Diseño de un SGSI para una empresa del sector salud basado en el estándar ISO 27001:2013
Fecha
2022-01-14
Título de la revista
Publicado en
Publicado por
URL de la fuente
Enlace a contenidos multimedia
ISSN de la revista
Título del volumen
Resumen
En la actualidad convivimos en una era tecnológica que ha generado impactos tanto positivos como negativos a nivel personal y empresarial. La tecnología y la información se han posicionado como uno de los aspectos más importantes a tener en cuenta para las organizaciones, impulsando la innovación, introducción en nuevos mercados, ejecución de tareas internas, CORE de negocio, atracción de nuevos clientes, almacenamiento de información, entre otros. Sin embargo, al contar con sistemas de información cuyo principal movimiento es a través de Internet, genera una brecha a nivel de seguridad exponiendo los activos a nuevas amenazas, riesgos y vulnerabilidades que pueden ser explotadas por terceros malintencionados.
Teniendo en cuenta lo anterior, este documento toma como referencia una empresa tecnológica del sector salud, la cual tiene como prioridad brindar una buena administración de la información que se genera teniendo en cuenta aspectos de confidencialidad sobre los datos de los pacientes, historial clínico, enfermedades, nueva medicina, fórmulas, entre otros. Es por esto, que se realizó el diseño de un Sistema de Gestión de Seguridad de la Información cuyo principal objetivo es garantizar los tres pilares de la información: confidencialidad, integridad y disponibilidad.
Inicialmente, se realizó un levantamiento de información relacionando los activos tecnológicos de la organización, uso de los recursos informáticos, estado actual en términos de seguridad y los principales procesos que se manejan internamente, teniendo como resultado falta de controles que garanticen el correcto uso y acceso a la información por los colaboradores de la organización. Posteriormente, se realizó un estudio de vulnerabilidades a través, de un análisis GAP basados en el anexo A del estándar ISO 27001:2013, donde se identificó el grado de cumplimiento de la organización con respecto a los lineamientos que establece la norma, obteniendo como resultado una comparación del estado actual en el que se encuentra la empresa con respecto a lo esperado o ideal en cuanto a seguridad de la información.
Así mismo, a través del levantamiento de información se identificó la estructura organizacional y los activos tecnológicos de la empresa, referenciando los diferentes recursos tecnológicos que se utilizan para poder garantizar la prestación de sus servicios, teniendo en cuenta características principales, fabricante, modelo, propietario y funcionalidad de este. De esta manera, se pudo diseñar la topología de red, especificando los equipos, la distribución de las diversas áreas, direccionamiento y segmentación de direcciones IP de cada una, esquema de redundancia, capacidad e Internet.
Por otro lado, teniendo en cuenta las brechas de seguridad identificadas con el levantamiento de información y análisis de vulnerabilidades, se evidenció que no se contaban con controles ni políticas de seguridad que garantizaran el correcto uso de la información por parte de los colaboradores de la compañía, es por esto que, basados en las buenas prácticas del estándar ISO27001 del 2013 se diseñaron las políticas de seguridad en donde se definieron los lineamientos generales, alcance, roles y responsabilidades necesarias para preservar y garantizar la protección y seguridad de la información de la organización.
Basados en la estructura organizacional actual de la organización, se evidenció la necesidad de crear el área de seguridad de la información, la cual se encarga de velar por el cumplimiento del SGSI alineado con los objetivos de la empresa, implementando, supervisando y garantizando el cumplimiento de las políticas de seguridad establecidas.
Finalmente, con la información recopilada en el presente estudio, se entrega a la empresa las recomendaciones, hallazgos, planes de acción a tomar y una matriz de riesgos en donde se expone lo que se tiene actualmente, lo que se está cumpliendo y que se debería implementar de acuerdo con las brechas de seguridad a las cuales está expuesta la organización, quedando a disposición de la alta gerencia para que determine sus prioridades en la implementación.
Descripción
Abstract
Today we live in a technological era that has generated both positive and negative impacts at a personal and business level. Technology and information have positioned themselves as one of the most important aspects to take into account for organizations, driving innovation, introduction into new markets, execution of internal tasks, business CORE, attracting new customers, information storage, among others. However, having information systems whose main movement is through the Internet, generates a security breach exposing the assets to new threats, risks and vulnerabilities that can be exploited by malicious third parties.
Taking into account the above, this document takes as a reference a technological company in the health sector, which has as a priority to provide a good management of the information that is generated taking into account aspects of confidentiality of patient data, clinical history, diseases, new medicine, formulas, among others. For this reason, an Information Security Management System was designed with the main objective of guaranteeing the three pillars of information: confidentiality, integrity and availability.
Initially, an information survey was carried out relating the technological assets of the organization, use of computer resources, current status in terms of security and the main processes that are handled internally, resulting in a lack of controls to ensure the proper use and access to information by employees of the organization. Subsequently, a study of vulnerabilities was conducted through a GAP analysis based on Annex A of the ISO 27001:2013 standard, where the degree of compliance of the organization with respect to the guidelines established by the standard was identified, resulting in a comparison of the current state in which the company is with respect to the expected or ideal in terms of information security.
Likewise, through the information survey, the organizational structure and the technological assets of the company were identified, referencing the different technological resources used to guarantee the provision of its services, taking into account their main characteristics, manufacturer, model, owner and functionality. In this way, it was possible to design the network topology, specifying the equipment, the distribution of the different areas, addressing and segmentation of IP addresses of each one, redundancy scheme, capacity and Internet.
On the other hand, taking into account the security gaps identified with the information gathering and vulnerability analysis, it was evidenced that there were no security controls or policies to ensure the correct use of information by the company's employees, which is why, based on the good practices of the ISO27001 standard of 2013, security policies were designed where the general guidelines, scope, roles and responsibilities necessary to preserve and ensure the protection and security of the organization's information were defined.
Based on the current organizational structure of the organization, it became evident the need to create the information security area, which is responsible for ensuring compliance with the ISMS aligned with the objectives of the company, implementing, monitoring and ensuring compliance with established security policies.
Finally, with the information gathered in this study, the company is provided with recommendations, findings, action plans to be taken and a risk matrix where what is currently in place, what is being complied with and what should be implemented according to the security breaches to which the organization is exposed, is presented to senior management to determine their priorities for implementation.
Palabras clave
Políticas de seguridad, Disponibilidad, Integridad, Confidencialidad
Keywords
Security policies, Availability, Integrity, Confidentiality