Tarea 2 - Creación del Plan Director de Seguridad

docx

School

St. Petersburg College *

*We aren’t endorsed by this school

Course

2020

Subject

Arts Humanities

Date

Nov 24, 2024

Type

docx

Pages

21

Uploaded by PresidentGalaxy634

Report
CREACIÓN DEL PLAN DIRECTOR DE SEGURIDAD JHON JAIRO SIERRA CASTRO DASHELL ALEXANDER CARRERO FUENTES JUAN ALEXANDER VARGAS RAMOS CRISTIAN DAVID TELLEZ AREVALO CRISTIAN CHAVES SALDAÑA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA 2023 1
CREACIÓN DEL PLAN DIRECTOR DE SEGURIDAD JHON JAIRO SIERRA CASTRO DASHELL ALEXANDER CARRERO FUENTES JUAN ALEXANDER VARGAS RAMOS CRISTIAN DAVID TELLEZ AREVALO CRISTIAN CHAVES SALDAÑA CHISTIAN ANGULO RIVERA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA 2023 CONTENIDO 2
pág. INTRODUCCIÓN ................................................................................................................. 4 OBJETIVOS ............................................................................................................................ 6 1.1 OBJETIVOS GENERAL .................................................................................................. 6 1.2 OBJETIVOS ESPECÍFICOS ............................................................................................ 6 3. DESARROLLO DEL TRABAJO ......................................................................................... 7 3.1 Conocer la situación actual de la organización tomando como referencia el análisis de brecha - GAP ISO27001 ............................................................................................................................ 7 3.2 Conocer o definir la estrategia de seguridad de la organización ............................................. 13 3.3 Definir y priorizar proyectos o iniciativas de seguridad (Mínimo 5 proyectos) ..................... 13 1 Estrategia de capacitación, sensibilización y divulgación de seguridad de la información. .......................................................................................................................... 13 2 Despliegue de Soluciones de Encriptación de Datos en Salud Integral. ..................... 14 3 Implementar Monitoreo de Red en Salud Integral. ...................................................... 15 4 Evaluación Regular de seguridad ................................................................................ 15 5 autenticación de dos factores ....................................................................................... 17 BIBLIOGRAFÍA .................................................................................................................. 19 3
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
INTRODUCCIÓN En un mundo caracterizado por la creciente digitalización de la información y la necesidad inquebrantable de salvaguardar datos sensibles, la protección de la información se ha vuelto un pilar fundamental en todas las industrias. En particular, en el ámbito de la atención médica, la confidencialidad y seguridad de los datos son esenciales para garantizar la integridad de la atención al paciente y mantener la confianza en las instituciones de salud. Este trabajo tiene como objetivo presentar la propuesta de implementar un proyecto basado en GAP ISO 27001 en una empresa ficticia llamada Salud Integral, dedicada al cuidado y manejo de datos de salud. La empresa Salud Integral se encuentra en una encrucijada crítica en la era de la información, donde los desafíos relacionados con la seguridad de los datos se multiplican día a día. La implementación de GAP ISO 27001 representa una solución integral para abordar estos desafíos y garantizar la seguridad de la información, desde los datos médicos de los pacientes hasta la gestión eficiente de procesos administrativos y operativos. Este trabajo explorará los motivos, beneficios y desafíos de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en GAP ISO 27001 en Salud Integral. A través de un análisis detallado, se destacarán los aspectos clave de este proceso y se presentarán argumentos sólidos que respaldan la necesidad imperante de llevar a cabo esta iniciativa. En resumen, este trabajo pretende ser un llamado a la acción para Salud Integral, instándola a adoptar una estrategia proactiva en materia de seguridad de la información. La implementación de GAP ISO 27001 no solo protegerá los datos vitales de salud de los pacientes, sino que también consolidará la posición de la empresa como un líder confiable y comprometido con la calidad de la atención médica y la seguridad de la información en el siglo XXI. 4
Justificación En la actualidad, la protección de la información sensible se ha convertido en un imperativo ineludible, especialmente en el ámbito de la salud y el bienestar, donde la confidencialidad de los datos es de suma importancia. En este contexto, surge la necesidad imperante de implementar un proyecto basado en GAP ISO 27001 en nuestra organización, Salud Integral, una empresa dedicada al cuidado y manejo de datos de salud. Salud Integral tiene la responsabilidad de salvaguardar la información médica y personal de nuestros pacientes. La implementación de GAP ISO 27001 es una medida crucial para garantizar que nuestros sistemas y prácticas estén a la altura de los más altos estándares de seguridad de la información. En el ámbito de la atención médica, el cumplimiento con regulaciones de privacidad de datos, como la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA), no es una opción, sino una obligación Un SGSI eficiente simplifica la gestión de riesgos y la toma de decisiones relacionadas con la seguridad. Esto puede mejorar la eficiencia operativa en todos los niveles de la organización, lo que nos permite centrarnos en nuestra misión principal: brindar atención médica de calidad. Además, la planificación de la continuidad del negocio y la gestión de incidentes nos preparan para enfrentar desafíos inesperados y garantizar la continuidad de nuestras operaciones. En resumen, la implementación de GAP ISO 27001 en Salud Integral no es solo una medida proactiva, sino un imperativo ético y estratégico. No solo resguarda la seguridad de los datos de salud de nuestros pacientes, sino que también fortalece nuestro cumplimiento normativo, mejora la confianza de las partes interesadas y promueve una operación más eficiente. Es una inversión en la calidad de la atención médica y en la protección de la privacidad de nuestros pacientes, cuyos beneficios trascienden a largo plazo. 5
OBJETIVOS 1.1 OBJETIVOS GENERAL Conocer en que consiste un plan director de seguridad y crearlo para la organización seleccionada (Salud Integral). 1.2 OBJETIVOS ESPECÍFICOS - Definir y priorizar proyectos en materia de seguridad de la información según las necesidades de la entidad seleccionada. - Analizar la importancia de la creación e implementación de un plan director de seguridad - Entender los Sistemas Gestión de la Seguridad de la Información, que permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. 6
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
3. DESARROLLO DEL TRABAJO Descripción de la empresa: La compañía SALUD INTEGRAL , Es una empresa legalmente constituida y pertenece al sector salud colombiano, la cual tiene una categoría de Entidad Promotora de Salud (EPS), su responsabilidad parte de la afiliación y registros de afiliados, pasando por el recaudo y compensación de los aportes al Sistema General de Seguridad Social en Salud (SGSSS). Se caracteriza por su enfoque en la previsión y oportunidad en los servicios de salud, pensando siempre en el bienestar de sus afiliados gestionando de forma eficaz, con calidad y seguridad las necesidades de usuarios internos y externos. 3.1 CONOCER LA SITUACIÓN ACTUAL DE LA ORGANIZACIÓN TOMANDO COMO REFERENCIA EL ANÁLISIS DE BRECHA - GAP ISO27001 ISO 27001 es una norma internacionalmente reconocida para Sistemas de Gestión de Seguridad de la Información (SGSI). Proporciona un enfoque sistemático para que las organizaciones administren y protejan su información confidencial. "GAP" en este contexto probablemente se refiere a un "Análisis de Brechas". Un Análisis de Brechas en el contexto de ISO 27001 implica evaluar las prácticas actuales de seguridad de la información de una organización y compararlas con los requisitos establecidos en la norma ISO 27001. Esto ayuda a identificar las brechas o áreas en las que la organización no cumple con los requisitos de la norma. Una vez que se identifican estas brechas, la organización puede desarrollar un plan de acción para abordarlas y trabajar hacia la certificación ISO 27001. 7
Se toman como referencia algunos conocimientos básicos en la implementación de los Sistemas de Gestión a la seguridad de la información, los cuales son perceptibles como usuario de la compañía en que se basa el estudio. Requerimientos ISO 27001 La implementación de ISO 27001 implica seguir una serie de pasos y requisitos clave para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo en una organización. Estos son los requisitos principales: 1. Compromiso de la Alta Dirección: El liderazgo de la alta dirección es fundamental. La alta dirección debe demostrar su compromiso con la seguridad de la información y asignar responsabilidades claras. 2. Alcance del SGSI: Definir claramente el alcance del SGSI, es decir, qué activos de información están incluidos y cuáles están excluidos. 3. Análisis de Riesgos: Identificar y evaluar los riesgos de seguridad de la información que enfrenta la organización. Esto implica identificar amenazas, vulnerabilidades y evaluar el impacto. 4. Políticas y Procedimientos: Desarrollar políticas, procedimientos y controles de seguridad de la información que se ajusten a los requisitos de ISO 27001. 5. Planificación de Contingencia: Establecer planes de contingencia para hacer frente a incidentes de seguridad de la información y asegurarse de que la organización pueda recuperarse de ellos. 8
6. Educación y Concienciación: Proporcionar capacitación y concienciación en seguridad de la información a los empleados para que estén al tanto de las políticas y procedimientos. 7. Control de Documentación: Gestionar de manera efectiva la documentación relacionada con la seguridad de la información, como políticas, procedimientos y registros. 8. Evaluación de Riesgos Continua: La organización debe monitorear y revisar de forma continua la efectividad de los controles de seguridad y realizar evaluaciones de riesgos periódicas. 9. Auditorías Internas: Realizar auditorías internas regulares para evaluar el cumplimiento de los controles y procedimientos. 9
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
10. Controles de Seguridad de la Información 10
11. Métricas 11
12
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
3.2 CONOCER O DEFINIR LA ESTRATEGIA DE SEGURIDAD DE LA ORGANIZACIÓN Las políticas de seguridad de la información están gobernadas por la dirección de Habeas Data y Seguridad Informática, este departamento el responsable y encargado del cumplimiento, revisión y mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI). Estos mecanismos de permiten la protección y control de activos y la información sensible, de vulnerabilidades como violaciones de acceso y autenticidad, pérdida de integridad, que puedan afectar la reputación de la empresa por lo cual se debe garantizar la calidad y disponibilidad requerida por los clientes internos y externos. 3.3 DEFINIR Y PRIORIZAR PROYECTOS O INICIATIVAS DE SEGURIDAD (MÍNIMO 5 PROYECTOS) ESTRATEGIA DE CAPACITACIÓN, SENSIBILIZACIÓN Y DIVULGACIÓN DE SEGURIDAD DE LA INFORMACIÓN. MINTIC publica el Modelo de Seguridad y Privacidad de la Información (MSPI), tomando como base la NTC ISO 27001:2013, la legislación de la ley de protección de datos personales, transparencia y acceso a la información pública, creando dentro de éste esquema, la Guía 14 - Plan de capacitación, sensibilización, comunicación de seguridad de la información, donde indica pautas para robustecer la seguridad de la información, indicando que no se puede dejar de lado el factor humano teniendo en cuenta este elemento como la principal causa de los incidentes, convirtiéndose en el eslabón más débil en la cadena de la seguridad de la información. 13
El plan de capacitación se estable en convenio con el Sena para el curso Implementación de técnicas en ciberseguridad para anticiparse a los riesgos de ataques cibernéticos al sector salud ” con el fin minimizar costos y es de carácter obligatorio para todo el personal de la empresa, el cual consta de cuatro unidades definidas así: Antes de comenzar La importancia de la ciberseguridad en el sector de la salud Seguridad en entornos digitales correspondiente a las habilidades transversales documento “EL BID te escuha” Aplicación de tecnologías, herramientas de seguridad y sus objetivos de protección. DESPLIEGUE DE SOLUCIONES DE ENCRIPTACIÓN DE DATOS EN SALUD INTEGRAL. El propósito del proyecto radica en fortalecer la salvaguardia de información confidencial en Salud Integral a través de la implementación de prácticas de cifrado de datos, garantizando así la confidencialidad y protección de datos sensibles, al mismo tiempo que se asegura el cumplimiento de los estándares de seguridad conforme a ISO 27001 que están relacionados con la encriptación de información. El proyecto se estructura en varias etapas: Inicialmente, se lleva a cabo una exhaustiva evaluación de los tipos de datos confidenciales y su ubicación, identificando las áreas y sistemas que requieren el uso de encriptación, y se verifica el cumplimiento de las normativas de seguridad pertinentes, incluyendo ISO 27001. 14
En la siguiente fase, se enfoca en la selección de soluciones de encriptación adecuadas, se elabora un plan de implementación y se establecen políticas y procedimientos seguros para la gestión de claves. La tercera etapa se centra en la capacitación del personal en la importancia de la encriptación y en la promoción de la concienciación sobre seguridad de datos en toda la organización. La cuarta fase comprende pruebas exhaustivas de las soluciones de encriptación y la verificación de la capacidad de recuperar datos encriptados cuando sea necesario. La quinta etapa involucra la implantación de soluciones de encriptación en toda la organización y la instauración de un sistema de monitoreo constante para confirmar el cumplimiento y la efectividad de la encriptación de datos. Por último, en la sexta fase, se realizan auditorías periódicas para evaluar la conformidad con las políticas de encriptación y se recopilan métricas relacionadas con el desempeño en seguridad de datos, tomando medidas para mejorar continuamente la encriptación y la protección de datos. Además, se requieren recursos tales como la adquisición de software y hardware de encriptación, personal especializado en encriptación de datos y seguridad de la información, y una asignación presupuestaria destinada a la obtención, implementación y mantenimiento de soluciones de encriptación. 15
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
IMPLEMENTAR MONITOREO DE RED EN SALUD INTEGRAL. El propósito del proyecto consiste en potenciar la seguridad de la red en Salud Integral mediante la instauración de un sistema de monitoreo de red que permita la detección proactiva de posibles amenazas cibernéticas, al mismo tiempo que garantiza la disponibilidad y el óptimo rendimiento de la infraestructura de red de la organización. El proyecto se estructura en diversas etapas: Inicialmente, se lleva a cabo una evaluación minuciosa de la infraestructura de red existente, identificando activos críticos y áreas susceptibles, y se establecen los requisitos para el monitoreo de red. En la segunda fase, se procede a la elección de las herramientas y tecnologías apropiadas, se diseña la arquitectura de monitoreo y se implementan sistemas de alerta para detectar anomalías. La tercera etapa se centra en la formación del personal de TI para el uso de estas herramientas y en la promoción de una cultura de seguridad de red. La cuarta fase comprende la puesta en marcha del sistema de monitoreo en toda la infraestructura, seguida de pruebas exhaustivas para confirmar su efectividad. La quinta fase establece un sistema de vigilancia continua y la configuración de alertas para la identificación y mitigación de amenazas. Por último, en la sexta fase, se realizan auditorías periódicas para evaluar el sistema, se recolectan métricas de seguridad y se identifican áreas de mejora. Además, se requieren recursos como herramientas de monitoreo de red, personal 16
capacitado en seguridad cibernética y un presupuesto destinado a la adquisición e implementación de estas herramientas. EVALUACIÓN REGULAR DE SEGURIDAD Teniendo en cuenta que, entidades como Salud Integral manejan información vital, generar un plan de evaluación regular de seguridad es primordial para garantizar, entre muchos otros factores, la protección de la información confidencial del paciente, el cumplimiento de las regulaciones de privacidad de datos y la seguridad general de los sistemas y procesos relacionados con la atención médica de la entidad. Para lograr implementar una correcta evaluación regular de seguridad en la entidad de salud, se deben conocer todos los roles y flujos de trabajo que están implicados en la misma, y posteriormente realizar un proceso de análisis sobre los siguientes aspectos: Identificación de activos críticos: reconocer todos los activos de información crítica, como registros médicos electrónicos, sistemas de información, dispositivos médicos conectados, entre otros. Evaluación de riesgos: Identificar posibles amenazas y vulnerabilidades (ataques cibernéticos, robos físicos y/o digitales, desastres naturales, pérdida de datos, errores humanos) que puedan afectar la seguridad de los activos críticos. Desarrollo de políticas y procedimientos: Es fundamental instaurarlos para abordar los riesgos identificados; además de los modelos globales que ayudan a establecer estándares de evaluación de riesgos de seguridad, en Colombia también existen modelos específicos para este fin, entre los que destacan el MGRSD (Modelo de Gestión de Riesgos de Seguridad Digital) impulsado por MINTIC Colombia para, cómo este ministerio define “identificar las amenazas y vulnerabilidades a las que una entidad pueda estar expuesta al momento de llevar a 17
cabo actividades socio económicas en el entorno digital (prestación de trámites, servicios internos y externos, transacciones en línea entre otros) para así, fomentar y mantener la confianza de las múltiples partes interesadas (proveedores, ciudadanos, entidades públicas y privadas)”. Evaluación de cumplimiento: como punto ligado a los anteriormente nombrados, posterior a la implementación de cualquier proyecto, policita o procedimiento, se debe asegurar que su Salud Integral cumpla con todas las reglas aplicadas mediante el gobierno general de la entidad, así como las leyes de salud que existen y están directamente ligadas a procesos informáticos. 18
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help
AUTENTICACIÓN DE DOS FACTORES La autenticación de dos factores (2FA) es una medida de seguridad que requiere dos formas distintas de autenticación para permitir el acceso y la interacción con un sistema. El objetivo principal de esta medida es obligar a los usuarios a proporcionar dos tipos diferentes de credenciales al iniciar sesión. Existen varios métodos que pueden implementarse, incluyendo: Contraseña estándar: Se trata de la contraseña que los usuarios del sistema utilizan para acceder a sus cuentas personales. Autenticación mediante segundo código: Este método implica el uso de software externo registrado en el sistema. A través de este software, los usuarios reciben un código adicional, independiente de su contraseña, que deben ingresar para acceder al sistema. Autenticación física: Este tipo de autenticación se basa en la verificación de la identidad del usuario a través de métodos biométricos, como huellas dactilares o reconocimiento facial. En la implementación de este proyecto, es fundamental contar con dos factores de autenticación. Esto se hace con el propósito de prevenir el robo de información en caso de que un atacante logre obtener la contraseña de un usuario (Factor 1). La segunda autenticación (Factor 2) es más compleja, ya que requiere la combinación de dos métodos complementarios. Esta capa adicional de seguridad beneficia tanto a los usuarios internos como a los externos, asegurando un mayor nivel de protección de los datos y recursos del sistema. 19
CONCLUSIONES 1. Con la información compartida, aprendimos que el plan director de seguridad es una herramienta fundamental para todas las organizaciones que permite cumplir el principal objetivo de la seguridad informática, la protección de los datos sensibles de las compañías y en especial del usuario, tener estándares de seguridad definidos es primordial para el funcionamiento de todas las compañías que comparten datos susceptibles de ataques. 2. Se evidencia la importancia de analizar las vulnerabilidades a las que este expuesta la información con el fin de tomar las acciones correctivas necesarias, para de minimizar o en el mejor de los casos eliminar las amenazas que se puedan presentar por los constantes ataques cibernéticos. 3. La identificación y mitigación proactiva de riesgos de seguridad es esencial para evitar brechas de datos costosas y dañinas. GAP ISO 27001 permite a Salud Integral prever y abordar riesgos antes de que se conviertan en amenazas reales. 4. Un SGSI fomenta una cultura de seguridad en la organización. Los empleados se vuelven más conscientes de los riesgos de seguridad y participan activamente en la protección de la información. 20
BIBLIOGRAFÍA Gómez, Fernández, Luis, and Rivero, Pedro Pablo Fernández. Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad, AENOR - Asociación Española de Normalización y Certificación, 2018. ProQuest Ebook Central. https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624 López, D. Rodríguez, J. R. & González, J. J. (2019). Gestión de programas de proyectos informáticos (y no informáticos). Editorial UOC. Páginas (33-58). https://elibro- net.bibliotecavirtual.unad.edu.co/es/lc/unad/titulos/113334 Ministerio de Tecnologías de la Información y las Comunicaciones. (2018, octubre). MGRSD . https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrate gias/MGRSD/ Pacheco Coello, C. E. (2021). Metodología en casos reales de evaluación de proyectos. Instituto Mexicano de Contadores Públicos. https://elibro- net.bibliotecavirtual.unad.edu.co/es/lc/unad/titulos/174907 21
Your preview ends here
Eager to read complete document? Join bartleby learn and gain access to the full version
  • Access to all documents
  • Unlimited textbook solutions
  • 24/7 expert homework help

Related Documents

discussion en.docx
Hum_100_Module_5.docx
Ejercicios de Intervalo de confianza.pdf
Analyzing Probability Distributions & Solutions: A Comprehensive
TAREA I SISTM DE CONTAB. GUB.docx
Jackson Pollock.pdf
HOUSE OF THE DEAD HUM100.pptx
algunas-definiciones-basicas.pdf
spanish 2 assignment 327.docx
Analyze the concepts introduced in this Unit and design a positive classroom environment.docx
Midterm.docx
trabajo-colaborativo-fundamentos-de-administracion-instituto-politecnico-nacional.pdf