Tesis Implementación de Un SGSI

FACULTAD DE INGENIERÍA Y ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERÍA DE COMPUTACIÓN Y SISTEMAS
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA INFORMACIÓN PARA PROTEGER LOS
ACTIVOS DE INFORMACIÓN DE LA CLÍNICA MEDCAM PERÚ
SAC
PRESENTADA POR
MIGUEL ANGEL CRUZ DIAZ
SENYI FUKUSAKI INFANTAS
ASESORA
LUZ SUSSY BAYONA ORE
LUIS ESTEBAN PALACIOS QUICHIZ
TESIS
PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE

COMPUTACIÓN Y SISTEMAS
LIMA – PERÚ
2017
CC BY-NC
Reconocimiento – No comercial
Los autores permiten transformar (traducir, adaptar o compilar) a partir de esta obra con fines no
comerciales, y aunque en las nuevas creaciones deban reconocerse la autoría y no puedan ser utilizadas de
manera comercial, no tienen que estar bajo una licencia con los mismos términos.
http://creativecommons.org/licenses/by-nc/4.0/
ESCUELA PROFESIONAL DE INGENIERÍA DE COMPUTACIÓN Y
SISTEMAS
DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA INFORMACIÓN PARA PROTEGER
LOS ACTIVOS DE INFORMACIÓN DE LA CLÍNICA MEDCAM
PERÚ SAC
TESIS
PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE

COMPUTACIÓN Y SISTEMAS
PRESENTADA POR
CRUZ DIAZ, MIGUEL ANGEL

FUKUSAKI INFANTAS, SENYI
LIMA – PERÚ
2017
Dedico este trabajo a mi familia que con
amor me apoyó desde el comienzo de la
misma, en especial a mis padres, Edilberto
y Rocío, que me inspiraron a superarme con
sacrificio y esfuerzo. A mi abuela Julia que
con sus consejos supieron motivarme a ser
siempre mejor y a Alex y Sheila por su
apoyo. Gracias a todos.
Miguel Angel Cruz Diaz

Dedico esta tesis a mi familia por sus
consejos constantes y ser mi motivación
diaria. A Emily, por su soporte, amor y
comprensión, y a Dios por ser nuestro guía
principal e incondicional.
Senyi Fukusaki Infantas

ÍNDICE
Página
RESUMEN i
ABSTRACT ii
INTRODUCCIÓN iii
CAPÍTULO I. MARCO TEÓRICO 1
1.1 Antecedentes 1
1.2 Bases teóricas 14
1.3 Términos básicos 28
CAPÍTULO II. METODOLOGÍA 30
2.1 Materiales 30
2.2 Métodos 31
CAPÍTULO III. DESARROLLO DEL PROYECTO 40
3.1 Cronograma de implementación 40
3.2 Implementación del SGSI 41
3.3 Prueba de Efectividad de Controles 116
CAPÍTULO IV. PRUEBAS Y RESULTADOS 118
CAPÍTULO V. DISCUSIONES Y APLICACIONES 127
5.1 Discusiones 127

5.2 Aplicaciones 130
CONCLUSIONES 131
RECOMENDACIONES 133
FUENTES DE INFORMACIÓN 139
ANEXOS 189
LISTA DE FIGURAS
Página
Figura 1. Beneficios de la Seguridad de Información 2
Figura 2. Certificaciones de ISO/IEC 27001 a nivel global 4
Figura 3. Preocupaciones de encargados de la seguridad de

información en Latinoamérica 5
Figura 4. Incidentes de seguridad de la información en las

empresas de Latinoamérica 7
Figura 5. Contexto regional de la legislación de protección

de datos personales 12
Figura 6. Cronograma de la legislación peruana 13
Figura 7. Modelo PDCA aplicado a los Procesos SGSI 15
Figura 8. Cláusulas de la ISO/IEC 27001 16
Figura 9. Cláusulas de control de la ISO/IEC 27002 19
Figura 10. Proceso de Gestión de Riesgos 21
Figura 11. Área de aplicación de la ISO/IEC 31010 en el

proceso de gestión de Riesgos 22
Figura 12. ISO/IEC 27005 dentro de la implementación de 22

SGSI
Figura 13. Proceso de Gestión de Riesgo orientado a

seguridad de información 24
Figura 14. Tratamiento de los Riesgos 26
Figura 15. Ciclo de Deming con las fases de Implementación 31
Figura 16. Ejemplo de Matriz de Riesgo 34
Figura 17. Diagrama del Proceso de Captación de Clientes 44
Figura 18. Diagrama del Proceso de Atención al Cliente 45
Figura 19. Diagrama del Proceso de Procesamiento de Datos 46
Figura 20. Diagrama del Proceso de Facturación 47
Figura 21. Diagrama del Proceso de Cobranza 47
Figura 22. Diagrama del Proceso de Logística 48
Figura 23. Comparación de la criticidad de los Riesgos

previo al proyecto y posterior 119
Figura 24. Resultado de conocimiento de políticas de

seguridad 121
Figura 25. Resultados de Encuesta: Pregunta 1 123

LISTA DE TABLAS
Página
Tabla 1. Certificaciones de ISO/IEC 27001 a niveles regionales 5
Tabla 2. Certificaciones de ISO/IEC 27001 a nivel de servicios 5
Tabla 3. Certificaciones de ISO/IEC 27001 a nivel de países 7
Tabla 4. Infracciones por incumplimiento de la ley de

protección de datos 13
Tabla 5. Sanciones por incumplimiento de la ley de protección

de datos 14
Tabla 6. Materiales usados en el proyecto 30
Tabla 7. Pasos para la implementación de ISO/IEC 27001 31
Tabla 8. Cronograma de Implementación del Proyecto 40
Tabla 9. Misión, Visión y Objetivos de MEDCAM Perú SAC 41
Tabla 10. Campos del Análisis de Vulnerabilidades y Amenazas 49
Tabla 11. Criterios para la Tasa de Ocurrencia del Riesgo 49
Tabla 12. Criterios para la determinación del impacto 50
Tabla 13. Matriz de Calor 51
Tabla 14. Tratamiento del Riesgo 51
Tabla 15. Campos de la Matriz de Riesgos 52

Tabla 16. Campos de la Identificación de Activos 53
Tabla 17. Inventario de Activos 54
Tabla 18. Valores asignados a las dimensiones del activo 63
Tabla 19. Valorización de Activos 65
Tabla 20. Amenazas y Vulnerabilidades de los Activos 66
Tabla 21. Matriz de Riesgos 71
Tabla 22. Controles Identificados 83
Tabla 23. Campos en la Declaración de Aplicabilidad 91
Tabla 24. Declaración de Aplicabilidad 92
Tabla 25. Comparación de Criticidad 119
Tabla 26. Comparación de Documentación Entregada 120
Tabla 27. Comparación de Controles por Dominio 122
Tabla 28. Objetivos asociados a sus pruebas y resultados 129

RESUMEN
La presente tesis tuvo como objetivo diseñar e implementar un Sistema

de Gestión de Seguridad de la Información (SGSI) con el fin de proteger los
activos de información que influyan directamente en el cumplimiento de los
objetivos de la empresa. Como metodología para el diseño del SGSI, se utilizó
el método Deming o PDCA (Plan-Do-Check-Act), sugerida por la norma
ISO/IEC 27001, la cual parte de la identificación de los activos de información
y, es a base de la clasificación de los mismos, que se determina el posible
impacto ante un evento de pérdida, y se establecen acciones de respuesta
para la mitigación de los riesgos a los que están expuestos los activos. Los
controles en respuesta se obtuvieron de la norma ISO/IEC 27002. Como
resultado, se consiguió implementar un SGSI con lo que se logró minimizar
los riesgos de amenazas y vulnerabilidades sobre los activos de información
de MEDCAM Perú S.A.C. y así, lograr la confidencialidad, disponibilidad e
integridad de la información. Concluimos que el beneficio más importante es
asegurar los activos de información y así el cumplimiento de los objetivos de
la empresa; así como, que cada SGSI debe estar acorde con el tamaño y
madurez de los procesos de la empresa.
Palabras Claves: Sistema de Gestión de Seguridad de la Información,

ISO/IEC 27001, ISO/IEC 27002, Activos de Información, Gestión de Riesgos
i
ABSTRACT
The objective of this thesis is to design and implement an Information

Security Management System (ISMS) in order to protect information assets
that directly influence the fulfillment of the company's objectives. As a
methodology for the design of the ISMS, the Deming or PDCA (Plan-Do-
Check-Act) method was used, suggested by the ISO / IEC 27001 standard,
which is based on the identification of information assets and is based on the
classification of the same, which determines the possible impact before a loss
event, and response actions are established to mitigate the risks to which the
assets are exposed. The controls in response will be obtained from the ISO /
IEC 27002 standard. As a result, an ISMS was implemented, which minimized
the risks of threats and vulnerabilities on the information assets of MEDCAM
Peru S.A.C. and ensure the confidentiality, availability and integrity of the
information. We conclude that the most important benefit is to secure the
information assets and thus the fulfillment of the company's objectives; as well
as, that each ISMS must be commensurate with the size and maturity of the
company's processes
Keywords: Information Security Management System, ISO/IEC 27001,

ISO/IEC 27002, Information assets, Risk Management
ii
INTRODUCCIÓN
La seguridad de la formación ha sido una cuestión estratégica crucial

en la gestión de la organización. La gestión de la seguridad de la información
es un proceso sistemático para afrontar eficazmente las amenazas y los
riesgos de la seguridad de la información en una organización. (Tu, Z., Yuan,
Y., 2014)
Actualmente, los sistemas de información, los datos contenidos en ellas

y la información son los activos más valiosos para las organizaciones
empresariales y se hace necesario brindarles una protección adecuada frente
a las posibles intrusiones derivadas de las vulnerabilidades existentes en sus
sistemas de seguridad. Una manera efectiva de descubrir estas
vulnerabilidades y amenazas existentes es iniciando los procesos
diagnósticos que permitan establecer el estado actual de la seguridad dentro
de la organización, teniendo en cuenta la normatividad vigente y los procesos
de análisis y evaluación de riesgos. (Solarte, F., Enríquez, E., Benavidez, M.,
2015)
La seguridad de la información es actualmente esencial, ya que

asegura la integridad, disponibilidad y confidencialidad de la información, esto
garantiza la reducción de las vulnerabilidades de la empresa, errores, o mal
uso de los activos.
Según Andress, J. (2015), en un sentido general, la seguridad significa

proteger nuestros activos. Esto puede significar protegerlos de los atacantes
iii
que invaden nuestras redes, virus/gusanos, desastres naturales, condiciones
ambientales adversas, fallas de energía, robo o vandalismo, o las formas más
probables de ataque, en la medida de lo razonablemente posible, dadas
nuestras condiciones ambientales. En los esfuerzos por asegurar nuestros
activos, también debemos considerar las consecuencias de la seguridad que
elegimos implementar. Hay una cita muy conocida que dice "El único sistema
seguro es aquél que está apagado, en el interior de un bloque de hormigón,
protegido en una habitación sellada, rodeada por guardias armados, y aun así
tengo mis dudas." Aunque ciertamente podríamos decir que un sistema en tal
estado podría ser considerado como seguro, seguramente no es utilizable ni
productivo. A medida que aumentamos el nivel de seguridad, usualmente
disminuimos el nivel de productividad. El objetivo de un plan de seguridad es
encontrar el equilibrio entre protección, usabilidad y costo.
Una estrategia para brindar una adecuada protección a los activos es

implementando un sistema de gestión de seguridad de información (SGSI)
bajo un marco de trabajo como la ISO/IEC 27001 ya que permite tener una
evaluación de los riesgos de seguridad estructurada, teniendo en cuenta las
vulnerabilidades a la que está expuesta la organización lo que proporciona un
marco para la correcta selección e implementación de controles u otras
medidas correctivas para el tratamiento de los riesgos y a su vez, permite
tener un proceso de mejora continua y es adaptable para todas las
organizaciones.
El establecimiento y funcionamiento de un SGSI no reducirá por sí solo,

necesariamente, el riesgo negativo de seguridad de la información. En
esencia, el SGSI es una herramienta que permite a una organización
controlar, sistemáticamente, el nivel de seguridad y rendimiento de la
información. El sistema debe proporcionar beneficios económicos, como
disminuir el tiempo de investigación, agilizar el tiempo para aprender cosas
nuevas, aminorar las disputas, reducir los honorarios legales, la posible
reducción de las primas de seguros, la protección de los activos de
información, aumentar la conciencia sobre la seguridad de la información,
confianza con clientes y otras partes interesadas. La norma ISO/IEC 27001
ayuda a proteger la confidencialidad de la información de manera que los
iv
mantenga accesibles solo al personal autorizado, la norma preserva la
integridad, exactitud e integridad de la información y la disponibilidad de
información a las entidades autorizadas y la posibilidad de usarlas. Un sistema
de gestión que se ha introducido en una organización para la protección de la
información (Britvic, J., Prelas, A., Cingel, M., 2013).
En la presente tesis, se diseña un sistema de gestión de seguridad de

la información basada en la ISO/IEC 27001 para la clínica de salud
ocupacional MEDCAM Perú SAC alineados a su plan estratégico y sus
objetivos de negocio.
El trabajo ha sido estructurado en cinco capítulos. El primero aborda

el marco teórico, donde se desarrollan las bases teóricas del proyecto, los
antecedentes a nivel global, regional y local y los términos básicos esenciales
para un mejor entendimiento de la presente tesis. En el segundo, se explica
sobre la metodología que se utilizó para la implementación del sistema de
gestión de la seguridad de la información que se utilizó para el desarrollo del
mismo. En el tercero, se documenta el desarrollo del proyecto, mostrando la
solución, las actividades por cada fase, las pruebas, la aceptación del
proyecto y las pruebas de implementación. En el cuarto, se analizan las
pruebas y resultados de la implementación del SGSI en la empresa, en él se
revisan los resultados obtenidos por cada objetivo planeado. En el quinto, se
discuten los resultados comparándolos con los resultados teóricos y los
obtenidos por otros investigadores.
La situación problemática, en este contexto actual, una de cuatro

empresas sufre problemas de seguridad de información. En Latinoamérica, se
encontró que tres de cada diez empresas, experimentó una brecha de
seguridad y el 16% ha enfrentado problemas de seguridad en dispositivos
móviles.
En este entorno, se debe saber que, para solucionar estos problemas,

cada organización tendrá sus propias necesidades y/o requerimientos de
seguridad. (Justino, Z., 2015)
v
Los sistemas de procesamiento de información son vulnerables a
muchas amenazas que pueden infligir varios tipos de daños que dan lugar a
pérdidas significativas. Este daño puede ir desde errores que dañan la
integridad de la base de datos hasta incendios que destruyen complejos
completos. Las pérdidas pueden provenir de las acciones de los empleados
supuestamente confiados que defraudan el sistema, de los hackers externos,
o de la entrada descuidada de datos. (Peltier, T., 2016)
La clínica de medicina ocupacional MEDCAM Perú SAC es una

organización que maneja información muy sensible, siendo la de más alta
criticidad la información de sus pacientes (como datos personales, las
historias clínicas, resultado de exámenes médicos o resultados de
laboratorios), estos datos deben ser resguardados y protegidos por la
organización según la Ley 29733– “Ley de Protección de datos personales” ,
(Congreso de la República del Perú, 2011)”. De no cumplirse la organización
está expuesta a multas que van desde las 5 a 100 UIT.
Asimismo, se necesita que la información de los pacientes y las de sus

principales activos de información sean integras ya que son de vital
importancia al momento de realizar los distintos exámenes médicos y a la hora
de realizar el diagnóstico de los pacientes. A su vez, se requiere que siempre
estén disponibles cuando se les necesite, ya que es parte de los servicios que
ofrecen el tener la información siempre en línea y sin fecha de vencimiento.
Adicional a la información de los pacientes, la clínica también debe resguardar
la información crítica de los datos de sus proveedores de equipos médicos, la
información de las empresas con las que trabaja o información de los recursos
asignados y usados e información contable.
Actualmente, la empresa no tiene identificadas las vulnerabilidades a

las que están expuestos sus activos de información, ya que si bien, cuentan
con algunos mitigantes para salvaguardar sus activos de información, estos
no han sido definidos bajo un marco de trabajo que permita una mejora
continua, la identificación integral de sus riesgos y el establecimiento de
mitigantes oportunos con la finalidad de asegurar la integridad,
confidencialidad y disponibilidad de la información. Estas medidas aportan a
vi
los objetivos de la empresa de brindar un servicio de calidad, manteniendo en
reserva la información de sus clientes, asegurando la continuidad del negocio
y previniendo sanciones de entidades regulatorias.
Se define el problema como la alta vulnerabilidad en los activos de

información por la falta de gestión de seguridad de la información en la clínica
MEDCAM Perú SAC en Lima.
Como problemas específicos se plantean los siguientes:
- Inadecuada gestión de seguridad de la información por la falta de un

sistema de gestión.
- Escasos lineamientos de seguridad debido a que no se cuenta con una
política de seguridad de la información.
- Ineficiente tratamiento de riesgos por falta de identificación de las
amenazas y vulnerabilidad sobre los activos de información.
- Pobre conocimiento de seguridad de la información por falta de
capacitación.
El objetivo general es mitigar los riesgos a los que está expuesto los
activos de información de la clínica MEDCAM Perú S.A.C.
Los objetivos específicos son:
- Implementar el sistema de gestión de seguridad de información basada

en la ISO/IEC 27001.
- Implementar una política de Seguridad de la Información.
- Establecer controles para el tratamiento de los riesgos identificados en
base a la ISO/IEC 27002.
- Sensibilizar a los colaboradores de la empresa en temas de seguridad
de la información.
La justificación teórica es que la mayoría de organizaciones tienen

algunos controles para gestionar su seguridad de la información. Sin embargo,
su efectividad algunas veces no es la mejor ya que son introducidas solo para
solucionar problemas específicos, mientras que otras se introducen por simple
convención o al azar sin haber priorizado correctamente sus procesos y
vii
activos más importantes.
Estas políticas y controles solo tratarán ciertos aspectos de la

seguridad de procesos TI o de ciertos activos y puede dejar recursos valiosos
que no están plenamente identificados y que los dejará menos protegidos y
vulnerables. Es por eso que es importante trabajar bajo un marco de trabajo,
en este caso la ISO/IEC 27001, que aborda estas deficiencias y busca blindar
a la empresa no solo con controles enfocados a los riesgos de los procesos,
sino por distintos motivos como responsabilidades legales, contractuales,
entre otros.
Este marco de trabajo precisa ciertos requisitos específicos que la

empresa debe cumplir, lo que proporciona una gran ventaja competitiva ya
que no solo asegura que los riesgos están siendo gestionados de una manera
eficiente, sino que la empresa puede evidenciar a las personas interesadas,
que tienen un manejo íntegro, confiable y confidencial de sus activos de
información y que pueden ser formalmente auditadas y certificadas.
Como justificación práctica se plantea que uno de los activos más

importantes de las empresas es la información, y actualmente los activos de
información tienden a tener base tecnológica y es importante replantear los
métodos de aseguramiento de estos activos que finalmente son los que
permiten el cumplimiento de los objetivos del negocio.
La información manejada por la empresa MEDCAM Perú S.A.C., una

clínica orientada hacia la salud ocupacional, por la naturaleza del rubro salud,
la correcta gestión de la información es un proceso sumamente importante,
pues se maneja información confidencial como es la información de los
clientes, los procesos internos de la empresa, los resultados de los exámenes
de laboratorio, las historias clínicas, entre otros. Por lo tanto, la seguridad de
la información es responsabilidad de la organización.
El resultado de este proyecto asegura que la empresa, al implementar

un sistema de gestión de seguridad de la información, tiene capacidad de
respuesta ante los riesgos a los que están expuestos los activos de
información.
viii
Adicionalmente, la empresa garantiza el cumplimiento de la ley 29733
- Protección de Datos Personales del estado peruano, ley que en su artículo
39 indica que se deben establecer medidas de seguridad para el resguardo
adecuado de los datos personales.
Según lo trabajado en el negocio, el alcance del proyecto para el diseño

e implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) abarca los principales procesos de la empresa, los cuales han sido
previamente identificados como los más críticos e importantes, en conjunto
con la empresa, para el cumplimiento de los objetivos del negocio y su
continuidad. El proyecto trabajó sobre los activos de información de los
siguientes procesos: Captación de clientes. Atención al cliente.
Procesamiento de datos. Facturación. Cobranza. Logística.
De acuerdo con las limitaciones el tiempo con el que se cuenta es

escaso para el diseño e implementación del proyecto, se implementó en la
empresa controles para los activos de información que presentan un riesgo
crítico. Asimismo, se ejecutaron siete (7) fases metodológicas, de las 11,
hasta establecer el sistema de gestión de seguridad de la información dejando
de lado las fases de asignación de recursos, monitoreo, certificación y
auditoría; por no ser fases necesarias para la implementación.
Adicionalmente, los controles que demandan una inversión para la empresa
no fueron implementados a corto plazo.
ix
CAPÍTULO I
MARCO TEÓRICO
1.1 Antecedentes
1.1.1 Ámbito de la Seguridad de la Información
En la actualidad, en un mundo totalmente globalizado, con una

economía incrementada, el aumento de la complejidad en las infraestructuras
de TI, la proliferación de dispositivos móviles y un número cada vez mayor de
vulnerabilidades, no es de extrañar que las organizaciones luchen para
encontrar el equilibrio para proteger sus activos de información. (Layton, T.,
2016)
En estos días, el ataque a los activos de información a las empresas

es cada vez más frecuente, según una encuesta a nivel global realizada por
la firma de servicios profesionales PriceWaterhouseCoopers (2016), indican
que año tras año los ataques cibernéticos continúan creciendo en términos de
frecuencia, severidad e impacto, resultando cada vez más ineficientes, los
métodos para la prevención y detección. Muchas organizaciones no saben
qué hacer o no cuentan con los recursos necesarios para combatirlos. Según
el estudio realizado resaltan que un programa de seguridad efectivo comienza
con una estrategia y fundamentos basados en riesgos y que las compañías
deben adoptar la implementación de un framework (marco de trabajo) de
seguridad de la información basada en el riesgo, ya que las amenazas no
vienen sólo de agentes externos sino también del personal interno, por lo que
1
este marco de trabajo les permite estar blindado por varios frentes. Los
beneficios de la seguridad basada en un marco de trabajo que recogieron en
dicha encuesta se pueden apreciar en la siguiente Figura (Ver Figura 1)
Figura 1. Beneficios de la Seguridad de Información

Fuente: PriceWaterHouse (2016). Resultados de la encuesta global de la
seguridad de la información.
Como se puede apreciar, lo más destacado es que las

organizaciones fueron capaces de identificar y priorizar sus riesgos a los que
estaban expuestos, pero más allá de solo la evaluación de los riesgos,
también pudieron hacerles frente a los incidentes de seguridad más
rápidamente ya que poseen controles detectivos precisos. A su vez, permite
que los datos sensibles estén resguardados correctamente y genera un
proceso de mejora continua ya que se concientiza y existe una mejor
comunicación entre el personal interno.
Los marcos de trabajo y las normas surgen a través del desarrollo

de descripciones detalladas de características particulares de un producto o
servicio por expertos de empresas e instituciones científicas. Representan un
consenso sobre características tales como calidad, seguridad y fiabilidad que
deben seguir siendo aplicables durante un período prolongado de tiempo y,
por lo tanto, se documentan y se publican. El objetivo del desarrollo de
estándares es apoyar tanto a individuos como a empresas en la adquisición
de productos y servicios. Los proveedores de productos y servicios pueden
aumentar su reputación al haber certificado su cumplimiento con las normas.
Dister, G., (2016), para la protección de los sistemas de información

e información, las normas ISO 27000, ISO 27001 e ISO 27002 proporcionan
objetivos de control, controles específicos, requisitos y directrices, con los que
2
la empresa puede lograr una adecuada seguridad de la información. De esta
forma, la ISO 27001 permite certificar a la empresa frente a la norma, por lo
que la seguridad de la información puede ser documentada como
rigurosamente aplicada y gestionada de acuerdo con un estándar de
organización internacionalmente reconocido.
Como menciona Capita Secure Information Systems (2015), el

marco de trabajo que propone la ISO/IEC 27001 especifica los requisitos para
establecer, implementar, mantener y mejorar continuamente un Sistema de
Gestión de Seguridad de la Información (SGSI). Se tiene que tener en cuenta
tres (3) cuestiones claves del estándar:
- Sus requisitos genéricos significan que es aplicable a todas las

organizaciones, independientemente de su tamaño, tipo o
naturaleza. Sin embargo, se adapta a las necesidades exactas
de la organización a través de los controles de seguridad de la
información que se identifiquen.
- Adopta un enfoque flexible y orientado hacia el riesgo.
- Es dinámico, se centra en la mejora continua y ayuda a la
organización a mantenerse a la vanguardia de los cambios,
tanto dentro como fuera de la organización.
Adicionalmente, el diseño e implementación y la posterior

certificación en la ISO/IEC 27001 ha contribuido a las empresas a obtener una
ventaja competitiva ya que, como se comentó previamente en la justificación,
evidencia a las personas interesadas que los activos que maneja la empresa
cumplen los requisitos que ofrece dicha norma. A su vez, permite contar con
diversos planes de acción en caso de que se produzca un incidente que pueda
comprometer a la continuidad del negocio. Esto ha sido interiorizado por las
empresas que ahora buscan esta certificación.
Bussiness Beam (2016), nos muestra un caso de estudio, el de

Teradata, una empresa estadounidense especialista en las herramientas de
data warehouse y herramientas analíticas empresariales, presente en más de
60 países del mundo. Tenía sus preocupaciones respecto a los sistemas y
3
datos que manejaban, ya que era información sensible de los clientes, y estos,
necesitaban una garantía que la empresa contaba con servicios seguros e
ininterrumpidos. Así que, para atraer más clientes y demostrar que la
información de los usuarios fue resguardada, decidieron implementar un
sistema de seguridad de la información. En primer lugar, se capacitaron sobre
las buenas prácticas y el marco de trabajo idóneo para ellos (en este caso, la
ISO/IEC 27001) y se realizó un análisis de brecha de los controles que poseía,
se hizo una evaluación de sus riesgos y desarrollaron un mecanismo efectivo
para calcular y minimizar sus niveles de riesgos. A su vez, se implementaron
estándares que iban alineados a los objetivos y políticas del negocio. Los
resultados fueron los mejores ya que obtuvieron la certificación de la ISO sin
ningún inconveniente, a su vez, que se logró el objetivo principal de asegurar
la información de los clientes y sensibilizar a toda la empresa en temas de
seguridad.
Esta situación, a niveles regionales, puede ser analizada mediante

una encuesta realizada anualmente por la Organización Internacional de
Normalización, una encuesta a nivel mundial que cuenta con el apoyo de los
distintos miembros del Foro Internacional de Acreditación (IAF), en el Perú
representado por el INACAL (Instituto Nacional de Calidad), y nos permite
tener una visión de cómo se encuentra la certificación en la ISO/IEC 27001 a
nivel mundial.
Según la encuesta (International Organization for Standardization,

2016) el número de empresas certificadas a nivel mundial asciende cada año,
esto se puede visualizar a continuación (Ver Figura 2)
Figura 2. Certificaciones de ISO/IEC 27001 a nivel global

Fuente: Organización Internacional de Normalización (2015). The ISO Survey
of management system standard certifications.
4
Se observa un incremento de un 43% desde el 2010, siendo hasta
la fecha del último informe (2015) 27,536, con lo que confirmamos el interés
cada vez mayor de las empresas.
A su vez, se identificó que el área de Asia oriental y Pacífico (China,

Japón, Corea del Norte, Corea del Sur, entre otros.) tienen las empresas con
mayor número de certificaciones (Ver Tabla 1):
Tabla 1. Certificaciones de ISO/IEC 27001 a niveles regionales

También podemos revisar por rubros y específicamente a la que este

proyecto hace referencia, al sector salud (Ver Tabla 2):
Tabla 1 - Certificaciones de ISO/IEC 27001 a nivel de servicios

A nivel regional, según un estudio realizado por la compañía ESET

Latinoamérica en su reporte anual “ESET Security Report – Latinoamérica
2016” donde se consideró a empresas de distintos rubros y tamaños que
pertenecen a varios países de Latinoamérica (Ver Figura 3), las
preocupaciones de los encargados de la seguridad de la información en las
empresas son las “Vulnerabilidades de software y sistemas” con el 58% de las
respuestas afirmativas, seguido por el “Malware” (54%) y, en el tercer puesto,
el “Acceso indebido la información” (46%). Tal como cita ESET Latinoamérica
(2016), lo que se destaca, es que por primera vez desde que se realiza este
informe, el fraude informático no ocupa el tercer lugar; ya que fue desplazado
5
por el acceso indebido a la información. Esto se explica desde el aumento de
la explotación de vulnerabilidades (la preocupación más importante), que
generalmente tiene como consecuencia el acceso indebido. (Ver Figura 3)
Figura 3. Preocupaciones de encargados de la seguridad de información en Latinoamérica

Fuente: ESET Latinoamérica (2016). ESET Security Report – Latinoamérica 2016
Entre los incidentes de seguridad de información más comunes en

los países de la región, se puede observar que se encuentra los fallos en los
sistemas, los fraudes tanto internos como externos y falta de disponibilidad
de los servicios críticos. (Ver Figura 4)
Figura 4. Incidentes de seguridad de la información en las empresas de Latinoamérica

Fuente: ESET Latinoamérica (2016). ESET Security Report – Latinoamérica 2016
Esta preocupación se ve claramente reflejada al momento de

observar el número de certificaciones que están obteniendo las empresas en
un sistema de gestión de seguridad de información. Se observa un incremento
6
del 300% desde el año 2010 hasta la fecha de la última encuesta (Ver Tabla
3).
Tabla 2. Certificaciones de ISO/IEC 27001 a nivel de países
Fuente: Organización Internacional de Normalización (2015). The ISO Survey of management

system standard certifications.
Perú se encuentra en el quinto lugar con 22 certificaciones

actualmente. Las empresas peruanas que conforman esta lista son
INDECOPI, Atento, Hermes, Telefónica, entre otras.
Si bien estos datos indican el número de certificaciones a la ISO/IEC

27001, se debe ser cauteloso al asumir que solo son estas empresas las que
tienen implementada la SGSI, ya que varias empresas han realizado el diseño
y la implementación, mas no la certificación, pero los datos que arroja esta
encuesta ayudan a ver el panorama en general.
En el ámbito local, podemos ver que el estado peruano cada vez

más se preocupa por la seguridad de la información, primero con la ley de
protección de datos personales (Ley N° 29733, 2011), y ahora impulsa la
implementación de los SGSI principalmente de las entidades que manejan
información sensible de los ciudadanos, es por esto que el 8 de enero del
2016 sale publicado en “El Peruano” la Resolución Ministerial “004-2016-
PCM” que aprueba el uso obligatorio de la Norma Técnica Peruana “NTP
ISO/IEC 27001 – Tecnología de Información – Técnicas de Seguridad -
Sistemas de Gestión de Seguridad de Información en todas las entidades
integrantes del Sistema Nacional de Informática, que son los órganos
informáticos de las municipalidades, de los poderes públicos y autónomos, de
7
todas las oficinas de informática de los ministerios, el Congreso de la
República, Poder Judicial, entre otros. Cabe resaltar que las instituciones que
cuenten con la certificación serán exoneradas.
La resolución indica que se tiene dos (2) años para la

implementación y adecuación de la norma, pero previamente se deberá
presentar a la ONGEI (Oficina Nacional de Gobierno Electrónico e Informática)
el cronograma de adecuación. Esta norma señala como opcional la
certificación de la ISO/IEC 27001 y que si se desea realizar dicha certificación
serán realizados con los recursos propios de la entidad.
1.1.2 Seguridad de la Información en el área de salud
En la actualidad, las organizaciones sanitarias no solo prestan

servicios sanitarios, sino que también tratan de competir entre sí para obtener
puntuaciones altas en auditorías y acreditaciones. Uno de los enfoques que
resultan útiles para mejorar la calidad de la atención de la salud es el uso de
la tecnología de la información y los sistemas de información. El sistema de
información del hospital es el más utilizado en los hospitales para completar
las tareas diarias y para facilitar la comunicación entre los diferentes
departamentos dentro y fuera de la organización. En general, el uso de
sistemas de información hospitalaria tiene muchas ventajas para los
proveedores de atención médica y los pacientes. Este sistema tiene
potenciales para aumentar la accesibilidad de la información clínica y para
mejorar la investigación clínica y de salud pública. Sin embargo, el uso de este
sistema ha dado lugar a nuevos desafíos, como las preocupaciones sobre la
seguridad de la información de salud. Temas como el mantenimiento de la
confidencialidad y la prevención del acceso no autorizado a los datos clínicos
figuran entre las principales preocupaciones que requieren atención adecuada
durante todas las etapas de la entrada, el almacenamiento, el uso y la
transferencia de datos. (Mehraeen, E., Ayatollah, H., Ahmadi, M., 2016).
En previas investigaciones hechas de la seguridad de información

en el tratamiento de datos de salud por Sanchez, A., Fernández, J., Toval, A.,
Hernández, I., Sánchez, B., Carrillo, J. (2014), en las que se afirma que, las
8
organizaciones sanitarias, generalmente, no emplean trabajadores con
habilidades en tecnologías de la información o con formación en materia de
seguridad, suelen olvidar las amenazas internas a la hora de planificar la
estrategia de seguridad. Esta situación se agrava en entornos abiertos a
Internet, donde el número y la naturaleza de las amenazas van en aumento y
están en continua evolución. Algunos ejemplos de ataques recientes en que
comparten su investigación son los siguientes:
- Acceso a los datos de la hija menor de una doctora que

trabajaba en un centro hospitalario, por parte de trabajadores del
mismo sin consentimiento de la madre (2007). Tanto personal
médico como administrativo accedieron a los datos médicos de
la menor para consultar, modificar e imprimir información, sin
previa autorización de su madre, trabajadora del centro.
- En 2008, un empleado de una clínica, que intentaba
descargarse archivos desde el ordenador del trabajo a través de
eMule, una plataforma usada para el intercambio de archivos
pudo provocar que 11.300 historias clínicas, de ellas 4.000
casos de aborto, terminasen expuestas a cualquier internauta.
- Un virus se introdujo en los ordenadores de los hospitales y
centros de salud madrileños. La incidencia impidió el acceso a
las historias clínicas y las analíticas de los pacientes.
- Una unidad flash fue hurtada del Departamento de Personal de
un Hospital Provincial de España (2010). La unidad contenía
datos personales que fueron robados tras forzar la puerta de un
despacho.
- Filtradas a través de Google dos (2) radiografías de pulmón de
un paciente en 2011. Se tuvo que indemnizar a un paciente que,
al hacer una búsqueda por Google, encontró dos (2) radiografías
de pulmón que le habían realizado.
En el sector de salud peruano, debido a la constante amenaza y

soportada por la norma publicada por la ONGEI, el MINSA (Ministerio de Salud
del Perú) ha implementado el SGSI que propone dicha norma (Seguro Social
de Salud del Perú, 2015).
9
En este caso, ESSALUD integró un Comité de Gestión de Seguridad
de la Información conformado por las diversas áreas (Planeamiento y
Desarrollo, Tecnología de Información y Comunicaciones, entre otros), con el
objetivo de proponer, supervisar e implementar las políticas de seguridad de
información, proponer capacitaciones para promover la importancia de la
seguridad de la información, plantear metodologías de clasificación y niveles
de riesgos para sus activos de información y todo esto en aras de contar con
un SGSI. (Resolución de Gerencia General ESSALUD N°1504, 2015).
La empresa de estudio, MEDCAM Perú SAC, es una clínica de

medicina orientada a satisfacer la necesidad, determinada por la Ley 29783 –
“Ley de Seguridad y Salud en el trabajo” y su modificatoria Ley 30222, es la
empresa en la cual se implementará el SGSI.
Cuenta con dos (2) locales en el distrito de Los Olivos y San Luis.
Se encarga de brindar los siguientes servicios de exámenes médicos
ocupacionales (EMO):
- Pre-ocupacionales: Son exámenes de carácter obligatorio que
solicitan las empresas para los postulantes a un puesto de
trabajo. Se busca constatar si la condición psicofísica del
postulante cumple con los requerimientos exigidos.
- Periódicos-anuales: Son exámenes de control que realiza la
empresa para revisar la salud en la labor de sus trabajadores. A
su vez, tiene la finalidad de monitorear la exposición a los
factores de riesgos y su detección preventiva.
- Retiro: Cuando un trabajador cesa en el puesto laboral, se
realiza exámenes con la finalidad de detectar si existe alguna
secuela debido al entorno y las condiciones del trabajo al que
estuvo expuesto.
Dentro de estos exámenes se realizan:

- Laboratorio Clínico
- Evaluación Médica
- Evaluación Ergonómica
- Evaluación Radiológica
10
- Evaluación Espirométrica
- Evaluación Oftalmológica
- Evaluación Psicológica-ocupacional, entre otros.
Actualmente, la empresa solo cuenta con unos cuantos controles

manuales para resguardar su información que son respaldadas en la nube y
la digitalización de algunos de sus documentos físicos.
1.1.3 Ley de Protección de datos
La Ley de protección de datos personales tiene como objetivo, según

precisa la Ley N°29733 (Congreso de la República del Perú, 2011), garantizar
el derecho fundamental a la protección de los datos personales, previsto en el
artículo 2 numeral 6 de la Constitución Política del Perú (Que los servicios
informáticos, computarizados o no, públicos o privados, no suministren
informaciones que afecten la intimidad personal y familiar), a través de su
adecuado tratamiento, en un marco de respeto de los demás derechos
fundamentales que en ella se reconocen. Es decir, es una legislación que
busca establecer los límites, permisos y castigos a los que se refiere la
seguridad de datos personales de una persona.
A continuación, se presenta el contexto regional de leyes de

protección de datos que se obtuvo en la encuesta de Ley de Protección de
Datos Personales – Enfoque Práctico de Adecuación (Deloitte, 2016), los
países que cuentan con una legislación, desde qué fecha están promulgadas
y las que están en proyecto. (Ver Figura 5)
11
Figura 5. Contexto regional de la legislación de protección de datos personales
Fuente: Deloitte (2016). Ley de Protección de Datos Personales – Enfoque Práctico de Adecuación.
Según la Ley N° 29733, La ley peruana sobre la protección de datos,

menciona que los datos personales son aquella información numérica,
alfabética, fotográfica, entre otros, concerniente a las personas naturales que
las identifica o puedan servir para hacerlas identificables y sobre todo, para
nuestro caso del proyecto, los datos personales relacionados con la salud. Es
aquella información relativa a la salud pasada, presente o pronosticada, física
o mental de una persona incluyendo la discapacidad o formación genética,
que manejan las empresas y estén almacenados en su banco de datos, estén
regulados y cumplan con ciertos principios rectores, estipulados por la ley.
- Principio de consentimiento: Cuando los datos personales sean

brindados por el titular de manera expresa, con su consentimiento
libre, informado e inequívoco.
- Principio de finalidad: Se debe expresar la finalidad de manera clara
y sin lugar a confusión para ser usados los datos personales.
- Principio de calidad: Los datos deben ser precisos.
- Principio de seguridad: La empresa debe adoptar medidas de
seguridad necesarias a fin de evitar la adulteración, pérdida,
inexactitudes de origen humano o técnico.
12
Como afirma Deloitte, el proceso para la legislación de Protección
de Datos en el Perú tiene bases desde la constitución y fue promulgada de la
siguiente manera: (Ver Figura 6)
Figura 6. Cronograma de la legislación peruana

Fuente: Deloitte (2016). Ley de Protección de Datos Personales – Enfoque Práctico de
Adecuación.
Como señala la Ley de Protección de datos personales, las

organizaciones que aplican son todas las entidades públicas, privadas y las
personas naturales que se encuentren en territorio peruano. Las infracciones
por no cumplir con la legislación se clasifican en leve, grave y muy grave,
según muestra la Tabla 4. El incumplimiento de la ley acarrea las siguientes
sanciones: (Ver Tabla 5).
Tabla 3 Infracciones por incumplimiento de la ley de protección de datos
13
Tabla 4. Sanciones por incumplimiento de la ley de protección de datos
Para asegurar el cumplimiento de la ley se pueden usar diferentes

métodos como el trabajar bajo el marco de trabajo de la ISO/IEC 27001.
Adicionalmente, se tiene que incluir en el análisis de activos, los asociados a
datos personales y al riesgo de privacidad.
1.2 Bases teóricas
1.2.1 ISO/IEC 27001: 2005
Del Estándar Internacional, publicado en el 2005 se utiliza el modelo

de aplicación que recomienda para la implementación de un Sistema de
Gestión de Seguridad de la Información, que se detalla a continuación:
Planear-Hacer-Chequear-Actuar (PDCA), también conocido con el ciclo de
Deming. Espinoza, R., (2013), explica que el estándar sigue un enfoque de
procesos basado en el ciclo Deming del célebre Plan-Do-Check-Act. El
modelo está basado en un enfoque racional para su desempeño y su
perfeccionamiento en el tiempo. Primero se exige que el modelo siga una serie
de prerrequisitos para que se establezca, a través de la fase denominada
“Planear”. Luego de establecido el modelo, se implementa y opera, siguiendo
los lineamientos de la fase “Hacer”. Luego que el modelo se ha implantado y
14
está funcionando, se debe monitorear y revisar durante la fase “Revisar”. Por
último, se procede a la fase “actuar” y tomar los correctivos necesarios. (Ver
Figura 7)
Figura 7. Modelo PDCA aplicado a los Procesos SGSI

Elaboración: Los autores
A continuación, se brinda un pequeño detalle de cada etapa del

modelo PDCA:
- Planear (establecer el SGSI):

- Identificar los objetivos del negocio
- Obtener compromiso de la alta gerencia
- Seleccionar el alcance adecuado para la
implementación
- Definir un método para la identificación y evaluación
de riesgos.
- Elaborar un inventario de activos que se desea
proteger y clasificarlos según su nivel de riesgos.
- Hacer (implementar y operar el SGSI):
- Gestionar los riesgos y crear un plan de tratamiento
de los mismos.
- Definir políticas, controles y procedimiento para la
mitigación de los riesgos.
- Asignar los recursos y capacitar a las personas que
están en el staff.
- Chequear (monitorear y revisar el SGSI):
- Monitorear la implementación del SGSI
15
- Actuar (mantener y mejorar el SGSI):
- Realizar evaluaciones periódicas.
- Tomar acciones correctivas y preventivas.
1.2.2 ISO/IEC 27001: 2013
La ISO/IEC 27001:2013 explica que esta Norma Internacional

especifica los requisitos para establecer, implementar, mantener y mejorar,
continuamente, un sistema de gestión de la seguridad de la información dentro
del contexto de la organización. El sistema de gestión de la seguridad de la
información preserva la confidencialidad, la integridad y la disponibilidad de la
información mediante la aplicación de un proceso de gestión de riesgos y da
confianza a las partes interesadas de que los riesgos se gestionan
adecuadamente. (ISO/IEC 27001, 2013)
El Estándar Internacional cuenta con 10 cláusulas de las cuales las

tres (3) primeras tratan sobre el contexto de la norma y los 7 restantes
muestran los requisitos para la implementación del SGSI. (ISO/IEC 27001,
2013). (Ver Figura 8)
Figura 8. Cláusulas de la ISO/IEC 2700

Fuente: Organización Internacional de Normalización (2013). ISO/IEC 27001
16
A continuación, se detallan brevemente las 10 cláusulas:
- Cláusula 1: Ámbito: incluye requerimientos para la valoración y

tratamiento de riesgos de la seguridad de la información de
cualquier empresa o Compañía, (Columba Bernardo, 2017).
- Cláusula 2: Referencias normativas: Se hace una referencia
normativa en parte, o en su totalidad, a la norma ISO/IEC 27000,
Information Technology. Security Technology Techniques.
Information Security Management Systems. Overview and
Vocabulary.
- Cláusula 3: Términos y definiciones: Se aplican términos y
definiciones proporcionados en ISO/IEC 27000. (ISO/IEC
27001, 2013)
- Cláusula 4: Contexto de la Organización: Se determinan
aspectos como el conocimiento de la organización, comprensión
de las necesidades y expectativas de las partes interesadas.
(Columba Bernardo, 2017).
- Cláusula 5: Liderazgo: La alta dirección debe demostrar
liderazgo y compromiso respecto al SGSI.
- Cláusula 6: Planificación: Cuando se planifica el SGSI, la
organización debe considerar lo referente a comprender la
organización y comprender las necesidades y expectativas de
las partes interesadas para asegurar que el SGSI pueda lograr
los objetivos esperados.
- Cláusula 7: Soporte: En este punto, muestra los recursos,
competencias e información documentada; así como el trabajo
de concientización y comunicación que debe realizar la
organización para la implementación del SGSI.
- Cláusula 8: Operación: La organización debe planificar,
implementar y controlar los procesos necesarios para cumplir
con los requisitos de seguridad de la información. (ISO/IEC
27001, 2013)
- Cláusula 9: Evaluación de desempeño: La organización debe
evaluar el desempeño de la seguridad de la información y la
17
efectividad del sistema de gestión de seguridad de la
información determinando los métodos de monitoreo, medición,
análisis y evaluación, según sea aplicable, para asegurar
resultados válidos.
- Cláusula 10: Mejoras: Cuando en las evaluaciones (Cláusula 9)
se identifican no conformidades, la organización debe tomar
acciones correctivas, y estas deben ser apropiadas de acuerdo
con los efectos de las no conformidades encontradas.
1.2.3 ISO/IEC 27002
La norma de seguridad de la información ISO / IEC 27002: 2013 es

el "Código de prácticas para los controles de seguridad de la
información". Primero fue publicado por la Organización Internacional de
Normalización (ISO) y por la Comisión Electrotécnica Internacional (IEC) en
diciembre de 2000 como ISO 17799. Hoy en día, la ISO / IEC 27002 forma
parte de la familia/serie 27000.
El documento ofrece recomendaciones de buenas prácticas y
orientación para que las organizaciones puedan seleccionar e implementar
controles de seguridad de la información en el proceso de iniciar, implementar
y mantener un Sistema de Gestión de Seguridad de la Información (SGSI).
La ISO / IEC 27002 está organizada de la siguiente manera (Ver

Figura 9):
18
Figura 9. Cláusulas de control de la ISO/IEC 27002
Fuente: Traducido de: Lachapelle, E., Bislimi, M. (2016). Information Technology - Security Techniques
Code of Practice for Information Security Controls
La norma contiene 14 cláusulas de control de seguridad, que

contienen un total de 35 objetivos de control y 114 controles. Las cláusulas
de control son:
- Políticas de seguridad de la información: Aborda la

necesidad de definir, publicar y revisar los diferentes tipos de
políticas requeridas para la gestión de la seguridad de la
información.
- Organización de la seguridad de la información: Trata de la

necesidad de definir y asignar las funciones y responsabilidades
necesarias para los procesos y actividades de gestión de la
- Seguridad de los recursos humanos: Aborda los controles

necesarios para los procesos relacionados con la contratación
del personal, su trabajo durante el empleo y después de la
culminación de sus contratos.
- Gestión de activos: Aborda las responsabilidades requeridas

que se definen y asignan para los procesos y procedimientos de
19
administración de activos.
- Control de accesos: Trata sobre los requisitos para controlar el

acceso a los activos de información y las instalaciones de
procesamiento de información.
- Criptografía: Aborda sobre las políticas sobre los controles

criptográficos para la protección de la información para
garantizar el uso adecuado y eficaz de la criptografía con el fin
de proteger la confidencialidad, autenticidad, integridad, no
repudio y autenticación de la información.
- Seguridad física y ambiental: Aborda la necesidad de prevenir

el acceso físico no autorizado, los daños y las interferencias a
las instalaciones de información y procesamiento de información
de la organización.
- Seguridad de las operaciones: Se refiere a la capacidad de la

organización para asegurar operaciones correctas y seguras.
- Seguridad de las comunicaciones: Se refiere a la capacidad

de la organización para garantizar la protección de la
información en sistemas y aplicaciones en redes y sus
instalaciones de procesamiento de información de apoyo
- Adquisición, desarrollo y mantenimiento de sistemas:

Abarca los controles para la identificación, análisis y
especificación de los requisitos de seguridad de la información,
la seguridad de los servicios de aplicación en los procesos de
desarrollo y soporte.
- Relaciones con los proveedores: Aborda los controles de las

cuestiones de relación de proveedores, incluyendo aquí políticas
y procedimientos de seguridad de la información.
- Gestión de incidentes de seguridad de la información:

Abarca controles de responsabilidades y procedimientos,
información de informes y debilidades de seguridad, evaluación
y decisión sobre eventos de seguridad de información.
20
- Aspectos de seguridad de la información en la gestión de
continuidad de negocio: Aborda la capacidad de la
organización para contrarrestar las interrupciones de las
operaciones normales, incluyendo la disponibilidad de
instalaciones de procesamiento de información, verificar, revisar
y evaluar la continuidad de la seguridad de la información.
- Cumplimiento: Se refiere a la capacidad de la organización

para cumplir con los requisitos reglamentarios, estatutarios,
contractuales y de seguridad.
1.2.4 ISO/IEC 31000
La ISO/IEC 31000 es un marco de trabajo que ayuda a la gestión de

los riesgos a las organizaciones, proporciona las directrices para una gestión
más eficiente y no está pensada para un sector en particular, sino que puede
ser aplicada a cualquier empresa sin importar el tamaño o rubro a que se
dedique. El proceso de la gestión de riesgos propuesta por la ISO/IEC 31000,
comprende las siguientes actividades reflejadas en la siguiente Figura: (Ver
Figura 10)
Figura 10. Proceso de gestión de riesgos

21
- Comunicación y consulta: Se debe realizar una comunicación
permanente con las partes interesadas durante todo el proceso;
se identifican los objetivos y se compromete a los interesados.
- Establecimiento del contexto: Se definen los parámetros
externos e internos, alcance y criterios, todo esto enfocado en
los objetivos del negocio.
- Apreciación del riesgo: Es la identificación, análisis y
evaluación del riesgo.
- Identificación del riesgo: Se identifica el origen del riesgo,
causas y consecuencias.
- Análisis del riesgo: Se busca la comprensión del riesgo, el nivel
del riesgo, el impacto y la probabilidad de estos.
- Evaluación del riesgo: Luego de los pasos anteriores se busca
cómo se debe tratar el riesgo y la prioridad de estos.
- Tratamiento del riesgo: Selección e implementación de
controles o planes de acción para la mitigación del riesgo. Se
puede evitar el riesgo al decidir no tomarlo, reducirlo, aceptarlo
y retenerlo, o transferirlo con otras partes.
- Seguimiento y revisión: Se debe verificar, periódicamente, los
controles que se tienen y realizar el seguimiento de la
implementación de planes de acción. A su vez, se reportan los
incidentes que puedan ocurrir o si se llegase a materializar el
riesgo.
1.2.5 ISO/IEC 31010
La ISO/IEC 31010 fue publicada para ofrecer las mejores prácticas

actuales para seleccionar y utilizar técnicas que permitan la evaluación de los
riesgos. Este estándar asume que el marco de trabajo usado es la ISO/IEC
31000 y su área de aplicación sería la siguiente: (Ver Figura 11)
22
Figura 11. Área de aplicación de la ISO/IEC 31010 en el proceso de gestión de riesgos
Para la selección de una técnica, se debe considerar:

- Que sea justificable y apropiada para la situación actual de la
organización.
- Que ofrezca resultados que permitan entender la naturaleza de los
riesgos y cómo deben ser tratados.
- Debe ser trazable, repetible y verificable.
- Disponibilidad de recursos con los que se cuenta.
- Complejidad y detalle al que se quiere llegar.
1.2.6 ISO/IEC 27005
La ISO/IEC 27005 establece las directrices para la gestión del riesgo

en la seguridad de la información. Apoya los conceptos generales
especificados en la norma ISO/IEC 27001 y está diseñada para ayudar en la
aplicación satisfactoria de la seguridad de la información, basada en un
enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos,
procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002
es importante para un completo entendimiento de la norma ISO/IEC
27005:2008, que es aplicable en todo tipo de organizaciones -por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines
de lucro- que tienen la intención de gestionar los riesgos que puedan
23
comprometer la organización de la seguridad de la información. (Fernández,
D., Pacheco, O., 2014).
La ISO/IEC 27005 al ser parte de la familia 27000, encaja

perfectamente en la implementación bajo el marco de trabajo de la ISO/IEC
27001 y va de la mano con el proceso de Plan-Do-Check-Act que se propone
en este proyecto: (Ver Figura 12)
Figura 12. ISO/IEC 27005 dentro de la implementación de SGSI

Los pasos que establece la norma para una evaluación de riesgos

son los siguientes: (Ver Figura 13)
Figura 13. Proceso de gestión de riesgo orientado a seguridad de información
24
- Definición del contexto organizacional interno y externo: Al
igual que el marco de la ISO/IEC 31000, se debe establecer el
contexto en donde opera la empresa, tanto interna como externa.
Debe estar alineado a la misión, visión, objetivos del negocio,
políticas, entre otros. Para el caso externo, se deben considerar las
regulaciones, economía, política, etc.
- Identificación del riesgo: El propósito es determinar qué podría
suceder para que se origine una pérdida potencial y saber cómo,
dónde o quién podría ocasionarla.
- Identificación de activos: Se deben identificar los activos que
podrían ser afectados listándolos con los responsables de estos,
lugar, función, entre otros campos que se consideren necesarios.
- Identificación de amenazas: La información sobre las amenazas
es obtenida a través de informes de incidentes, dueños de los
activos, usuarios, entre otros. Estas amenazas tienen el potencial
de dañar los activos de la información, procesos y sistemas
- Identificación de controles existentes: Se deben identificar los
controles de seguridad que se poseen para evitar trabajo y costos
innecesarios.
- Identificación de consecuencias: La consecuencia puede ser
pérdida en la eficiencia del proceso, falla en la continuidad del
negocio, daño a la reputación, etc.
- Estimación del riesgo: La estimación del riesgo puede ser de
manera cuantitativa, cualitativa o una combinación de ambas.
- Tratamiento del riesgo: El tratamiento de los riesgos debe ser
seleccionado a base de los resultados de la evaluación del riesgo,
costos de implementación de controles y beneficios.
Existen cuatro (4) opciones para realizar el tratamiento del riesgo,

según señala la ISO/IEC 27005 (Ver Figura 14)
25
Figura 14. Tratamiento de los riesgos
- Reducir el riesgo: Se reduce la criticidad del riesgo a través de

controles y planes de acción
- Retención del riesgo: La decisión de retener la criticidad del
riesgo debido que se acepta correr el riesgo luego de un análisis
de costo-beneficio o porque es inherente al negocio.
- Evitar el riesgo: Cuando se identifica un riesgo crítico para la
organización y la implementación de controles resulta más
costosa que los beneficios que se dan, se decide evitar el riesgo
cambiando el proceso, actividades o condiciones en los que se
opera. Si se decidiera que no vale la pena, simplemente se evita
el riesgo dejando de realizar el proceso donde se genera.
- Transferir riesgo: El riesgo puede asegurarse o transferirse a
un tercero para una gestión más eficiente.
- Aceptación del riesgo: El tratamiento de los riesgos debe
describir cómo se deben tratar los riesgos hasta llegar a un nivel
aceptable para la organización.
26
1.2.6 Activos de información
Como menciona Dutton, J. (2016), Un activo de información es

cualquier pieza o colección de información almacenada en el patrimonio de
la organización, definida y administrada como una sola unidad para que
podamos entenderla, compartirla y protegerla eficazmente y obtener el
máximo valor de ella. Es algo que no podemos reemplazar sin costo, tiempo,
habilidad y recursos.
Cuando los datos e información son importantes para la

organización, estos datos e información se vuelven activos críticos. Estos
activos pueden estar en forma estructurada (Base de datos, evaluación de
proveedores, entre otros), semi-estructurada (Archivos XML, HTML,
dispositivos móviles, entre otros) o sin estructura alguna que no solo está
almacenada en un servidor, sino también pueden ser dibujos, anotaciones,
fotografías, etc. Los activos de información pueden ser algo tan simple como
una llamada telefónica. (Borek, A., Parlikad, A. K., Webb, J., & Woodall, P.,
2013)
Los activos de información pueden, a base de su naturaleza, ser de

diferentes tipos:
- Información: Se refiere a información almacenada en papel (por

ejemplo, contratos, correspondencia, manuales de usuario,
manuales de capacitación) o electrónicamente (por ejemplo,
información sobre discos duros, USB, video, teléfonos móviles,
bases de datos) o cualquier otra información bienes.
- Software: Incluye sistemas operativos, aplicaciones,
herramientas de desarrollo, etc.
- Activos físicos y hardware: Se refieren a cualquier activo que
pueda manipular información como computadoras, dispositivos
móviles, salas de servidores, etc.
- Servicios: Se refiere a los servicios de los que dependen la
organización, tales como back-up, energía, iluminación, etc.
27
- Personas: Las personas son los empleados, propietarios y
gerentes que llevan consigo todas las habilidades e información
sobre cómo opera la empresa.
- Intangibles: La propiedad intelectual de la organización,
reputación, marca, etc.
Según la Universidad de Southern Queenslad (2015), la clasificación

de activos refleja el nivel de impacto para la organización si la
confidencialidad, integridad o disponibilidad está comprometida. La
clasificación de los activos de información, en el contexto de seguridad de la
información, es la clasificación de la información basada en su nivel de
sensibilidad y el impacto en la organización si la información se divulga, altera
o destruye sin autorización. La clasificación de la información ayuda a
determinar qué controles de seguridad de base son apropiados para
salvaguardar esa información. Toda la información puede clasificarse en uno
de los tres niveles de sensibilidad:
- Nivel 1: Información pública

- Nivel 2: Información interna
- Nivel 3: Información restringida
1.3 Términos básicos
- Ataque: Intento de destruir, exponer, alterar, inhabilitar u obtener

accesos no autorizados hacia algún activo.
- Amenaza: Posibilidad de un ataque que puede resultar un daño a la
organización.
- Análisis de riesgos: Uso sistemático de la información para identificar
las fuentes y calcular el riesgo.
- Confidencialidad: La propiedad de estar disponible y no sea divulgada
a personas, entidades o procesos no autorizados.
- Consecuencia: Resultado de un evento que afecta a los objetivos.
- Contexto externo: Ambiente externo a la empresa en el cual busca
lograr sus objetivos.
- Contexto interno: Entorno dentro de la empresa en la cual busca
28
lograr sus objetivos.
- Control: Medios para manejar el riesgo; incluyendo políticas,
procedimientos, lineamientos, prácticas o estructuras organizacionales,
las cuales pueden ser administrativas, técnicas, de gestión o de
naturaleza legal.
- Disponibilidad: La propiedad de estar disponible y utilizable cuando
se requiera.
- Enunciado de aplicabilidad: Enunciado documentado que describe
los objetivos de control y los controles que son relevantes y aplicables
al SGSI.
- Evento: Ocurrencia o cambio de un conjunto de circunstancias.
- Gestión de riesgos: Actividades coordinadas para dirigir y controlar
una organización con relación al riesgo.
- Gobierno de seguridad de información: Sistema por el cual las
actividades de seguridad de la información de una organización son
dirigidas y controladas.
- Integridad: La propiedad de salvaguardar la exactitud e integridad de
los activos.
- Ley de Protección de Datos: Ley que busca garantizar el derecho
fundamental a la protección de los datos personales, tanto en entidades
públicas, así como privadas.
- Medicina ocupacional: Según la Organización Mundial de la Salud
(OMS), es la medicina enfocada en la salud y la seguridad de los
trabajadores en su entorno laboral.
- Riesgo: Es la probabilidad de ocurrencia de algún evento negativo que
afecte a los objetivos del negocio.
- Seguridad de información: Preservación de confidencialidad,
integridad y disponibilidad de la información.
- Tratamiento del riesgo: Proceso de selección e implementación de
medidas para modificar el riesgo.
29
CAPÍTULO II
METODOLOGÍA
2.1 Materiales
A continuación, se describen los materiales a utilizarse en el presente
proyecto (Ver Tabla 6).
Tabla 6. Materiales usados en el proyecto
Tipo de Recurso Nombre de Recurso Descripción

Usado como repositorio de los
Google Drive documentos necesarios para el
proyecto.
Herramienta ofimática para el
MS Word
desarrollo de la documentación.
Herramienta ofimática que
MS Excel permitirá la creación de tablas,
Software
encuestas, entre otros.
Herramienta que permitirá la
MS Visio elaboración de los flujogramas de
los procesos del negocio.
Herramienta que permite la
Adobe Acrobat
visualización de documentos
Reader
PDF.
30
Tipo de Recurso Nombre de Recurso Descripción
Computadora personal que se
llevará a la empresa para poder
Hardware Laptop Personal hacer el relevamiento de los
procesos y consolidar la
documentación y encuestas.
Elaboración: Los autores.
2.2 Métodos
Como se explicó en el Capítulo I se utilizó el método Plan-Do-Check-Act

o “Ciclo de Deming” sugerido por la ISO/IEC 27001:2005 Asociación de
Auditoría y Control de Sistemas de Información (ISACA por sus siglas en
inglés), una asociación profesional internacional centrada en la gobernanza
de TI, ha definido, dentro de las cuatro (4) etapas del ciclo de Deming, 11
fases para implementar una SGSI que permitirán una fácil comprensión e
implementación, así como un ahorro final de tiempo y costo.
Explica ISACA (2016), para un modelo de implementación de un SGSI, se

detalla lo siguiente (Ver Figura 15):
Figura 15. Ciclo de Deming con las fases de implementación

Fuente: ISACA (2016). Planning for and Implementing ISO 27001
A continuación, se detalla las fases de implementación que propone ISACA
31
Fases de implementación dentro de la metodología Plan-Do-Check-Act
A continuación, se detalla un mapeo de las 11 fases que se han definido para

la implementación de un SGSI alineadas a los pasos sugeridos por la norma
internacional (Ver Tabla 7). Las fases 4 y 5 requieren una metodología o guía
adicional para el adecuado cumplimiento de la misma. A continuación, se
detallan los lineamientos básicos y metodologías adicionales a usar:
 Etapa 1: Planear
 Fase 1: Identificar los objetivos de negocio
Las partes interesadas deben comprar, identificar y priorizar los objetivos

para brindar soporte al proyecto. Los objetivos principales pueden derivarse
de la misión de la empresa, la visión, el plan estratégico y los objetivos de
TI. Los objetivos pueden ser la identificación de activos y efectivas
evaluaciones de riesgos, determinar el apetito de riesgo, obtener ventajas
competitivas, etc.
Tabla 7. Pasos para la implementación de ISO/IEC 27001
Mapeo de Pasos Sugeridos por la ISO / IEC 27001 para las Fases de
Implementación
ISO/IEC 27001:2005
Fases de Implementación
Pasos Sugeridos
Definir política de Fase 1 – Identificar los objetivos de negocio.

SGSI. Fase 2 – Obtener apoyo de la administración.
Definir el alcance del

Fase 3 – Seleccionar un alcance propio para la implementación.
SGSI.
Realizar una
evaluación de
Fase 4 - Definir un método de evaluación de riesgos.
riesgos de
seguridad.
32
Mapeo de Pasos Sugeridos por la ISO / IEC 27001 para las Fases de
Implementación
ISO/IEC 27001:2005
Fases de Implementación
Pasos Sugeridos
Fase 5 - Preparar un inventario de los activos de información

Gestionar el riesgo
para proteger y clasificar los activos de acuerdo con la
identificado.
clasificación de riesgo basada en la evaluación del riesgo.
Seleccionar los
controles a Fase 6 - Gestionar los riesgos, y crear un plan de tratamiento de
implementar y riesgos.
aplicar. Fase 7 - Establecer políticas y procedimientos para controlar los

riesgos.
Preparar una SOA. Fase 8 - Asignar recursos y capacitar al personal.
Mapeo de Fases de implementación para la Revisión y Registro
Revisión y registro Fases de Implementación
Revisión de gestión
Fase 9 - Supervisar la implementación del SGSI
y auditoría interna.
Registro y
Fase 10 - Prepararse para la auditoría de certificación.
certificación.
Fase 11 – Realizar auditorías periódicas de re-evaluación:
Mejora del SGSI  Mejora continua

 Acción correctiva
 Acción preventiva.
Fuente: ISACA (2016). Planning for and Implementing ISO 27001
 Fase 2: Obtener apoyo de la administración
La gerencia o el área de administración deben estar comprometidas con el

proyecto. Debe realizar un monitoreo constante, así como asegurar la mejora
continua del SGSI, que puede ser a través de políticas de seguridad,
33
capacitaciones constantes a los empleados, definir recursos para la
seguridad, entre otros.
Según Lopes I., Oliveira P. (2014), La cultura de seguridad de información

ayuda a minimizar las amenazas que el comportamiento del usuario plantea
a la protección de los activos de información. La importancia de crear una
cultura dentro de los entornos de la organización surge del hecho de que la
dimensión humana en la seguridad de la información siempre se considera el
eslabón más débil.
 Fase 3: Seleccionar el alcance adecuado
La ISO/IEC 27001 establece cualquier ámbito de aplicación que puede

abarcar todo o parte de una organización. De acuerdo con el alcance del
SGSI, sólo se deben especificar los procesos, unidades de negocio o
proveedores externos o contratistas que caen dentro del alcance de la
implementación.
 Fase 4: Definir un método de evaluación de riesgos
Para cumplir con los requisitos de ISO/IEC 27001, las empresas deben definir
y documentar un método de evaluación de riesgos. La norma ISO / IEC 27001
no especifica el método de evaluación de riesgos que se utilizará.
La elección de un método de evaluación de riesgos es una de las partes más

importantes del establecimiento del SGSI. La ISO/IEC 27001 necesita
evaluaciones de riesgo basadas en los niveles de confidencialidad, integridad
y disponibilidad (CIA).
Las metodologías de análisis de riesgos ayudan a las organizaciones a tener

un mayor control sobre sus activos, su valor y minimizar las amenazas que
pueden impactarlas obligándolas a seleccionar medidas de seguridad que
garanticen el éxito de sus procesos y una mayor competitividad en el sector
en que se desenvuelven. El análisis de riesgo, a nivel empresarial, es una
excelente herramienta para generar planes de contingencia y continuidad del
negocio, debido a que permite a las empresas mitigar el riesgo y garantizar el
34
rendimiento de los sistemas informáticos. Cabe resaltar que es imposible
eliminar un riesgo en su totalidad, lo que se puede hacer con la
implementación de metodologías es reducirlo para que no genere ningún daño
representativo al sistema informático de la organización. (Abril, A., Pulido, J.,
Bohada, J., 2013).
- Técnicas de relevamiento de riesgos

Para el relevamiento y evaluación de los riesgos se usará de base la
ISO/IEC 27005 que nos da una gestión de riesgos enfocados en la seguridad
de la información, a su vez, la ISO/IEC 31010, que nos brinda las mejores
prácticas de relevamiento de riesgos que se pueden aplicar.
Para el relevamiento usaremos estas 3 técnicas, la elección se ve
influenciada por la complejidad del problema, la cantidad de recursos
necesarios, nivel de experiencia y costos, el grado de incertidumbre aceptado
por la empresa, entre otros.
Para el caso de este proyecto usaremos algunas técnicas presentadas
en la ISO/IEC 31010 – “Técnicas de Evaluación de Riesgos”, como por
ejemplo la matriz de probabilidades e impacto.
- Matriz de probabilidades e impacto

La matriz de probabilidades e impacto combina los datos tanto
cualitativos como cuantitativos, calificándolos en términos de consecuencia y
probabilidad para una clasificación de los riesgos. Esta matriz nos permite
determinar los niveles de riesgos y tener una mejor visualización de estos, a
su vez, que ayuda a tener un lenguaje común sobre la medición del riesgo en
toda la organización. La ISO/IEC 27005 nos da un ejemplo de cómo debería
ser la matriz para determinar la criticidad de un riesgo: (Ver Figura 16)
Figura 16. Ejemplo de matriz de riesgo

35
 Fase 5: Preparar un inventario de los activos de información
La empresa necesita crear una lista de activos de información que deben

protegerse. Debe identificarse el riesgo asociado con los activos, junto con los
propietarios, la ubicación, la criticidad y el valor de reposición de los activos.
Una vez completada la evaluación, se identificarán los activos de información
que tienen un riesgo intolerable y, por lo tanto, requieren controles. En ese
momento, se crea la valorización y una posterior matriz de riesgos que indica
el valor del riesgo para cada activo. Para esta fase se requiere una
metodología o guía adicional a la proporcionada por la norma para la
identificación y valorización de activos de información.
- Identificación de los activos de información
Según Aguirre, A. (2014), Se deben mapear los procesos que forman

parte del alcance del proyecto, se debe realizar una serie de entrevistas para
identificar a cada uno de los activos de información que están involucrados en
los procesos, luego se procederá a valorarlos y asegurar cada uno de los
activos, más importantes para la organización. Para la identificación de estos
activos se utilizó el mapa de procesos durante cada una de las entrevistas, ya
que permitió asociar los activos con una actividad del proceso.
El objetivo de esta parte del proyecto es obtener un inventario de los
activos de información involucrados en el alcance del SGSI, para ello se
desarrolló una metodología de valoración de activos, basada en lo propuesto
por la ISO/IEC 27005:2008, en la cual se detalla cual es el procedimiento para
la identificación de los mismos.
Para la realización del inventario de activos, se tomó en cuenta los siguientes
datos:
- Id Activo: Un código que pueda identificar a los activos de
información.
- Nombre: El nombre del activo
- Descripción: Una descripción breve de cada uno de los activos de
información.
- Proceso: El proceso en el que se encuentra el activo de información
36
- Subproceso: Cuál es la actividad específica, dentro del proceso, en
el cual se encuentra el activo de información.
- Clasificación de activo: Si es primario o secundario, según lo
definido en la metodología.
- Sub Clasificación de Activo: Sub clasificación del activo si es
software, hardware, personal, sitio u organización.
- Propietario del activo: Quien es el dueño del activo de información
- Ubicación: Cuál es la ubicación física o lógica del activo de
información
- Valoración de los activos de información
Según indica la ISO/IEC 27005:2008: La decisión de utilizar una

valoración cuantitativa versus una valoración cualitativa es decisión de lo que
la organización prefiera, pero debe ser relevante para los activos objetos de
valoración. Ambos tipos de valoración pueden ser utilizados para un mismo
activo. Los posibles criterios utilizados para determinar el valor de un activo
incluyen: su coste original, su costo reemplazado o de creación o su valor
puede ser abstracto. Por ejemplo, el precio de la reputación de la
organización.
Otra base para la valoración de los activos es el costo incurrido debido a la
pérdida de confidencialidad, integridad y disponibilidad como resultado de un
incidente.
 Etapa 2: Hacer
 Fase 6: Gestionar los riesgos, y crear un plan de tratamiento de riesgos
Para controlar el impacto asociado con el riesgo, la organización debe

aceptar, evitar, transferir o reducir el riesgo a un nivel aceptable utilizando
controles de mitigación del riesgo.
Parte de la gestión de riesgos, incorpora análisis de amenazas y

vulnerabilidad y considera mitigaciones proporcionadas por controles de
seguridad planeados o en su lugar. (Kissel, R., 2013).
37
 Fase 7: Establecer políticas y procedimientos para controlar los riesgos
En esta fase, se procede a realizar un análisis de los controles que

proporcionan las normas y una posterior declaración de aplicabilidad, donde
se justifica la implementación de controles o su exclusión. A su vez, se
especifica la manera cómo se adapta a la empresa. Se necesitan
declaraciones de política o un procedimiento detallado y un documento de
responsabilidad para identificar las funciones de los usuarios para la
implementación consistente y efectiva de políticas y procedimientos.
 Fase 8: Asignar recursos y capacitar al personal
El proceso del SGSI destaca uno de los compromisos importantes para la

gestión: recursos suficientes para gestionar, desarrollar, mantener y aplicar el
SGSI. Es esencial documentar la capacitación para la auditoría.
 Etapa 3: Revisión
 Fase 9: Supervisar la implementación del SGSI
La auditoría interna periódica es una necesidad para el monitoreo y revisión.

La revisión de la auditoría interna consiste en probar los controles e identificar
acciones correctivas / preventivas. Para ser eficaz, el SGSI debe ser revisado
por la administración a intervalos periódicos y planificados. La revisión sigue
cambios / mejoras a políticas, procedimientos, controles y decisiones de
personal. Los resultados de las auditorías y las revisiones periódicas se
documentan y se les debe hacer mantenimiento.
 Fase 10: Prepararse para la auditoría de certificación
Para que la organización sea certificada, es esencial que lleve a cabo un ciclo
completo de auditorías internas, revisiones de gestión y actividades en el
proceso PDCA y que conserve evidencia de las respuestas tomadas como
resultado de esas revisiones y auditorías
38
 Etapa 4: Actuar
 Fase 11: Realizar auditorías periódicas de re-evaluación
Las revisiones de seguimiento y las auditorías periódicas confirman que la

organización sigue cumpliendo con la norma. El mantenimiento de la
certificación requiere auditorías periódicas de reevaluación para confirmar que
el SGSI continúa funcionando como se especifica y pretende. Al igual que con
cualquier otra norma ISO, ISO/IEC 27001 sigue el ciclo PDCA y ayuda a la
gestión del SGSI a conocer hasta qué punto y con qué éxito ha progresado la
empresa a lo largo de este ciclo.
39
CAPÍTULO III
DESARROLLO DEL PROYECTO
3.1 Cronograma de implementación
Se definió el cronograma de implementación del proyecto de la siguiente

manera (Ver Tabla 8):
Tabla 8. Cronograma de Implementación del Proyecto
40
3.2 Implementación del SGSI
Dentro de las cuatro (4) etapas del ciclo de Deming (Plan-Do-Check-Act)

se desarrollaron las 11 fases establecidas por ISACA:
 Etapa 1: Planear
Esta etapa consta de cinco (5) fases en las cuales se identifican los objetivos,
alcance, métodos de tratamiento de riesgo; se obtiene el respaldo del personal
responsable de la empresa y se elabora el inventario de activos.
 Fase 1: Identificar los objetivos de negocio
A base de la misión, visión, reglamentación y los requerimientos de la

organización (MEDCAM S.A.) se han determinado los siguientes objetivos
bajo los cuales se desarrollará el Sistema de Gestión de Seguridad de la
Información, se detallan a continuación (Ver Tabla 9):
Tabla 9. Misión, Visión y Objetivos de MEDCAM Perú SAC
41
 Fase 2: Obtener apoyo de la Administración.
En primer lugar, se elaboró un acta de constitución del proyecto a la clínica,

donde se especificó los objetivos y el alcance, y fue presentado a la
administración de MEDCAM para su aprobación (Ver Anexo 1 – Acta de
Constitución del Proyecto).
Se elaboró una política general de la seguridad de la información en conjunto

con la gerencia de la clínica, donde se definen los alcances de la seguridad
en la empresa, los roles y responsabilidades y las sanciones aplicables ante
cualquier violación de seguridad. Esto nos ayuda a establecer el compromiso
brindado por parte de la administración. (Ver Anexo 2 – Política General de
la Seguridad de la Información)
 Fase 3: Seleccionar el alcance adecuado
El alcance de implementación de un sistema de gestión de seguridad de la

información fue determinado por la empresa a base de los objetivos de la
misma. Para determinar estos, se identificaron los procesos core con los
cuales la empresa considera crítico para su negocio. Los procesos que se
encuentran dentro del alcance son los siguientes:
- Captación de clientes: Proceso mediante el cual el área comercial

inicia el contacto con los clientes, si el cliente muestra interés se crea
al cliente en el sistema Mediweb y se le genera un protocolo
(cotización) para formalizar el servicio ofrecido. El protocolo se genera
a base de las pruebas y tipos de empleados que el cliente solicita. De
ser aceptado el cliente envía la lista total de empleados que serán
atendidos y se coordina la atención de los pacientes, ya sea en el local
la clínica o en el local del cliente. (Ver Figura 17).
- Atención de pacientes: Proceso en el cual el área de Admisión recibe

al paciente, se realiza la toma de datos para estos ser registrados en
el sistema Mediweb. Luego de registrar al paciente, y asignarles en el
sistema las evaluaciones que el cliente ha solicitado realizar se crea de
42
manera automática la orden de atención. Una vez registrado en el
sistema, se le pide llenar y dar su consentimiento en consentimientos
“Consentimiento Informado de Atención” y “Consentimiento Informado
Ley” en los cuales confirma que es de su conocimiento las pruebas que
se realizaron y permite a MEDCAM el manejo de esta información.
Finalmente, se orienta al paciente el orden en que se realiza las
atenciones. (Ver Figura 18).
- Procesamiento de datos: Proceso en el cual el licenciado o médico

es el encargado de realizar los exámenes programados y registrar los
resultados en el sistema Mediweb. La persona que realiza el registro
está encargada de realizar una primera revisión en el sistema. Luego,
el médico auditor, responsable legal de los resultados, realiza una
auditoría sobre dichos resultados en el sistema Mediweb. De existir un
resultado negativo se le comunica al paciente mediante la entrega del
documento “Garantía de Tratamiento Adicional” en el cual se le solicita
que asegure un tratamiento en otro centro médico. Finalmente, el
licenciado comunica al médico ocupacional del cliente los resultados
finales, esto puede ser otorgando acceso al médico ocupacional al
sistema Mediweb a los resultados de los empleados del cliente o
entregando resultados impresos por paciente. (Ver Figura 19).
- Facturación A base de las atenciones registradas en las Órdenes de

Atención en el sistema Mediweb, el facturador genera una Pre-
Liquidación en la cual selecciona las órdenes que desea facturar, cabe
resaltar que se pueden seleccionar las órdenes que tienen un estado
auditado. El sistema Mediweb genera el cálculo de la factura con los
que luego se genera la factura electrónica en la web de SUNAT. La
factura electrónica es posteriormente almacenada en el sistema en
formato PDF y registrada en la misma. (Ver Figura 20).
- Logística: Este proceso se encarga de la gestión que alimenta el

kardex de entrada y salida de materiales, más específicamente de la
compra de materiales determinada por requerimientos de las áreas de
43
negocio o por recomendaciones del sistema de reposición automática.
Este proceso también se encarga del despacho de materiales para el
proceso “Atención de pacientes”, el despacho es realizados si se
cuenta con una solicitud por correo electrónico. (Ver Figura 22).
INICIO
Comercial
Contacto con el
cliente
1.0
¿Cli ente
FIN No
interesado?
Empresa
Si
Comercial Área
Exámenes a Contacto con el

cotizar cliente Perfil
1.1
Cat álogo
Protocolo
¿Aceptó
FIN No
cotización?
Protocolo
Si
Comercial
Lista de Coordinaci ón de Cronograma

pacientes at ención
1.2
2. At ención de Paciente
Figura 17. Diagrama del proceso de captación de clientes
44
1. Captación de Client e
¿Sist ema
MediWeb está
operativo?
Si No
Recepcionista
Datos de
Fil iación Registro de Paciente
Paciente
2.1
Recepcionista
Protocolo Datos de Registro de Paciente Historia Clínica

Fil iación Manual Física
Recepcionista
2.3
Cat álogo
Creación de Orden de
At ención Orden de
At ención
Paciente 2.2
Empresa
Recepcionista
Consentimient o
Informado
Consentimient o
At ención
Informado
2.4 Consentimient o
Informado Lay
Médico
Hoja de Ruta
Orden de
At ención
Generación de Hojas
de Ruta
Historia Clínica Hoja de Ruta
Física Laboratorio
2.5
Médico
Hoja de Ruta
Orden de
At ención
At ención Ocupaci onal
Hoja de Ruta Historia Clínica
Laboratorio Física
2.6
3. Procesamiento de Datos
Figura 18. Diagrama del proceso de atención al cliente
45
2. At ención de Paciente
Hoja de Ruta
Licenciado
Hoja de Ruta Registro de

Laboratorio resul tados en el
sist ema Orden de Atención Orden de Atención
(At endido) (Revisado)
Historia Clínica 3.1
Física
Médico Auditor
Revisión de
Orden de Atención Result ados Orden de Atención
(Revisado) (Auditado)
3.2
No ¿Hay Observación?
Si
Paciente Hoja de
Interconsulta
Hoja de Garantía de
Interconsulta tratamiento adicional
Const ancia de
Tratamiento
3.3
Licenciado
Orden de Atención
Comunicación de (Auditado)
Orden de Atención Result ados
(Auditado) Result ados
Finales
3.4
4. Facturaci ón
Figura 19. Diagrama del proceso de procesamiento de datos
46
3. Procesamiento de Datos
Facturador
Generación de Pre-
Orden de Atención Liquidación Pre-Liquidación
(Auditado)
4.1
Facturador
Generación de Factura
Factura Electróni ca
Pre-Liquidación
4.2
Factura
Electróni ca
5. Cobranza
Figura 20. Diagrama del proceso de facturación
- Cobranza: Proceso en el cual se validan los depósitos del cliente en

las cuentas de banco de la empresa y se procede a compensar la
factura. (Ver Figura 21)
4. Facturaci ón
Tesorero
Depósito Registro de Cobro

Cobro
3.4
FIN
Figura 21. Diagrama del Proceso de Cobranza
47
Figura 22. Diagrama del proceso de logística
48
 Fase 4: Definir un método de evaluación de riesgos
En esta fase, se utilizó la ISO/IEC 27005 que nos proporcionó una lista de
amenazas y vulnerabilidades para cada tipo de activo de información que se
consideró relevante (Ver Anexo 4 - Lista de Amenazas y de Vulnerabilidades).
Se relacionaron los activos de información con las amenazas y
vulnerabilidades teniendo como resultado posibles riesgos por cada activo de
información. Estos riesgos fueron evaluados a base de la criticidad que
representaría su materialización y los riesgos establecidos como altos y
críticos recibieron un tratamiento (respuesta por parte de la empresa).
Como se mencionó antes, para establecer la relación entre los activos de

información relevantes las amenazas y vulnerabilidades obtenidas de la
ISO/IEC 27005 se estableció un cuadro que relaciona los mismos (Ver Tabla
10).
Tabla 10. Campos del Análisis de Vulnerabilidades y Amenazas
Campo Descripción
ID Activo Identificador del Activo
Vulnerabilidad Vulnerabilidad del activo
Amenaza Amenaza expuesta del activo.
Una vez relacionadas las vulnerabilidades y amenazas con los activos de

información relevantes se establece el riesgo y su consecuencia, y es a base
de esta consecuencia que se determina la criticidad del riesgo, los factores
con los que determina la criticidad son: probabilidad e impacto.
Respecto a la probabilidad, que es la tasa de ocurrencia del riesgo, se muestra

en la Tabla 11.
Tabla 11. Criterios para la Tasa de Ocurrencia del Riesgo
Criterios de Probabilidad
Probabilidad Frecuencia de Ocurrencia
Raro Frecuencia en ocasiones excepcionales, como 1 vez
cada 5 años
Improbable Frecuencia poco probable, como 3 veces cada 5 años
49
Criterios de Probabilidad
Probabilidad Frecuencia de Ocurrencia
Posible Frecuencia en algún momento, como 1 vez al año.
Probable Frecuencia que ocurra de 2-3 veces al año.
Casi Certeza Frecuencia de 4 a más veces al año.
Para evaluar el impacto que tendría el negocio si se materializaran las

consecuencias, se desarrollaron características o criterios que ayudan a
determinar el nivel de impacto que se tendría (Ver Tabla 12).
Cabe resaltar que, como plantea la ISO/IEC 27005, se considera el riesgo

residual, que es el riesgo remanente luego de los controles que previamente
se tienen, es por eso que es importante la identificación de los controles
previos tal como menciona la norma.
Tabla 12. Criterios para la determinación del impacto

Impacto Descripción
Bajo Pérdida o daño catastrófico a la reputación de la organización;
pérdidas financieras importantes, cobertura a nivel nacional y de
forma prolongada; intervención regulatoria con sanciones por faltas
muy graves; pérdida de clientes a gran escala; involucramiento
directo de la alta gerencia o directorio.
Moderado Daño sobre la empresa es mayor, riesgo inusual o inaceptable en
el sector; cobertura a nivel nacional; investigación del regulador y
sanciones por falta grave; involucramiento de la alta gerencia,
gastos operativos de consideración; pérdidas financieras mayores.
Relevante El impacto sobre la compañía es directo y medio, se podría incurrir
en gastos operativos controlados, existen sanciones por falta leve,
se expone la imagen de la organización con un impacto medio.
Alto Riesgo aceptable en el sector; no hay daño a la reputación, no hay
sanciones legales, pero si observaciones por parte de los
reguladores, el impacto operacional o financiero es mínimo.
Crítico No hay impacto directo sobre la organización, no hay daño a la reputación,
no existen sanciones legales ni impacto financiero u operacional; no es
percibido por los clientes pero si por los colaboradores
Fuente: Aguirre, D. (2014), Diseño de un sistema de gestión de Seguridad de Información para

servicios postales del Perú
50
Para la determinación del nivel de criticidad, se toma en cuenta la probabilidad
y el impacto de la ocurrencia del riesgo. A continuación, en la Tabla 13 se
muestran los niveles de criticidad producto
Tabla 13. del impacto y probabilidad
Matriz de Calor
determinados.
Crítico Medio Alto Alto Crítico Crítico

Alto Bajo Medio Alto Alto Crítico
Relevante Bajo Medio Medio Alto Alto
Impacto
Moderado Bajo Bajo Medio Medio Medio

Bajo Bajo Bajo Bajo Bajo Medio
Raro Improbable Posible Probable Casi Certeza
Probabilidad
El apetito del riesgo es la exposición que se está dispuesto a tener por ofrecer
los servicios y/o productos y que se acepta sin realizar mayor análisis.
Actualmente, la empresa no cuenta con un apetito de riesgo por lo que se
propone deberían aceptar riesgos “Bajo” y “Medio”, y que los riesgos “Alto” y
“Crítico” deben ser controlados y mitigados inmediatamente, para reducir su
criticidad a los valores aceptables.
Una vez identificados los niveles de criticidad por riesgos, se debe realizar el
tratamiento de riesgo que consiste si se acepta el riesgo, se reduce, se evita
o se transfiere. Según la metodología, se realiza de la siguiente manera (Ver
Tabla 14):
Tabla 14. Tratamiento del Riesgo
Tratamiento de Riesgo Descripción

Reducción del riesgo El nivel de riesgo debe reducirse a través de la
selección de controles para que el riesgo residual
pueda ser reevaluado como aceptable.
Retención del riesgo La decisión de retener el riesgo sin medidas
adicionales debe tomarse en función de la
evaluación del riesgo
Evitar el riesgo Debe evitarse la actividad o condición que da
51
Tratamiento de Riesgo Descripción
lugar al riesgo particular
Transferir el riesgo El riesgo debe ser transferido a otra parte que
pueda manejar con mayor eficacia el riesgo
particular dependiendo de la evaluación del
riesgo.
Finalizada la identificación (luego del análisis de amenazas y vulnerabilidades)

y el respectivo análisis de riesgos, se desarrolló la matriz de riesgo que
contendrá los siguientes campos (Ver Tabla 15):
Tabla 15. Campos de la matriz de riesgos

Campo Descripción
ID Riesgo Identificador del riesgo
Riesgo Descripción del Riesgo
Consecuencias Consecuencias de la materialización del
riesgo
Probabilidad Probabilidad de ocurrencia del riesgo
Impacto Impacto del riesgo
Criticidad La criticidad del riesgo, que es la
combinación de Probabilidad y
Consecuencia.
Tratamiento del riesgo Tratamiento que se le dará al riesgo
identificado.
Elaboración Los autores.
 Fase 5: Preparar un inventario de los activos de información
En esta fase, se realiza la identificación y valoración de los activos de

información identificados en los procesos más críticos del negocio. En este
punto, también se hace uso de la ISO/IEC 27005, en el cual se detalla el
método de identificación y valoración. Esta fase es importante porque se
determina cuáles son los activos de información críticos para la operatividad
de los procesos.
52
En la identificación de los activos, se tomará en cuenta para su clasificación
lo siguiente: Primario (Procesos de negocio y actividades e información) y de
soporte (Hardware, Software, Redes, Personal, Sitio). Se muestran los
campos para la identificación de los activos de información en la Tabla 16.
Tabla 16. Campos de la identificación de activos
Campo Descripción
ID Activo Identificador del activo.
Proceso Proceso donde se encuentra el
activo de información.
Subproceso Sub proceso donde se encuentra el
activo de información.
Nombre Nombre del activo de información
Descripción Descripción breve del activo de
información.
Clasificación de activo Si es Primario o de Soporte.
Sub clasificación de activo Sub clasificación de activo de
información.
Propietario del activo Quien es el dueño del activo de
información
Ubicación Cuál es la ubicación física o lógica
del activo de información
A continuación, se muestra el resultado del levantamiento de los

activos de la información realizados (Ver Tabla 17).
53
Tabla 17. Inventario de activos
Clasificación de Sub Propietario

ID Activo Nombre Descripción Proceso Sub-proceso Ubicación
Activo Clasificación de Activo
Responsable de fijar los

objetivos y de la toma
Local de San
R1 Gerente General de decisiones Todos Supervisión Primario Recurso humano No aplica
Luis
estratégicas de la
empresa.
Responsable de velar
por el cumplimiento de
Local de San
R2 Administrador las actividades de la Todos Supervisión Primario Recurso humano No aplica
Luis y Los Olivos
empresa según los
procesos establecidos.
Generación de
Responsable de generar
Pre-
las facturas y su Local de San
R3 Facturador Ingresos Liquidación Primario Recurso humano No aplica
declaratoria ante los Luis y Los Olivos
Generación de
entes reguladores.
Factura
Responsable de evaluar
al paciente e ingresar,
Atención Local de San
R4 Médico/Técnico de ser el caso, los Ingresos Primario Recurso humano No aplica
Ocupacional Luis y Los Olivos
resultados al sistema
MediWeb
54
Responsable de
registrar resultados de
Registro de
evaluaciones/exámenes
resultados en
en el sistema MediWeb Local de San
R5 Licenciado Ingresos el sistema Primario Recurso humano No aplica
y encargado de Luis y Los Olivos
Comunicación
gestionar la
de Resultados
comunicación de los
mismos al cliente.
Responsable de auditar
los resultados de las
Revisión de Local de San
R6 Médico Auditor revisiones/exámenes y Ingresos Primario Recurso humano No aplica
Resultados Luis y Los Olivos
hacerse responsable por
los mismos.
Responsable de
Registro de Local de San
R7 Tesorero gestionar las cuentas Ingresos Soporte Recurso humano No aplica
Cobro Luis y Los Olivos
por cobrar.
Gestión de
Responsable de Compras y
Compra Local de San
R8 Logístico gestionar el inventario y Gestión de Primario Recurso humano No aplica
Recepción de Luis y Los Olivos
el abastecimiento. Inventario
Mercadería
55
Participa en
Sistema que permite la
todo el
S1 MediWeb atención ocupacional y Ingresos Primario Software Administrador Digital
proceso de
su facturación.
ingresos.
Sistema Logístico Sistema que permite la Gestión de Gestión de

S2 Primario Software Logístico Digital
Medcam gestión de inventario. Inventario Inventario
Es una suite ofimática

S3 Office que permite diseñar y Otros Otros Soporte Software Administrador Digital
producir documentos.
Equipo informático que

Servidor de Local de San
H1 soporta las aplicaciones Todos Varios Primario Hardware Administrador
Aplicaciones Luis y Los Olivos
de negocio.

Local de San
H2 Servidor de Correos soporta la gestión de Todos Varios Primario Hardware Administrador
Luis y Los Olivos
correos electrónicos.
56

Computadora de permite a los usuarios Local de San
H3 Todos Varios Primario Hardware Administrador
escritorio de negocio la realización Luis y Los Olivos
de sus funciones.
Equipo que permite la

Registro de Local de San
H4 Lector biométrico lectura de la huella Ingresos Primario Hardware Administrador
Paciente Luis y Los Olivos
digital.
Equipo que permite
Fotocopiadora / Comunicación Local de San
H5 obtener los documentos Todos Soporte Hardware Administrador
Impresora de Resultados Luis y Los Olivos
digitales en físicos.
representación gráfica Atención Local de San
H6 Electrocardiograma Ingresos Primario Hardware Administrador
de la actividad eléctrica Ocupacional Luis y Los Olivos
del corazón
representación gráfica Atención Local de San
H7 Máquina de Rayos X Ingresos Primario Hardware Administrador
de la estructura ósea del Ocupacional Luis y Los Olivos
paciente.
57
Equipo que permite

Instrumento Atención Local de San
H8 realizar revisiones Ingresos Primario Hardware Administrador
oftalmológico Ocupacional Luis y Los Olivos
oftalmológicas.
Equipo que permite
evaluaciones
Instrumento de Atención Local de San
H9 específicas sobre las Ingresos Primario Hardware Administrador
análisis de muestras Ocupacional Luis y Los Olivos
muestras de los
pacientes.
Equipo que permite
evaluaciones químicas Atención Local de San
H10 Equipos de laboratorio Ingresos Primario Hardware Administrador
sobre las muestras de Ocupacional Luis y Los Olivos
los pacientes.
Documento médico-
legal donde se recoge la Registro de
Médico
I1 Historia clínica información necesaria Ingresos Paciente Primario Información Físico
Auditor
para la correcta atención Manual
de los pacientes.
Documento que
contiene los datos
Generación de Médico/Técnic
I2 Hoja de ruta básicos del paciente y Ingresos Soporte Información Físico
Hojas de ruta o
las especialidades en
las cuales se debe
58
atender en su visita.
Documento que
contiene los datos
básicos del paciente y
Hoja de ruta Generación de Médico/Técnic
I3 los exámenes de Ingresos Soporte Información Físico
Laboratorio Hojas de Ruta o
laboratorio que debe
realizarse durante su
visita.
Documento que
contiene los datos
personales del cliente e Registro de
I4 Datos de filiación Ingresos Soporte Información Recepcionista Físico
información sobre las Paciente
labores que desempeña
en su centro de labores.
Documento de carácter
legal en el cual el
Consentimiento paciente autoriza a Consentimient
I5 Ingresos Primario Información Recepcionista Físico
informado - ley MEDCAM a realizarle o Informado
exámenes que son de
su conocimiento y a
59
compartir los resultados

con su empleador.
Documento de carácter
legal en el cual el
paciente confirma que la
información que
Consentimiento Consentimient
I6 proporciona es real y Ingresos Primario Información Recepcionista Físico
informado - atención o Informado
autoriza a MEDAM a
compartir los resultados
con su médico
ocupacional.
Documento médico en
el cual se detalla el
resultado negativo de
una evaluación médica
Garantía de
realizada por MEDCAM,
I7 Hoja de interconsulta Ingresos tratamiento Soporte Información Licenciado Físico
y los resultados y
adicional
tratamientos realizados
por un médico
especialista en
respuesta.
60
Documento médico en
el cual se detallan los
resultados de la Comunicación Médico
I8 Resultados finales Ingresos Primario Información Físico
totalidad de de resultados Auditor
evaluaciones realizadas
por MEDCAM.
Documento contable
que establece la
responsabilidad del Generación de
I9 Factura electrónica Ingresos Primario Información Facturador Físico
cliente de compensar el factura
servicio prestado por
MEDCAM.
Documento mediante el
cual se ofrecen los
servicios de medicina
ocupacional Contacto con
I10 Protocolo (Cotización) Ingresos Soporte Información Comercial Físico
estableciendo una el cliente
propuesta de
evaluaciones y sus
respectivos costos.
61
Documento médico-
legal donde se recoge la
información necesaria
Atención Medico
I11 Historia clínica digital para la correcta atención Ingresos Primario Información Digital
Ocupacional Auditor
de los pacientes
almacenada en la
aplicación MediWeb.
Es un documento en el
cual se registran los
datos de entrada, Gestión de Gestión de
I12 Kardex Primario Información Comercial Digital
salidas y saldos de las inventario inventario
existencias de la
empresa.
Documento enviado por
el cliente para Coordinación
I13 Lista de pacientes Ingresos Primario Información Comercial Digital
determinar los pacientes de atención
que serán atendidos.
Documento establecido
por el MEDAM-cliente
Coordinación
I14 Cronograma para determinar las Ingresos Soporte Información Comercial Digital
de atención
fechas de atención de
los pacientes.
62
Establecimiento en el
Soporte de
cual se desarrollan las
Infraestructura Gerencia Local de San
S1 Local de San Luis operaciones de la Otros Primario Sitio
de todos los General Luis y Los Olivos
empresa, ubicado en el
procesos.
distrito de San Luis
Establecimiento en el
Soporte de
cual se desarrollan las
Infraestructura Gerencia Local de San
S2 Local de Los Olivos operaciones de la Otros Soporte Sitio
de todos los General Luis y Los Olivos
empresa, ubicado en el
procesos.
distrito de Los Olivos
Envío de
Servicio que permite la
factura,
interconexión de la
Comunicación Local de San
Se1 Internet empresa con la Todos Primario Servicio Administrador
de resultados Luis y Los Olivos
información, clientes y
y Recepción
proveedores.
de Pagos
Participa en
Motor de base de datos
todo el
para los sistema
S4 Base de datos Todos proceso de Primario Software Administrador Digital
MediWeb y Sistema de
ingresos y
Inventario
compras.
63
Una vez identificados claramente los activos, que están involucrados
en cada proceso, se procederá a la valorización de los mismos siguiendo las
dimensiones que persigue la ISO/IEC 27001, la integridad, disponibilidad y
confidencialidad de los activos. Cada dimensión tendrá una escala del 1 al 4
como se muestra en la Tabla 18.
Tabla 18 – Valores asignados a las dimensiones del activo

Valor Dimensiones
Confidencialidad Disponibilidad Integridad
1 Activo libre, se puede difundir La tolerancia de que el activo Los errores o
y es de dominio público. no esté disponible es de 1 modificaciones no
semana. autorizadas no
generan ningún
impacto al negocio.
2 Activo restringido, solo puede La tolerancia de que el activo Los errores o
debe ser de uso interno. Si se no esté disponible es de no modificaciones no
filtra, no ocasionaría no más de 1 día. autorizadas generan
ocasionaría un riesgo. un impacto leve al
negocio.
3 Activo protegido, se debe La tolerancia de que el activo Los errores o
tener controles para el no esté disponible es de no modificaciones no
acceso. Si se llega a filtrar, más de 1 hora. autorizadas generan
ocasionaría un riesgo un impacto moderado
moderado al negocio. al negocio.
4 Activo confidencial, No se tolera que el activo no Los errores o
información sensible y no se esté disponible. modificaciones no
puede difundir bajo ningún autorizadas generan
concepto. Su filtración un impacto crítico al
ocasionaría un riesgo crítico negocio.
para el negocio.
Una vez identificado el nivel en cada dimensión de los activos (Ver

Tabla 19), se procederá a realizar el promedio de estos para obtener el valor
del activo. Según el apetito de riesgo de MEDCAM, se ha establecido que los
activos con un promedio igual o mayor a 3 serán los seleccionados para
realizar el análisis de riesgos, el tratamiento y la propuesta de controles, ya
que son los activos de información que busca proteger la organización.
64
Tabla 19 – Valorización de activos
Criterios de Valorización
Valor
Cod Nombre
Confidencialidad Disponibilidad Integridad Final
R1 Gerente general 0 2 0 1
R2 Administrador 0 3 0 1
R3 Facturador 0 3 0 1
R4 Médico/Técnico 0 4 0 1
R5 Licenciado 0 4 0 1
R6 Médico auditor 0 4 0 1
R7 Tesorero 0 2 0 1
R8 Logístico 0 3 0 1
S1 MediWeb 4 4 4 4
Sistema Logístico
S2 2 2 4 3
Medcam
S3 Office 1 1 2 1
S4 Base de datos 3 3 3 3
H1 Servidor de aplicaciones 4 3 4 4
H2 Servidor de correos 2 2 2 2
H3 Computadora de escritorio 1 4 3 3
H4 Lector biométrico 1 1 1 1
H5 Fotocopiadora/Impresora 1 2 2 2
H6 Electrocardiograma 2 3 2 2
H7 Máquina de rayos X 2 3 2 2
H8 Instrumento oftalmológico 2 3 2 2
Instrumento análisis de
H9 2 3 2 2
muestras
H10 Equipos de laboratorio 2 3 2 2
I1 Historia clínica 4 4 4 4
I2 Hoja de ruta 2 2 2 2
I3 Hoja de ruta laboratorio 2 2 2 2
I4 Datos de filiación 3 2 2 2
Consentimiento informado
I5 2 4 3 3
- ley
Consentimiento informado
I6 2 4 3 3
- atención
I7 Hoja de interconsulta 3 4 4 4
I8 Resultados finales 4 4 4 4
65
Criterios de Valorización
Valor
Cod Nombre
Confidencialidad Disponibilidad Integridad Final
I9 Factura electrónica 2 2 3 2
I10 Protocolo (Cotización) 1 2 1 1
I11 Historia clínica digital 4 4 4 4
I12 Kardex 2 3 3 3
I13 Lista de pacientes 3 2 2 2
I14 Cronograma 1 2 1 1
S1 Local de San Luis 0 4 0 1
S2 Local de Los Olivos 0 4 0 1
Se1 Internet 1 2 2 2
 Etapa 2: Hacer
En esta etapa se le da respuesta a los riesgos identificados a través del

establecimiento de políticas, las cuales consideran controles, así como
herramientas de capacitación, entre otras.
 Fase 6: Gestionar los riesgos y crear un plan de tratamiento de riesgos
Para la gestionar los riesgos, se usará la metodología seleccionada en la fase

4. Como se mencionó previamente, una vez identificado los activos y después
de haberlos valorado, se debe identificar las amenazas y vulnerabilidades a
los que está expuesto. El análisis se puede ver en la siguiente tabla. (Ver
Tabla 20)
Tabla 20 – Amenazas y Vulnerabilidades de los Activos
ID
Nombre de Activo Vulnerabilidad Amenaza
Activo
Falta de finalización de
Abuso de derechos
sesión por parte del usuario
Defectos de Software Abuso de derechos
Mal funcionamiento del
Defectos de Software
Software
S1 MediWeb Falla en la distribución de
Abuso de derechos
accesos
Falta de Documentación Error en el uso
Parámetros incorrectamente
Error en el uso
configurados
Falta de Respaldos Saturación del sistema de
66
ID
Activo
información
Falta de monitoreo de los
recursos de procesamiento Tratamiento ilegal de datos
de información
Falta de procedimiento
formal para el registro y Error en el uso
eliminación de usuarios.
Falta de procedimiento para
el manejo de información Error en el uso
clasificada
Falta de finalización de
Abuso de derechos
Mal funcionamiento del
Defectos de Software
Software
Interfaz de usuario
Error en el uso
complicada
Interfaz de usuario Incumplimiento en el
complicada mantenimiento del sistema
Sistema Logístico de Parámetros incorrectamente
S2 Error en el uso
MedCam configurados
Falta o insuficientes pruebas Mal funcionamiento del
de software Software
Saturación del sistema de
Falta de Respaldos
información
Especificaciones no claras o
erradas para los Error en el uso
desarrolladores
Falla en la producción de
Tratamiento ilegal de datos
informes de gestión
Mantenimiento insuficiente Fallo del equipo
Falta de esquema de
Destrucción del equipo
reemplazo periódico
Susceptibilidad a la Polvo, corrosión,
humedad, polvo y suciedad congelamiento
Susceptibilidad a la variación Falla en la energía
de la tensión eléctrica
Computadoras de
H3 Copias no controladas Robo de documentación
escritorio
Almacenamiento sin
Robo de documentación
protección
Falta de un eficiente control
Error en el uso
de cambios
Falta de Protección física de
las puertas y ventanas de la Robo de documentación
edificación
Falta de procedimiento de
monitoreo de recursos de Datos de fuentes no
procesamiento de confiables
información
Consentimiento Falta de procedimientos
I5
informado - ley formales para la autorización Abuso de derechos
de la información pública
Falta de política de limpieza
de escritorio y de pantalla
67
ID
Activo
Falta de procedimientos para
el manejo de información Accidente grave
clasificada
edificación
Incumplimiento en el
Mantenimiento insuficiente
mantenimiento del sistema
Susceptibilidad a la variación
de la tensión
Servidor de Falta de un eficiente control
H1 Error en el uso
aplicaciones de cambios
Falta de Cuidado en la
disposición final
Conexión deficiente de los Saturación del sistema de
cables información
Arquitectura insegura de red Interceptación de señales
las puertas y ventanas de la Robo de equipo
edificación
información
Falta de procedimientos
formales para la autorización Abuso de derechos
I1 Historia clínica Falta de política de limpieza
clasificada
Falta de mecanismos de
Data corrupta
monitoreo
Almacenamiento sin
protección
información
Consentimiento de la información pública
I6
informado - atención Falta de política de limpieza
clasificada
68
ID
Activo
edificación
información
I7 Hoja interconsulta de la información pública
clasificada
información
I8 Resultados finales Falta de procedimientos para
clasificada
edificación
Almacenamiento sin
protección
Falta de Respaldos Error en el uso
Incumplimiento en el
Fechas Incorrectas
Copias no controladas Robo de documentación
Falla en la distribución de
Abuso de derechos
accesos
I11 Historia clínica digital de escritorio y de pantalla Tratamiento ilegal de datos
información
Falta de finalización de Abuso de derechos
S4 Base de datos
Falla en la distribución de Divulgación de la
accesos información
69
ID
Activo
Parámetros incorrectamente Mal funcionamiento del

configurados Software
Falta de mecanismos de Data corrupta

autentificación
Tabla de contraseñas Divulgación de la

desprotegidas información
Pobre gestión de Data corrupta

contraseñas
Falta de Respaldos Fallo de equipo
Falta de Protección física Manipulación de Software
Falta de Respaldos Error en el uso
Fechas Incorrectas Incumplimiento en el

Copias no controladas Robo de documentación
Falla en la distribución de Abuso de derechos

I12 Kardex accesos
Falta de política de limpieza Tratamiento ilegal de datos

Falta de procedimientos Abuso de derechos

formales para la autorización
Una vez realizado dicho análisis, se procede a la creación del mapa de riesgos
y sus consecuencias, se dieron valores a la probabilidad e impacto de la
ocurrencia obteniendo como resultado la criticidad de los riesgos en los
procesos de negocio (Ver Tabla 21).
En respuesta a los riesgos identificados como altos y críticos se determinó

como tratamiento de riesgo es establecimiento de controles y el
establecimiento de políticas de seguridad que la organización debe
implementar para asegurar sus activos de información (Ver Tabla 22).
70
Tabla 21 – Matriz de riesgos
ID Nombre de
ID Riesgo Riesgo Consecuencias Prob. Impacto Criticidad Tratamiento
Activo Activo
Robo de Información
Acceso de usuarios no autorizados
Acceso a información no
R1 debido a que no se finalizó la sesión Improbable Crítico Alto Reducir
autorizada
en el aplicativo.
Data corrupta
Acceso a permisos no autorizados Acceso a información no
R2 Raro Crítico Medio Retener
debido a defectos en el software autorizada
Data corrupta
Error en el procesamiento de datos Data corrupta

R3 Improbable Relevante Medio Retener
debido a defectos en el software Pérdida de información
S1 MediWeb Acceso a permisos no autorizados Acceso a información no
R4 debido a un error en la asignación de autorizada Improbable Crítico Alto Reducir
permisos Inserción de data
corrupta
Error en el uso del aplicativo debido a
que no se tiene una documentación Data corrupta
R5 Probable Relevante Alto Reducir
adecuada sobre las funciones del Demora en el proceso
aplicativo
Error en las transacciones y uso del
aplicativo debido a que no se configuró Data corrupta
R6 Raro Relevante Bajo Retener
correctamente los parámetros iniciales Demora en el proceso
del aplicativo
Indisponibilidad parcial o permanente Indisponibilidad del

R7 del aplicativo debido a que no se aplicativo Posible Alto Alto Reducir
cuenta con un respaldo del mismo Pérdida de información
71
ID Nombre de
Activo Activo
Transacciones no autorizadas sin

poder rastrear al usuario que modificó
R8 Data corrupta Posible Relevante Medio Retener
debido a que no se cuenta con un log
de operaciones
Acceso de usuarios que ya no están Robo de información

dentro de la organización debido a que Acceso a información no
R9 Posible Crítico Alto Reducir
no se les dio de baja cuando autorizada
correspondía Data corrupta
Manejo incorrecto de información

clasificada dentro del aplicativo debido Acceso a información no
R10 Improbable Alto Medio Retener
a que no se cuenta con procedimiento autorizada
para el manejo de los mismos
R11 debido a que no se finalizó la sesión Improbable Alto Medio Retener
autorizada
en el aplicativo.
Data corrupta
Error en el procesamiento de datos Data corrupta

R12 Posible Relevante Medio Retener
Sistema debido a defectos en el software Demora en el proceso
S2 Logístico de
MedCam Error en el uso del aplicativo debido a
Data corrupta
R13 que la interfaz es muy compleja para el Posible Relevante Medio Retener
Demora en el proceso
usuario
Falta de actualización del inventario

R14 debido a que el interfaz es muy Data corrupta Probable Relevante Alto Reducir
compleja
72
ID Nombre de
Activo Activo
R15 Probable Relevante Alto Reducir
aplicativo
correctamente los parámetros iniciales Demora en el proceso
del aplicativo
Errores en el aplicativo o
desconocimiento de funciones debido Data corrupta
a que no se realizaron las pruebas de Demora en el proceso
software al adquirir el aplicativo
R18 del aplicativo debido a que no se aplicativo Posible Relevante Medio Retener
Interfaz, funciones desconocidas y Indisponibilidad del

desconocimiento del aplicativo debido aplicativo
a que no se especificó al proveedor las Pérdida de información
necesidades del negocio Demora en el proceso
Transacciones no autorizadas sin
poder rastrear al usuario que modificó
debido a que no se cuenta con un log
de operaciones
R21 debido a que no se finalizó la sesión Improbable Alto Medio Retener
autorizada
en el aplicativo.
Data corrupta
S4 Base de datos Robo de Información
Acceso a permisos no autorizados Acceso a información no
R22 debido a un error en la asignación de autorizada Improbable Relevante Medio Retener
permisos Inserción de data
corrupta
73
ID Nombre de
Activo Activo
R23 Improbable Moderado Bajo Retener
aplicativo
R24 Improbable Moderado Bajo Retener
correctamente los parámetros del Demora en el proceso
aplicativo
Acceso de usuarios no autorizados Acceso a información no
R25 debido a que no se cuenta con autorizada Improbable Crítico Alto Reducir
mecanismos de autenticación. Inserción de data
corrupta
Acceso de usuarios no autorizados Acceso a información no
R26 debido a que la tabla de contraseñas autorizada Improbable Alto Medio Retener
de la aplicación es expuesta. Inserción de data
corrupta
debido a que no se cuenta con una
R27 autorizada Improbable Alto Medio Retener
política de contraseñas que establezca
Inserción de data
la gestión de la misma.
corrupta

R28 del aplicativo debido a que no se aplicativo Improbable Crítico Alto Reducir
Data corrupta debido a manipulación

R29 Data corrupta Improbable Moderado Medio Retener
no autorizada.
Malfuncionamiento de equipo debido a

Computadoras Indisponibilidad
R30 H3 que no se le realizó correctamente los Posible Relevante Medio Retener
de escritorio Pérdida de Información
mantenimientos necesarios
74
ID Nombre de
Activo Activo
Malfuncionamiento y uso de equipos

Indisponibilidad del
obsoletos debido a que no se cuenta
R31 equipo Posible Relevante Medio Retener
con un esquema de reemplazo
Pérdida de Información
periódico
Malfuncionamiento de equipo debido a Indisponibilidad del

R32 que el equipo no está protegido frente equipo Posible Relevante Medio Retener
al polvo, corrosión y congelamiento Pérdida de Información
Destrucción del equipo debido a una
R33 equipo Improbable Relevante Medio Retener
fluctuación en la energía eléctrica
Pérdida de Información
Robo de documentos confidenciales

debido a que el equipo no cuenta con
R34 Robo de Información Probable Alto Alto Reducir
una seguridad como autenticación de
usuario

R35 debido a que el equipo no almacena Robo de Información Probable Alto Alto Reducir
los documentos de una forma segura
Error en el uso de los equipos debido a

R36 una mala configuración inicial del Improbable Relevante Medio Retener
equipo
equipo
Robo del equipo debido a la intrusión

R37 de un tercero ya que no cuentan con Robo de Información Probable Alto Alto Reducir
una protección física eficaz
Consentimient Documento con errores deliberados de

R38 I5 o informado - parte del paciente debido a que no se Data corrupta Raro Relevante Bajo Retener
ley monitorea correctamente el documento
75
ID Nombre de
Activo Activo
Documento errado o con omisiones

debido a que no se monitoreó
R39 Data corrupta Raro Relevante Bajo Retener
correctamente el procesamiento del
consentimiento informado
Robo de documentación o exposición Robo de Información

R40 a terceros debido a que se ubicó en un Acceso a información no Posible Relevante Medio Retener
lugar público autorizada
Pérdida o destrucción del documento

debido a que no se cuenta con
R41 Pérdida de Información Posible Alto Alto Reducir
procedimientos de manejo de
información sensible
Destrucción de documento debido a

R42 que se almacenó en un almacén Pérdida de Información Posible Alto Alto Reducir
expuesto a la intemperie
Robo de documentación debido a la

intrusión de un tercero ya que no
R43 Robo de Información Posible Alto Alto Reducir
cuentan con una protección física
eficaz
Robo del documento debido a que no

R44 cuentan con una seguridad física Robo de Información Probable Crítico Crítico Reducir
eficaz
I1 Historia clínica
Documento con errores deliberados de

R45 parte del paciente debido a que no se Data corrupta Raro Relevante Bajo Retener
monitorea correctamente el documento
76
ID Nombre de
Activo Activo

R47 a terceros debido a que se ubicó en un Acceso a información no Probable Crítico Crítico Reducir
lugar público en el escritorio autorizada

R48 Pérdida de Información Improbable Crítico Alto Reducir

R49 que se almacenó en un almacén Pérdida de Información Probable Crítico Crítico Reducir
intrusión de un tercero ya que se
R50 Robo de información Posible Crítico Alto Reducir
encuentra en un almacén sin
protección
Inserción de data incorrecta debido a

R51 acciones deliberadas por parte del Data corrupta Improbable Crítico Alto Reducir
personal
Consentimient Documento con errores deliberados de

R52 I6 o informado - parte del paciente debido a que no se Data corrupta Raro Relevante Bajo Retener
atención monitorea correctamente el documento
77
ID Nombre de
Activo Activo


R54 a terceros debido a que se ubicó en un Acceso a información no Posible Crítico Alto Reducir

R55 Pérdida de Información Improbable Alto Medio Retener

R56 que se almacenó en un almacén Pérdida de Información Posible Alto Alto Reducir
R57 Robo de información Posible Crítico Alto Reducir
eficaz

Hoja debido a que no se monitoreó
R59 I7 Data corrupta Raro Relevante Bajo Retener
interconsulta correctamente el procesamiento del

R60 a terceros debido a que se ubicó en un Acceso a información no Posible Crítico Alto Reducir
78
ID Nombre de
Activo Activo

R61 Pérdida de Información Improbable Alto Medio Retener



Resultados
I8
finales
R65 Pérdida de Información Improbable Crítico Alto Reducir

R66 que se almacenó en un almacén Pérdida de Información Probable Crítico Crítico Reducir
R67 Robo de Información Probable Crítico Crítico Reducir
eficaz
79
ID Nombre de
Activo Activo

R68 debido a que es almacenado en un Robo de Información Posible Crítico Alto Reducir
lugar sin seguridad

R69 del documento debido a que no se aplicativo Probable Alto Alto Reducir
Error en el guardado y clasificación por

Data corrupta
fechas de las historias clínicas debido
R70 Indisponibilidad del Improbable Alto Medio Retener
a que las fechas del aplicativo no esté
documento
sincronizado con el sistema operativo
Robo de documentación debido a que

R71 se hagan copias no autorizadas de las Robo de Información Probable Crítico Crítico Reducir
historias clínicas
Acceso al documento de un tercero

Historia clínica Acceso a información no
R72 I11 debido a que no se definió los accesos Improbable Crítico Alto Reducir
digital autorizada
correctamente

parte del paciente debido a que no se
por un especialista

correctamente el procesamiento de la
historia clínica
80
ID Nombre de
Activo Activo
Lentitud y fallos en los sistemas debido Demora en el proceso

R76 a que no se realicen los Indisponibilidad del Posible Relevante Medio Retener
mantenimientos necesarios servidor
Malfuncionamiento del servidor debido

R77 a que se encuentra expuesto a polvo, Posible Relevante Medio Retener
servidor
suciedad y humedad
Destrucción del equipo debido a que

R78 no cuenta con estabilizadores Raro Crítico Medio Retener
servidor
necesarios
Malfuncionamiento del servidor debido

R79 a la mala configuración inicial del Posible Alto Alto Reducir
servidor
servidor
Destrucción del equipo debido a que

Servidor de Indisponibilidad del
R80 H1 se encuentra dispuesto en una zona Improbable Alto Medio Retener
aplicaciones servidor
no segura
Lentitud y fallos en los sistemas debido

R81 a que no se cuenta con un sistema de Posible Relevante Medio Retener
servidor
enrutamiento eficiente
Robo de información debido a que

R82 poseen una arquitectura de red muy Robo de Información Raro Crítico Medio Retener
insegura

R83 de la base de datos debido a que no equipo Posible Crítico Alto Reducir
se cuenta con un respaldo del mismo Pérdida de Información
Lentitud en los sistemas o conflictos

Data corrupta
R84 debido a que algunos servicios Posible Relevante Medio Retener
Demora en el proceso
innecesarios estén habilitados
81
ID Nombre de
Activo Activo
Pérdida de información debido a que

R85 Pérdida de Información Posible Crítico Alto Reducir
no se realicen los respaldos

R86 del aplicativo debido a que no se aplicativo Posible Relevante Medio Retener
cuenta con un respaldo del mismo. Pérdida de información
Error en el registro de movimientos de

Data corrupta
almacén debido a que las fechas del
R87 Indisponibilidad del Posible Alto Alto Reducir
aplicativo no estén sincronizadas con
documento
el sistema operativo.
Robo de documentación debido a que

R88 se hagan copias no autorizadas de los Robo de Información Improbable Relevante Medio Retener
I12 Kardex movimientos de mercadería.
Acceso al documento de un tercero

R89 debido a que no se definió los accesos Raro Relevante Bajo Retener
autorizada
correctamente.

R90 a terceros debido a que se ubicó en un Acceso a información no Improbable Alto Medio Retener
lugar público. autorizada
Usuarios no autorizados tienen acceso

a información de la empresa.
82
Tabla 22 – Controles Identificados
ID
Riesgo Criticidad Cláusula Controles ISO/IEC 27002:2013
Riesgo
A.9.4.3 - Los sistemas de gestión de contraseñas deben

Acceso de usuarios no ser interactivos y deben asegurar contraseñas de calidad.
autorizados debido a que A.9 Control de acceso A.11.2.9 - Una política de escritorio limpio de papeles y de
R1 Alto
no se finalizó la sesión en A.11 Seguridad física y ambiental medios de almacenamiento removibles, así como una
el aplicativo. política de pantalla limpia para las instalaciones de
procesamiento de la información debe ser adoptada.
A.9.2.1 - Un proceso formal de registro y baja de usuarios

Acceso a permisos no
debe ser implementado para permitir la asignación de
autorizados debido a un
R4 Alto A.9 Control de acceso derechos de accesos.
error en la asignación de
A.9.2.5 - Los propietarios de los activos deben revisar los
permisos
derechos de accesos de usuario a intervalos regulares.
Error en el uso del
aplicativo debido a que no
A.12.1.1 - Los procedimientos operativos deben ser
se tiene una
R5 Alto A.12 Seguridad de las operaciones documentados y puestos a disposición de todos los
documentación adecuada
usuarios que lo necesitan.
sobre las funciones del
aplicativo
Indisponibilidad parcial o
A.12.3.1 - Copias de respaldo de la información del
permanente del aplicativo
software y de las imágenes del sistema deben ser
R7 debido a que no se Alto A.12 Seguridad de las operaciones
tomadas y probadas regularmente en concordancia con
cuenta con un respaldo
una política de respaldo acordada.
del mismo
83
ID
Riesgo
Acceso de usuarios que A.9.2.1 - Un proceso formal de registro y baja de usuarios

ya no están dentro de la debe ser implementado para permitir la asignación de
R9 organización debido a Alto A.9 Control de acceso derechos de accesos.
que no se les dio de baja A.9.2.5 - Los propietarios de los activos deben revisar los
cuando correspondía derechos de accesos de usuario a intervalos regulares.

documentados y puestos a disposición de todos los
Falta de actualización del
A.12.6.1 - Información sobre vulnerabilidades técnicas de
R14 inventario debido a que el Alto A.12 Seguridad de las operaciones
los sistemas de información utilizados debe ser obtenida
interfaz es muy compleja
de manera oportuna, la exposición de la organización a
dichas vulnerabilidades debe ser evaluada y las medidas
apropiadas deben ser tomadas para resolver el riesgo
apropiado.
Error en el uso del
aplicativo debido a que no
se tiene una
R15 Alto A.12 Seguridad de las operaciones documentados y puestos a disposición de todos los
documentación adecuada
sobre las funciones del
aplicativo
Acceso de usuarios no
A.11.1.1 - Perímetros de seguridad deben ser definidos y
autorizados debido a que
utilizados para proteger áreas que contienen información
R25 no se cuenta con Alto A.11 Seguridad física y ambiental
sensible o crítica e instalaciones de procesamiento de
mecanismos de
información.
autenticación.
84
ID
Riesgo
permanente del aplicativo
del mismo
A.9.4.3 - Los sistemas de gestión de contraseñas deben

Robo de documentos
ser interactivos y deben asegurar contraseñas de calidad.
confidenciales debido a
A.9 Control de acceso A.11.2.9 - Una política de escritorio limpio de papeles y de
R34 que el equipo no cuenta Alto
A.11 Seguridad física y ambiental medios de almacenamiento removibles, así como una
con una seguridad como
política de pantalla limpia para las instalaciones de
autenticación de usuario
procesamiento de la información debe ser adoptada.
A.8.1.1 - Información, otros activos asociados con

Robo de documentos
información e instalaciones de procesamiento de
confidenciales debido a
información deben ser identificados y un inventario de
R35 que el equipo no Alto A.8 Gestión de Activos
estos activos de ser elaborado y mantenido.
almacena los documentos
A.8.1.2 - Los activos mantenidos en el inventario deben
de una forma segura
ser propios.
Robo del equipo debido a

la intrusión de un tercero A.11.1.2 - Las áreas seguras deben ser protegidas por
R37 ya que no cuentan con Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
una protección física que se le permite acceso sólo al personal autorizado.
eficaz
Pérdida o destrucción del
documento debido a que A.11.1.1 - Perímetros de seguridad deben ser definidos y
no se cuenta con utilizados para proteger áreas que contienen información
R41 Alto A.11 Seguridad física y ambiental
procedimientos de sensible o crítica e instalaciones de procesamiento de
manejo de información información.
sensible
85
ID
Riesgo
Destrucción de
documento debido a que A.11.1.4 - Protección física contra desastres naturales,
R42 se almacenó en un Alto A.11 Seguridad física y ambiental ataque malicioso o accidentes debe ser diseñada y
almacén expuesto a la aplicada.
intemperie
debido a la intrusión de A.11.1.2 - Las áreas seguras deben ser protegidas por
R43 un tercero ya que no Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
cuentan con una que se le permite acceso sólo al personal autorizado.
protección física eficaz
A.11.1.2 - Las áreas seguras deben ser protegidas por

Robo del documento medio de controles apropiados de ingreso para asegurar
debido a que no cuentan A.11 Seguridad física y ambiental que se le permite acceso sólo al personal autorizado.
R44 Crítico
con una seguridad física A.18 Cumplimiento A.18.1.4. - La privacidad y la protección de datos
eficaz personales deben ser aseguradas tal como se requiere en
la legislación y regulación relevante donde sea aplicable.
A.11.1.1 - Perímetros de seguridad deben ser definidos y

utilizados para proteger áreas que contienen información
sensible o crítica e instalaciones de procesamiento de
Robo de documentación o
información.
exposición a terceros
A.11 Seguridad física y ambiental A.11.1.2 - Las áreas seguras deben ser protegidas por
R47 debido a que se ubicó en Crítico
A.18 Cumplimiento medio de controles apropiados de ingreso para asegurar
un lugar público en el
que se le permite acceso sólo al personal autorizado.
escritorio
A.18.1.4. - La privacidad y la protección de datos
personales deben ser aseguradas tal como se requiere en
la legislación y regulación relevante donde sea aplicable.
86
ID
Riesgo
sensible
Destrucción de
R49 se almacenó en un Crítico A.11 Seguridad física y ambiental ataque malicioso o accidentes debe ser diseñada y
intemperie
R50 un tercero ya que se Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
encuentra en un almacén que se le permite acceso sólo al personal autorizado.
sin protección
Inserción de data A.6.1.3 - Las funciones y áreas de responsabilidad en
incorrecta debido a A.6 Organización de la seguridad de conflicto deben ser segregadas para reducir
R51 Alto
acciones deliberadas por la información oportunidades de modificación no autorizada o no
parte del personal intencional o mal uso de los activos de la organización.
R54 Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
debido a que se ubicó en
un lugar público
Destrucción de
R56 se almacenó en un Alto A.11 Seguridad física y ambiental ataque malicioso o accidentes debe ser diseñada y
intemperie
87
ID
Riesgo
R57 un tercero ya que no Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
R60 Alto A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
debido a que se ubicó en
un lugar público
A.8.3.3 - Los medios que contienen información deben ser

Robo de documentación o protegidos contra el acceso no autorizado, el mal uso o la
exposición a terceros A.8 Gestión de Activos corrupción durante el transporte.
R64 Crítico
debido a que se ubicó en A.11 Seguridad física y ambiental A.11.1.2 - Las áreas seguras deben ser protegidas por
un lugar público medio de controles apropiados de ingreso para asegurar

sensible
Destrucción de
R66 se almacenó en un Crítico A.11 Seguridad física y ambiental ataque malicioso o accidentes debe ser diseñada y
intemperie
R67 un tercero ya que no Crítico A.11 Seguridad física y ambiental medio de controles apropiados de ingreso para asegurar
88
ID
Riesgo
Robo de documentos A.11.1.1 - Perímetros de seguridad deben ser definidos y

confidenciales debido a utilizados para proteger áreas que contienen información
que es almacenado en un sensible o crítica e instalaciones de procesamiento de
lugar sin seguridad información.
permanente del
R69 documento debido a que Alto A.12 Seguridad de las operaciones
no se cuenta con un
respaldo del mismo
A.8.3.1. - Se debe implementar procedimientos para la
debido a que se hagan
R71 Crítico A.8 Gestión de Activos gestión de medios removibles en concordancia con el
copias no autorizadas de
esquema de clasificación adoptado por la organización.
las historias clínicas
A.9.2.1 - Un proceso formal de registro y baja de usuarios
Acceso al documento de
debe ser implementado para permitir la asignación de
un tercero debido a que
R72 Alto A.9 Control de acceso derechos de accesos.
no se definió los accesos
A.9.2.5 - Los propietarios de los activos deben revisar los
correctamente
derechos de accesos de usuario a intervalos regulares.
A.9.3.1 - Los usuarios deben ser exigidos a que sigan las

Robo de documentación o prácticas de la organización en el uso de información de
exposición a terceros autentificación secreta.
R73 Crítico A.9 Control de acceso
debido a que se ubicó en A.9.4.1 - El acceso a la información y a las funciones del
un lugar público sistema de aplicación debe ser restringido en
concordancia con la política de control de acceso.
89
ID
Riesgo
A.12.6.1 - Información sobre vulnerabilidades técnicas de

Malfuncionamiento del los sistemas de información utilizados debe ser obtenida
servidor debido a la mala de manera oportuna, la exposición de la organización a
R79 Alto A.12 Seguridad de las operaciones
configuración inicial del dichas vulnerabilidades debe ser evaluada y las medidas
servidor apropiadas deben ser tomadas para resolver el mejor
riesgo.
permanente de la base de
R83 datos debido a que no se Alto A.12 Seguridad de las operaciones
del mismo
Pérdida de información
realicen los respaldos
Error en el registro de A.12.6.1 - Información sobre vulnerabilidades técnicas de

movimientos de almacén los sistemas de información utilizados debe ser obtenida
debido a que las fechas de manera oportuna, la exposición de la organización a
R87 Alto A.12 Seguridad de las operaciones
del aplicativo no estén dichas vulnerabilidades debe ser evaluada y las medidas
sincronizadas con el apropiadas deben ser tomadas para resolver el mejor
sistema operativo. riesgo.
90
 Fase 7: Establecer políticas y procedimientos para controlar los riesgos
Luego de haber realizado el respectivo análisis de riesgos e identificado los

controles, se diseña el documento de “Declaración de Aplicabilidad” en la cual
se hizo una revisión de los 144 controles que propone la ISO/IEC 27002 y a
base de criterios se determinó la aplicabilidad de cada uno de ellos a la
organización. Es exigido por la ISO/IEC 27001 ya que permite asegurar que
no se está omitiendo algún control y si algún control no aplicase a la empresa,
se realiza la justificación. El diseño del documento se puede ver en la Tabla
23.
Tabla 23 – Campos en la Declaración de Aplicabilidad

Campo Descripción
Sección Número de Cláusula referenciada de la ISO/IEC 27001
Objetivo Objetivo de la cláusula
Control Descripción del control
SI: Si es aplicable a la empresa,
Aplicación
No: Si no es aplicable a la empresa
Justificación de
Justificación porque se está excluyendo el control
Exclusión
Criterios para la selección de controles: LR:
Requemamientos Legales, CO: Obligaciones
Justificación de
Contractuales, BR/BP: Requerimientos del
Inclusión
negocio/Mejores Prácticas, RRA: Resultado de Análisis de
Riesgos (Giraldo, L., 2016)
Adaptación a
MEDCAM Perú Descripción de cómo se aplicaría el control a MEDCAM
SAC
Se elaboró la declaración de aplicabilidad según los campos especificados.

(Ver Tabla 24).
91
Tabla 24 – Declaración de aplicabilidad
Justificación Inclusión Aplicación

Sec. Objetivo Control Justificación de exclusión Adopción a MEDCAM
LR CO BR/BP RRA Si/No
5 Políticas de seguridad de la información

5.1 Directrices establecidas por la dirección para la seguridad de la información
5.1.1 Políticas para la seguridad Existen políticas de seguridad de X Si Se diseñó e implementó el
de la información la información pero no han sido documento de Política de
documentadas, se debe redactar Seguridad de la Información.
un documento que políticas para Control C001.
que sea distribuido y conocido
por todo el personal incluido en el
proceso del SGSI
5.1.2 Revisión de las políticas Se debe establecer un X Si Se diseñó e implementó el
para seguridad de la procedimiento que permita la documento de Política de
información revisión periódica de las políticas Seguridad de la Información, en
de la seguridad de la información el cual se determina el periodo
por lo menos cada año de revisión de la política.
Control C002.
6 Organización de la seguridad de la información
6.1 Organización interna.
6.1.1 Roles y responsabilidades Se deben definir roles y X Si Se diseñó e implementó el
para la seguridad de responsabilidades de acuerdo a documento de Política de
información las políticas de seguridad de la Seguridad de la Información, en
información a todos los que el cual se determinan los roles y
interactúen con el SGSI responsabilidades respecto a la
Control C003.
92
6.1.2 Separación de deberes Se deben separar las ares X X Si Los procesos de MEDCAM se
consideradas de gran importancia han determinado considerando
para que así los deberes y segregación en los procesos.
responsabilidades asignadas Control C004.
sean separadas, de esta forma
se evita el uso indebido de los
activos de la organización
6.1.3 Contacto con las En el documento de políticas de La organización no tiene No
autoridades la seguridad de la información se contacto con autoridades
debe contemplar un reguladoras de los
procedimiento que permita procesos de negocio.
gestionar el contacto permanente
con autoridades reguladoras de
seguridad de la información
6.1.4 Contacto con grupos de Es importante que la persona Las ejecuciones en No
interés especial encargada de la seguridad seguridad de la
informática gestione el contacto información no están a
permanente con grupos de cargo de personal
interés, estos pueden ser foros, operativo de la empresa.
chats, wiki, comunidades
relacionadas con la seguridad
informática, con la intención de
estar actualizados en aspectos
relacionados a la seguridad
6.1.5 Seguridad de la La seguridad de la información se No representa un riesgo No
información en la gestión debe tratar en cualquier proyecto. crítico para la empresa.
de proyectos
6.2 Dispositivos móviles y teletrabajo.
6.2.1 Política para dispositivos Se deben aplicar políticas para el Los procesos de No
móviles uso adecuado de dispositivos MEDCAM no tienen
móviles, su uso inadecuado participación de
representa grandes riesgos dispositivos móviles.
93
6.2.2 Teletrabajo La Cía. no posee empleos bajo la MEDCAM no posee este No

modalidad de teletrabajo tipo de trabajadores.
7 Seguridad de los recursos humanos
7.1 Antes de asumir el empleo.
7.1.1 Selección Se deben realizar una exhaustiva No representa un riesgo No
comprobación de los crítico para la empresa ya
antecedentes del personal como que cuenta con el mismo
empleados, contratistas, terceros, personal por años.
con el fin de saber su
procedencia, referencias
personales, judiciales entre otras
7.1.2 Términos y condiciones del Se debe diseñar un documento X X Si Se diseñó el documento
empleo que permita a los empleados, Acuerdo de Confidencialidad el
contratistas y terceros firmar cual estipula que la información
cláusulas de confidencialidad con que corresponde a los procesos
la organización, manejo internos MEDCAM, así como la
adecuado de recursos información de los pacientes
tecnológicos atendidos por la clínica, son de
carácter confidencial y la
divulgación de estos conlleva
castigos penales, así como la
ruptura de la relación con
MEDCAM.
Control C005.
7.2 Durante la ejecución del empleo.
7.2.1 Responsabilidades de la Se debe exigir a los empleados, No representa un riesgo No
dirección contratistas y terceros el crítico para la empresa.
cumplimiento a cabalidad de las
políticas de seguridad de la
información implementadas por la
Cía
94
7.2.2 Toma de conciencia, Se debe capacitar a todo el X Si El personal de MEDCAM es

educación y formación en personal en aspectos sensibilizado respecto a temas
la seguridad de la relacionados con la seguridad de de seguridad de la información.
información la información Control C006.
7.2.3 Proceso disciplinario Se deben establecer políticas X Si Se diseñó e implementó el
sobre sanciones que se aplicarán documento de Política de
a quienes incumplan con lo Seguridad de la Información, en
descrito en las políticas de el cual se determinan las
seguridad penalidades sobre el
incumplimiento de la política.
Control C007.
7.3 Terminación o cambio de empleo
7.3.1 Terminación o cambio de Se debe informar a los No representa un riesgo No
responsabilidades de empleados en los casos donde crítico para la empresa ya
empleo las responsabilidades y deberes que no se realizan
que les fueron asignados durante cambios de puestos.
el empleo, los cobijan aun
cuando se realice una
terminación o cambio de contrato
8 Gestión de activos
8.1 Responsabilidad por los activos
8.1.1 Inventario de activos Se debe contar con un inventario X X Si Se identificó y clasificó los
detallado de los activos que activos de los procesos
posee la Cía relevantes de la organización
teniendo como resultado el
Inventario de Activos de
Información.
Control C008.
95
8.1.2 Propiedad de los activos Además de la implementación del X X Si El inventario de activos diseñado
control anterior, se debe tiene información actualizada del
identificar en custodia de quien propietario (responsable) del
se encuentra actualmente el activo de información.
activo Control C009.
8.1.3 Uso aceptable de los Debe existir una clausula donde X Si Se diseñó e implementó la
activos los empleados se comprometan a política específica de Gestión de
realizar un uso aceptable de los Activos en la que se establece el
activos de la organización uso que los empleados le deben
dar a los activos de información.
Control C010.
8.1.4 Devolución de activos Se debe establecer un proceso X Si Se diseñó e implementó la
para la devolución de los activos política específica de Gestión de
para cuando los empleados Accesos en la que se establece
cambien de puesto o cuando se el proceso de devolución de
termine su contrato activos ante el cese del
personal.
Control C011.
8.2 Clasificación de la información
8.2.1 Clasificación de la Se debe establecer un No representa un riesgo No
información procedimiento que permita crítico para la empresa.
clasificar la información de
acuerdo a su valor
8.2.2 Etiquetado de la La información debe estar No representa un riesgo No
información debidamente rotulada, además crítico para la empresa.
esta rotulación se debe clasificar
de acuerdo al valor que
representa la información para la
empresa
8.2.3 Manejo de activos Se debe contar con Se cubrirá con el control No
procedimientos que ayuden en el C010.
96
adecuado manejo que se le debe

dar a un activo
8.3.1 Gestión de medios Se deben establecer políticas X X Si Se diseñó e implementó la
removibles sobre el correcto manejo que se política específica de Gestión de
le deben dar a los medios Activos en la que se establece
removibles, puesto que estos son que los medios removibles
necesarios en el desarrollo de las deben ser inhabilitados en todas
labores diarias. las computadoras de la clínica.
Control C012.
8.3.2 Disposición de los medios Protección de la información No aplica a la empresa. No
cuando los medios sean
destinados a labores diferentes a
las actuales, se podría hablar de
un procedimiento de eliminación
de información en estos casos.
8.3.3 Transferencia de medios Definir procedimientos que X X X Si Se tiene como regla en el
físicos permitan que la información proceso de Procesamiento que
almacenada en estos no sea el medico ocupacional del cliente
divulgada, modificada o puede decepcionar los
eliminada. resultados de los exámenes.
Control C013.
9 Control de acceso
9.1 Requisitos del negocio para control de acceso
9.1.1 Política de control de Establecer políticas que permitan X Si Se diseñó e implementó la
acceso el acceso a la información de Política Específica de Gestión de
acuerdo a privilegios establecidos Accesos.
según sus funciones Control C014.
9.1.2 Política sobre el uso de los Definir el acceso a la red para el No representa un riesgo No
servicios de red desarrollo de funciones que les crítico para la empresa ya
fueron asignadas. que el acceso a la red no
97
asegura el acceso a las

aplicaciones de la clínica.
9.2 Gestión de acceso de usuarios

9.2.1 Registro y cancelación del Todos los usuarios con acceso a X X X X Si El personal que cesa de la
registro de usuarios sistema de información deben empresa se le debe retirar los
estar debidamente registrados, accesos a los sistemas de
adicionalmente se debe dar de información en un periodo
baja a los que ya no hagan parte oportuno.
de la organización o no hagan Control C015.
uso del sistema.
9.2.2 Suministro de acceso de Implementar un procedimiento X Si Los ordenadores deben requerir
usuarios que permita a los usuarios del usuarios y contraseña para el
sistema acceder al sistema o acceder a los mismos.
negar el acceso a este cuando se Control C016.
considere necesario.
9.2.3 Gestión de derechos de Se deben establecer privilegios X Si Existe una revisión periódica de
acceso privilegiado de acceso a la información de accesos otorgados en el sistema
acuerdo al desempeño de sus Mediweb.
funciones. Control C017.
9.2.4 Gestión de información de Esta información sólo debe ser X Si Sólo personal autorizado tiene
autenticación secreta de accesada por personal con acceso a la Gestión de Accesos
usuarios privilegios especiales en los sistemas de información.
Control C018.
9.2.5 Revisión de los derechos Monitoreo de privilegios X X Si Se cubrirá con el control C017.
de acceso de usuarios asignados a usuarios con el fin
de identificar si los privilegios
asignados son adecuados para el
desarrollo de sus funciones.
9.2.6 Retiro o ajuste de los Se debe dar de baja o modificar X X Si Se cubrirá con el control C015.
derechos de acceso los privilegios de acceso a la
información en caso de traslado
98
del usuario o retiro de la

organización.
9.3 Responsabilidades de los usuarios

9.3.1 Uso de la información de Se deben crear perfiles para el X X Si Se cubrirá con el control C018.
autenticación secreta acceso a información
considerada de suma importancia
para la empresa
9.4 Control de acceso a sistemas y aplicaciones

9.4.1 Restricción de acceso Restringir el acceso a la X X X X Si Los activos físicos críticos se
Información información por parte de personal encuentran en un ambiente
no autorizado. restringido al público.
Control C019.
9.4.2 Procedimiento de ingreso Se deben establecer X X X Si Se cubrirá con el control C016.

seguro procedimientos que restrinjan el
acceso a la información a
personal no autorizado
9.4.3 Sistema de gestión de Se deben establece políticas de X X Si Los sistemas de información han
contraseñas gestión de contraseñas como sido configurados con la política
caducidad, bloqueo después de de contraseña definida por la
determinado número de intentos, organización.
parámetros para creación de Control C020.
contraseñas seguras.
99
9.4.4 Uso de programas Restringir el uso de programas No representa un riesgo No

utilitarios privilegiados utilitarios ya que pueden violentar crítico para la empresa.
la seguridad de las contraseñas,
pues algunos revelan las
contraseñas, vulnerando la
seguridad.
9.4.5 Control de acceso a Políticas de acceso al código No aplica a la empresa. No
códigos fuente de fuente, este sólo debe ser
programas accesado por el personal
autorizado
10 Criptografía
10.1 Controles criptográficos
10.1.1 Política sobre el uso de Se deben establecer controles Se establecerán No
controles criptográficos criptográficos que permitan la controles de criptografía
confidencialidad, disponibilidad, fuera de una política.
integridad y no repudio de la
información
10.1.2 Gestión de llaves Se deben establecer controles X X Si Las tablas de información
criptográficos que permitan la confidencial son encriptados a
confidencialidad, disponibilidad, nivel de base de datos.
integridad y no repudio de la Control C021.
información
11 Seguridad física y del entorno
11.1 Áreas seguras
11.1.1 Perímetro de seguridad Se debe establecer un perímetro X X X X Si Se cubrirá con el control C019.
física de tal forma que los sitios donde
se encuentren los activos tengan
accesos restringido
100
11.1.2 Controles físicos de Se debe restringir el acceso a X X X X Si El centro de datos se encuentra

entrada sitios seguros como centro de con acceso restringido a
cableado, ubicación del servidor, personal autorizado.
espacios donde se encuentre Control C022.
información confidencial, estos
sitios deben permanecer con
llave.
11.1.3 Seguridad de oficinas, Restringir el acceso a personal X X X Si En la clínica las áreas
recintos e instalaciones no autorizado, las áreas deben restringidas están señalizadas.
estar demarcadas dando aviso Control C023.
que son sitios restringidos
11.1.4 Protección contra Se debe contar con detectores de X X Si En la clínica se han
amenazas externas y humo y humedad, ubicación de implementado medidas de
ambientales extinguidores en sitios seguridad ante amenazas
estratégicos, cuartos técnicos con internas como extintores,
aire acondicionado, adquisición alarmas, luminarias ante falta de
de pólizas contra robo y electricidad, etc.
desastres naturales Control C024.
11.1.5 Trabajo en áreas seguras Se deben preservar los sitios Se cubrirá con el control No
donde se encuentren activos C013.
valiosos con el fin de protegerlos
contra daños intencionados
11.1.6 Áreas de despacho y carga Se deben designar sitios No aplica a la empresa. No
especiales para carga y
despacho, lo recomendable es
que estén aislados de los
denominados sitios seguros o
restringidos
11.2 Equipos
11.2.1 Ubicación y protección de Los equipos deben estar X X X Si Se cubrirá con el control C022.
los equipos ubicados en sitios seguros, de
esta forma se protegen contra
robo, accesos no autorizados.
101
11.2.2 Servicios de suministro Se debe contar con un adecuado Se cuentan con No

suministro y respaldo de energía procedimientos de
continuidad de negocio.
11.2.3 Seguridad del cableado Se debe proteger el cableado No representa un riesgo No
eléctrico y de datos de posibles crítico para la empresa.
daños como interceptaciones con
el fin de causar daño.
11.2.4 Mantenimiento de equipos Se debe contar con X Si Los activos de hardware y
mantenimiento preventivo y software deben tener un
correctivo en períodos de tiempo mantenimiento anual.
establecidos, con el fin de evitar Control C025.
daños en hardware, actualización
de software.
11.2.5 Retiro de activos Se debe definir un procedimiento No aplica a la empresa. No
que autorice el retiro de activos
de la empresa tales como
equipos de cómputo, software.
11.2.6 Seguridad de equipos y Aplicar la misma seguridad que Se cubrirá con el control No
activos fuera de las se realiza a los equipos dentro de C022.
instalaciones la empresa
11.2.7 Disposición segura o Se debe proteger la información No aplica a la empresa. No
reutilización de equipos confidencial de equipos en
desuso o cuando son dados de
baja.
11.2.8 Equipos de usuario Establecer políticas para equipos X X X Si Los sistemas de información han
desatendidos cuando los usuarios no están sido configurados con bloqueo
presentes, evitando así el acceso de sesión automático.
no autorizado o robo de Control C026.
información.
11.2.9 Política de escritorio limpio Definir procedimientos para que X X X X Si Los escritorios deben
y pantalla limpia los escritorios estén libres de permanecer libre de documentos
papeles, medios de con información confidencial.
almacenamiento que puedan Control C027.
permitir filtración de información,
102
además políticas de pantallas

limpias.
12 Seguridad de las operaciones

12.1 Procedimientos operacionales y responsabilidades
12.1.1 Procedimientos de Los procedimientos deben estar X X Si Las políticas y documentación
operación documentados documentados y puestos al propia de la empresa en lo que
alcance de todos, también respecta a procesos de negocio
manuales de operaciones se encuentran en una carpeta
específicas compartida al cual toda la
organización tiene acceso.
Control C028.
12.1.2 Gestión de cambios Establecer políticas donde los No representa un riesgo No
cambios sean realizados por crítico para la empresa.
personal autorizado, además
deben quedar soportados para
llevar un control para evitar
contratiempos.
12.1.3 Gestión de capacidad Se debe realizar un monitoreo de No representa un riesgo No
los recursos de tal forma que no crítico para la empresa.
afecten la operación, algunos
pueden ser capacidad de banda
ancha, circuitos descalibrados
que afecten el fluido eléctrico,
equipos de cómputo lentos.
12.1.4 Separación de los Los ambientes de desarrollo No aplica a la empresa. No
ambientes de desarrollo, prueba y operación deben estar
pruebas y operación aislados, con restricciones de
acceso con el fin de evitar
cambios o modificaciones no
autorizadas.
103
12.2 Protección contra códigos maliciosos

12.2.1 Controles contra códigos Los equipos de cómputo deben X Si Se revisará que los activos de
maliciosos contar con software contra código software deben contar con un
malicioso, el cual se debe antivirus actualizado.
actualizar constantemente con el Control C029.
fin actualizar parches que
mitiguen las nuevas
vulnerabilidades.
12.3 Copias de respaldo
12.3.1 Respaldo de información Se debe realizar respaldo de la X X Si Se debe generar a los activos de
información, además se deben software una copia de respaldo
realizar pruebas para comprobar de manera mensual, esta debe
que estos cumplen con las ser revisada y almacenada en
políticas de respaldo- un lugar ajeno al centro de
operaciones.
Control C030.
12.4 Registro y seguimiento
12.4.1 Registro de eventos Se debe llevar un control de los No representa un riesgo No
eventos con el fin de establecer crítico para la empresa.
procedimientos que ayuden a
repararlos o eliminarlos
definitivamente, con el fin de que
no se vuelvan a presentar
12.4.2 Protección de la Se debe proteger la información No representa un riesgo No
información de registro de registro de personal no crítico para la empresa.
autorizado, sólo el administrador
o encargado será quien pueda
tener acceso a estos, se deben
realizar copias de logs.
12.4.3 Registros del administrador Todas las tareas que desarrollen No representa un riesgo No
y del operador el administrador y el operador del crítico para la empresa.
sistema de información deben
estar registradas, además se
104
debe realizar un respaldo de

estos registros.
12.4.4 sincronización de relojes Los relojes de los dispositivos No representa un riesgo No

que intervienen en el crítico para la empresa.
procesamiento de información
deben estar sincronizados.
12.5 Control de software operacional
12.5.1 Instalación de software en La instalación de software debe No representa un riesgo No
sistemas operativos estar controlada, de tal forma que crítico para la empresa.
sólo las personas autorizadas
puedan realizar estas tareas,
además deben quedar
registradas.
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Gestión de las Se deben establecer La probabilidad de error X No
vulnerabilidades técnicas procedimientos que minimicen las en las aplicaciones de
vulnerabilidades a que están MEDCAM es mínima
expuestos los activos pues son sistemas de
tecnológicos. terceros que han
demostrado estabilidad.
12.6.2 Restricciones sobre la La instalación de software debe No representa un riesgo No
instalación de software estar controlada, de tal forma que crítico para la empresa.
sólo las personas autorizadas
puedan realizar estas tareas,
además deben quedar
registradas.
12.7 Consideraciones sobre auditorias de sistemas de información
12.7.1 Información controles de Se deben establecer No representa un riesgo No
auditoría de sistemas procedimientos que permitan el crítico para la empresa.
buen uso de las herramientas de
auditoría a los sistemas, pero
105
siempre procurando minimizar la

interrupción del servicio a causa
de estas.
13 Seguridad de las comunicaciones

13.1 Gestión de la seguridad de las redes
13.1.1 Controles de redes Se deben instalar dispositivos o X X Si Se cuenta con un directorio
software que permita controlar el activo el cual requiere
acceso a la red como Firewall, autenticación para el acceso a
Ids, autenticación para su ingreso los activos de software.
Control C031.
13.1.2 Seguridad de los servicios Establecer controles de acceso, No representa un riesgo No
de red acuerdos de servicio en su crítico para la empresa.
utilización, monitoreo constante
para detectar intrusos
13.1.3 Separación en las redes Es necesario loa separación de No representa un riesgo No
las redes como la intranet de la crítico para la empresa.
red con acceso a internet, para lo
cual se debe implementar un
DMZ
13.2 Transferencia de información
13.2.1 Políticas y procedimientos Se deben establecer todas las No aplica a la empresa. No
de transferencia de políticas que sean necesarias
información para proteger la información en el
momento de ser transferida
(intercambio de información),
permitiendo integridad y
confidencialidad.
13.2.2 Acuerdos sobre Se deben establecer controles No aplica a la empresa. No
transferencia de que permitan respetar acuerdos
información de intercambio o transferencia de
información
106
13.2.3 Mensajería electrónica Deben existir controles sobre el No representa un riesgo No

uso adecuado de la mensajería crítico para la empresa.
electrónica, para ello se deben
instalar programas que detecten
antivirus y spam, además se
debe existir capacitación sobre
situaciones donde existan
correos sospechosos, también
políticas del uso adecuado de los
recursos, en este caso uso del
correo electrónico sólo para el
desarrollo de las funciones
asignadas.
13.2.4 Acuerdos de Se deben cumplir las políticas de Se cubrirá con el control No
confidencialidad o de no confidencialidad de la 7.1.2
divulgación información, las cuáles fueron
aceptadas en el momento de la
firma del contrato.
14 Adquisición, desarrollo y mantenimientos de sistemas
14.1 Requisitos de seguridad de los sistemas de información
14.1.1 Análisis y especificación de Las especificaciones de No aplica a la empresa. No
requisitos de seguridad de requisitos se deben tener en
la información cuenta cuando se vaya a realizar
un cambio o implementar un
nuevo sistema de información
14.1.2 Seguridad de servicios de Se debe implementar seguridad No aplica a la empresa. No
las aplicaciones en redes en los servicios que viajan por
publicas redes públicas tales como
autenticación, manejo de cookies,
sesiones, pki, con el fin de
garantizar la confiabilidad de la
información
107
14.1.3 Protección de Se debe implementar seguridad No aplica a la empresa. No

transacciones de los en los servicios que viajan por
servicios de las redes públicas tales como
aplicaciones autenticación, manejo de cookies,
sesiones, pki, con el fin de
garantizar la confiabilidad de la
información
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Política de desarrollo Es importante establecer políticas No aplica a la empresa. No
seguro de código seguro en el desarrollo
de software, es aquí donde se
deben implementar
procedimientos de seguridad
como paso de variables por
cabecera, sesiones, entre otros,
los cuáles deben blindar el
sistema de información para
evitar vulnerabilidades
14.2.2 Procedimientos de control Todos los cambios que se No aplica a la empresa. No
de cambios en sistemas realicen a los programas se
deben documentar y quedar
registrados, para lo cual se deben
establecer procedimientos
14.2.3 Revisión técnica de las Se deben realizar pruebas a las No aplica a la empresa. No
aplicaciones después de aplicaciones que han sido
cambios en la plataforma modificadas, con el fin de evitar
de operación alteraciones en la prestación del
servicio o mal funcionamiento a
causa del desarrollo.
14.2.4 Restricciones en los Los cambios o modificaciones No aplica a la empresa. No
cambios a los paquetes de que se le realizan a las
software aplicaciones deben estar
restringidos con el fin de evitar
fallas no deseadas.
108
14.2.5 Principios de construcción Establecer procedimientos y No aplica a la empresa. No

de sistemas seguros políticas que permitan la
construcción de aplicaciones
seguras
14.2.6 Ambiente de desarrollo Los ambientes de desarrollo No aplica a la empresa. No
seguro deben estar aislados y contar con
todas las medidas de seguridad
en cuanto a control de acceso a
la información y a las
instalaciones
14.2.7 Desarrollo contratado Cuando se adquieran sistemas No aplica a la empresa. No
externamente externos, realizar seguimiento, es
necesario validarlos antes de
ponerlos en funcionamiento
14.2.8 Pruebas de seguridad de Someter los sistemas a pruebas No aplica a la empresa. No
sistemas con el fin de identificar
vulnerabilidades, se podría
contemplar pruebas de hacking
ético.
14.2.9 Prueba de aceptación de Someter los sistemas a pruebas No aplica a la empresa. No
sistemas con el fin de identificar
vulnerabilidades, se podría
contemplar pruebas de hacking
ético.
14.3 Datos de prueba
14.3.1 Protección de datos de Hay que tener cuidado con los No aplica a la empresa. No
prueba datos que se van a ingresar para
realizarle pruebas a la aplicación,
esto con el fin de evitar alguna
fuga de información importante.
15 Relación con los proveedores
15.1 Seguridad de la información en las relaciones con los proveedores
109
15.1.1 Política de seguridad de la Igual que con los usuarios de la No representa un riesgo No
información para las organización, con los crítico para la empresa.
relaciones con proveedores se deben establecer
proveedores acuerdos de confidencialidad,
control de acceso a l información,
seguridad física, intercambio de
información entre otros para no
ver afectada la seguridad de la
información.
15.1.2 Tratamiento de la Definir acuerdos de No representa un riesgo No
seguridad dentro de los confidencialidad crítico para la empresa.
acuerdos con proveedores
15.1.3 Cadena de suministro de Se deben establecer acuerdos No representa un riesgo No

tecnología de información y que permitan mitigar los riesgos crítico para la empresa.
comunicación de la seguridad de la información
derivados de la cadena de
suministro.
15.2 Gestión de la prestación de servicios con los proveedores
15.2.1 Seguimiento y revisión de Las organizaciones deben No representa un riesgo No
los servicios de los monitorear, revisar y auditar crítico para la empresa.
proveedores regularmente la entrega de
servicios por parte de los
proveedores.
15.2.2 Gestión de cambios en los Se debe contar con otras No representa un riesgo No
servicios de proveedores alternativas de proveedores que crítico para la empresa.
permitan la continuidad del
servicio en caso de cambio de
proveedor
16 Gestión de incidentes de seguridad de la información
16.1 Gestión de incidentes y mejoras en la seguridad de la información
110
16.1.1 Responsabilidad y Definir procedimientos que X Si Se diseñó e implementó el

procedimientos permitan una reacción rápida documento de Política de
ante problemas generados por Gestión de Incidentes en el cual
causa de la seguridad de la se especifica el plan de
información. respuesta ante los incidentes de
Control C032.
16.1.2 Reporte de eventos de Se debe informar sobre eventos X Si Los incidentes de seguridad de
seguridad de la generados a causa de seguridad la información serán registrados
información de la información con el fin de en el documento lógico
documentar la solución, es "Incidentes de Seguridad de la
necesario llevar un registro de Información" lo que permitirá
estos. trazabilidad.
Control C033.
16.1.3 Reporte de debilidades de Informar oportunamente sobre X Si Se cubrirá con el control C033.
seguridad de la eventos generados, con el fin de
información identificar recurrencias y
debilidades en seguridad de la
información.
16.1.4 Evaluación de eventos de Cada vez que se presente un Todos los eventos serán No
seguridad de la evento se seguridad de la considerados incidentes,
información y decisiones información es importante evaluar por lo que no se hará
sobre ellos si será considerado como un distinción.
incidente o no.
16.1.5 Respuesta a incidentes de Se debe establecer un proceso X Si Se diseñó e implementó el

seguridad de la que permita establecer los pasos documento de Política de
información a seguir para atender el Gestión de Incidentes, en la cual
incidente. se indica el plan de respuesta
ante los incidentes acorde a su
alcance.
Control C034.
111
16.1.6 Aprendizaje obtenido de La experiencia que se ha No representa un riesgo No

los incidentes de seguridad adquirido en resolver los crítico para la empresa.
de la información incidentes, es pieza fundamental
para reducir el impacto que
pueda causar este incidente a la
seguridad de la información
16.1.7 Recolección de evidencia Definir un procedimiento para X Si Se ha definido un documento
documentar los incidentes de tal Excel, en una carpeta
forma que exista una evidencia. compartida, en la cual se
registraran los incidentes que se
suscitarán en la organización.
Control C035.
17 Aspectos de seguridad de la información de la gestión de continuidad de negocio
17.1 Continuidad de seguridad de la información
17.1.1 Planificación de la Definir políticas que permita la X Si Se cubrirá con el control C032.
continuidad de la seguridad gestión de la continuidad del
de la información negocio, aunque la organización
presente una crisis
17.1.2 Implementación de la Implementar procedimientos que X Si Se diseñó e implementó el

continuidad de la seguridad permitan la continuidad del documento de Política de
de la información negocio ante situaciones Gestión de Incidentes, la cual
imprevistas que podrían causar cuenta con procedimiento que
retrasos en la operación. permite la continuidad del
negocio ante eventos que no
permitan la operatividad del
mismo.
Se cuenta con documentación
física que permite la continuidad
del negocio.
Control C036.
112
17.1.3 Verificación, revisión y Realizar revisiones a los No representa un riesgo No

evaluación de la procedimientos implementados crítico para la empresa.
continuidad de la seguridad para la gestión de la continuidad
de la información del servicio para determinar si
son efectivos o no.
17.2 Redundancias
17.2.1 Disponibilidad de Es necesario establecer X Si El nivel de complejidad de la
instalaciones de redundancias en las instalaciones empresa no le permite tener un
procesamiento de donde se procesa la información centro de datos redundante. En
información. con el fin de que no se vea respuesta al riesgo se diseñó e
afectada la disponibilidad de la implementó el documento de
información. Política de Gestión de Copias de
Respaldo
Se cuenta con instalaciones
alternas para la continuidad del
negocio.
Control C037.
18 Cumplimiento
18.1 Cumplimiento de requisitos legales y contractuales
113
18.1.1 Identificación de la Definir el marco legal con el cual X X Si Se diseñó e implementó el

legislación aplicable y de se debe regir la seguridad de la documento de Política de
los requisitos contractuales información. Seguridad de la Información, en
esta política se especifica las
leyes que son consideradas:
- Ley 26842 - 1997 - Ley
General de Salud Concordad,
Artículo 25.- Toda información
relativa al acto médico que se
realiza, tiene
carácter reservado.
- Ley 29733 - 2011 - Ley de
Protección de Datos Personales,
Artículo 16.- Seguridad del
tratamiento de datos personales.
Y Artículo 17.- Confidencialidad
de Datos Personales.
Control C038.
18.1.2 Derechos de propiedad Cumplir a cabalidad las políticas No representa un riesgo No
intelectual de derechos de propiedad crítico para la empresa.
intelectual, software patentado.
18.1.3 Protección de registros Procedimiento que permita la X X X Si Se han determinado controles
custodia de los registros ante preventivos que aseguran la
situaciones de robo, modificación, seguridad de los registros:
divulgación. Controles: C014, C015, C020,
C021, C026 y C031.
18.1.4 Privacidad y protección de Cumplir con las políticas de la X X X X Si Se han determinado controles
datos personales protección de datos personales preventivos que aseguran la
seguridad de los registros:
Controles: C014, C015, C020,
C021, C026 y C031.
18.1.5 Reglamentación de Cumplir con las normas No aplica a la empresa. No
controles criptográficos relacionadas con controles
criptográficos
114
18.2 Revisiones de seguridad de la información

18.2.1 Revisión independiente de Se debe revisar periódicamente No representa un riesgo No
la seguridad de la el SGSI, estas revisiones deben crítico para la empresa.
información ser adicionales a las establecidas
en las políticas de seguridad de
la información.
18.2.2 Cumplimiento con las La dirección debe revisar los No representa un riesgo No
políticas y normas de cumplimientos de las políticas de crítico para la empresa.
seguridad seguridad de la información
establecidas de acuerdo a su
área de responsabilidad.
18.2.3 Revisión del cumplimiento Se deben revisar que todo el Si Se debe realizar revisiones
técnico personal conoce y cumple con las anuales al sistema de gestión de
políticas de seguridad de la seguridad de la información.
información Control C039.
115
En el documento anterior se identificaron las políticas específicas que debían
ser elaboradas e implementadas. Estas políticas son apoyadas por la política
general de seguridad de la información. Son las siguientes:
- Política de Gestión de contraseñas

- Política de Escritorio limpio
- Política de Gestión de accesos
- Política de Gestión de incidentes de seguridad
- Política de Gestión de copias de respaldo
- Política de Gestión de activos
Estas políticas pueden apreciarse en el Anexo 3 – Políticas específicas.
3.3 Prueba de Efectividad de Controles
En este rubro del proyecto, se realizaron las pruebas al Sistema de

Gestión de Seguridad de la Información implementado para comprobar su
correcto diseño. Las pruebas se realizaron probando la efectividad de los
controles implementados.
Para realizar la efectividad de controles se debió establecer el alcance de
esta revisión, para este proyecto midió la efectividad para los 39 controles
producto de la implementación del SGSI. (Ver Anexo 5 - Efectividad de
Controles). La prueba se basa en la validación de atributos a través del juicio
experto de los involucrados en el proyecto, que son los siguientes:
- Experto 1: Tesista (Senyi Fukusaki)
- Experto 2: Tesista (Miguel Cruz)
- Experto 3: Administradora MEDCAM Perú (Karla Barbarán)
Los atributos por validar en esta prueba serán:

- Control diseñado correctamente: En este punto, se evaluará si el
control está diseñado para proteger el activo de información y si sus
características (periodicidad, tipo, etc.) son correctas.
- Control implementado: En este punto, los expertos evaluarán si se
considera que el control, en la fecha de revisión, se implementó en la
clínica.
116
- Eficiencia operativa: En este punto los expertos evaluarán si el control
se ejecuta de manera correcta según lo establecido.
A su vez, todas las fases anteriores se verificaron y se trabajaron en

conjunto con la gerencia de MEDCAM Perú SAC. Por lo que se acordó un
acta de cierre que sirva como certificado de implementación del SGSI
propuesto a la empresa. (Ver Anexo 8 - Acta de Cierre del Proyecto). En dicha
acta se encuentra los entregables, el alcance y los acuerdos que se tuvieron
con MEDCAM Perú SAC.
117
CAPÍTULO IV
PRUEBAS Y RESULTADOS
4.1 Objetivo General: Mitigar los riesgos a los que está expuesto los
activos de información de la clínica MEDCAM Perú SAC
Para verificar que efectivamente se han mitigado los riesgos a los que
estaban expuestos los activos de información de MEDCAM luego del
desarrollo e implementación del presente proyecto, se analizará
comparativamente la exposición al riesgo previo al proyecto y posterior a él.
Cabe resaltar que los activos de información evaluados son los que se
determinaron críticos para la organización. Ver el resultado de la valoración
de activos en la Tabla 19.
La situación inicial que identificamos antes de la implementación se

puede visualizar en la Matriz de riesgos (Ver Tabla 21). Posterior a la
implementación de los controles se reevaluaron las exposiciones de los
riesgos se realizó nuevamente la evaluación y se compara con el resultado
inicial. (Ver Anexo 7 - Reevaluación Post Implementación de Controles).
Se elaboró un cuadro resumen a partir de este análisis y se obtuvo lo

siguiente. (Ver Tabla 25).
118
Tabla 25 – Comparación de Criticidad
Total Antes Después

Activos
Riesgos Bajo Medio Alto Crítico Bajo Medio Alto Crítico
MediWeb 10 1 4 5 0 2 8 0 0
Servidor de Aplicaciones 10 0 7 3 0 0 10 0 0
Sistema Logístico de
MedCam 10 0 8 2 0 0 10 0 0
Base de Datos 9 2 5 2 0 3 6 0 0
Computadoras de Escritorio 8 0 5 3 0 0 8 0 0
Historia Clínica 8 2 0 3 3 2 6 0 0
Historia Clínica Digital 7 1 2 2 2 1 6 0 0
Resultados Finales 7 2 0 2 3 2 5 0 0
Consentimiento Informado -
Atención 6 2 1 3 0 3 3 0 0
Consentimiento Informado -
Ley 6 2 1 3 0 3 3 0 0
Kardex 6 1 4 1 0 1 5 0 0
Hoja Interconsulta 4 2 1 1 0 2 2 0 0
Total 91 15 38 30 8 19 72 0 0
A partir de esta información, se puede evidenciar como la criticidad de los

riesgos ha bajado significativamente posterior a la implementación. (Ver
Figura 23)
80
72
70
60
50
38
40
30
30
19
20 15
8
10
0
Criticidad Previa al Proyecto Criticidad posterior al proyecto
Bajo Medio Alto Crítico
Figura 23 – Comparación de la criticidad de los riesgos previo al proyecto y posterior a este.

Se observa como los riesgos Altos y Críticos, que no estaban dentro del
apetito del riesgo de la clínica, se encuentran actualmente en niveles más
aceptables como Medios y Bajos. Esto nos permite afirmar y comprobar que
119
efectivamente se logró el objetivo de mitigar los riesgos a los que está
expuesto los activos de información de la clínica.
4.2 Objetivo específico 1: Implementar del sistema de gestión de

seguridad de la información basado en la ISO/IEC 27001
Se diseñó e implementó el Sistema de Gestión de Seguridad de

Información según los alcances establecidos al comienzo del proyecto. En
primer lugar, se realizó el levantamiento de los procesos más críticos, esto
permitió la correcta identificación de los activos de información que
participaban dentro de estos procesos. Una vez identificados estos activos, se
valorizaron según el impacto que causaba a la organización por una falta de
disponibilidad, la falta de integridad y la no confidencialidad. Posteriormente,
se analizaron las amenazas y vulnerabilidades a las que estaban expuestos
estos activos, lo que permitió la identificación de los riesgos. Luego se
identificó e implementó los controles más críticos para la mitigación de la
exposición de estos activos y se implementaron las políticas específicas. A su
vez, esto contribuyó a poder acercarnos a los trabajadores de la empresa para
resolver sus dudas respecto a la seguridad de la información y esto ayudó a
ser más fácil la sensibilización en temas de seguridad.
Se cumplió con el desarrollo y entrega (Ver Tabla 26):
Tabla 26 – Comparación de Documentación Entregada

¿Lo tiene la
Documentos Empresa? Referencia
Antes Después
Diagrama de procesos críticos   Pág 41-48
Inventario de Activos   Pág. 54
Listado de valoración de activos   Pág. 65
Matriz de amenazas y vulnerabilidades   Pág. 66
Matriz de riesgos   Pág. 71
Listado de Controles de seguridad   Pág. 83
Declaración de aplicabilidad de controles   Pág. 92
Política general y específicas de la seguridad de la
información   Pág. 141-159
Esto se puede verificar con el acta de Cierre. (Ver Anexo 8 - Acta de

Cierre del Proyecto).
120
4.3 Objetivo específico 2: Implementación de una política de seguridad
de la información
Se diseñó e implementó la política de seguridad de la información junto a

la administración de MEDCAM Perú SAC (Ver Anexo 2 – Política General de
Seguridad de la Información), donde se establecen los roles y
responsabilidades, las generalidades de la seguridad y las posibles sanciones
aplicables. Asimismo, se desarrollaron las políticas específicas (Ver Anexo 3
– Políticas Específicas) para cada foco de riesgo. Esta implementación ayudó
a sensibilizar a los trabajadores de MEDCAM sobre la importancia que ha
definido la empresa respecto a la seguridad de la información, así como tener
los lineamientos que permita la protección adecuada de los activos de
información en su día a día.
Asimismo, para corroborar que los colaboradores tuvieran conocimiento

de esta política, se les preguntó: ¿Existe alguna política de seguridad de la
información en la empresa? (Ver Figura 24). En esta pregunta, se puede
observar que previo al proyecto, no existía ninguna política en las que ellos se
pudieran alinear y los trabajadores eran conscientes de ello. Posterior a la
implementación, los trabajadores sabían la existencia de la política general de
seguridad de la información y las específicas en las que se deberían manejar
en sus procedimientos diarios.
¿Existe alguna política de seguridad de la información en la empresa?
Antes Después
Respuesta Frecuencia Porcentaje Frecuencia Porcentaje

Sí 0 0% 22 92%
No 20 83% 0 0%
No Sabe 4 17% 2 8%
Figura 24 – Resultado de conocimiento de políticas de seguridad
121
4.4 Objetivo específico 3: Establecimiento de los controles para el
tratamiento de los riesgos identificados en base a la ISO/IEC 27002
Para verificar el establecimiento de controles para los riesgos

identificados, se realizó un análisis inicial donde se identificaron los controles
que ya poseía la empresa (Ver Anexo 6 – Controles Previos al Proyecto).
Luego del establecimiento de controles basados en la ISO/IEC 27002, se
elaboró un cuadro en el cual se realizó una comparativa entre el número de
controles por dominios (Dominios según la ISO/IEC 27002) entre la situación
antes del proyecto y posterior a este. (Ver Tabla 27).
Tabla 27 – Comparación de Controles por Dominio

Nro. Controles
Dominios ISO/IEC 27002
Antes Después
Políticas de Seguridad 0 2
Org. de la Seg. de la Información 0 2
Seg. RRHH 0 3
Gest. Activos 3 6
Control de Accesos 0 7
Criptografía 0 1
Seg. Física y del Entorno 0 6
Seg. Operaciones 2 3
Seg. Comunicaciones 0 1
Adq., Des. Y Mant. De los sistemas 0 0
Relaciones con los Proveedores 0 0
Gest. Incidentes de Seg. Inf. 1 4
Aspectos de Seg. Inf. De Gest. CdN. 2 2
Cumplimiento 1 2
Total 9 39
Se verifica que previo al proyecto la clínica contaba con 9 controles y sin

ninguna política de seguridad, luego de la implementación del SGSI cuenta
con 39 controles. Es decir, los controles de seguridad incrementaron en 30,
pero no solo eso, sino que los 9 previamente identificados han sido revisados
y en otros casos reemplazados.
4.5 Objetivo específico 4: Sensibilización a los colaboradores de la

empresa en temas de seguridad de la información
El cumplimiento de este objetivo se midió a base de la comparación de
122
una encuesta previa a la implementación del proyecto y una posterior a esta.
Este objetivo fue de la mano junto a la implementación al SGSI, ya que

para su implementación se requiere que los trabajadores sepan la importancia
de la seguridad de la información en sus labores diarias. La encuesta consistía
en 6 preguntas, las cuales serán analizadas a continuación.
La pregunta 1 fue: ¿Considera que la seguridad de la información es

importante en toda empresa? (Ver Figura 25) Se observa que previo al
proyecto, los trabajadores de MEDCAM ya consideraban que la seguridad de
la información era un punto muy importante, esto ayudó a que no hubiera
mucha resistencia al cambio, a la implementación de controles y políticas, ya
que eran conscientes de la importancia de las mismas.
1. ¿Considera que la seguridad de la información es importante en toda

empresa?
Antes Después
No; 0% No
Sabe;
4%
Si; 96%
Si;
100%

Si 23 96% 24 100%
No 0 0% 0 0%
No Sabe 1 4% 0 0%
Figura 25 – Resultados de Encuesta: Pregunta 1
La pregunta 2: ¿Conoce por qué es importante la seguridad de la

información en la clínica MEDCAM Perú SAC? (Ver Figura 26). En esta
pregunta, se puede ver qué a pesar de que los trabajadores entendían la
importancia de la seguridad de la información, no todos sabían cómo esto
aplicaba a la clínica MEDCAM.
Posterior a la implementación, ya se comprendía la importancia de tener los
123
activos con los cuales trabajaban diariamente protegidos correctamente y
como podría afectar al negocio si se llegara a producir algún incidente de
seguridad como las posibles implicaciones legales, fallas en los procesos o
sanciones.
2. ¿Conoce por qué es importante la seguridad de la información en la

clínica MEDCAM Perú SAC?
Antes Después

Sí 19 79% 23 96%
No 2 8% 0 0%
No Sabe 3 13% 1 4%
La tercera pregunta fue: ¿Conoce las características principales que debe

cumplir un activo de información respecto a su seguridad? (Ver Figura 27).
3. ¿Conoce las características principales que debe cumplir un activo de

información respecto a su seguridad?
Antes Después
Sí; 13%
No
Sabe;
8%
No;
79%

Sí 3 13% 21 88%
No 19 79% 3 13%
No Sabe 2 8% 0 0%
124
En esta pregunta se puede observar que a pesar de que previo al
proyecto consideraban la seguridad de la información importante, no sabían
que las características que se buscan proteger son la confidencialidad,
disponibilidad e integridad. Posterior al proyecto, la gran mayoría ya sabía las
características que un sistema de gestión de seguridad de la información
persigue respecto a los activos, esto ayuda al momento del relevamiento de
riesgos y a la implementación de controles, ya que les permite conocer qué
aspectos deben resguardar.
La pregunta 4: ¿Considera que los activos de la información de la

organización están bien protegidos? (Ver Figura 28). En esta pregunta, se ve
que previo al proyecto, a pesar de que no contaban con suficientes controles
de seguridad y ninguna política, creían que sus activos estaban bien
resguardados, lo cual era algo erróneo, ya que no conocían los riesgos a los
que estaban expuestos. Posterior a la implementación, con las nuevas
políticas de seguridad de la información y los controles diseñados se dieron
cuenta que ahora efectivamente sus activos estaban mejor protegidos ya que
había nuevos controles y planes de mitigación.
4. ¿Considera que los activos de la información de la organización están

bien protegidos?
Antes Después
No; 8%
No
Sabe;
8%
Sí; 88%

Sí 4 17% 21 88%
No 16 67% 2 8%
No Sabe 4 17% 2 8%
125
La pregunta 5: ¿Conoce los riesgos a los que está expuesto los activos
con los que trabaja? (Ver Figura 29). Se observa, en esta pregunta que previo
al proyecto, los trabajadores conocían que sus activos no estaban
correctamente protegidos, pero no sabían de que protegerlos, ya que no
tenían un mapa de riesgos. Luego de la implementación, ya eran conscientes
de las vulnerabilidades de sus activos y las posibles amenazas que podrían
aprovecharse de estas.
5. ¿Conoce los riesgos a los que está expuesto los activos con los que
trabaja?
Antes Después
No
Sabe;
No; 4%
0%
Sí; 96%

Sí 2 8% 23 96%
No 20 83% 1 4%
No Sabe 2 8% 0 0%
Por lo expuesto anteriormente, se puede advertir que los trabajadores de

la clínica ahora están concientizados en la importancia de proteger los activos
de información de la empresa frente a las amenazas a las que está expuesta
y que la empresa se preocupa y hace lo posible mediante la implementación
de políticas y controles que estos riesgos se mitiguen. A su vez, esta
concientización ayuda a un proceso de mejora continua ya que los mismos
trabajadores en su día a día pueden identificar nuevos riesgos emergentes o
posibles controles.
126
CAPÍTULO V
DISCUSIONES Y APLICACIONES
5.1 Discusiones
Luego de la implementación de este proyecto se buscó contrastar los

resultados con otras tesis que tuvieron como tema central la implementación
de un sistema de gestión de seguridad de la información, el primer trabajo con
el cual se compararemos los resultados será el de Vento, M. (2014) –
“Aplicación de Normativas de Seguridad de la Información para Systems
Support & Services SA“, donde se implementa un sistema de gestión de
seguridad de la información, en una empresa de soluciones tecnológicas, en
base a la ISO/IEC 27001.
En los resultados que obtuvo figuran la identificación de los activos de

información y su valorización, mapeo de riesgos, declaración de aplicabilidad
y la implementación de controles, lo que logró la reducción de los riesgos
identificados. Esto se asemeja completamente con los resultados obtenidos
en este proyecto y se ratifica que la implementación de un SGSI ayuda a la
mitigación de los riesgos que se encuentran alrededor de los activos de
información de cualquier tipo de empresa.
A su vez, menciona que pudo lograr la concientización de la mayoría del

personal sobre temas de seguridad, al igual que este proyecto, ya que es la
base para una mejora continua, así como una de las mejores prevenciones
que se puede tener. Uno de los problemas que enfrentó fue que la empresa
no contaba con ninguna política de seguridad, así como controles deficientes.
127
Estos problemas fueron similares a los encontrados al realizar este
proyecto, claramente se ve que a pesar que las empresas son conocedoras
de las amenazas a las que están expuestas, no tienen el conocimiento o las
herramientas que les permita controlar esta situación.
Una de las recomendaciones más importantes que deja es la constante

revisión y actualización de las políticas del SGSI, y controlar su cumplimiento,
lo cual es básico ya que estamos en un entorno siempre cambiante y donde
cada día se descubren nuevas tecnologías, es por eso que se hace la misma
recomendación a MEDCAM.
Un segundo trabajo de investigación, con el cual nos pareció importante

realiza la comparativa, es la de Talavera, V. (2015) – “Diseño de un Sistema
de Gestión de Seguridad de la Información para una entidad estatal de salud
de acuerdo a la ISO/IEC 27001”, es un trabajo que se centra en la seguridad
de la información de una entidad de salud al igual que este proyecto. La
finalidad del proyecto es el diseñó de un SGSI el cual mitigará las amenazas
de los activos de información del Instituto Nacional Materno Perinatal.
Los resultados fueron el diseño e implementación de controles y políticas

de seguridad de la información. Nuevamente, una de las conclusiones a la
que se llegó fue que el factor humano es una de las claves para una correcta
implementación de un SGSI, y que el personal de la empresa debe estar
consciente que la información que manejan diariamente es confidencial y de
alta importancia, al igual que los documentos que manejan los trabajadores
de MEDCAM. En su proyecto advierte que los nuevos controles y cambios en
el proceso pueden ser recibidos con cierto rechazo por parte de los
trabajadores más antiguos ya que puede ser percibido como una amenaza.
Para nuestro proyecto este rechazo no fue experimentado ya que contábamos
con el total apoyo de la administración de la clínica y de los trabajadores, ya
que comprendían que estos nuevos cambios eran necesarios ya que,
adicionalmente de brindarles mayor seguridad en sus procesos, les daba una
ventaja competitiva frente a las otras clínicas, y que su colaboración era
esencial para que se llevara a cabo una correcta implementación del SGSI.
128
Una recomendación del proyecto es que se considere la implementación
de un sistema de gestión de continuidad de negocio, lo que tiene mucho
sentido ya que complementa al SGSI, pues este responde ante posibles
escenarios que no permiten el desarrollo normal del negocio, por lo que queda
como una recomendación aplicable a MEDCAM.
Otra recomendación que brinda es la digitalización de historias clínicas

para un mejor respaldo de información; en nuestro caso, MEDCAM ya cuenta
con historias clínicas digitales, pero no poseía los controles necesarios para
asegurar este activo, por lo que se identificó como un activo crítico y se
implementaron las estrategias de mitigación necesarias.
Como observamos en ambos proyectos, se consideró que la mejor

manera de asegurar los activos de información es la implementación de un
sistema de gestión de seguridad de la información ya que se logró reducir las
amenazas sobre los activos asegurando la integridad, disponibilidad y
confidencialidad de los mismos. De este análisis se deriva que el cumplimiento
del objetivo principal, el de la mitigación de riesgos de los activos de
información de MEDCAM, se realizó de un modo adecuado obteniendo
resultados similares al de otros investigadores.
La medición de los resultados del proyecto respecto a los objetivos

inicialmente indicados se puede apreciar en la siguiente Tabla (Ver Tabla 28).
Tabla 28 – Objetivos asociados a sus pruebas y resultados
Nro Objetivo General Pruebas y Resultados
4.1 Mitigar los riesgos a los que está Comparativa de exposición al riesgo
expuesto los activos de información de los activos de información previa
de la clínica MEDCAM Perú S.A.C. al proyecto y posterior a este.
Nro Objetivos Específicos Pruebas y Resultados
4.2 Implementar el sistema de gestión Documentación requerida por la

de seguridad de información basada ISO/IEC 27001
en la ISO/IEC 27001
129
Nro Objetivos Específicos Pruebas y Resultados
4.2 Implementar el sistema de gestión Documentación requerida por la

de seguridad de información basada ISO/IEC 27001
en la ISO/IEC 27001
4.3 Implementar una política de Documentación e implementación

Seguridad de la Información de la política de seguridad de la
información en la empresa.
4.4 Establecer controles para el Comparativa de controles actuales y

tratamiento de los riesgos previos al proyecto
identificados en base a la ISO/IEC
27002
4.5 Sensibilizar a los colaboradores de Encuesta sobre conocimiento

la empresa en temas de seguridad respecto a la seguridad de la
de la información. información.
5.2 Aplicaciones
Un Sistema de Gestión de Seguridad de la Información puede ser

aplicado a cualquier empresa sin importar el tamaño ni el rubro al que se
dedique, como lo observamos en el punto anterior donde se analizaron
trabajos de una empresa de solución tecnológica y una de un instituto estatal
de salud, ya que es adaptable a las necesidades de cada negocio. Si bien es
cierto, que en una empresa pequeña los presupuestos pueden ser más
ajustados, esto no es necesariamente un impedimento para la implementación
del SGSI, ya que se puede priorizar los procesos, servicios o productos que
se desea proteger o que la empresa considere fundamentales, reduciendo los
posibles gastos de controles no tan necesarios o políticas que no benefician
directamente a las necesidades de la empresa. Para este proyecto el SGSI se
aplicó en los procesos de compras e ingresos, considerando los sub-procesos
que estos abarquen.
130
CONCLUSIONES
1. Se logró la mitigación de los riesgos a los que estaban expuestos los

activos de información de la clínica, a través de la identificación, diseño
e implementación de controles para los riesgos más críticos.
2. La implementación del Sistema de Gestión de Seguridad de la

Información fue la base para lograr el cumplimiento del objetivo
principal. La implementación se logró a través del diseño e
implementación de políticas para gestionar eficientemente el acceso a
la información, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información logrando minimizar los
riesgos de seguridad de la información.
3. El desarrollo e implementación de la Política de Seguridad de la

Información fue importante ya que demostró el compromiso de la
administración con la seguridad de la información, además de asignar
roles y responsabilidades, estableció los lineamientos en los cuales se
debe manejar la empresa y que deben ser seguidos por los
trabajadores en sus labores diarias.
4. Luego de las evaluaciones realizadas concluimos que el

establecimiento de controles es el tratamiento de riesgo idóneo para
MEDCAM Perú, estos fueron diseñados en base a variables como el
costo de la implementación, la efectividad para la mitigación del riesgo
131
identificado y el análisis de costo-beneficio.
5. La sensibilización del personal en temas de seguridad es vital para que

el SGSI se pueda implementar en la organización y madure junto con
esta. Ahora, los trabajadores de la clínica son conscientes que la
información que ellos manejan es confidencial y que deben velar por
su integridad total. Sensibilizar en temas de seguridad de la
información, robustece al sistema implementado y genera una mejora
continua. Esto también permitió que fuese más sencilla la
implementación del SGSI.
132
RECOMENDACIONES
1. Es necesario ampliar el Sistema de Gestión de Seguridad de la

Información a los demás procesos de la clínica, que no han sido
cubiertos por el SGSI, para cubrir todos los frentes a los que está
expuesto.
2. Aplicar un mantenimiento periódico a las políticas de seguridad, ya que

nos encontramos en un entorno totalmente cambiante donde se
introducen nuevas tecnologías y las amenazas pueden variar.
3. Se sugiere implementar los controles que representan un gasto

financiero para la organización; son medidas que garantizan la
seguridad de los activos y aseguran la continuidad del negocio.
4. Agendar capacitaciones en temas de seguridad de la información a los

nuevos trabajadores de la empresa y realizar un monitoreo periódico
para ver el cumplimiento de las políticas y controles establecidos.
5. La empresa debe evaluar la factibilidad de la implementación de un

plan de continuidad de negocios, que permita la recuperación total o
parcial de sus actividades ante un escenario de interrupción de sus
procesos.
6. Evaluar y certificar los procesos de la empresa bajo la ISO/IEC 27001.
133
FUENTES DE INFORMACIÓN
Bibliográficas:
Abril, A., Pulido, J., Bohada, J (2013). Análisis de Riesgos en Seguridad de

la Información. Boyacá, Colombia. Fundación Universitaria Juan de
Castellanos.
Aguirre, A. (2014). Diseño de un Sistema de Gestión de Seguridad de

Información para Servicios Postales del Perú S.A. Lima, Perú. Pontificia
Universidad Católica del Perú.
Andress, J. (2015). The Basics of Information Security: Understanding the

Fundamentals of InfoSec in Theory and Practice. Massachusetts, Estados
Unidos de América. Elsevier.
Borek, A., Parlikad, A. K., Webb, J., & Woodall, P. (2013). Total information
risk management: maximizing the value of data and information assets.
Massachusetts, Estados Unidos de América. Elsevier.
Capita Secure Information Systems (2015). Benefits of ISO27001.

Chippenham, Reino Unido. Capita PLC.
134
Columba, Bernardo (2017). Diseño de un sistema de Gestión de Seguridad
de la Información, Basado en la Norma ISO/IEC 27001:2013 para la compañía
ARONEM AIR Cargo S.A., Quito, Ecuador: Escuela Politécnica Nacional.
Congreso de la República del Perú (2011). Ley N°29733 - Ley de Protección

de Datos Personales. Lima, Perú. Diario El Peruano.
Dutton, J. (2016). Identifying assets for conducting an asset-based

information security risk assessment. Londres, Reino Unido. Portal Vigilant
Software
ESET Latinoamérica (2016). ESET Security Report Latinoamérica 2016.

ESET. Portal Web de ESET Latinoamérica.
Espinoza, R. (2013). Análisis y Diseño de un Sistema de Gestión de

Seguridad de Información basado en la norma ISO/IEC 27001:2005 para una
empresa de producción y comercialización de productos de consumo. Lima,
Perú. Pontificia Universidad Católica del Perú.
Fernandez, D., Pacheco, O. (2014). Mejora de Seguridad de Información en

la Comandancia de Operaciones Guardacostas basada en la Norma Técnica
Peruana NTP-ISO/IEC 27001:2008. Lima, Perú. Universidad San Martín de
Porres.
Giraldo, L. (2016). Análisis para la Implementación de un Sistema de Gestión

de la Seguridad de la Información según la Norma ISO 27001 en la empresa
SERVIDOC S.A. Cali, Colombia. Universidad Nacional Abierta y a Distancia
Colombia.
ISACA (2016). Planning for and Implementing ISO 27001. ISACA Journal.
ISO/IEC 27000 (2016). ISO/IEC 27000:2016 Tecnología de la Información –

Técnicas de seguridad – Sistema de gestión de seguridad de la información –
Vista general y vocabulario. Génova, Suiza: ISO/IEC.
135
Técnicas de seguridad – Sistemas de gestión de seguridad de la información
– Requerimientos. Génova, Suiza: ISO/IEC.

Técnicas de seguridad – Código para la práctica de la gestión de la seguridad
de la información. Génova, Suiza: ISO/IEC.

Técnicas de seguridad – Gestión de Riesgos de la Seguridad de Información.
Génova, Suiza: ISO/IEC.
ISO/IEC 31000 (2013). Gestión del Riesgo – Principios y directrices. Génova,

Suiza: ISO/IEC.
Justino, Z. (2015). Diseño de un Sistema de Gestión de Seguridad de

Información para una empresa Inmobiliaria alineada a la norma ISO/IEC
27001:2013. Lima, Perú. Pontificia Universidad Católica del Perú.
Kissel, R. (2013). Glossary of Key Information Security Terms. Maryland,

Estados Unidos de América. National Institute of Standars and Tecnology.
Lachapelle, E., Bislimi, M. (2016). Information Technology - Security

Techniques Code Of Practice For Information Security Controls. Quebec,
Canada. PECB.
Layton, T. (2016). Information Security: Design, Implementation,

Measurement and Compliance. Florida, Estados Unidos de América. CRC
Press.
Lopes I., Oliveira P. (2014). Understanding Information Security Culture: A

Survey in Small and Medium Sized Enterprises. Braga, Portugal- Springer
International Publishing.
136
Mehraeen, E., Ayatollah, H., Ahmadi, M. (2016). Health Information Security
in Hospitals: The Application of Security Safeguards. Tehran, Iran. Universidad
de Tehran.
Peltier, T. (2016). Information Security Policies, Procedures, and Standards:

Guidelines for Effective Information Security Management. Florida, Estados
Unidos de América. CRC Press.
PriceWaterHouse (2016). Resultados de la Encuesta Global de Seguridad de

la Información. Buenos Aires, Argentina. PwC Argentina.
Resolución de Gerencia General ESSALUD N°1504 (2015). Conformación

de Comité de Gestión de Seguridad de la Información en ESSALUD. MINSA.
Portal Institucional de ESSALUD.
Sanchez, A., Fernández, J., Toval, A., Hernandez, I., Sánchez, B., Carrillo,
J. (2014). Guía de Buenas Prácticas de Seguridad Informática en el
Tratamiento de Datos de Salud para el Personal Sanitario en Atención
Primaria. Murcia, España. Elsevier.
Solarte, F., Enriquez, E., Benavidez, M. (2015) Metodología de análisis y

evaluación de riesgos aplicados a la seguridad informática y de información
bajo la norma ISO/IEC 27001. Guayaquil, Ecuador: Revista Tecnológica
ESPOL.
Talavera, V. (2015). Diseño de un Sistema de Gestión de Seguridad de la

Información para una entidad estatal de Salud de acuerdo a la ISO/IEC
27001:2013. Lima, Perú. Pontificia Universidad Católica del Perú.
Vento, M. (2014). Aplicación de Normativas de Seguridad de lnformación para

System Support & Services S.A. Lima, Perú. Universidad San Martín de
Porres.
137
Electrónicas:
Britvic, J., Prelas, A., Cingel, M. (2013). Integration Possibilities of ISO
9001:2008 Quality Management System with ISO 27001. Recuperado de:
http://www.efos.unios.hr/repec/osi/eecytt/PDF/EconomyofeasternCroatiayest
erdaytodaytomorrow02/eecytt0242.pdf.
Bussiness Beam (2016). Implementing ISO 27001 ISMS at Teradata Global

Consulting Center. Recuperado de:
https://www.businessbeam.com/casestudy-teradata.
Deloitte (2016). Ley de Protección de Datos Personales – Enfoque Práctico

de Adecuación. Lima, Perú. Recuperado de:
https://www2.deloitte.com/pe/es/pages/risk/articles/data_law_protection.html
International Organization for Standardization (2016). ISO Survey 2015.

Recuperado de: https://www.iso.org/the-iso-survey.html
Universidad de Southern Queenslad (2015). Information Asset and Security

Classification Procedura. Recuperado de:
http://policy.usq.edu.au/documents/13931PL
Tu, Z., Yuan, Y. (2014). Critical Success Factors Analysis on Effective

Information Security Management: A Literature Review. Recuperado de:
http://aisel.aisnet.org/cgi/viewcontent.cgi?article=1158&context=amcis2014
138
ANEXOS
Anexo 1 – Acta de constitución del Proyecto

Anexo 2 – Política general de seguridad de información
Anexo 3 – Políticas generales
Anexo 4 – Lista de amenazas y de vulnerabilidades
Anexo 5 – Efectividad de controles
Anexo 6 – Controles previos del proyecto
Anexo 7 – Reevaluación post implementación de controles
Anexo 8 – Acta de cierre del proyecto
139
ANEXO 1 – Acta de constitución del proyecto
140
ANEXO 2 - Política general de seguridad de la información
141
142
143
144
ANEXO 3 – Políticas específicas
Política de Gestión de Contraseñas
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Miguel Ángel Cruz D.
Fecha: 02/05/2017
Política de Gestión de Contraseñas
1. Resumen
En el presente documento se definirán una serie de lineamientos que deberá

usarse como requisito mínimo en lo que concierne la gestión de contraseñas.
Este es un aspecto muy importante en la seguridad de la información, ya que
si se vulnera y permite el acceso a personas no autorizadas, compromete la
seguridad de los activos digitales de la clínica.
2. Objetivo
La siguiente política de seguridad tiene como objetivo mitigar el riesgo de

accesos no autorizados mediante el establecimiento de estándares para la
creación de contraseñas y su respectivo mantenimiento.
3. Alcance
El alcance de la política incluye a todas las cuentas de usuarios que accedan

a los dominios de la clínica, como el inicio de sesión en los sistemas
operativos, cuentas de correo electrónico, aplicativos informáticos entre otros.
4. Creación de Contraseñas
 Las contraseñas de los usuarios deben tener al menos 8 caracteres.

 Las contraseñas deben estar compuesta por las siguientes características:
o Letras mayúsculas
o Caracteres no alfabéticos (¡, #, $, %, &, !, @’)
145
o Números
 Las contraseñas no deben ser palabras fácilmente identificables como el
nombre del usuario, fechas de cumpleaños, nombre de mascotas entre
otros.
 Las contraseñas de distintas aplicaciones no deben ser iguales.
 Las contraseñas usadas dentro del ámbito laboral no deben ser iguales a
las usadas para fines personales.
5. Gestión de Contraseñas de Usuarios
 Las contraseñas deben ser cambiadas máximo cada 90 días.

 No usar la característica de “Recordar contraseña” presente en la mayoría
de navegadores de internet.
 La contraseña del usuario no debe ser almacenada en ningún documento
físico ni digital.
 No se debe compartir la contraseña con ningún usuario.
 Si la contraseña es solicitada por algún miembro de la empresa o un agente
externo, informar inmediatamente a la administración de MEDCAM.
 Si el usuario olvida o pierde la contraseña, deberá ser solicitada a una
renovación a la Administración.
6. Gestión de Contraseñas para Desarrolladores
 Las contraseñas gestionadas por las aplicaciones o sistemas operativos de

la empresa deben ser correctamente encriptados y no ser guardadas como
texto plano.
 Si se cuenta con acceso remoto a la red de la empresa, esta debe ser
gestionadas a través de un VPN (Virtual Private Network) a través de
contraseñas o tokens de seguridad.
 Los campos usados como contraseñas dentro de aplicaciones usadas por
la empresa, no deben mostrar explícitamente los caracteres ingresados, en
su defecto, se debe mostrar caracteres no alfabéticos (*, _, @).
7. Roles y Responsabilidades
146
Los roles y responsabilidades son las definidas en el punto 5 de la Política
general de seguridad de la información.
8. Sanciones
Las sanciones aplicables son las definidas en el punto 6 de la Política General

de la Seguridad de la Información.
147
Política de Escritorio Limpio
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Fecha: 02/05/2017
Política de Escritorio Limpio
1. Resumen
En el presente documento se definirán una política de escritorio limpio, que

asegura que todos los documentos o información confidencial no estén
visibles ni sean manipulados por un tercero cuando el trabajador no se
encuentra en su área de trabajo. Esta es una política realmente importante ya
que ayuda reducir significativamente las posibles filtraciones o alteración de
información de los activos de la empresa.
2. Objetivo
La siguiente política de seguridad tiene como objetivo que la información solo

sea visualizada y modificada por el personal autorizado, mediante el
establecimiento de criterios que los trabajadores deben cumplir cuando no se
encuentren en su área de trabajo.
3. Alcance
El alcance de la política incluye a todos los trabajadores de la clínica.
4. Criterios de Escritorio Limpio
 Se debe bloquear la computadora al momento de ausentarse de su

estación de trabajo y al final del día deben ser apagados.
 Los documentos, archivos o dispositivos electrónicos sensibles no deben
estar expuestos en el escritorio del trabajador cuando este no se encuentre
148
en si estación de trabajo y al final del día deben guardar la información en
su respectivo almacén o en su escritorio bajo llave.
 Las llaves usadas para las gavetas del escritorio o de los almacenes no
deben ser descuidadas en ningún momento por el trabajador.
 Las computadoras personales deben ser ancladas cuando el trabajador no
se encuentre en su estación de trabajo.
 Los documentos sensibles que sean desechados, deben ser debidamente
destruidos sin la posibilidad de una posible reconstrucción.
 Las impresiones o mensajes de fax, deben ser inmediatamente recogidas
para evitar que un tercero se apodere del documento.
 Cuando un tercero, que no cuente con los permisos de visualización o
modificación de ciertos documentos, se acerque a la estación de trabajo,
no se debe mostrar archivos abiertos en la pantalla de la computadora.
5. Monitoreo
 Al finalizar el día se hará un repaso por todas las estaciones de trabajo

para verificar que efectivamente estos criterios están siendo seguidos por
los trabajadores.
 Si se detecta algún documento, archivo o dispositivo electrónico, será
almacenado por la administración de la clínica hasta el día siguiente. Para
la devolución de estos documentos, archivos o dispositivos electrónicos, el
trabajador debe acercarse a la administración mostrando la conformidad
de su jefatura directa.

7. Sanciones
Las sanciones aplicables son las definidas en el punto 6 de la Política General

de la Seguridad de la Información.
149
Política de Gestión de Accesos
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Fecha: 02/05/2017
Política de Gestión de Accesos
1. Resumen
En el presente documento se detallará la gestión de accesos a los sistemas

de la clínica, sus activos de información, el manejo de los usuarios y el
monitoreo que se debe tener de estos.
2. Objetivo
La siguiente política de seguridad tiene como objetivo definir la gestión del

control de accesos a los activos de información de la clínica.
3. Alcance
Esta política aplica a toda la información suministrada por la clínica, ya sea a

través de documentos físicos, carpetas compartidas, bases de dato,
aplicaciones, entre otros y para quienes las administran y hacen uso de estas.
4. Acceso a la Información
 Los trabajadores de la clínica solo deberán tener acceso a los activos de

información que sean necesarios para el cumplimiento de sus funciones
dentro de la clínica.
 A todos los trabajadores que ingresen a la clínica se les generará un usuario
para que ingresen a las aplicaciones y computadoras que se les asigne, y
una contraseña que deberá cumplir los lineamientos de la Política de
Gestión de Contraseñas. A su vez, se le brindará la documentación
necesaria para el manejo de los activos asignados.
150
 Los activos de información a los que tendrá acceso los usuarios por las
funciones que realizan serán definidos por la jefatura directa y el área de
administración de la clínica. Finalmente, el dueño del activo tendrá que dar
la aprobación final para conceder los permisos requeridos.
 Si se requiere dar acceso a un tercero por temas de auditoría, consultoría,
entre otros, primero deberá ser aprobado por la administración de la clínica
y el dueño del activo y posteriormente deberá firmarse un acuerdo de
confidencialidad.
 Para los aplicativos y sistemas de la clínica, deberá designarse un único
administrador que tenga los permisos de brindar los accesos a los usuarios.
5. Mantenimiento de los accesos
 Se debe realizar un mantenimiento periódico de los accesos a los distintos

activos de información. Este mantenimiento debe realizarse por lo menos
una vez cada seis meses.
 Los accesos brindados a terceros, deben ser retirados una vez terminada
la auditoría, consultoría o según corresponda.
 A los terceros y/o trabajadores que cambien de funciones, se debe evaluar
si mantendrán los accesos previos y la documentación que actualmente
poseen. De no ser el caso, se debe hacer devolución de la información y
documentación, y a su vez, la actualización de los permisos que tenga.
 A los terceros y/o trabajadores que cesen sus funciones de la clínica,
deberán devolver toda documentación que se le haya brindado y se le debe
retirar los accesos inmediatamente.
6. Segregación de Funciones
 Los accesos que se brindan deben ser individuales y no por grupos de

usuarios.
 Los accesos a los usuarios deben estar basadas en una segregación de
funciones, es decir, que no puede tener acceso a todas las operaciones /
funciones / transacciones de algún proceso del negocio.
151

8. Sanciones
Las sanciones aplicables son las definidas en el punto 6 de la Política

General de la Seguridad de la Información.
152
Política de Gestión de Incidentes de Seguridad
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Fecha: 02/05/2017
Política de Gestión de Incidentes de Seguridad
1. Resumen
En el presente documento se presenta los lineamientos a seguir en caso se

presente algún incidente de seguridad de información.
2. Objetivo
La siguiente política de seguridad tiene como objetivo establecer lineamientos

generales para la gestión de incidentes de seguridad para reducir el impacto
en la clínica.
3. Alcance
El alcance de la política incluye a todos los trabajadores de la clínica.
4. Gestión de Incidentes
 Todo trabajador de la clínica tiene la responsabilidad de comunicar algún

incidente de seguridad que sea de su conocimiento, a los responsables de
la seguridad en la clínica y a su jefatura directa.
 Todos los incidentes reportados serán clasificados para determinar si se
trata de un incidente de seguridad, la gravedad, los procedimientos y plan
de respuesta deben ser determinados por los responsables de seguridad.
 Se debe establecer procedimientos para incidentes de seguridad y
establecer las coordinaciones necesarias con instituciones como
Bomberos, Policías, Servicios Médicos, entre otros, según corresponda.
153
 Los responsables de seguridad, deben registrar todos los incidentes de
seguridad de información detectados detallando como mínimo:
o Nombre del Activo afectado
o Detalle del incidente de seguridad
o Riesgo asociado al incidente
o Controles asociados al incidente
o Comportamiento de los controles durante el incidente
o Impacto Financiero / Legal / Reputacional del incidente
o Planes de Acción
 Los incidentes de seguridad graves deben ser informado a todas las
gerencias y administración de la clínica, detallando el evento, el impacto
hacia el negocio y los planes de acción.
 Los incidentes de seguridad considerados como graves, deben ser
inmediatamente analizados para determinar si se está violando alguna ley
existente.
 Una vez superado el incidente, se debe monitorear los controles asociados
al incidente de seguridad, para determinar la efectividad del control y
establecer si se realizó el cumplimiento de este.
 Una vez superado el incidente, se debe evaluar si se trata de un nuevo
riesgo o si es un riesgo conocido. Si es nuevo, se debe proceder a realizar
una evaluación del riesgo. Si es un riesgo conocido, se debe analizar si
está dentro del apetito del riesgo o necesita ser reclasificado aumentando
o disminuyendo su impacto.

8. Sanciones

154
Política de Gestión de Copias de Respaldo
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Fecha: 02/05/2017
Política de Gestión de Copias de Respaldo
1. Resumen
En el presente documento se presenta los lineamientos a seguir para realizar

copias de respaldo o hacer uso de estas.
2. Objetivo

generales para la gestión de copias de respaldo de los aplicativos, base de
datos y documentos.
3. Alcance

4. Gestión de Incidentes
 Se realizarán copias de seguridad de la base de datos un mínimo de 1 vez

a la semana.
 Se realizará copias de seguridad de los documentos digitales mínimo 1 vez
al día.
 Las copias de seguridad deben ser realizadas de manera automática no
manual, guardando versiones por fechas y no reemplazándolas en cada
copia.
155
 Las copias de respaldo no deben ser realizados dentro de los mismos
servidores ni dentro del mismo local donde estos se encuentras.
 Si se desea realizar una restauración parcial o completa de la información,
esta debe ser solicitada a los encargados de seguridad e informado a la
jefatura directa.
 Toda copia de respaldo debe estar debidamente encriptado.

8. Sanciones

156
Política de Gestión de Activos
Versión 1.0
Autor(es):
Senyi Fukusaki I.
Fecha: 02/05/2017
Política de Gestión de Activos
1. Resumen
En el presente documento se presenta los lineamientos a seguir la gestión de

activos de información de la clínica.
2. Objetivo

generales para la gestión de los activos de la clínica previniendo su pérdida
de integridad, disponibilidad y confidencialidad.
3. Alcance

4. Seguridad de Información Digital
 Se debe tener conocimiento de las políticas, normas, reglas, estándares y

procedimientos en el uso de todo activo de información de manera digital.
 Las aplicaciones utilizadas para realizar comunicaciones electrónicas serán
otorgados por MEDCAM Perú SAC. No podrá utilizar ningún software
adicional, de ser necesario deberán comunicarse al respectivo inmediato
superior.
157
 El intercambio de información laboral con pacientes, clientes, proveedores
o terceros deben ser realizados con los recursos entregados por la clínica.
El uso de correos personales está prohibido.
 Está prohibido interceptar, divulgar o leer comunicaciones electrónicas sin
la autorización del dueño de la información.
 El acceso a internet para actividades que no estén dentro de las funciones
del colaborador debe ser moderado.
 No almacenar información restringida en dispositivos móviles.
 Todo documento que sea clasificado como confidencial deberá estar
debidamente encriptado.
 Se debe contar con antivirus, cortafuegos un programa de encriptación en
todas las computadoras de la clínica sin excepción.
 Los medios removibles deben ser inhabilitados en todas las computadoras
de la clínica. Si se necesita el uso de algún medio removible, se debe
solicitar a la administración con su respectiva justificación.
 El lugar donde se almacena la información digital debe tener un
mantenimiento de mínimo 1 vez cada 6 meses.
 Para evitar comprometer información de forma accidental, se debe tener en
cuenta lo siguiente:
o Evitar abrir correos sospechosos o de destinatarios
desconocidos.
o Bloquear la pantalla del computador cuando no se encuentre en
el área de trabajo.
o Eliminar completamente documentación digital.
5. Seguridad Física y de sitio
 Se debe tener conocimiento de las políticas, normas, reglas, estándares y

procedimientos en el uso de todo activo de información física y de sitio.
 El acceso a las áreas administrativas solo estará permitido para empleados,
mientras las áreas de consultas, laboratorios, exámenes, área de espera
serán permitidos para empleados, clientes y pacientes.
158
 De existir la necesidad de eliminar un documento con datos confidenciales
deben ser destruidos de tal manera que la información en esta sea
irrecuperable.
 Los escritorios administrativos deben quedar vacíos (sin ningún documento
a la vista) cuando el colaborador no se encuentre en el lugar.
 Las gavetas asignadas para cada empleado deben estar cerradas bajo
llave.
 Los documentos que sean generales de la empresa (Kardex, Historias
clínicas, entre otros) serán almacenados dentro de un almacén asignado
bajo llave.
 El lugar donde se almacena la información debe tener un mantenimiento
de mínimo 1 vez al año.

7. Sanciones

159
ANEXO 4 - Lista de amenazas y vulnerabilidades
Lista de Amenazas:
La ISO 27005 menciona una lista de amenazas, que serán usadas en el

proyecto para determinar la matriz de riesgos. El origen de las amenazas
puede ser Deliberado (D), Accidental (A) o Ambiental (E). A es usado para
acciones humanas que pueden dañar los activos de manera accidental y E es
usado para las acciones que no son de origen humano.
Tipo Amenaza Origen

Fuego A,D,E
Daño por Agua A,D,E
Contaminación A,D,E
Daño Físico Accidente A,D,E
Destrucción de Equipos A,D,E
Polvo, Corrosión,
A,D,E
Congelamiento
Fenómenos climáticos E
Fenómenos Sísmicos E
Eventos Naturales Fenómenos volcánicos E
Fenómenos Meteorológicos E
Inundaciones E
Falla en el aire
acondicionado o suministro A,D
Fallo de Servicios de Agua
esenciales Falla en Energía eléctrica A,D,E
Falla en los equipos de
A,D
telecomunicaciones
Radiación electromagnética A,D,E
Radiación Radiación térmica A,D,E
Pulsos electromagnéticos A,D,E
Intercepción de señales D
Espionaje D
Monitoreo ilegal D
Robo de documentos D
Robo de Equipos D
Recuperación de equipos
Compromiso de la D
desechados
información
Divulgación de información A,D
Datos de fuentes no
A,D
confiables
Manipulación de Hardware D
Manipulación de Software A,D
Detección de posición D
Fallo de equipo A
Mal Funcionamiento de
A
Equipo
Saturación de los sistemas
A,D
Fallas Técnicas de información
Malfuncionamiento de
A
Software
Falta de mantenimiento de
A,D
software
160
Tipo Amenaza Origen
Uso no autorizado de los
D
equipos
Copia fraudulenta de
D
Acciones no autorizadas Software
Uso de software pirata A,D
Data corrupta D
Proceso ilegal de data D
Error en el uso A
Abuso de derecho A,D
Falsificación de derecho D
Compromiso de funciones
Negación de accesos D
No disponibilidad de
A,D,E
personal
Lista de Vulnerabilidades:
Tipo Vulnerabilidad
Mantenimiento insuficiente / Fallo en la Instalación de
dispositivos de almacenamiento
Falta de reemplazo periódico
Susceptibilidad al polvo, humedad y suciedad
Sensibilidad a la radiación electromagnética
Hardware Falta de un eficiente control de cambios
Susceptible de cambio de voltaje / Susceptible al
cambio de temperatura
Almacenamiento desprotegido
Falta de cuidado en la disposición del hardware
Copia no controlada
Prueba de software no existente
Defectos del software
Falta de finalización de sesión por parte del usuario
Uso o reutilización de los medios de almacenamiento
sin borrado adecuado
Falta de Prueba de Auditoría
Falla en la distribución de accesos
Software
Uso de aplicaciones a datos errados en término de
tiempo
Interfaz de usuario compleja
Falta de documentación
Parámetros incorrectamente configurados
Fechas incorrectas
Falta de mecanismo de autentificación
161
Tipo Vulnerabilidad
Tabla de contraseñas desprotegida
Pobre gestión de contraseñas
Servicios innecesarios habilitados
Software nuevo o inmaduro
Especificaciones incompletas o nada clara de los
desarrolladores
Falta de control de cambios
Descarga y uso no controlado de Software
Falta de respaldos
Falta de protección física del edificio
Falla en los reportes de gestión
Falta de Prueba de envío o recibimiento de mensajes
Líneas de comunicación no protegidas
Tráfico sensible no protegidos
Pobre cableado
Punto único de falla
Red
Falta de autentificación de quien envía y recibe
Arquitectura de red insegura
Transferencia de contraseñas autorizadas
Gestión inadecuada de red
Conexiones públicas de red no autorizadas.
Ausencia de personal
Proceso inadecuado de contratación
Seguridad enseñada insuficientemente

Uso incorrecto de Software y Hardware
Personal
Cultura de seguridad insuficiente
Falta de mecanismo de monitoreo
Trabajo no supervisado del personal externo
Falta de política en el uso de líneas de comunicaciones.
Uso inadecuado de acceso físico a las edificaciones
Ubicación en un área susceptible de desastres
Sitio
Red energética inestable
Falta de protección física del edificio, puerta y ventanas
Falta de procedimiento formal para el registro y
eliminación de usuarios.
Organización Falta de procedimiento formal de la revisión de los
accesos de los usuarios
Falta o insuficiencia de disposición en los contratos con
162
Tipo Vulnerabilidad
los clientes.
Falta de monitoreo de los recursos de procesamiento
de información.
Falta de auditorías periódicas.
Falta de procedimiento de identificación y evaluación de
riesgos.
Falta de reportes de errores y fallos en los logs de
administrador y operadores.
Respuesta inadecuada de mantenimiento de servicio
Falta de Acuerdos de nivel de servicios
Falta de procedimientos de control de cambio
Falta de procedimientos formales para la revisión de la
documentación del SGSI.
Falta de procedimientos formales para la autorización
Falta de responsabilidades en SGSI
Falta de planes de continuidad de negocios
Falta de política de uso de correos
Falta de procedimientos formales para el uso de nuevos
software
Falta de logs en el administrador y operadores
Falta de procedimiento para el manejo de información
clasificada
Falta de información de la responsabilidad de la
seguridad en la descripción de los puestos
Falta de procesos disciplinarios en caso de un incidente
de seguridad
Falta de política para el uso de computadoras portátiles
Falta de control de activos fuera de la organización
Falta de política de limpieza de escritorio y de pantalla
Falta de autorización en los procesos de la información
Falta de mecanismos de monitoreo
Falta de revisión por parte de la gerencia
Falta de procedimiento para reporte de debilidades en
la seguridad
Falta de procedimiento del cumplimiento de
disposiciones de derechos de autor
163
ANEXO 5 – Efectividad de controles
Datos del Control

Cod Control
Cod Control C001 5.1.1
ISO
Naturaleza Preventivo Tipo Manual Frecuencia Anual
Evaluación
Resultad
Indicador Experto 1 Experto 2 Experto 3
o
Control Diseñado correctamente? Si Si Si 100
(30%)
Control Implementado? (30%) Si Si Si 100
Eficacia Operativa? (40%) No No No 0
Resultado final 66.67
Justificación (Si el resultado es El control se ha definido con periodicidad anual, por lo que no
negativo) se ejecutado hasta el momento.
Evidencia No aplica
Resultado Efectividad no puede ser evaluada.
Datos del Control
Cod Control
ISO
Naturaleza Detectivo Tipo Manual Frecuencia Anual
Evaluación
Indicador Experto 1 Experto 2 Experto 3 Resultado
(30%)
Justificación (Si el resultado es El control se ha definido con periodicidad anual, por lo que no se
negativo) ejecutado hasta el momento.
Evidencia No aplica
Datos del Control
Cod Cod Control
C003 6.1.1
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia Anual
a
Evaluación
(30%)
Si Si Si 0
Eficacia Operativa? (40%)
Justificación (Si el resultado es No aplica

negativo)
Evidencia Política de Seguridad de la Información
Resultado Control efectivo.
164
Datos del Control
Cod Control
ISO
Evaluación
(30%)
Eficacia Operativa? (40%) Si Si Si 0

negativo)
Evidencia Flujo de Procesos
Datos del Control
Cod Control
ISO
Evaluación
(30%)
Evidencia Acuerdo de Confidencialidad

Datos del Control
Cod Cod Control
C006 7.2.2
Control ISO
Naturalez
Detectivo Tipo Manual Frecuencia No aplica
a
Evaluación
(30%)
Justificación (Si el resultado es No aplica.

negativo)
Evidencia Resultados de encuesta.
165
Datos del Control
Cod Control
ISO
Naturaleza Preventivo Tipo Manual Frecuencia No aplica
Evaluación
(30%)

negativo)
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Inventario de Activos de Información
Datos del Control
Cod Cod Control
C009 8.1.2
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia No aplica
a
Evaluación
(30%)

negativo)
Evidencia Inventario de Activos de Información
166
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Política Específica: Gestión de Activos
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Política Específica: Gestión de Accesos
Datos del Control
Cod Cod Control
C012 8.3.1
Control ISO
Naturalez
Preventivo Tipo Automático Frecuencia A demanda
a
Evaluación
(30%)

negativo)
Evidencia Captura de pantalla de no reconocimiento de dispositivos.
167
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Flujo de Proceso: Procesamiento de Datos
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Política Específica: Gestión de Accesos
Datos del Control
Cod Cod Control
C015 9.2.1
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia A demanda
a
Evaluación
(30%)

negativo)
Evidencia Fecha de cese vs. Fecha de baja en el sistema.
168
Datos del Control
Cod Control
ISO
Naturaleza Preventivo Tipo Automático Frecuencia A demanda
Evaluación
(30%)

negativo)
Evidencia Pantalla de configuración.
Datos del Control
Cod Control
ISO
Naturaleza Detectivo Tipo Manual Frecuencia Semestral
Evaluación
(30%)
Justificación (Si el resultado es El control se ha definido con periodicidad semestral, por lo que
negativo) no se ejecutado hasta el momento.
Evidencia No aplica
Datos del Control
Cod Cod Control
C018 9.2.4
Control ISO
Naturalez
a
Evaluación
(30%)

negativo)
169
Datos del Control
Cod Control
ISO
Naturaleza Preventivo Tipo Manual Frecuencia A demanda
Evaluación
(30%)

negativo)
Evidencia Imagen del lugar restringido.
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Datos del Control
Cod Cod Control
C021 10.1.2
Control ISO
Naturalez
a
Evaluación
(30%)

negativo)
170
Datos del Control
Cod Control
ISO
Evaluación
(30%)
Control Implementado? (30%) No No No 0
Eficacia Operativa? (40%) No No Si 40
Justificación (Si el resultado es La organización no ha implementado seguridad alrededor del

negativo) centro de datos de la empresa.
Evidencia No aplica.
Resultado Control inefectivo.
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Foto de señalización.
Datos del Control
Cod Cod Control
C024 11.1.4
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia A demanda
a
Evaluación
(30%)

negativo)
Evidencia Foto de extinguidores, señalización, luminarias, etc.
171
Datos del Control
Cod Control
ISO
Evaluación
(30%)
Evidencia No aplica
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Datos del Control
Cod Cod Control
C027 11.2.9
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia Bimestral
a
Evaluación
(30%)
Justificación (Si el resultado es El control se ha definido con periodicidad mensual, por lo que no se
negativo) ha ejecutado a la fecha.
Evidencia No aplica
172
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Pantalla de carpeta con políticas
Datos del Control
Cod Control
ISO
Evaluación
(30%)
Evidencia No aplica
Datos del Control
Cod Cod Control
C030 12.3.1
Control ISO
Naturalez
Preventivo Tipo Manual Frecuencia Mensual
a
Evaluación
(30%)
Justificación (Si el resultado es El control se ha definido con periodicidad mensual, por lo que no se
negativo) ha ejecutado a la fecha.
Evidencia No aplica
173
Datos del Control
Cod Cod Control
C031 13.1.1
Control ISO
Evaluación
(30%)
Control Implementado? (30%) No No No 0
Se cuenta con presupuesto para la implementación en el segundo
Justificación (Si el resultado es
semestre del año. La organización no ha implementado el directorio
negativo)
activo al momento de la revisión.
Evidencia No aplica.
Resultado Control inefectivo.
Datos del Control
Cod Cod Control
C032 16.1.1
Control ISO
Evaluación
(30%)

negativo)
Evidencia Política Específica: Gestión de Incidentes
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Política Específica: Gestión de Incidentes
Control efectivo.
Resultado
174
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Pantalla de documento compartido.
Datos del Control
Cod Cod Control
C036 17.1.2
Control ISO
Evaluación
(30%)

negativo)
Evidencia Historial Clínica Física
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Evidencia Evidencia de sitio alterno.
Control efectivo.
Resultado
175
Datos del Control
Cod Control
ISO
Evaluación
(30%)

negativo)
Datos del Control
Cod Cod Control
C039 18.2.3
Control ISO
Evaluación
(30%)
Justificación (Si el resultado es El control se ha ejecutado hasta el momento pues tiene frecuencia
negativo) anual.
Evidencia No aplica
176
ANEXO 6 – Controles previos al proyecto
Control
Sección ISO/IEC Objetivo de Control Control Situación Previa a la implementación
27002
Implementar un procedimiento que Control implementado: Se cuenta con
permita a los usuarios del sistema un proceso en el cual se otorgan en los
Suministro de acceso de
9. Control de acceso 9.2.2 acceder al sistema o negar el acceso sistemas de información de MEDCAM el
usuarios
a este cuando se considere acceso por perfiles en base a las
necesario. responsabilidades de los usuarios.
Control en proceso: Se otorga accesos
Se deben crear perfiles para el a los sistemas de información están
Uso de la información de
9. Control de acceso 9.3.1 acceso a información considerada de segregados en base a funciones, pero
autenticación secreta
suma importancia para la empresa no se cuenta con un matriz de perfiles
por puesto.
Control en proceso: Los accesos
Restricción de acceso Restringir el acceso a la información otorgados se delimita a información
9. Control de acceso 9.4.1
Información por parte de personal no autorizado. específica en base a las funciones de
los usuarios.
Los equipos de cómputo deben
contar con software contra código
12. Seguridad de las Controles contra códigos malicioso, el cual se debe actualizar Control en proceso: No todos los
12.2.1
operaciones maliciosos constantemente con el fin actualizar equipos cuentan antivirus actualizado.
parches que mitiguen las nuevas
vulnerabilidades.
Se debe realizar respaldo de la
Control en proceso: Se ejecutan copias
información, además se deben
12. Seguridad de las de respaldo, pero estas no son
12.3.1 Respaldo de información realizar pruebas para comprobar que
operaciones almacenadas en un lugar distinto al de
estos cumplen con las políticas de
las operaciones.
respaldo-
Control en proceso: El personal conoce
Se debe establecer un proceso que
16. Gestión de incidentes de Respuesta a incidentes de empíricamente las acciones de
16.1.5 permita establecer los pasos a seguir
seguridad de la información seguridad de la información respuesta en base a experiencias
para atender el incidente.
difundidas por la administración.
177
Control
Sección ISO/IEC Objetivo de Control Control Situación Previa a la implementación
27002
Implementar procedimientos que
Control en proceso: Se cuentan con
17. Aspectos de seguridad de Implementación de la permitan la continuidad del negocio
reemplazos físicos (historias clínicas
la información de la gestión de 17.1.2 continuidad de la seguridad ante situaciones imprevistas que
físicas) ante la inhabilitación de equipos
continuidad de negocio de la información podrían causar retrasos en la
electrónicos.
operación.
Es necesario establecer Control implementado: Se cuenta con
Disponibilidad de
17. Aspectos de seguridad de redundancias en las instalaciones instalaciones alternas en las cuales se
instalaciones de
la información de la gestión de 17.2.1 donde se procesa la información con pueden continuar con las operaciones
procesamiento de
continuidad de negocio el fin de que no se vea afectada la de la empresa en caso de inhabilitación
información.
disponibilidad de la información. de una de las instalaciones.
Control en proceso: Se han determinado
documentos que son aceptados y
Identificación de la Definir el marco legal con el cual se firmados por los pacientes en los cuales
18. Cumplimiento 18.1.1 legislación aplicable y de debe regir la seguridad de la aceptan y dan su consentimiento sobre
los requisitos contractuales información. el tratamiento de la información médica
en base a la Ley 26842 - Ley General
de Salud.
178
ANEXO 7 – Reevaluación post implementación de controles
Prob. Consec. Criticidad

ID
Activo Prob. Consec. Criticidad Cláusula Controles ISO/IEC 27002:2013 luego de luego de luego de
Riesgo
Control Control Control
A.9.4.3 - Los sistemas de gestión de
contraseñas deben ser interactivos y
deben asegurar contraseñas de
A.9 Control de calidad.
acceso A.11.2.9 - Una política de escritorio
R1 MediWeb Improbable Crítico Alto A.11 Seguridad limpio de papeles y de medios de Raro Crítico Medio
física y almacenamiento removibles, así
ambiental como una política de pantalla limpia
para las instalaciones de
procesamiento de la información debe
ser adoptada.
A.9.2.1 - Un proceso formal de
registro y baja de usuarios debe ser
implementado para permitir la
A.9 Control de asignación de derechos de accesos.
R4 MediWeb Improbable Crítico Alto Raro Crítico Medio
acceso A.9.2.5 - Los propietarios de los
activos deben revisar los derechos de
accesos de usuario a intervalos
regulares.
A.12.1.1 - Los procedimientos
A.12 Seguridad
Relevant operativos deben ser documentados y Improbab Relevant
R5 MediWeb Probable Alto de las Medio
e puestos a disposición de todos los le e
operaciones
179
ID
Riesgo
A.12.3.1 - Copias de respaldo de la
información del software y de las
A.12 Seguridad
imágenes del sistema deben ser
R7 MediWeb Posible Alto Alto de las Raro Alto Bajo
tomadas y probadas regularmente en
operaciones
concordancia con una política de
respaldo acordada.
R9 MediWeb Posible Crítico Alto Raro Crítico Medio
regulares.
A.12.1.1 - Los procedimientos

operativos deben ser documentados y
puestos a disposición de todos los
A.12.6.1 - Información sobre
Sistema
A.12 Seguridad vulnerabilidades técnicas de los
Logístico Relevant Improbab Relevant
R14 Probable Alto de las sistemas de información utilizados Medio
de e le e
operaciones debe ser obtenida de manera
MedCam
oportuna, la exposición de la
organización a dichas
vulnerabilidades debe ser evaluada y
las medidas apropiadas deben ser
tomadas para resolver el riesgo
apropiado.
180
ID
Riesgo
Sistema A.12.1.1 - Los procedimientos

A.12 Seguridad
Logístico Relevant operativos deben ser documentados y Improbab Relevant
R15 Probable Alto de las Medio
de e puestos a disposición de todos los le e
operaciones
MedCam usuarios que lo necesitan.
A.11.1.1 - Perímetros de seguridad
deben ser definidos y utilizados para
A.11 Seguridad
Base de proteger áreas que contienen
R25 Improbable Crítico Alto física y Raro Crítico Medio
Datos información sensible o crítica e
ambiental
instalaciones de procesamiento de
información.
A.12.3.1 - Se debe realizar respaldo
A.12 Seguridad de la información, además se deben
Base de
R28 Improbable Crítico Alto de las realizar pruebas para comprobar que Raro Crítico Medio
Datos
operaciones estos cumplen con las políticas de
respaldo-
A.9.4.3 - Los sistemas de gestión de
contraseñas deben ser interactivos y
deben asegurar contraseñas de
A.9 Control de calidad.
Computa acceso A.11.2.9 - Una política de escritorio
Improbab
R34 doras de Probable Alto Alto A.11 Seguridad limpio de papeles y de medios de Alto Medio
le
Escritorio física y almacenamiento removibles, así
ambiental como una política de pantalla limpia
para las instalaciones de
procesamiento de la información debe
ser adoptada.
181
ID
Riesgo
A.8.1.1 - Información, otros activos

asociados con información e
Computa
A.8 Gestión de información deben ser identificados y Improbab
R35 doras de Probable Alto Alto Alto Medio
Activos un inventario de estos activos de ser le
Escritorio
elaborado y mantenido.
A.8.1.2 - Los activos mantenidos en el
inventario deben ser propios.
A.11.1.2 - Las áreas seguras deben

Computa A.11 Seguridad ser protegidas por medio de controles
Improbab
R37 doras de Probable Alto Alto física y apropiados de ingreso para asegurar Alto Medio
le
Escritorio ambiental que se le permite acceso sólo al
personal autorizado.
Consenti deben ser definidos y utilizados para
A.11 Seguridad
miento proteger áreas que contienen Improbab
R41 Posible Alto Alto física y Alto Medio
Informad información sensible o crítica e le
ambiental
o - Ley instalaciones de procesamiento de
información.
Consenti A.11.1.4 - Protección física contra
A.11 Seguridad
miento desastres naturales, ataque malicioso
R42 Posible Alto Alto física y Raro Alto Bajo
Informad o accidentes debe ser diseñada y
ambiental
o - Ley aplicada.
Consenti
A.11 Seguridad ser protegidas por medio de controles
miento Improbab
R43 Posible Alto Alto física y apropiados de ingreso para asegurar Alto Medio
Informad le
ambiental que se le permite acceso sólo al
o - Ley
182
ID
Riesgo
ser protegidas por medio de controles
apropiados de ingreso para asegurar
A.11 Seguridad
que se le permite acceso sólo al
física y
Historia personal autorizado.
R44 Probable Crítico Crítico ambiental Raro Crítico Medio
Clínica A.18.1.4. - La privacidad y la
A.18
protección de datos personales deben
Cumplimiento
ser aseguradas tal como se requiere
en la legislación y regulación
relevante donde sea aplicable.
proteger áreas que contienen
información sensible o crítica e
información.
A.11 Seguridad
física y
Historia ser protegidas por medio de controles
R47 Probable Crítico Crítico ambiental Raro Crítico Medio
Clínica apropiados de ingreso para asegurar
A.18
Cumplimiento
A.18.1.4. - La privacidad y la
protección de datos personales deben
ser aseguradas tal como se requiere
en la legislación y regulación
relevante donde sea aplicable.
A.11 Seguridad
Historia deben ser definidos y utilizados para
R48 Improbable Crítico Alto física y Raro Crítico Medio
Clínica proteger áreas que contienen
ambiental
183
ID
Riesgo
información.
A.11.1.4 - Protección física contra

A.11 Seguridad
Historia desastres naturales, ataque malicioso
R49 Probable Crítico Crítico física y Raro Crítico Medio
Clínica o accidentes debe ser diseñada y
ambiental
aplicada.
A.11 Seguridad ser protegidas por medio de controles
Historia
R50 Posible Crítico Alto física y apropiados de ingreso para asegurar Raro Crítico Medio
Clínica
ambiental que se le permite acceso sólo al
A.6.1.3 - Las funciones y áreas de
A.6
responsabilidad en conflicto deben
Organización
Historia ser segregadas para reducir
R51 Improbable Crítico Alto de la seguridad Raro Crítico Medio
Clínica oportunidades de modificación no
de la
autorizada o no intencional o mal uso
información
de los activos de la organización.
Consenti A.11.1.2 - Las áreas seguras deben
miento A.11 Seguridad ser protegidas por medio de controles
R54 Informad Posible Crítico Alto física y apropiados de ingreso para asegurar Raro Crítico Medio
o- ambiental que se le permite acceso sólo al
Atención personal autorizado.
Consenti
miento A.11 Seguridad
desastres naturales, ataque malicioso
R56 Informad Posible Alto Alto física y Raro Alto Bajo
o accidentes debe ser diseñada y
o- ambiental
aplicada.
Atención
184
ID
Riesgo
Consenti A.11.1.2 - Las áreas seguras deben
miento A.11 Seguridad ser protegidas por medio de controles
R57 Informad Posible Crítico Alto física y apropiados de ingreso para asegurar Raro Crítico Medio
o- ambiental que se le permite acceso sólo al
Atención personal autorizado.
Hoja A.11 Seguridad ser protegidas por medio de controles
R60 Intercons Posible Crítico Alto física y apropiados de ingreso para asegurar Raro Crítico Medio
ulta ambiental que se le permite acceso sólo al
A.8.3.3 - Los medios que contienen
información deben ser protegidos
contra el acceso no autorizado, el mal
A.8 Gestión de
uso o la corrupción durante el
Resultad Activos
transporte.
R64 os Probable Crítico Crítico A.11 Seguridad Raro Crítico Medio
Finales física y
ser protegidas por medio de controles
ambiental
apropiados de ingreso para asegurar
Resultad A.11 Seguridad
R65 os Improbable Crítico Alto física y Raro Crítico Medio
Finales ambiental
información.
desastres naturales, ataque malicioso
R66 os Probable Crítico Crítico física y Raro Crítico Medio
o accidentes debe ser diseñada y
Finales ambiental
aplicada.
185
ID
Riesgo
Resultad A.11 Seguridad ser protegidas por medio de controles
R67 os Probable Crítico Crítico física y apropiados de ingreso para asegurar Raro Crítico Medio
Finales ambiental que se le permite acceso sólo al
R68 os Posible Crítico Alto física y Raro Crítico Medio
Finales ambiental
información.
información del software y de las
Historia A.12 Seguridad
imágenes del sistema deben ser Improbab
R69 Clínica Probable Alto Alto de las Alto Medio
tomadas y probadas regularmente en le
Digital operaciones
concordancia con una política de
respaldo acordada.
A.8.3.1. - Se debe implementar
Historia procedimientos para la gestión de
A.8 Gestión de
R71 Clínica Probable Crítico Crítico medios removibles en concordancia Raro Crítico Medio
Activos
Digital con el esquema de clasificación
adoptado por la organización.
Historia
R72 Clínica Improbable Crítico Alto Raro Crítico Medio
Digital
regulares.
186
ID
Riesgo
A.9.3.1 - Los usuarios deben ser
exigidos a que sigan las prácticas de
la organización en el uso de
información de autentificación
Historia
A.9 Control de secreta.
R73 Clínica Probable Crítico Crítico Raro Crítico Medio
acceso A.9.4.1 - El acceso a la información y
Digital
a las funciones del sistema de
aplicación debe ser restringido en
concordancia con la política de control
de acceso.
vulnerabilidades técnicas de los
sistemas de información utilizados
Servidor debe ser obtenida de manera
A.12 Seguridad
de oportuna, la exposición de la Improbab
R79 Posible Alto Alto de las Alto Medio
Aplicacio organización a dichas le
operaciones
nes vulnerabilidades debe ser evaluada y
tomadas para resolver el mejor
riesgo.
Servidor información del software y de las
A.12 Seguridad
de imágenes del sistema deben ser
R83 Posible Crítico Alto de las Raro Crítico Medio
Aplicacio tomadas y probadas regularmente en
operaciones
nes concordancia con una política de
respaldo acordada.
187
ID
Riesgo
Servidor información del software y de las
A.12 Seguridad
de imágenes del sistema deben ser
R85 Posible Crítico Alto de las Raro Crítico Medio
Aplicacio tomadas y probadas regularmente en
operaciones
nes concordancia con una política de
respaldo acordada.
vulnerabilidades técnicas de los
sistemas de información utilizados
debe ser obtenida de manera
A.12 Seguridad
oportuna, la exposición de la Relevant
R87 Kardex Posible Alto Alto de las Posible Medio
organización a dichas e
operaciones
vulnerabilidades debe ser evaluada y
tomadas para resolver el mejor
riesgo.
188
ANEXO 8 – Acta de cierre del proyecto
189

Tesis Implementación de Un SGSI

Cargado por

Copyright:

Formatos disponibles

Tesis Implementación de Un SGSI

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Implementación de Un SGSI

Cargado por

Copyright:

Formatos disponibles

FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE COMPUTACIÓN Y SISTEMAS

DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN

MIGUEL ANGEL CRUZ DIAZ

SENYI FUKUSAKI INFANTAS

LUZ SUSSY BAYONA ORE

LUIS ESTEBAN PALACIOS QUICHIZ

PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE

DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN

PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE

CRUZ DIAZ, MIGUEL ANGEL

Miguel Angel Cruz Diaz

Senyi Fukusaki Infantas

CAPÍTULO I. MARCO TEÓRICO 1

1.2 Bases teóricas 14

1.3 Términos básicos 28

CAPÍTULO II. METODOLOGÍA 30

CAPÍTULO III. DESARROLLO DEL PROYECTO 40

3.1 Cronograma de implementación 40

3.2 Implementación del SGSI 41

3.3 Prueba de Efectividad de Controles 116

CAPÍTULO IV. PRUEBAS Y RESULTADOS 118

CAPÍTULO V. DISCUSIONES Y APLICACIONES 127

5.1 Discusiones 127

FUENTES DE INFORMACIÓN 139

Figura 2. Certificaciones de ISO/IEC 27001 a nivel global 4

Figura 3. Preocupaciones de encargados de la seguridad de

Figura 4. Incidentes de seguridad de la información en las

Figura 5. Contexto regional de la legislación de protección

Figura 6. Cronograma de la legislación peruana 13

Figura 7. Modelo PDCA aplicado a los Procesos SGSI 15

Figura 8. Cláusulas de la ISO/IEC 27001 16

Figura 9. Cláusulas de control de la ISO/IEC 27002 19

Figura 10. Proceso de Gestión de Riesgos 21

Figura 11. Área de aplicación de la ISO/IEC 31010 en el

Figura 12. ISO/IEC 27005 dentro de la implementación de 22

Figura 13. Proceso de Gestión de Riesgo orientado a

Figura 15. Ciclo de Deming con las fases de Implementación 31

Figura 16. Ejemplo de Matriz de Riesgo 34

Figura 17. Diagrama del Proceso de Captación de Clientes 44

Figura 18. Diagrama del Proceso de Atención al Cliente 45

Figura 19. Diagrama del Proceso de Procesamiento de Datos 46

Figura 20. Diagrama del Proceso de Facturación 47

Figura 21. Diagrama del Proceso de Cobranza 47

Figura 22. Diagrama del Proceso de Logística 48

Figura 23. Comparación de la criticidad de los Riesgos

Figura 24. Resultado de conocimiento de políticas de

Figura 25. Resultados de Encuesta: Pregunta 1 123

Figura 26. Resultados de Encuesta: Pregunta 2 124

Figura 27. Resultados de Encuesta: Pregunta 3 124

Figura 28. Resultados de Encuesta: Pregunta 4 125

Figura 29. Resultados de Encuesta: Pregunta 5 126

Tabla 2. Certificaciones de ISO/IEC 27001 a nivel de servicios 5

Tabla 3. Certificaciones de ISO/IEC 27001 a nivel de países 7

Tabla 4. Infracciones por incumplimiento de la ley de

Tabla 5. Sanciones por incumplimiento de la ley de protección

Tabla 6. Materiales usados en el proyecto 30

Tabla 7. Pasos para la implementación de ISO/IEC 27001 31

Tabla 8. Cronograma de Implementación del Proyecto 40