PDF de programación - Recibe vol3 no3

PUBLICACIONES


Índice



Computación e Informática

Las implementaciones de las normas de seguridad de la información: estudio

de caso la Sociedad de Lucha Contra el Cáncer del Ecuador .…….................I

Marcos Caiza-Acero

Francisco Bolaños-Burgos



Depth of field simulation for still digital images using a 3D camera ...................II

Omar Alejandro Rodríguez Rosas



Electrónica


Gestión del tiempo ocioso dinámico para ajustar el consumo de energía en

tareas de tiempo real integrando control multifrecuencia ..................................III

Alfonso Salvador Alfonsi Sebastiani

Jesús Alberto Pérez Rodríguez

Emery Richard Dunia Amair



Esta obra está bajo una licencia de Creative Commons

Reconocimiento-NoComercial-CompartirIgual 2.5 México.



COMPUTACIÓN E INFORMÁTICA

ReCIBE, Año 3 No.3, Noviembre 2014



implementaciones de

Las
las normas de
seguridad de la información: estudio de caso la
Sociedad de Lucha Contra el Cáncer del Ecuador


Marcos Caiza-Acero
Facultad de Sistemas, Telecomunicaciones y Electrónica
Universidad Espíritu Santo - Ecuador
[email protected]


Francisco Bolaños-Burgos
Facultad de Sistemas, Telecomunicaciones y Electrónica
Universidad Espíritu Santo - Ecuador
[email protected]



Resumen: El presente artículo muestra el análisis y la justificación de selección

de una de las Normas de seguridad de la información: ISO 27002, COBIT e ITIL

para ser implementada en el departamento de sistemas de la Sociedad de

Lucha Contra el Cáncer del Ecuador (S.O.L.C.A). El dominio que se analizará

es el físico y refleja que el hospital tiene un alto porcentaje de incumplimiento

en los controles de protección contra amenzas externas y del medio ambiente

así como el de seguridad en la reutilización o eliminación de equipos. Debido

a esto, se propone un presupuesto para que se cumplan dichos controles.

Finalmente se hacen recomendaciones para que la norma sea implementada

en su totalidad en el departamento y luego en la institución.

Palabras claves: SOLCA, normas de seguridad, norma ISO 27002.

The implementations of information security standards: a
study of case the Sociedad de Lucha Contra el Cáncer del
Ecuador



Abstract: This article shows the analysis and the justification for the selection of

one of the information security standards: ISO 27002, COBIT e ITIL to be

implemented in the IT department of la Sociedad de Lucha Contra el Cáncer

del Ecuador (S.O.L.C.A). The domain to be analyzed is the physical and

portrays that the hospital has a high non compliance porcentaje in the controls

of protection against external threats and the enviroment as well as the security

in the reuse or disposal of equiments. Due to this, a budget is presented in order

to comply with this controls. Finally recommendations are given for the

implementation of the standard on its overview in the department and later in

the institution.

Keywords: SOLCA, information seurity standards, standardISO 27002.



1. Introducción

En la actualidad las tecnologías de la información (TI) han evolucionado a lo

largo de la sociedad ecuatoriana, generando múltiples beneficios para grandes

y pequeñas organizaciones. Uno de los sectores que se ha beneficiado es el

hospitalario, ya que con las TI se ha podido ayudar a muchos pacientes a

combatir los tipos de enfermedades que existen en la actualidad. Por tal motivo

la seguridad física de los recursos tecnológicos es importante, ya que ayuda a

que las historias clínicas de los pacientes estén disponibles en el momento que

se requiera y se pueda realizar el respectivo tratamiento (Vidal, García, &

Cazes, 2009).

En el caso particular del Hospital de SOLCA, los recursos tecnológicos son una

herramienta fundamental para el trabajo diario, porque se necesita visualizar la

información de los pacientes y así poder determinar un tratamiento oncológico

específico. (Huayamabe, 2014).

Por lo antes mencionado, es de vital de importancia que el centro hospitalario

cuente con la implementación de una norma de seguridad de la información ya

que en la actualidad no posee ningún estándar en esta área. Por lo tanto, el

objetivo de este paper es mostrar el grado de cumplimiento de la norma

seleccionada referente al dominio de la seguridad física. Para luego proponer

estrategias con el fin de disminuir el grado de incumplimiento encontrado. Por

razones de confidencialidad no se mostrará los antecedentes de la unidad de

análisis.

El presente artículo está estructurado de la siguiente manera: La sección 2 es

el marco teórico, el cual describe y define las generalidades del tema, la

seguridad de la información, la seguridad física y las normas de seguridad. La

sección 3 trata el análisis de la caracterización de las metodologías de las

normas ISO 27002, COBIT e ITIL y luego justifica la selección de una de ellas.

La sección 4 modela la propuesta de implementación que muestra paso a paso

la implementación de los controles del dominio físico. La sección 5 cubre el

análisis de cumplimiento, donde se propone el presupuesto y un análisis

general del cumplimiento de los controles con base en la propuesta de

implementación y finalmente en la sección 6 detalla las conclusiones,

limitaciones y trabajos futuros.



2. Marco Teórico

2.1 Generalidades

En la actualidad las organizaciones tienen la necesidad de valerse de los

sistemas de información, los mismos que son utilizados para almacenar,

procesar y distribuir la información, con la finalidad de apoyar a la alta gerencia

a la toma de decisiones. Según Tovar (2009) la información es un conjunto de

datos organizados de tal modo que adquiere un valor adicional más allá del

propio.

Es por eso que esta se ha convertido en uno de los principales recursos para

las compañías, ya sean estas públicas o privadas. Por tal motivo, se enfrenta a

una gran variedad de riesgos e inseguridades en los sistemas de información

poniendo en peligro la continuidad del negocio. Ante éste escenario es

importante que

las organizaciones evalúen

los riesgos y constituyan

estándares y controles adecuados para asegurar

la protección de

la

información. (Areitio, 2008).

Por otro lado es importante tener en cuenta lo fundamental que es la

información para las organizaciones y en muchos casos no se le presta la

atención necesaria a diferentes sucesos que puedan ocurrir con la información

sensible del negocio. Además la globalización de la economía conduce a que

esta sea considerada un activo no cuantificado, ya que el intercambio de la

misma entre empleados, clientes y proveedores es fundamental para el

funcionamiento del negocio. (Carvajal, 2013).

2.2 Seguridad de la Información

La seguridad de la información tiene como objetivo proteger la información de

una organización, en cualquier lugar que se encuentre localizada. (Mifsud,

2012) La seguridad de la información tiene cuatro principios fundamentales que

son:

Confidencialidad: Previene la divulgación de información no autorizada a

personas o sistemas de información. Un ejemplo son los mecanismos

criptográficos, que sirven para cifrar o encriptar la información, para que no

esté comprensible a aquellos usuarios que no tienen autorización.

Integridad: Garantiza que la información no sea alterada. Un ejemplo son los

controles implantados en el software que impiden la duplicidad de la historia

clínica de los pacientes.

Disponibilidad: Asegura que el servicio no sea interrumpido. Un ejemplo son

los sitios web.

Registro: Crea una evidencia física de los eventos que se dan en un medio

informático. Un ejemplo es un log de un firewall.

2.3 Seguridad Física

Lawrence & Butterworth (1997) mencionan que la seguridad física es la

“aplicación de barreras físicas y procedimientos de control, como medidas de

prevención y contramedidas ante amenazas a los recursos e información

confidencial”. Entre las principales amenazas de un sistema informático están

los incendios, terremotos, inundaciones los cuales conllevan a consecuencias

catastróficas para la institución. También se presentan amenazas que son

ocasionadas por el hombre y estas pueden ser sabotajes internos o externos

La seguridad física también se enfoca en la aplicación de procedimientos de

control y barreras físicas, la cual está relacionada con todo el hardware que

está siendo utilizado por la institución para el manejo de la información, lo que

incluye a los dispositivos conocidos de almacenamiento y medios de acceso

remoto. Además otras medidas de seguridad deberán ser evaluadas para su

posible implementación de controles de seguridad física de TI para las

compañías. (27002, Controles de ISO/IEC, s.f.).

La siguiente figura muestra los parámetros a considerar en la seguridad física

de TI según la empresa Business Solutions, compañía líder en integraciones

de seguridad.

Figura 1. Descripción de la Seguridad Física de TI

Fuente: Monterrey, N.L., México. Soluciones de Tecnología de Información.

Global Business Solution empresa especializada en

la

integración de



soluciones de seguridad.

2.4 Normas de seguridad

Según Martinez (2010) las normas son un conjunto de reglas, lineamientos,