin. Adopta diferentes formas; impresa, escrita en papel,
digital, transmitida por correo, mostrada en videos o hablada en
conversaciones. Debido a que est disponible en ambientes cada vez ms
interconectados, est expuesta a amenazas y vulnerabilidades. La
seguridad de la informacin es la proteccin de la informacin contra una
amplia gama de amenazas y se utiliza para minimizar los daos, ampliar
las oportunidades del negocio, maximizar el retorno de las inversiones y
asegurar la continuidad del negocio.
26
utilidad cuando se quiere implementar cualquier sistema de gestin en
una organizacin, ya que les da una visin clara de cmo sus labores
cotidianas aportan para el mantenimiento y mejora de un sistema de
gestin empresarial.
27
y a su vez mantenerse alineado con las reales necesidades del negocio
de forma oportuna, sin un costo excesivo de anlisis detallado de la
totalidad de los procesos y activos.
28
importante en cuanto a seguridad de la informacin en la institucin sobre la que
se ha realizado el presente proyecto. La principal falencia que debera ser
resuelta cuanto antes es involucrar a la direccin en las acciones del plan que
se debe definir con motivo de la implementacin del SGSI institucional, el cual
debera ser gestionado como un proyecto institucional, de manera que se cuente
con el apoyo de las distintas direcciones y reas del INMP.
29
norma ISO/IEC 27001:2005 para una empresa de produccin y comercializacin
de productos de consumo masivo. Tiene como objetivo garantizar la seguridad
y continuidad de los activos de informacin crticos que participan en el proceso
de produccin y sus subprocesos (planeamiento de la produccin, calidad,
produccin, bodegas e inventarios) de la empresa productora de alimentos,
sobre la base del anlisis de riesgos que haya llevado a cabo la organizacin.
Se usara la metodologa MAGERIT II se concluye que el diseo de SGSI
presentado se adapta a los objetivos actuales del proceso de produccin, en el
cual se ha basado el proyecto, y que este diseo podra variar ya que los
objetivos estratgicos y de gobierno de le empresa pueden cambiar y por ello
algunos sub procesos que forman parte del alcance del proyecto, tambin lo
harn.
Antecedentes internacionales
30
en cada fase, promoviendo no slo la reutilizacin y coherencia integral de la
seguridad sino tambin fomentando la sinergia entre las empresas del grupo.
31
2.1.3 Marco conceptual
32
de la misma y la disponibilidad es la propiedad de ser accesible y utilizable por
una entidad autorizada.
33
Ahorro de costos: Se produce derivado de una racionalizacin de recursos
eliminndose las inversiones innecesarias e ineficientes como las producidas por
desestimar o sobrestimar riesgos.
34
PROCESO DE IMPLANTACIN DEL SGSI
ENTRADA Contexto de la
organizacin
Soporte
Operacin SALIDA
ISO 31000. (2011), es el estndar internacional que establece una gua general
sin establecer medidas especficas para algn tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genrica en cualquier tipo de organizacin.
35
riesgos que aparezcan luego de la implementacin del sistema. Deming (2016):
El ciclo Deming como modelo para implantacin de SGSI, permanece en una
constante revaluacin, por cuanto funciona, bajo la filosofa del mejoramiento
continuo. En seguridad sera la revaluacin de las medidas de prevencin,
correccin y evaluacin, manteniendo un constante ciclo que por sus
caractersticas no podra terminar. A continuacin se detalla cada uno de los
pasos del modelo Deming como metodologa apropiada los SGSI.
Planear
En esta etapa se enmarca todo el proceso de anlisis de la situacin en que
actualmente se encuentra la empresa respecto a los mecanismos de seguridad
implementados y la normativa ISO/IEC 17799:2005, la cual se pretende
implantar para evaluacin y certificacin. As mismo en la etapa de planeacin se
organizan fases relevantes como son: Establecer el compromiso con los
directivos de la empresa para el inicio, proceso y ejecucin.
36
Actuar
Consiste en desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,
realizar las acciones correctivas y preventivas, mantener comunicacin con el
personal de la organizacin relevante.
37
decisiones. La gestin del riesgo analiza lo que puede ocurrir y cules seran las
consecuencias posibles, antes de decidir qu debe hacerse y cundo para
reducir el riesgo a un nivel aceptable.
38
Figura 3. Proceso de Gestin de Riesgos Fuente: Elaboracin Ministerio de
Trabajo.
La ISO 27001 requiere que los controles sean medibles en ese sentido la ISO
27004:2009 aporta la forma de llevar a cabo dichas mediciones.
39
implementado la gestin de la seguridad (ISMS) y los controles o grupos de
controles, como se especifica en la norma ISO / IEC 27001 . Esto incluira la
poltica, la informacin gestin de riesgos de seguridad, objetivos de control,
controles, procesos y procedimientos, y apoyar el proceso de su revisin, lo que
ayuda a determinar si alguno de los procesos o controles ISMS necesita ser
cambiado o mejorado".
40
un dispositivo. El uso de tarjetas inteligentes es ms seguro que usar
contraseas porque para una persona ajena es ms difcil sustraer la tarjeta y
averiguar el PIN que aprenderse la contrasea.
Inicialmente requiere menos recursos del equipo remoto. El equipo remoto usa
un nmero limitado de recursos antes de autenticar al usuario, en lugar de iniciar
una conexin completa al Escritorio remoto como en versiones anteriores.
Para usar la Autenticacin a nivel de red, deben cumplirse todos los requisitos
siguientes:
El equipo cliente debe usar como mnimo la versin 6.0 de Conexin a Escritorio
remoto.
41
El equipo cliente debe usar un sistema operativo como Windows 7,
Windows Vista o Windows XP con Service Pack 3 que admita el protocolo
Proveedor de compatibilidad con seguridad de credenciales (CredSSP).
2.2 Metodologa
2.2.1 Sintagma
2.2.2 Enfoque
42
sinergia para profundizar ampliamente en el logro del conocimiento. Todo ello
mediante el cumplimiento de los objetivos definidos y haciendo uso de las
tcnicas adecuadas.
2.2.3 Tipo
2.2.4 Diseo
El diseo de la investigacin es de tipo transversal ya que se centraliz en
analizar el nivel de las variables en un determinado tiempo y para lo cual se
aplic un instrumento determinado
43
2.2.5 Categoras y subcategoras apriorsticas y emergentes
Categora 1 Categora 2
Subcategora Subcategora
Evaluacin de riesgos
Sistema de Gestin De Seguridad De
La Informacin
Controles y mediciones
Implementacin de SGSI
Categoras emergentes
44
2.2.6 Unidad de anlisis
La poblacin est determinada por todos los miembros del rea informtica,
estadstica, servicio de Admisin, consultorios externos y la alta direccin y los
empleados que son usuarios finales de los sistemas desarrollados del hospital
San Juan de Lurigancho
Muestreo
Tabla 1
45
Tcnicas Instrumentos
46
Ficha tcnica instrumento 2
47
2.2.8 Procedimientos y mtodo de anlisis
48
CAPTULO III
TRABAJO DE CAMPO
3.1 Diagnstico cuantitativo
Tabla 2
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
50
Tabla 3
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
51
Tabla 4
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
52
Tabla 5
Adecuado 2 13,3
Excelente 13 86,7
Total 15 100,0
53
Tabla 6
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
54
Tabla 7
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
55
Tabla 8
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
56
Tabla 9
Adecuado 1 6,7
Excelente 14 93,3
Total 15 100,0
57
Tabla 10
Adecuado 3 20,0
Excelente 12 80,0
Total 15 100,0
58
3.2 Diagnstico cualitativo
Pregunta Sujetos Sujeto 1 Sujeto 2 Sujeto 3 Codificacin Categora Conclusiones aproximativas
s de la encuestado
entrevist s Emergente
a
Qu benficos Un SGSI facilita el El correcto Para dar C1: Sistema de El Sistema de Gestin de la
aportara a la cumplimiento de las desarrollo del confianza a Gestin de Seguridad de la Informacin
empresa la distintas normativas SGSI en la clientes y se trata de un conjunto de
seguridad de la
implementacin de que afectan a una organizacin proveedores que polticas de administracin
un SGSI? empresa u permite a la la seguridad de la Informacin de la informacin que tienen
organizacin en lo misma obtener informacin se como objetivo asesorar o
que respecta a datos la certificacin toma en serio guiar a la empresa para lograr
almacenados y reconocida dentro de la la certificacin ISO/IEC
privacidad, ISO/IEC 27001, organizacin, C2: Proteccin 27001. Gracias al SGSI,
proteccin de datos y lo cual mejora la estando a la de datos podemos por un lado
seguridad de la imagen y el vanguardia en la establecer una poltica de
informacin en prestigio de la aplicacin de la seguridad de la informacin
general. organizacin tcnica de de la empresa, y por otro
ante pblicos procesos para C3:Seguridad lado, analizar el riesgo y
que conocen la hacer frente a las de la valorar las diferentes
naturaleza de amenazas de la informacin amenazas potenciales a las
dicho informacin y a que podra enfrentarse la
certificado. Se los problemas de organizacin. Facilita el
convierte, por la seguridad. cumplimiento de las distintas
tanto, en una C4:Certificaci normativas que afectan a una
demostracin de n en la ISO/IEC empresa u organizacin en lo
la que respecta a datos
27001
profesionalidad almacenados y privacidad,
de la proteccin de datos y
organizacin y
59
en una garanta C5: Tcnicas y seguridad de la informacin
de su correcto procesos para en general.
funcionamiento.
hacer frente a
las amenazas de
la informacin
Cmo califica a la Es el conjunto de La informacin es Cuando hablamos C6: Sistemas Cuando hablamos de
seguridad de la medidas preventivas y uno de los de seguridad de la
tecnolgicos seguridad de la informacin
informacin? reactivas de las principales informacin estamos indicando que dicha
organizaciones y de los activos de las estamos indicando informacin tiene una
sistemas tecnolgicos organizaciones. que dicha
relevancia especial en un
que permiten resguardar La defensa de este informacin tiene
C7: Proteccin contexto determinado y que,
y proteger activo es una tarea una relevancia
la informacin buscan esencial para especial en un
por tanto, hay que proteger
de la seguridad la seguridad de la
do mantener la asegurar la contexto
confidencialidad, la continuidad y el determinado y que, Informacin se puede definir
disponibilidad e desarrollo del por tanto, hay que como conjunto de medidas
integridad de la misma. negocio, as como proteger. tcnicas organizativas y
tambin es una legales que permiten a la
exigencia legal. organizacin asegurar la
confidencialidad, integridad
y disponibilidad de su
sistema de informacin.
60
Cree que la SGSI es Muchas organizaciones El Implementar Las organizaciones C8: La implementacin de un
un costo o una acuden a la un Sistema de que se certifican en SGSI ms que gasto es una
certificacin ISO 27001 Gestion de la ISO 27001, son
Certificacin en
inversin? inversin porque asegura la
ya que necesitan dicho Seguridad de la ms competitivas y la ISO
continuidad de la empresa y a
certificado para Informacion ms ms atractivas para
la vez atrae nuevos clientes.
conseguir un nuevo que un gasto es los clientes. 27001.
cliente mediante una una inversin
licitacin o porque porque de esta
quieren convencer a sus manera podemos
clientes de que sus datos asegurar a nuestro
C9: Proteccin
se encuentran cliente y atraer
perfectamente ms clientes. de la
protegidos. Si partimos informacin.
desde este punto,
muchas organizaciones
piensan que necesitan
implementar
C10:
un Sistema de Gestin
de Seguridad de la Implementaci
Informacin para n de un Sistema
llegar a nuevos clientes
de gestin de
o para mantener los que
ya tienen seguridad de la
informacin.
Se dice que el SGSI S, SGSI establece un S, En una S, el propsito de C11: Anlisis Un Sistema de Gestin de
contribuye a la completo plan de organizacin, el un sistema de Seguridad en la Informacin
acciones que ayudar a diseo e gestin de la
de riesgos
mejora de la (SGSI) es la mejora continua
su empresa a solucionar implementacin seguridad de la
continuidad del de la organizacin en la
los problemas de de un SGSI est informacin es, por
negocio, lo cree as? gestin de la seguridad. Esto
seguridad tcnicos, influenciado por tanto, garantizar que
organizativos y sus necesidades y los riesgos de la C12: Procesos es posible gracias a la
legislativos mediante el objetivos, seguridad de la implantacin de este sistema
objetivos y
61
anlisis de riesgos, requerimientos de informacin sean requerimientos mediante la
mejorando y seguridad, conocidos, norma ISO27001. Esta acoge
manteniendo la procesos asumidos,
de la
el modelo de mejora continua
seguridad de la empleados y el gestionados y informacin.
Planificar, Hacer, Verificar y
informacin tamao y minimizados por la
Actuar (PHVA), que est
empresarial y estructura de la organizacin de una
garantizando una organizacin. A la forma aplicado a la estructura de
continuidad de negocio. vez establece un documentada, todos los procedimientos del
plan de acciones sistemtica, SGSI. Es vital llevar a cabo
para solucionar estructurada, una revisin regular y una
problemas de repetible, eficiente y actualizacin y mejora
seguridad adaptada a los continua permitiendo el
mediante anlisis cambios que se empleo de instrumentos
de riesgos. produzcan en los
adecuados para el control y la
riesgos, el entorno y
medicin del sistema en las
las tecnologas.
organizaciones.
62
Tengo un firewall, Estas medidas no son El SGSI da la Para asegura la C13: Controles CE: Controles Los controles tcnicos
actualizo ms que unos pocos garanta a la informacin no
controles tcnicos que, empresa de que basta un antivirus o
tcnicos tcnicos de la no significan que se
regularmente el
por s mismos, no los riesgos que un firewall. La seguridad de la
antivirus y realizo estn gestionando la
significan que se est afectan a su norma ISO27001 n informacin
copias de backup.
gestionando la informacin son os dice que el
qu aporta un sgsi a C14: Niveles de seguridad.
seguridad. Un SGSI conocidos y personal debe estar
mi empresa? implica que la gestionados. No formado para riesgos de la
organizacin ha se debe olvidar, realizar la gestin Un SGSI implica que la
estudiado los riesgos a por tanto, que no de la Seguridad de
informacin
los que est sometida hay seguridad la Informacin, organizacin ha
toda su informacin, ha total sino adems debe
evaluado qu nivel de seguridad realizar su trabajo
estudiado los riesgos a
riesgo asume, ha gestionada. en equipo y contar C15: Gestin los que est sometida
implantado controles con habilidades de de seguridad de
(no slo tecnolgicos, liderazgo. toda su informacin.
sino tambin
la informacin
organizativos) para
aquellos riesgos que
superan dicho nivel, ha
documentado las
polticas y
procedimientos
relacionados y ha
entrado en un proceso
continuo de revisin y
mejora de todo el
sistema.
63
3.3 Triangulacin de datos: Diagnstico final
64
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
65
Legalidad: La informacin debe de cumplir con las leyes vigentes
dependiendo del lugar donde se encuentran y son manejadas.
De manera especfica, ISO 27001 indica que un SGSI debe estar formado
por los siguientes documentos (en cualquier formato o tipo de medio):
66
control de los procesos de seguridad de la informacin, as como para la medida
de la eficacia de los controles implantados.
67
La existencia de un SGSI por s solo se encuentra enfocada a la
proteccin de la informacin crtica para la institucin ya sea segn su impacto
en la confidencialidad, integridad o disponibilidad de modo que se eviten
incidentes de seguridad que puedan ocasionar escenarios que afecten las
actividades o generen un impacto reputacional o financiero.
68
CAPTULO IV
PROPUESTA IMPLEMENTACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA INFORMACIN
APLICANDO NTP ISO/IEC 27001:2014, EN EL SECTOR
HOSPITALARIO, 2016
69
4.1 Fundamentos de la propuesta
Todos los hospitales y clnicas pertenecen al sector salud y prestan sus servicios
da a da a miles de personas que ponen sus vidas en las manos del personal
mdico. Estas atenciones a pesar de presentarse en distintas especialidades
ciruga, neumologa, neurologa y muchas ms, deben ser registradas por
disposicin legal en la Historia Clnica del paciente el cual y deben ser
almacenados en un registro fsico que puede ser utilizado incluso en un proceso
judicial.
70
proporciona los requisitos para establecer, implementar, mantener y mejorar
continuamente un Sistema de Gestin de Seguridad de la Informacin (SGSI).
71
Proyecto de implementacin del SGSI
Base Legal
72
Plan (planificar): establecer el SGSI.
Alcance Organizacional
Las funciones de las reas involucradas en este servicio son los siguientes:
Servicio de Admisin
73
de las Historias Clnicas de las pacientes que siguen tratamiento en los diferentes
servicios.
Consultorios Externos
74
La responsabilidad principal por la seguridad de estos documentos es del
personal del rea de Archivo y Admisin reas que se encuentran en la misma
locacin fsica rea con la que se realizar la identificacin de activos de
informacin y el anlisis de riesgo necesarios para poder establecer los controles
requeridos para garantizar la seguridad de la informacin en ambos procesos de
negocio.
75
-Establecer y monitorear un Sistema de Gestin de Seguridad de la Informacin
que identifique los riesgos a los que se expone la informacin en el hospital San
Juan de Lurigancho y pueda definir controles para los mismos.
76
ser constituida como Comit de Seguridad de la Informacin teniendo adems
la responsabilidad de realizar un seguimiento de los riesgos y controles
establecidos como parte del sistema de seguridad dado que los cambios de
diferentes factores organizacionales, creacin de nuevos servicios, cambios de
personas.
Muy Alta Regularidad de la incidencia semana, certeza muy alta de que ocurrir dicho
evento.
77
SEVERIDAD CONSECUENCIAS PREVISIBLES
Para el uso del presente criterio, se deber tener en cuenta qu tanto afecta las
operaciones del servicio la materializacin de una amenaza, adems de la
informacin que pueda verse comprometida como consecuencia de la misma.
Matriz de calor
Los criterios que se han definido se utilizan en conjunto para conformar la matriz
de calor sobre la que se realizar la valoracin de los riesgos identificados en el
anlisis. A continuacin, se presenta la matriz de calor generada en base a
dichos criterios.
SEVERIDAD
78
Nivel de Riesgo
Riesgo Residual
Riesgos Segundarios
79
deben ser identificados y su respuesta debe ser analizada de la misma manera
que los riesgos primarios.
Identificacin de activos
80
Establecer reglas documentadas para el uso aceptable de la informacin
de salud. Sobre ste ltimo punto se determinan varias directivas en la Norma
tcnica de Historias Clnicas MINSA (2005) y en la Ley de Proteccin de Datos
Personales (CONGRESO DE LA REPBLICA, 2011).
Valorizacin de Activos
En el desarrollo del anlisis para el diseo del SGSI para el Hospital San
Juan de Lurigancho, se utilizar la escala de Likert (donde 1 es muy poco y 4
es muy alto), se utilizar la siguiente tabla como formato del inventario de
activos de informacin.
81
Nro. Procesos Identificacin del Descripcin del Clasificacin Lugar Valoracin
Activo Activo del Activos del del Activo
Activo
82
evaluacin del mismo que nos permitir definir si se proceder a tratar o se
aceptar como parte del nivel del riesgo de la institucin.
1 2 3 4
Sistema
4 4 8 12 16
informtico
Historia clnica 3 3 6 9 12
Hoja de
2 2 4 6 8
Referencia
Cita Medica 1 1 2 3 4
83
Digitalizacin de la Historias Clnicas
84
Una vez obtenido la imagen o documento, es necesario realizar un tratamiento
de esta utilizando el ms adecuado a las necesidades particulares de cada
usuario. Este proceso puede incluir cambios la resolucin de la imgenes,
tamao, aplicaciones de filtros artsticos, as como obtencin de algunas de la
partes de la imagen o documento.
Nuance AutoStore
85
Todo esto es posible gracias a los flujos de trabajo y los paneles de men de
personalizables de AutoStore. Con la ayuda de AutoStore Process Designer, los
flujos de trabajo se pueden configurar previamente y guardar con el fin de reducir
el nmero de pasos que el usuario final debe realizar manualmente. Esta funcin,
sencilla y fcil de utilizar, elimina procesos manuales, lo que permite reducir los
errores del usuario y da como resultado un procesamiento eficiente y preciso de
los documentos.
Procedimiento
Capturar
Capture informacin:
Telfonos inteligentes
Fotocopiadoras
Escneres
Servidores de fax
86
Sitios FTP (seguros e inseguros)
Procesar
Procesamiento mediante:
Limpieza de imgenes
Cifrado y descifrado
Superposicin de formularios
Informes
Encaminar
87
como ordenadores, aplicaciones para fax, aplicaciones empresariales,
direcciones de correo electrnico, sitios FTP, archivos y carpetas de red, as
como sistemas de gestin documental.
Encaminar la informacin:
Carpetas de red
Correo electrnico
Servidores de fax
Impresoras
Caractersticas de seguridad:
Hardware
88
Tarjeta NIC
Sistema operativo
Windows 10
Software adicional:
Precio de la licencia
ISO 31000. (2009). Estndar internacional que establece una gua general
sin establecer medidas especficas para algn tipo de actividad organizacional
para el tratamiento de riesgos, por este motivo puede ser utilizada de manera
genrica en cualquier tipo de organizacin.
89
En su calidad de ser una gua generalizada de gestin de riesgo, puede ser
aplicable a una gran cantidad de escenarios en diferentes organizaciones. Al
igual que la norma ISO 27005, ste estndar sigue el ciclo de Deming (Plan-Do-
Check-Act) como metodologa de anlisis de riesgos.
La organizacin deber:
90
determinar si las acciones realizadas para resolver brechas de seguridad
fueron efectivas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
91
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act
lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Tngase en cuenta que no tiene que haber una secuencia estricta de las fases,
sino que, p. ej., puede haber actividades de implantacin que ya se lleven a cabo
cuando otras de planificacin an no han finalizado; o que se monitoricen
controles que an no estn implantados en su totalidad
92
Establecimiento y difusin de la Poltica General de Seguridad de la
Informacin del Hospital San Juan de Lurigancho (H.S.J.L).
93
Asegurar la continuidad de los servicios de Tecnologas de la Informacin del
H.S.J.L (Plan de Continuidad de Negocio).
94
4.3 Estructura y plan de accin de la Propuesta
95
Plan de capacitacin y 1.Plan de capacitacin
X
sensibilizacin. y sensibilizacin.
1.Procesos y
Implementacin de controles de
controles de X*
seguridad.
seguridad que estn
1.Procesos y
Gestin de incidentes procedimientos de X X
gestin de incidentes.
1.Procesos y
Gestin de operaciones controles de X
seguridad
Medicin, supervisin y evaluacin
X
del SGSI
1. Indicadores.
1.Programa de
Auditora interna auditora. X
1. Objetivos y polticas
Revisin por la direccin actualizadas. X X
2. Aprobacin de los
Tratamiento de problemas y No
1.Procedimiento de X*
Conformidades.
acciones correctivas.
1.La continua
Mejora continua pertinencia del SGSI X*
con los objetivos de
1.Certificacin ISO
Certificacin X X
27001.
Cuadro 12. Cronograma De Implementacin Del Sistema De Gestin De Seguridad De La Informacin Fuente: elaboracin
propia
96
4.4 Viabilidad de la propuesta
Costos de implementacin
Costes de la implementacin
Los costos nicos iniciales para actualizar y/o complementar diversos controles
existentes para cumplir con la norma. Costes de concienciacin y formacin.
Costo
Costo
97
Costos de Auditora externa para la certificacin
Costo
98
Reduccin de los costos vinculados a los incidentes.
Del mismo modo el numeral 3 del Art. 38 de la referida Ley establece como
infraccin muy grave, entre otras, a. Dar tratamiento a los datos personales
contraviniendo los principios establecidos en la presente Ley o incumpliendo sus
dems disposiciones o las de su Reglamento, cuando con ello se impida o se
atente contra el ejercicio de los derechos fundamentales
99
sancionadas con multa desde ms de cinco unidades impositivas tributarias
(UIT) hasta cincuenta unidades impositivas tributarias. 3. Las infracciones muy
graves son sancionadas con multa desde ms de cincuenta unidades impositivas
tributarias (UIT) hasta cien unidades impositivas tributarias (UIT).
100
Anexo 1: Ficha de validez de la propuesta
CAPTULO V
DISCUSIN
Los sistemas de informacin se han vuelto ms complejos debido a la
globalizacin que tiene por consecuencia que las distancias geogrficas no
supongan un obstculo. De esta forma se tiene que existe una cantidad mayor
de personas que tienen acceso a informacin que podra ser crtica para las
diferentes empresas e instituciones en las que trabajan. En el mundo digital el
riesgo de brechas de seguridad, fugas o prdidas de informacin nunca ha sido
mayor. No slo se ha multiplicado el volumen de informacin en circulacin sino
tambin el nmero de vas en las que la informacin puede ser almacenada y
transferida sin el consentimiento del propietario. A pesar de la mayor
concienciacin sobre los riesgos y amenazas a la seguridad que encaran las
empresas y firmas profesionales de todo el mundo, las brechas de seguridad
estn aumentando y amenazando seriamente la solidez de los negocios y la
privacidad de sus usuarios.
104
institucin, como parte del Sistema Nacional de Salud, debe proceder con el
proceso de implementacin de un Sistema de Gestin de Seguridad de la
Informacin que garantice la Confidencialidad, Integridad y Disponibilidad de la
informacin que se utilice como parte de sus procesos de negocio.
105
Conclusiones
106
Cuarta: La actividad que realiza la institucin y las normas a la cual se
encuentra sujeta en relacin con las historias clnicas, estipula que
la informacin recibida de los pacientes o generada durante la
atencin sea almacenada en formato fsico. Es pertinente acotar
que las medidas actuales de seguridad de estos documentos no
cumplen con los mnimos necesarios, por lo cual se est
proponiendo una digitalizacin de estos.
107
Sugerencias
108
Quinta: La obligacin normativa que especifica que las Historias Clnicas
de los pacientes deben estar almacenadas en formato fsico dado
que son documentos legales no excluye que dichos documentos
puedan ser digitalizados. Iniciar un proyecto de digitalizacin de
estos documentos enfocndose en el archivo activo de la institucin
permitir que se cuente con un respaldo de la informacin de las
mismas que podra ser utilizado en las actividades asistenciales
ms no en cuestiones legales.
109
Referencias bibliogrficas
Deming,E.(2016).ciclodePDCAhttp://datateca.unad.edu.co/contenidos/233003/
modulo/modulo-2online/151_ciclo_pdca__edward_deming.html
110
Marcelo , A., & Osorio, F. (1998). http://www.redalyc.org/. Obtenido de
http://www.redalyc.org/articulo.oa?id=10100306
Peinado, J., Chinga, E., Mendoza, D., Rosas, A., Velsquez, E., Nasarre, C., &
Llanos, F. (2002). http://www.scielo.org.pe/. Obtenido de
http://www.scielo.org.pe/scielo.php?script=sci_arttext&pid=S1726-
4634200200030000
111
Poleo, L. (2009). La holstica y la investigacin. UCSAR, 104-105.
112
Anexos
113
ANEXO 2
DEFINICIN CONCEPTUAL DE LA VARIABLE
114
ANEXO 3
Evidenciar la propuesta a
travs de pilotos a la misma
aplicacin
Metodologa
Sintagma y enfoque Tipo y diseo Mtodo e instrumentos
Holstica Mixto Proyectiva No Analtico deductivo
(cuantitativo y experimental (encuesta y entrevista)
cualitativo)
115
Anexo 4: Ficha de validez de instrumento enfoque cuantitativo
116
Anexo 5: Certificado de validez de contenido del instrumento que mide (ficha vlida solo para cuestionario)
117
118
119
120
121
122
123
124
125
126
127
Anexo 6: Organigrama Estructural del Hospital San Juan de Lurigancho
Figura N14. Organigrama Estructural del Hospital San Juan de Lurigancho Fuente: Hospital San Juan de Lurigancho
128
Anexo 7: Funciones del Servicio de Admisin
Servicio de
Admisin
Admisin de Gestin de
Pacientes Historias Clinicas
Emision de
Generacin de Copias de
Citas Historias Clinicas
Generacion de Recepcion de
Historias Clinicas Referencia
Emision y Emision de
recepcin de Informe Medico
Historias Clinicas
129
Anexo 8: Funciones Consultorios Externos
Consultorios
Externos
Derivacin de los
Registro de los Recepcion de las Medidas programacin a
Pacientes a los
Pacientes Historias clinicas Antropomtricas Cirugia
diferentes Servicios
130
Anexo 9: Situacin actual de infraestructura
Figura N17. Situacin actual de los equipos de cmputo Fuente: Hospital San Juan de Lurigancho
131