Diseño de un SGSI para una empresa del sector salud basado en el estándar ISO 27001:2013

En la actualidad convivimos en una era tecnológica que ha generado impactos tanto positivos como negativos a nivel personal y empresarial. La tecnología y la información se han posicionado como uno de los aspectos más importantes a tener en cuenta para las organizaciones, impulsando la innovación, i...

Full description

Autores:
Carreño Balcázar, Ivonne Tatiana
Mendoza Cabrejo, Sebastián
Montañez Usme, Mateo Simón José
Tipo de recurso:
Trabajo de grado de pregrado
Fecha de publicación:
2022
Institución:
Universidad El Bosque
Repositorio:
Repositorio U. El Bosque
Idioma:
spa
OAI Identifier:
oai:repositorio.unbosque.edu.co:20.500.12495/6580
Acceso en línea:
http://hdl.handle.net/20.500.12495/6580
Palabra clave:
Políticas de seguridad
Disponibilidad
Integridad
Confidencialidad
621.3820289
Security policies
Availability
Integrity
Confidentiality
Control de calidad
Calidad total
Administración
Rights
openAccess
License
Atribución-NoComercial-CompartirIgual 4.0 Internacional
Description
Summary:En la actualidad convivimos en una era tecnológica que ha generado impactos tanto positivos como negativos a nivel personal y empresarial. La tecnología y la información se han posicionado como uno de los aspectos más importantes a tener en cuenta para las organizaciones, impulsando la innovación, introducción en nuevos mercados, ejecución de tareas internas, CORE de negocio, atracción de nuevos clientes, almacenamiento de información, entre otros. Sin embargo, al contar con sistemas de información cuyo principal movimiento es a través de Internet, genera una brecha a nivel de seguridad exponiendo los activos a nuevas amenazas, riesgos y vulnerabilidades que pueden ser explotadas por terceros malintencionados. Teniendo en cuenta lo anterior, este documento toma como referencia una empresa tecnológica del sector salud, la cual tiene como prioridad brindar una buena administración de la información que se genera teniendo en cuenta aspectos de confidencialidad sobre los datos de los pacientes, historial clínico, enfermedades, nueva medicina, fórmulas, entre otros. Es por esto, que se realizó el diseño de un Sistema de Gestión de Seguridad de la Información cuyo principal objetivo es garantizar los tres pilares de la información: confidencialidad, integridad y disponibilidad. Inicialmente, se realizó un levantamiento de información relacionando los activos tecnológicos de la organización, uso de los recursos informáticos, estado actual en términos de seguridad y los principales procesos que se manejan internamente, teniendo como resultado falta de controles que garanticen el correcto uso y acceso a la información por los colaboradores de la organización. Posteriormente, se realizó un estudio de vulnerabilidades a través, de un análisis GAP basados en el anexo A del estándar ISO 27001:2013, donde se identificó el grado de cumplimiento de la organización con respecto a los lineamientos que establece la norma, obteniendo como resultado una comparación del estado actual en el que se encuentra la empresa con respecto a lo esperado o ideal en cuanto a seguridad de la información. Así mismo, a través del levantamiento de información se identificó la estructura organizacional y los activos tecnológicos de la empresa, referenciando los diferentes recursos tecnológicos que se utilizan para poder garantizar la prestación de sus servicios, teniendo en cuenta características principales, fabricante, modelo, propietario y funcionalidad de este. De esta manera, se pudo diseñar la topología de red, especificando los equipos, la distribución de las diversas áreas, direccionamiento y segmentación de direcciones IP de cada una, esquema de redundancia, capacidad e Internet. Por otro lado, teniendo en cuenta las brechas de seguridad identificadas con el levantamiento de información y análisis de vulnerabilidades, se evidenció que no se contaban con controles ni políticas de seguridad que garantizaran el correcto uso de la información por parte de los colaboradores de la compañía, es por esto que, basados en las buenas prácticas del estándar ISO27001 del 2013 se diseñaron las políticas de seguridad en donde se definieron los lineamientos generales, alcance, roles y responsabilidades necesarias para preservar y garantizar la protección y seguridad de la información de la organización. Basados en la estructura organizacional actual de la organización, se evidenció la necesidad de crear el área de seguridad de la información, la cual se encarga de velar por el cumplimiento del SGSI alineado con los objetivos de la empresa, implementando, supervisando y garantizando el cumplimiento de las políticas de seguridad establecidas. Finalmente, con la información recopilada en el presente estudio, se entrega a la empresa las recomendaciones, hallazgos, planes de acción a tomar y una matriz de riesgos en donde se expone lo que se tiene actualmente, lo que se está cumpliendo y que se debería implementar de acuerdo con las brechas de seguridad a las cuales está expuesta la organización, quedando a disposición de la alta gerencia para que determine sus prioridades en la implementación.