PROPUESTA PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACIÓN
Enviado por Angie Paola Hernandez Ortiz • 9 de Marzo de 2018 • Apuntes • 885 Palabras (4 Páginas) • 600 Visitas
PROPUESTA PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACIÓN
CONTEXTUALIZACIÓN
La Nueva Clinica Santo Tomas es una entidad que prestas servicios integrales de salud y alta complejidad. Cuenta con una sede en Valledupar Colombia, la cual brinda a más de 4.000 pacientes, con un grupo aproximadamente de 150 especialistas en las diferentes especialidades y sub especialidades de la medicina. Servicios de atención médicos.
Como institución con vocación formadora, es nuestro compromiso ofrecer un servicio más humano en el cual el paciente se sienta cómodo y nos brinde la confianza para llevar su historial clínico para ser tratado por los mejores especialistas de la región.
INTRODUCCION
La seguridad de la información se ha convertido en uno de los principales objetivos de todas las empresas debido a que se reconoce la información como el activo más valioso para cualquier organización, el asegura la continuidad del negocio. El mundo globalizado, el comercio electrónico, el fácil acceso a la información entre otros aspectos, han permitido obtener la información que se desee de forma inmediata. Estas bondades tecnológicas también han traído consigo vulnerabilidades en los sistemas que ocasionan traumas por el robo de información, acceso indebido y malintencionado a todos los sistemas. Por estas razones es importante estar a la vanguardia en materia de seguridad de la información con el fin de salvaguardar la información que se ha constituido como uno de los activos más valiosos de cualquier compañía, ya sea almacenada de manera física o de manera logica.
La implementación de un sistema de gestión es una decisión estratégica que debe involucrar a toda la organización y que debe ser dirigida y apoyada desde la dirección. Con el fin de garantizar la integridad, disponibilidad y confidencialidad de la información.
PLANTEAMIENTO DEL PROBLEMA
Actualmente la Nueva Clínica Santo Tomas se encuentra en un proceso de implementación de una cultura de calidad en todas sus dependencias, se fijó como meta la consecución de la certificación en seguridad de la información. Haciendo un análisis de los requisitos que deben cumplir las organizaciones para garantizar la seguridad de la información, se encontró que en la Nueva Clínica Santo Tomás existen muchas falencias en lo que respecta a la Seguridad de la información alguna de ellas son: No hay una política de seguridad, no existe formación y capacitación de los funcionarios respecto a los riesgos de seguridad y manejo de la información, no existe una evaluación de amenazas, la red de datos interna es obsoleta, no cuenta con un área o departamento dedicado a la gestión de la Seguridad de la información , tampoco cuentan con un SGSI documentado, ni políticas de seguridad definidas ni divulgadas. Algunas áreas cuentan con procedimientos pero no están centralizados y no se les da un cumplimiento constante, no existen controles para el acceso físico a la infraestructura que almacena los activos de información, ni hay bitácoras de acceso, ni procedimientos de revisión de las mismas, no realizan auditorías periódicas de los sistemas, cuenta con un control de acceso deficiente, entre otros. Es por ello que en estas debilidades, se vio una oportunidad para elaborar esta propuesta para la implementación de un sistema de gestión para la seguridad de la información basado en la ISO 27001 que responda a las necesidades de la clínica, con el fin fortalecer los controles que aseguren la disponibilidad, confidencialidad e integridad de la información de la Nueva Clínica Santo Tomas. Y para administrar los riesgos de seguridad de la información para mantenerlos en niveles aceptables teniendo en cuenta la clasificación de los riesgos e incrementar la capacidad, el desarrollo y buen uso de las tecnologías de información y comunicación. Vale aclarar que En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos, los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas.
se realizó un análisis del estado actual de la NCST en relación a la gestión de la seguridad de la información, el cual sirve como insumo para la propuesta de implementación de un SGSI basado en la norma ISO 27001:2005 que dio como resultado la siguiente tabla de riesgos
Ámbito | Activo | Valor | Valor(pesos col)/hora |
hardware | |||
Computadores | A | $ 25.000.000 | |
Impresoras | B | $ 5.000.000 | |
Portátiles | M | $ 9.000.000 | |
Información | |||
Gestión documental | MA | $50.000.000 | |
Datos de información no institucional | MA | $50.000.000 | |
Datos | |||
Finanzas (SAP) | M | $40.000.000 | |
Directorio de contactos | B | $5.000.000 | |
Red | |||
Equipos de red cableada (router) | M | $15.000.000 | |
Cortafuego (Firewall) | M | $6.000.000 | |
Instalaciones | |||
Edificio (Oficinas, Recepción, Sala de espera, Sala de reunión, Bodega, etc.) | MA | $100.000.000 |
Aquí cabe aclarar que el valor que se observa en el inventario no es el valor comercial de los activos, sino un valor estimado resultado del compendio entre el valor comercial y el valor que el activo posee para la clínica, para cumplir con su misión y visión.
Análisis de amenazas
Una vez definidos los activos y su valor para la organización se debe realizar un análisis que muestre cuales amenazas pueden llegar a afectar a dichos activos, para posteriormente estimar cuán vulnerable es el activo a la materialización de dicha amenaza, así como también a la frecuencia estimada de la misma.
...