PUBLICACIONES
Índice
Computación e Informática
Las implementaciones de las normas de seguridad de la información: estudio
de caso la Sociedad de Lucha Contra el Cáncer del Ecuador .…….................I
Marcos Caiza-Acero
Francisco Bolaños-Burgos
Depth of field simulation for still digital images using a 3D camera ...................II
Omar Alejandro Rodríguez Rosas
Electrónica
Gestión del tiempo ocioso dinámico para ajustar el consumo de energía en
tareas de tiempo real integrando control multifrecuencia ..................................III
Alfonso Salvador Alfonsi Sebastiani
Jesús Alberto Pérez Rodríguez
Emery Richard Dunia Amair
Esta obra está bajo una licencia de Creative Commons
Reconocimiento-NoComercial-CompartirIgual 2.5 México.
COMPUTACIÓN E INFORMÁTICA
ReCIBE, Año 3 No.3, Noviembre 2014
implementaciones de
Las
las normas de
seguridad de la información: estudio de caso la
Sociedad de Lucha Contra el Cáncer del Ecuador
Marcos Caiza-Acero
Facultad de Sistemas, Telecomunicaciones y Electrónica
Universidad Espíritu Santo - Ecuador
[email protected]
Francisco Bolaños-Burgos
Facultad de Sistemas, Telecomunicaciones y Electrónica
Universidad Espíritu Santo - Ecuador
[email protected]
Resumen: El presente artículo muestra el análisis y la justificación de selección
de una de las Normas de seguridad de la información: ISO 27002, COBIT e ITIL
para ser implementada en el departamento de sistemas de la Sociedad de
Lucha Contra el Cáncer del Ecuador (S.O.L.C.A). El dominio que se analizará
es el físico y refleja que el hospital tiene un alto porcentaje de incumplimiento
en los controles de protección contra amenzas externas y del medio ambiente
así como el de seguridad en la reutilización o eliminación de equipos. Debido
a esto, se propone un presupuesto para que se cumplan dichos controles.
Finalmente se hacen recomendaciones para que la norma sea implementada
en su totalidad en el departamento y luego en la institución.
Palabras claves: SOLCA, normas de seguridad, norma ISO 27002.
The implementations of information security standards: a
study of case the Sociedad de Lucha Contra el Cáncer del
Ecuador
Abstract: This article shows the analysis and the justification for the selection of
one of the information security standards: ISO 27002, COBIT e ITIL to be
implemented in the IT department of la Sociedad de Lucha Contra el Cáncer
del Ecuador (S.O.L.C.A). The domain to be analyzed is the physical and
portrays that the hospital has a high non compliance porcentaje in the controls
of protection against external threats and the enviroment as well as the security
in the reuse or disposal of equiments. Due to this, a budget is presented in order
to comply with this controls. Finally recommendations are given for the
implementation of the standard on its overview in the department and later in
the institution.
Keywords: SOLCA, information seurity standards, standardISO 27002.
1. Introducción
En la actualidad las tecnologías de la información (TI) han evolucionado a lo
largo de la sociedad ecuatoriana, generando múltiples beneficios para grandes
y pequeñas organizaciones. Uno de los sectores que se ha beneficiado es el
hospitalario, ya que con las TI se ha podido ayudar a muchos pacientes a
combatir los tipos de enfermedades que existen en la actualidad. Por tal motivo
la seguridad física de los recursos tecnológicos es importante, ya que ayuda a
que las historias clínicas de los pacientes estén disponibles en el momento que
se requiera y se pueda realizar el respectivo tratamiento (Vidal, García, &
Cazes, 2009).
En el caso particular del Hospital de SOLCA, los recursos tecnológicos son una
herramienta fundamental para el trabajo diario, porque se necesita visualizar la
información de los pacientes y así poder determinar un tratamiento oncológico
específico. (Huayamabe, 2014).
Por lo antes mencionado, es de vital de importancia que el centro hospitalario
cuente con la implementación de una norma de seguridad de la información ya
que en la actualidad no posee ningún estándar en esta área. Por lo tanto, el
objetivo de este paper es mostrar el grado de cumplimiento de la norma
seleccionada referente al dominio de la seguridad física. Para luego proponer
estrategias con el fin de disminuir el grado de incumplimiento encontrado. Por
razones de confidencialidad no se mostrará los antecedentes de la unidad de
análisis.
El presente artículo está estructurado de la siguiente manera: La sección 2 es
el marco teórico, el cual describe y define las generalidades del tema, la
seguridad de la información, la seguridad física y las normas de seguridad. La
sección 3 trata el análisis de la caracterización de las metodologías de las
normas ISO 27002, COBIT e ITIL y luego justifica la selección de una de ellas.
La sección 4 modela la propuesta de implementación que muestra paso a paso
la implementación de los controles del dominio físico. La sección 5 cubre el
análisis de cumplimiento, donde se propone el presupuesto y un análisis
general del cumplimiento de los controles con base en la propuesta de
implementación y finalmente en la sección 6 detalla las conclusiones,
limitaciones y trabajos futuros.
2. Marco Teórico
2.1 Generalidades
En la actualidad las organizaciones tienen la necesidad de valerse de los
sistemas de información, los mismos que son utilizados para almacenar,
procesar y distribuir la información, con la finalidad de apoyar a la alta gerencia
a la toma de decisiones. Según Tovar (2009) la información es un conjunto de
datos organizados de tal modo que adquiere un valor adicional más allá del
propio.
Es por eso que esta se ha convertido en uno de los principales recursos para
las compañías, ya sean estas públicas o privadas. Por tal motivo, se enfrenta a
una gran variedad de riesgos e inseguridades en los sistemas de información
poniendo en peligro la continuidad del negocio. Ante éste escenario es
importante que
las organizaciones evalúen
los riesgos y constituyan
estándares y controles adecuados para asegurar
la protección de
la
información. (Areitio, 2008).
Por otro lado es importante tener en cuenta lo fundamental que es la
información para las organizaciones y en muchos casos no se le presta la
atención necesaria a diferentes sucesos que puedan ocurrir con la información
sensible del negocio. Además la globalización de la economía conduce a que
esta sea considerada un activo no cuantificado, ya que el intercambio de la
misma entre empleados, clientes y proveedores es fundamental para el
funcionamiento del negocio. (Carvajal, 2013).
2.2 Seguridad de la Información
La seguridad de la información tiene como objetivo proteger la información de
una organización, en cualquier lugar que se encuentre localizada. (Mifsud,
2012) La seguridad de la información tiene cuatro principios fundamentales que
son:
Confidencialidad: Previene la divulgación de información no autorizada a
personas o sistemas de información. Un ejemplo son los mecanismos
criptográficos, que sirven para cifrar o encriptar la información, para que no
esté comprensible a aquellos usuarios que no tienen autorización.
Integridad: Garantiza que la información no sea alterada. Un ejemplo son los
controles implantados en el software que impiden la duplicidad de la historia
clínica de los pacientes.
Disponibilidad: Asegura que el servicio no sea interrumpido. Un ejemplo son
los sitios web.
Registro: Crea una evidencia física de los eventos que se dan en un medio
informático. Un ejemplo es un log de un firewall.
2.3 Seguridad Física
Lawrence & Butterworth (1997) mencionan que la seguridad física es la
“aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información
confidencial”. Entre las principales amenazas de un sistema informático están
los incendios, terremotos, inundaciones los cuales conllevan a consecuencias
catastróficas para la institución. También se presentan amenazas que son
ocasionadas por el hombre y estas pueden ser sabotajes internos o externos
La seguridad física también se enfoca en la aplicación de procedimientos de
control y barreras físicas, la cual está relacionada con todo el hardware que
está siendo utilizado por la institución para el manejo de la información, lo que
incluye a los dispositivos conocidos de almacenamiento y medios de acceso
remoto. Además otras medidas de seguridad deberán ser evaluadas para su
posible implementación de controles de seguridad física de TI para las
compañías. (27002, Controles de ISO/IEC, s.f.).
La siguiente figura muestra los parámetros a considerar en la seguridad física
de TI según la empresa Business Solutions, compañía líder en integraciones
de seguridad.
Figura 1. Descripción de la Seguridad Física de TI
Fuente: Monterrey, N.L., México. Soluciones de Tecnología de Información.
Global Business Solution empresa especializada en
la
integración de
soluciones de seguridad.
2.4 Normas de seguridad
Según Martinez (2010) las normas son un conjunto de reglas, lineamientos,
Comentarios de: Recibe vol3 no3 (0)
No hay comentarios