Análisis de vulnerabilidades en seguridad informática para la infraestructura tecnológica central de un sistema RIS-PACS

Resumen

Este documento tiene como objetivo identificar las diferentes vulnerabilidades que afectan la seguridad de la información de un sistema RIS-PACS en un entorno productivo, brindando una serie de recomendaciones a nivel de infraestructura y roles involucrados en la ejecución del sistema en mención. Para el funcionamiento del aplicativo se ven involucrados servidores con diferentes roles, los cuales aumentan las brechas de seguridad teniendo en cuenta que se basa en la funcionalidad y usabilidad del mismo, dejando de lado la seguridad de la información de los usuarios y/o pacientes. Por esta razón surge la necesidad de analizar y sugerir mejoras a implementar en el sistema, con el fin de mitigar las brechas de seguridad existentes. Mediante el uso de software libre se realizó un análisis de puertos y vulnerabilidades de los servidores que componen la infraestructura central del sistema, junto con algunas prácticas para simular ataques en un entorno de pruebas, con el fin de demostrar los riesgos a los cuales se encuentra expuesto los servidores y alcance de un ataque en el caso de que sea efectivo.

Descripción

Abstract

The purpose of this document is to identify the different vulnerabilities that affect the information security of a RIS-PACS system in a production environment, providing some recommendations for the infrastructure and roles involved in the execution of the system. For the application usage, servers with different roles are involved, which increase security gaps considering since it is based on its functionality and usability, leaving aside the security of users and patients’ information. For this reason, the need arises to analyze and suggest improvements to be implemented in the system, to mitigate existing security gaps. Using free software, we made an analysis of ports and vulnerabilities of those servers that belong to the central infrastructure of the system, with some practices to simulate attacks in a test environment, to demonstrate the risks to which the servers are exposed to and how this attack could impact the system if the attack completes.

Palabras clave

Directorio Activo, Vulnerabilidad, Aplicaciones, Test, CVE, Disponibilidad, Confidencialidad, Integridad, políticas, IP, SQL

Keywords

Active Directory, Vulnerability, Applications, Test, CVE, Availability, Confidentiality, Integrity, policies, IP, SQL

Temáticas

Citación