UNIVERSIDAD NACIONAL TECNOLÓGICA
Descripción
UNIVERSIDAD NACIONAL TECNOLÓGICA
ESCUELA DE SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN
INFORME FINAL DEL CURSO MONOGRÁFICO PARA OPTAR AL TÍTULO DE: LICENCIATURA EN SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN
CONTROLES Y POLÍTICAS DE SEGURIDAD DE UN SISTEMA DE INFORMACIÓN EN EL SECTOR PRIVADO. CASO: LABORATORIO CLÍNICO RAMÍREZ DE PEÑA, S.R.L. BANÍ (2015)
SUSTENTANTES: JERRY RUBÉN AYBAR MEJÍA MOISÉS FABIÁN PEÑA SOTO
ASESORES: LICDA. NANCY ROJAS M.A. RICARDO REYNOSO LICDA. MARISOL CORDERO
SANTO DOMINGO, REPÚBLICA DOMINICANA ENERO – ABRIL 2015 “Los conceptos emitidos en el presente trabajo de grado son de la exclusiva responsabilidad de los sustentantes del mismo”
UNIVERSIDAD NACIONAL TECNOLÓGICA
ESCUELA DE SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN
INFORME FINAL DEL CURSO MONOGRÁFICO PARA OPTAR AL TÍTULO DE: LICENCIATURA EN SISTEMAS Y TECNOLOGÍAS DE LA INFORMACIÓN CONTROLES Y POLÍTICAS DE SEGURIDAD DE UN SISTEMA DE INFORMACIÓN EN EL SECTOR PRIVADO. CASO: LABORATORIO CLÍNICO RAMÍREZ DE PEÑA, S.R.L. BANÍ (2015) SUSTENTANTES: JERRY RUBÉN AYBAR MEJÍA 10-0013 MOISÉS FABIÁN PEÑA SOTO 11-0068 ASESORES: LICDA. NANCY ROJAS M.A. RICARDO REYNOSO LICDA. MARISOL CORDERO SANTO DOMINGO, REPÚBLICA DOMINICANA ENERO – ABRIL 2015 “Los conceptos emitidos en el presente trabajo de grado son de la exclusiva responsabilidad de los sustentantes del mismo”
CONTROLES Y POLÍTICAS DE SEGURIDAD DE UN SISTEMA DE INFORMACIÓN EN EL SECTOR PRIVADO. CASO: LABORATORIO CLÍNICO RAMÍREZ DE PEÑA, S.R.L. BANÍ (2015)
TABLA DE CONTENIDO DEDICATORIAS ............................................................................................................... i AGRADECIMIENTOS ..................................................................................................... iii AGRADECIMIENTOS ..................................................................................................... iv INTRODUCCIÓN .............................................................................................................. v CAPÍTULO I - PROPUESTA DE LA INVESTIGACIÓN 1.1 LABORATORIO CLÍNICO RAMÍREZ DE PEÑA S.R.L. .............................................. 1 1.1.1 Reseña histórica................................................................................................... 1 1.1.2 Ubicación geográfica ............................................................................................ 3 1.1.3 Filosofía................................................................................................................ 3 1.1.4 Misión ................................................................................................................... 3 1.1.5 Visión ................................................................................................................... 4 1.1.6 Objetivos institucionales ....................................................................................... 4 1.1.6.1 Objetivo general: ............................................................................................ 4 1.1.6.2 Objetivos específicos: .................................................................................... 4 1.1.7 Valores ................................................................................................................. 4 1.1.8 Organigrama ........................................................................................................ 5 1.1.8.1 Descripción de Puestos ................................................................................. 6 1.1.9 Análisis FODA del Laboratorio Clínico Ramírez de Peña ................................... 20 1.1.10 Levantamiento tecnológico ............................................................................... 21 1.2 ANTECEDENTES..................................................................................................... 23 1.4 OBJETIVOS DE LA INVESTIGACIÓN ..................................................................... 32 1.4.1 Objetivo general: ................................................................................................ 32 1.4.2 Objetivos específicos: ........................................................................................ 32 1.5 JUSTIFICACIÓN....................................................................................................... 33 1.6 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN ..................................... 35 1.6.1 Tipo de investigación .......................................................................................... 35 1.6.2 Metodología de la investigación ......................................................................... 35 1.6.3 Técnicas y procedimientos de recolección de datos .......................................... 35 1.6.4 Enfoque de la investigación................................................................................ 36 1.6.5 Población y muestra ........................................................................................... 36 1.6.6 Indicadores ......................................................................................................... 36 1.6.7 Variables ............................................................................................................ 36 CAPÍTULO II - MARCO TEÓRICO Y CONCEPTUAL 2.1 SISTEMA DE INFORMACIÓN .................................................................................. 37 2.1.1 Concepto ............................................................................................................ 37 2.1.2 Componentes de un sistema de información...................................................... 37 2.1.3 Funciones básicas de un sistema de información. ............................................. 38 2.1.4 Tipología de los sistemas de información ........................................................... 39 2.2 AMENAZAS Y VULNERABILIDADES DE LOS SISTEMAS DE INFORMACIÓN ..... 41 2.2.1 Concepto de amenaza y vulnerabilidad .............................................................. 41 2.2.2 Tipos de amenazas ............................................................................................ 41 2.2.2.1 Humanas ..................................................................................................... 41 2.2.2.2 Lógicas ........................................................................................................ 43
2.2.3 Tipos de vulnerabilidades ................................................................................... 44 2.3 CONTROL INTERNO INFORMÁTICO ..................................................................... 46 2.3.1 Concepto ............................................................................................................ 46 2.3.2 Objetivos del control interno informático ............................................................. 47 2.3.3 Clasificación de los controles internos informáticos ........................................... 47 2.4 POLÍTICAS DE SEGURIDAD ................................................................................... 48 2.4.1 Concepto de política ........................................................................................... 48 2.4.2 Clasificación de las políticas de seguridad ......................................................... 48 2.4.2.1 Políticas de control de acceso ..................................................................... 48 2.4.2.3 Políticas de código de conducta................................................................... 50 2.4.2.4 Políticas de protección de equipos y de redes ............................................. 51 2.4.2.5 Políticas de usuarios y contraseñas ............................................................. 51 2.5 SEGURIDAD DE LA INFORMACIÓN ....................................................................... 52 2.5.1 Concepto ............................................................................................................ 52 2.5.2 Bases de la seguridad de la información ............................................................ 53 2.5.2.1 Fiabilidad ..................................................................................................... 53 2.5.2.2 Confidencialidad .......................................................................................... 54 2.5.2.3 Integridad ..................................................................................................... 54 2.5.2.4 Disponibilidad............................................................................................... 54 2.5.3 Normas de buenas prácticas. ............................................................................. 55 2.5.3.1 Concepto de estándar de seguridad ............................................................ 55 2.5.3.2 COBIT .......................................................................................................... 55 2.5.3.3 ITIL............................................................................................................... 56 2.5.3.4 Estándar ISO ............................................................................................... 56 2.5.4.1 Concepto ..................................................................................................... 58 2.5.4.2 Elementos de un plan de contingencia ........................................................ 59 CAPÍTULO III - INVESTIGACIÓN DE CAMPO Y RESULTADOS OBTENIDOS 3.1 ANÁLISIS DE LAS ENCUESTAS .......................................................................... 61 CAPÍTULO IV - PROPUESTA DE APLICACIÓN 4.1 DESARROLLO DE LOS CONTROLES Y POLÍTICAS ............................................. 72 4.1.1 Políticas sobre ubicación y protección del equipo .............................................. 72 4.1.2 Políticas de mantenimiento del equipo ............................................................... 73 4.1.3 Políticas de registro de usuario, contraseñas y privilegios ................................. 73 4.1.4 Políticas de control del acceso ........................................................................... 75 4.1.5 Políticas de la seguridad del cableado ............................................................... 76 4.1.6 Políticas de protección de la data del sistema .................................................... 77 4.1.7 Políticas de respaldo o back-up ......................................................................... 78 4.2 IMPLEMENTACIÓN DE LOS CONTROLES Y POLÍTICAS ..................................... 80 4.2.1 Inversión ................................................................................................................ 81 4.3 EVALUACIÓN DE LOS CONTROLES Y POLÍTICAS............................................... 83 CONCLUSIÓN ............................................................................................................... 85 RECOMENDACIONES .................................................................................................. 87 BIBLIOGRAFÍA.............................................................................................................. 89 ANEXOS ........................................................................................................................ 72
DEDICATORIAS A Dios, por haberme permitido llegar hasta este punto y haberme dado salud, ser el manantial de vida y darme lo necesario para seguir adelante día a día para lograr mis objetivos, además de su infinita bondad y amor.
A mí amada esposa Yinna Rosanna Díaz Arias, por su amor y compresión. A mis hijos Jerlina y Jhonaikel Aybar Díaz, por brindarme su amor y cariño. A mi madre Orjelina María Mejía Ruiz, por haberme apoyado en todo momento, por sus consejos, sus valores, por la motivación constante que me ha permitido ser una persona de bien, pero más que nada, por su amor. A mi padre Rubén Aybar Sepúlveda, por los ejemplos de perseverancia y constancia que lo caracterizan y que me ha infundado siempre, por el valor mostrado para salir adelante y por su amor. A mis hermanos, Geovanny Aybar, Anthony Aybar, María Mejía, Yuleika Mena por estar en los momentos difíciles y a todos aquellos que ayudaron directa o indirectamente.
A mi suegra Santa Lucila Díaz Arias Tejeda, por ser una persona de apoyo en mi vida y a la vez como una madre. A Moisés Peña, compañero de monográfico, quien ha sido más que un hermano, por su apoyo durante este proceso.
Jerry Rubén Aybar Mejía i
DEDICATORIAS A Dios, por permitirme llegar a este nivel y recibirme como profesional. A mi madre Sonia Soto, por darme la vida. A mi abuela Aura Guerrero, por criarme con los valores y principios apegados a la moral, que aunque no esté conmigo, sabe cuánto la sigo queriendo y extrañando y lo mucho me hubiera gustado, que estuviera conmigo en esta etapa tan importante de mi vida. A mi primo Omar Jiménez, por ser como un padre para mí, por toda la confianza depositada en mi persona y por todo el apoyo ofrecido incondicionalmente para poder llegar hasta aquí. A mi prima Walkiria Herrera, por sus orientaciones, recomendaciones y consejos, por ser un ejemplo de superación y por haberse hecho partícipe de este logro. A mis tías Esther, Miriam, Yocasta, Lourdes y Doña Rosa, por el afecto y apoyo brindado desde que decidí conquistar ésta meta y especialmente a mi tía Maritza que a pesar de haber partido hace 7 años, estoy seguro, que hoy sería un día de regocijo para ella, al igual que para mí. A mi pequeña prima María Isabel, por ser esa fuente que me inspiró a seguir hacia delante cada vez que desvanecía. A mi novia Floranny Bonilla, por brindarme tanto amor, comprensión y paz, desde aquel día que la conocí, por creer en cada una de mis travesías.
Moisés Fabián Peña Soto
ii
AGRADECIMIENTOS A Dios, quien me ha guiado y me ha dado la fortaleza de seguir adelante.
A la Universidad Nacional Tecnológica (UNNATEC) y sus representantes administrativos, muy especialmente al Rector, Ing. Luís Manuel Cruz, al Director Académico, Licdo. Julián Musa, por el apoyo incondicional que me ofrecieron.
A los profesores de sistemas: Ing. Bienvenido Brito Coplín, Licdo. Francisco Contreras y Licdo. Manuel Titín, por quienes he llegado a obtener los conocimientos necesarios para poder desarrollar el monográfico.
Al Laboratorio Clínico Ramírez de Peña, que nos permitió desarrollar este trabajo en su institución.
A mis amigos: Wilson Ruíz, Alexandra Bustamante, Bienvenido Romero, Alix González, Antonio Mena, Ariel Ruíz, Yanelis Luna, Ángela Díaz, Roselis Díaz, Celenia Andújar, Adalgisa Tejeda, Héctor Rincón, Xavier Montero, Luís Ortiz, Sabrina Almanzar, Fleming Ruíz, porque han sido un ejemplo de motivación en mi vida.
Jerry Rubén Aybar Mejía
iii
AGRADECIMIENTOS A Dios, por bendecirme y brindarme la dicha de conquistar esta meta.
Al Rector, Ing. Luís Manuel Cruz, por su amabilidad cada vez que le solicité, por atenderme sin importar día y horario, por tener sus puertas siempre abiertas para escuchar y ayudar a todos los estudiantes. Al Licdo. Julián Musa, Director Académico de la Universidad Nacional Tecnológica (UNNATEC), por fomentarnos siempre ese conjunto de valores que todo profesional debe tener. Al Ing. Bienvenido Brito, Director de la Escuela de Sistemas y Tecnologías de la Información, por ser parte fundamental de este triunfo con cada una de sus orientaciones y asesorías brindadas cuando lo amerite. A los profesores Manuel Titín y Francisco Contreras por todos los conocimientos que adquirí de ambos durante este trayecto. Al Dr. Leonardo Cadena y todo el personal del Laboratorio Clínico Ramírez de Peña, por abrirnos las puertas y facilitarnos realizar nuestro trabajo de grado en la empresa que dirige. A Jerry Aybar, mi compañero de investigación y hermano que la vida me regaló por estar siempre presente en las buenas y en las malas. A mis amigos y compañeros de la universidad: Reinaldo Báez, Ivanka Báez, Ángela Sánchez, Laura Tejera, Ariel Batista, Nicolás Gabot, Xabier de León, Franco Benoit, Raúl Angustia, Leydiana Álvarez, Ariel Ruíz, Fleming Ruíz, Luis Pimentel, por su apoyo en los momentos más difíciles y sus valiosas orientaciones.
Moisés Fabián Peña Soto iv
INTRODUCCIÓN El Laboratorio Clínico Ramírez de Peña S.R.L., es una empresa que se dedica a ofrecer servicios de Laboratorio Clínico a los clientes tales como: pruebas de hematología, química sanguínea, serología, coprología y uroanálisis. Por tal razón se hace necesario contar con los controles y políticas de seguridad que proporcionen la disponibilidad, confidencialidad e integridad de la información en la realizaciones diaria de sus actividades teniendo sumo cuidado de verse involucrado en situaciones adversas que conlleven a la perdida de datos e informaciones.
Debido a la gran importancia que representa la información en las operaciones que se realizan en la empresa, es de vital importancia contar con el establecimiento y aplicación de medidas y mecanismos tecnológicos que logren un mejor uso del sistema de información.
Se utiliza la investigación bibliográfica y documental, la cual permite indagar información en distintos documentos, libros y bibliografías para lograr tener conocimientos, de escritos anteriores sobre el tema.
El enfoque de ésta investigación es de tipo cualitativo, debido a qué explica las características de los controles y políticas de seguridad presentes en el sistema de información del Laboratorio Clínico. Esta investigación es de carácter descriptivo porque describe cómo es y cómo se manifiesta el sistema de información del Laboratorio Clínico Ramírez de Peña y los controles y políticas aplicadas al mismo.
Se parte del método de deducción que permite mediante la observación de la situación llegar a los aspectos específicos más importantes de la situación de la empresa.
v
Para la creación del marco teórico conceptual de esta investigación se utilizó la técnica documental, con el cual se puede formar un cuerpo de ideas sobre el objeto de estudio, recolectando datos por medio de monografías, libros, revistas, u otras documentaciones escritas que sirven para sustentar las variables que han de presentarse en esta investigación.
Se recurrió a la aplicación de entrevistas y cuestionarios como técnicas para la recolección de datos e informaciones, con los cuales se obtuvo una opinión de los usuarios y personas encargadas de manejar el sistema de información.
Por lo tanto, con esta investigación se busca: Implementar controles y políticas que garanticen la seguridad del sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L.
Clasificar los controles y políticas aplicadas en el sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L es importante porque cada una de estas herramientas proporciona un manejo efectivo del sistema de información.
Realizar una evaluación de los diferentes tipos de amenazas y riesgos que pueden afectar el sistema de información del Laboratorio Clínico es importante para prever eventualidades que pongan en riesgo el conjunto de datos de la institución.
Establecer recomendaciones con miras al fortalecimiento de la seguridad del sistema de información es de gran valor para que la empresa tenga un mejor desempeño en sus operaciones diarias.
vi
En ese sentido, el contenido de este trabajo se estructuró en cuatro capítulos:
En el primer capítulo, se presenta una reseña histórica del Laboratorio Clínico Ramírez de Peña S.R.L., su ubicación geográfica, filosofía, misión, visión, objetivos institucionales, valores, organigrama y un análisis FODA de la empresa. Así como los antecedentes, planteamiento, objetivos y aspectos metodológicos de la investigación.
En el segundo capítulo se aborda sobre los sistemas de información, sus componentes, funciones y clasificación, tipos de amenazas y vulnerabilidades, clasificación y objetivos del control interno informático, tipos de las políticas de seguridad, normas o estándares que rigen la seguridad de la información y la importancia de un plan de contingencia.
En el tercer capítulo, se muestra el análisis de los resultados arrojados por los datos estadísticos obtenidos en el proceso de levantamiento de información del Laboratorio Clínico Ramírez de Peña, S.R.L.
En el cuarto capítulo, se presenta la propuesta, el cronograma de actividades, las cotizaciones, las conclusiones, las recomendaciones y la bibliografía.
vii
CAPÍTULO I PROPUESTA DE LA INVESTIGACIÓN
1.1 LABORATORIO CLÍNICO RAMÍREZ DE PEÑA S.R.L. 1.1.1 Reseña histórica El Laboratorio Clínico Ramírez de Peña comenzó a funcionar en marzo del año 1978, en el local donde funcionaba El Grupo Médico Tiradentes, en la avenida Tiradentes No. 16 en el sector de La Agustina, Sto Dgo. DN. En este lugar trabajan varios años, brindándoles servicios de calidad tanto a los moradores de este sector como a los otros barrios aledaños.
En el año 1985 inicia juntos a otros profesionales de la salud, los primeros pasos para formar en Baní un centro de salud privado (clínica) con la participación de varios profesionales este esfuerzo culminó con la apertura del hoy Grupo Médico Baní C. x A., en la calle Presidente Billini No. 29, en el centro de la ciudad.
El día que el Grupo Médico Baní inició su oferta de servicio al público, el Laboratorio Clínico Ramírez de Peña, también comenzó a laborar para la comunidad Banileja dentro del local de la clínica. Esto sucedió el día 4 de julio de 1986. Como todas las cosas que se desarrollan con fundamento, inició pequeño, con poco personal, pero con responsabilidad y ética. Las pruebas que se realizaban en ese entonces eran pocas, en el área de hematología, química sanguínea, serología, coprología y uroanálisis, etc.
En noviembre del año 1996, fue trasladado junto al Grupo Médico Baní, a su nuevo y moderno local, ubicado en la calle Santomé No. 27 sur, en el centro de la ciudad de Baní. En este local aumenta el personal y la cobertura de servicio 24 horas de todos los días de la semana. Igualmente inicia el proceso de automatización del laboratorio, con la adquisición de equipos modernos digitales, de última generación y se incluyen varias pruebas que no se realizaban. 1
A medida que el tiempo transcurría se vieron precisados a responder a la complejidad de la institución, y el 5 de diciembre del año 2007, el laboratorio pasó a ser de una empresa personal a una compañía por acciones, llamándose Laboratorio Clínico Ramírez de Peña, C. por A.
Luego, por mandato de la Ley No. 479-08, la institución se adecua al nuevo reglamento y el 29 de mayo del 2010, el laboratorio se convirtió en una sociedad de responsabilidad limitada, y en lo adelante, a llamarse Laboratorio Clínico Ramírez de Peña S.R.L.
Hoy el laboratorio está automatizado y ofrece la más amplia gama de pruebas siendo reconocido por la calidad de los resultados de sus análisis; por el trato personalizado a los clientes y por la ética de las bioanalistas de laboratorio y de todo el personal.
Desde hace varios años el laboratorio ofrece su servicio a pacientes afiliados a varias compañías de seguro médico, hoy llamadas Administradoras de Riesgos de Salud (A.R.S.) que lo prefieren.
En la actualidad el laboratorio principal está ubicado en la calle Santomé No. 26 sur, en la ciudad de Baní. En este local funciona el laboratorio principal y la oficina de la dirección general. Todas las actividades del laboratorio se realizan por departamento, cada uno en su propio espacio o cubículo, que son amplios, bien iluminados, con aire acondicionado; donde las bioanalistas laboran sin interrupción de los pacientes o visitantes.
El laboratorio dispone de un personal calificado, bien entrenado. Tiene una política de actualización y capacitación de personal. La institución se rige por principios y por normas documentadas; dispone de un sistema de información computarizado, donde se encuentra integrado el otro laboratorio satélite (extensión) en red con un servidor. 2
En la actualidad cuenta con otro Laboratorio Clínico que está en el local del Grupo Medico Baní, llamado laboratorio No. 2.
1.1.2 Ubicación geográfica El Laboratorio Clínico Ramírez de Peña está ubicado en el centro de la ciudad del municipio de Baní, en la calle Santomé No. 27. En su entorno existen varias plazas comerciales y negocios. (Ver anexo 5).
1.1.3 Filosofía La dirección del laboratorio asume la responsabilidad de entregarles a los clientes y profesionales de la salud, calidad garantizada en los resultados de las analíticas para generar la confianza en el laboratorio; así como una política de actualización del personal que permita buena práctica y la ética, bríndales a los clientes un servicio que satisfaga sus requerimientos de calidad para que contribuya a realizar diagnósticos seguros y oportunos. El proceso de la gestión de calidad involucra a todo el sistema operativo del laboratorio y requiere ser revisado y actualizado en forma permanente como parte de la gestión del laboratorio.
1.1.4 Misión Ofrecer servicios de Laboratorio Clínicos a los clientes en condiciones humanas deplorables y personalizadas, cumpliendo con los parámetros técnicos que aseguren la calidad que satisfaga a los profesionales de la salud y a los clientes; que contribuyan a realizar diagnósticos seguros de los padecimientos, para la recuperación de la salud y o la prevención de eventos de salud no deseados.
3
1.1.5 Visión Ser el Laboratorio Clínico con el estándar más elevado de calidad y reconocimiento como líder en la preferencia de los clientes en el país, manteniendo la actualización de los recursos humanos y la adquisición de nuevas tecnologías para ser útil a las personas.
1.1.6 Objetivos institucionales 1.1.6.1 Objetivo general: Prestar servicios del Laboratorio Clínico al ciudadano común y a los afiliados a seguros médicos y a las administradoras de riesgos de salud (ARS), para contribuir con la calidad de los resultados de las pruebas (análisis) y el diagnóstico de las enfermedades.
1.1.6.2 Objetivos específicos: Mejorar la calidad total y el servicio al cliente en el laboratorio. Mejorar el sistema de facturación que sea más rápido y simple.
1.1.7 Valores
Calidad.
Responsabilidad.
Honestidad.
Respeto al cliente.
4
1.1.8 Organigrama
5
1.1.8.1 Descripción de Puestos Puesto de trabajo: Gerente General Es la persona que tiene la máxima autoridad del laboratorio.
Requisitos básicos: Ser accionista importante Ser profesional de laboratorio o médico, con 5 años de experiencia por lo menos. Tener la capacidad para detectar conflictos y tomar decisiones oportunas. Tener visión del negocio. Tener buenas relaciones humanas.
Función del cargo:
Autorizar los pedidos y realizar los pagos de los mismos.
Autorizar el programa de vacaciones del personal.
Autorizar la inclusión de nuevas pruebas.
Garantizar el cumplimiento de las normas y calidad de las pruebas.
Garantizar los derechos de los clientes.
Responsabilidades:
Representar al laboratorio ante cualquier persona física o moral
Nombrar personal del laboratorio
Firmar cheques que se emitan junto a la contadora.
Garantizar la disponibilidad de los recursos humanos.
Firmar los contratos de trabajos con la administradora de riesgo de salud.
Lograr que el personal trabaje con la ética y la calidad supervisada.
6
Puesto de trabajo: Gerente Funcionario que puede sustituir al Gerente General en caso de ausencia de este, además tiene funciones en el área financiera y administrativa.
Depende de: Gerente General
Requisitos: Ser accionista de la sociedad. Ser honrado. Ser organizado. Tener disposición para el trabajo.
Funciones: Aquellas que le asigne el Gerente General. Firmar junto con el Gerente General en los cheques que se emitan. Recibir de la secretaria los ingresos diarios y el cuadre. Llevar un registro diario de los depósitos que se hagan en el banco.
Responsabilidades: Sustituir al gerente general. Llevar buen control de flujo de la entrada y salida del dinero. Elaborar planes de entrenamiento para el personal.
7
Puesto de trabajo: Contadora Llevar un control de la entrada y salida del dinero que ingresa al laboratorio.
Depende de: Gerente general
Requisitos básicos: Ser honesto. Ser organizado. Ser disciplinado.
Función del cargo: Recibir diariamente de mano de la secretaria de caja, el dinero que entra al día y el cuadre correspondiente. Llevar un control claro y confiable de la entrada y salida del dinero. Sacar cuentas corriente y de ahorro en el banco junto con el gerente general.
Responsabilidades: Hacer los depósitos diarios del dinero recibido. Mantener al día al gerente general , del balance actualizado Asentar en el libro de control, la cantidad de dinero que se deposita.
8
Puesto de trabajo: Secretaria Administrativa Se encarga de realizar las diferentes actividades de oficina que dan apoyo a la gerencia y a los demás funcionarios.
Depende de: Gerente General
Requisitos: Estar formada por una academia. Dominar el paquete de Windows (Word y Excel). Tener buenas relaciones humanas. Tener disposición para el trabajo. Ser honesta.
Funciones: Recibir las correspondencias que lleguen al laboratorio. Elaborar y tramitar las documentaciones.
Responsabilidades: Asumir la administración del laboratorio, adjunta con la Gerencia. Cuidar los equipos y materiales de trabajo. Mantener limpios y ordenados los materiales y equipos de trabajo. Participar en los entrenamientos de actualización y crecimiento personal. Participar en el proceso de revisión de las normas del laboratorio.
9
Puesto de trabajo: Encargada de Seguros Responsable de todo lo relacionado con las ARS y con los afiliados asegurados que demanden los servicios del laboratorio.
Depende de: Secretaria Administrativa.
Requisitos: Estar formada por una academia. Dominar el paquete de Windows (Word y Excel). Tener buenas relaciones humanas. Tener disposición para el trabajo. Ser honesta.
Funciones: Tener control de la lista de los precios de las ARS. Tener una lista al día de las ARS, a las que el laboratorio le da servicio. Reportar cada mes las reclamaciones por ARS, con el monto del total consumido. Orientar a los afiliados de las ARS que requieran cualquier tipo de ayuda. Solicitar a las ARS los formularios de reclamaciones antes de que se agoten. Coordinar con la gerencia y las demás secretarias los asuntos de las ARS.
Responsabilidades: Mantener la oficina limpia y ordenada. Conocer las normas y valores del laboratorio. Participar en los entrenamientos de actualización y crecimiento personal. Participar en el proceso de revisión de las normas del laboratorio. Tener a su cargo el almacén principal.
10
Puesto de trabajo: Conserje Es la persona responsable de mantener limpias las oficinas y sus mobiliarios, así como las áreas donde están los equipos del laboratorio.
Depende de: Secretaria Administrativa.
Funciones: Participar en los entrenamientos de actualización y crecimiento personal. Reconocer que el paciente es lo más importante, por lo que debe darle un trato amable y respetuoso. Conocer los valores y normas que rigen el quehacer del laboratorio y participar en el proceso de calidad. Conocer que forma parte de una institución que brinda servicios a personas enfermas.
Responsabilidades: Mantener limpio y ordenado los pisos, ventanas, puertas, paredes, baños, asientos, y patio. Lavar bien la cristalería, secarlas y colocarlas en su lugar. Llenar el tinaco con agua. Recoger los desechos sólidos y llevarlos al contenedor. Preparar la comida del personal. Cumplir con el horario de trabajo y utilizar el uniforme.
11
Puesto de trabajo: Encargada del Laboratorio No. 2 y 3.
Depende de: Secretaria Administrativa
Funciones: Conocer los valores y normas del laboratorio. Terminar y supervisar que todas las pruebas de día se realicen al concluir la jornada laboral. Garantizar el orden y la limpieza de su área de trabajo.
Responsabilidades: Cumplir y hacer cumplir los procesos de cada prueba. Firmar los reportes de las pruebas, previa revisión y comparación con los boletines. Participar en los procesos de revisión y actualización de las normas y materiales bibliográficos.
Cumplir con la norma de bioseguridad.
Puesto de trabajo: Secretarias Laboratorio No. 2 y 3. Es quien les da las primeras atenciones a los clientes.
Depende de: Secretaria Administrativa
Requisitos: Estar formada por una academia. Dominar el paquete de office. Tener buenas relaciones humanas. Tener disposición para el trabajo. Ser honesta. 12
Funciones: Recibir las llamadas telefónicas. Recibir a los pacientes en el orden de llegada y registrarlos en el sistema. Emitir un recibo de pago que se le entregara al paciente. Entregará al contador el dinero que entro en el día y el cuadre correspondiente. Indicar al paciente cuando puede pasar a buscar los resultados. Llenar un boletín con los datos del paciente y las analíticas indicadas. Enviar el boletín al área de muestras. Recibir las correspondencias que lleguen al laboratorio. Recibir a los visitantes y prestarles las debidas atenciones.
Responsabilidades: Mantener limpios y ordenados los materiales y equipos de trabajo. Realizar las solicitudes de los materiales de trabajo antes de que estos se agoten. Mantener confortable a los pacientes y acompañantes. Participar en los entrenamientos de actualización y crecimiento personal.
Puesto de trabajo: Administrador. Se relaciona con la responsabilidad de la gestión burocrática, el manejo de todo lo relacionado con el personal y el cumplimiento de sus atribuciones.
Depende de: Secretaria Administrativa
Requisitos: Estar formada por una academia. Dominar el paquete de office. Tener buenas relaciones humanas. 13
Tener disposición para el trabajo. Ser honesta.
Funciones: Monitorear el cumplimiento de las normas. Llevar un control de los técnicos que le prestan soporte al laboratorio. Llevar un control de los pagos a los suplidores. Llevar un control de las ARS que están al día con el pago de las reclamaciones. Recibir los reportes de los empleados que dependen de ella.
Responsabilidades: Tener un registro de todo el personal del laboratorio, con sus documentos. Garantizar la limpieza del local. Garantizar el cumplimiento del horario de trabajo. Realizar el pago a los empleados todos los meses. Tramitar el pago a los suplidores.
Puesto de trabajo: Encargada de Control de Calidad Responsable de todo lo que tiene que ver con el cumplimiento por parte del personal, de los procesos de cada prueba, de la condición de los equipos, de los reactivos, de los consumibles.
Depende de: Administración
Requisitos: Profesional de laboratorio con tres años de experiencia, mínimo. Tener disposición para el trabajo. Ser disciplinada. 14
Funciones: Tendrá a su cargo la función de auditoria interna. Tomar decisiones para corregir cualquier desviación en la calibración de cualquier equipo. Participar en el proceso de revisión y actualización de las normas del laboratorio.
Responsabilidades: Llevar un control de las calibraciones de equipos y conservarlos. Llevar un control de la conservación y las fechas de vencimiento de los reactivos. Lograr que el personal mantenga los equipos y el área de trabajo de manera limpia y ordenada.
Puesto de trabajo: Directora del Laboratorio Clínico
Depende de: Gerente General.
Es el primer contacto de los pacientes y los acompañantes en el laboratorio, su trato amable y respetuoso.
Requisitos básicos:
Ser bioanalista con tres años de experiencia, mínimo.
Tener iniciativa.
Tener disposición para el trabajo.
Función del cargo:
Supervisar el trabajo de las bioanalistas.
Cubrir a las bioanalistas, en caso de ausencia.
Monitorear el cumplimiento de las normas en los procesos de calidad. 15
Responsabilidades: Garantizar que cada bioanalista realicen los análisis cumpliendo con los procesos técnicos. Mantener limpio y ordenado los equipos y materiales del trabajo. Motivar a las bioanalistas para que participen en los entrenamientos de actualización y crecimiento personal.
Puesto de trabajo: Encargada de química inmunológica Es la responsable de que los resultados de los análisis de este departamento, sean el fruto de cumplimiento de los procesos de cada prueba.
Depende: Directora del laboratorio
Requisitos básicos: Ser bioanalista, con tres años de experiencia. Tener buenas relaciones humanas. Ser creativo. Conocer normas y valores del laboratorio.
Función del cargo:
Realizar todas las analíticas que haya recibido en el día
Colaborar con la dirección técnica.
Responsabilidades: Garantizar el orden y la limpieza de los equipos y área de trabajo. Cumplir con los procedimientos de cada prueba.
16
Puesto de trabajo: Encargada de coprología y uroanálisis Asumir el compromiso de que en este departamento se realicen los procesos analíticos de cada prueba.
Depende de: Directora del laboratorio
Requisitos básicos:
Ser profesional de laboratorio y tener 3 años de experiencia.
Tener iniciativa.
Tener buenas relaciones humanas.
Función del cargo: Participar en los procesos de revisión de los materiales bibliográficos con fines de actualizarlo. Participar en los entrenamientos y actualización y desarrollo personal
y
contribuir con la armonía personal. Trabajar con ética y respetar los derechos de los pacientes.
Responsabilidades:
Cumplir y hacer y hacer cumplir con los procesos de cada prueba.
Trabajar cumpliendo con las normas de bioseguridad.
Cuidar los equipos y las buenas condiciones de los reactivos y materiales.
Puesto de trabajo: Encargada de hematología y pruebas especiales Es la responsable de que cada prueba se realice de acuerdo a los procedimientos establecidos
Depende de: Directora del laboratorio.
17
Requisitos básicos: Ser bioanalista con 3 años de experiencia. Tener buenas relaciones humanas. Tener vocación de trabajo.
Función del cargo:
Realizar todas las pruebas que hay recibido al día.
Cumplir con las normas de seguridad.
Responsabilidades:
Participar en los procesos de revisión de los materiales bibliográficos con fines de actualizarlo.
Conocer los valores y las normas del laboratorio.
Cumplir con los procedimientos de cada prueba.
Puesto de trabajo: Encargada de Bacteriología Es la responsable de que el procesamiento de las pruebas procedente de los pacientes, se realice de tal forma que los resultados sean de utilidad para el médico.
Depende de: Directora del laboratorio.
Requisitos básicos: Ser profesional de laboratorio y tener 3 años de experiencia Ser disciplinario en el trabajo.
Función del cargo:
Mantener organizado y limpios los equipos.
Participar en el proceso de calidad.
Cumplir con la norma de bioseguridad. 18
Puesto de trabajo: Encargada de Toma de Muestra Es la responsable de recibir con amabilidad a los pacientes que vienen al laboratorio.
Depende de: Directora del laboratorio.
Requisitos básicos:
Ser bioanalista , enfermera o auxiliar de enfermera con 3 años de experiencia
Tener bunas relaciones humana
Respetar los derechos de los pacientes
Tener vocación para el trabajo
Función del cargo:
Rotular los envases que contenga las muestras bioanalista, enfermera o auxiliar de enfermera con 3 años de experiencia
Responsabilidades: Llamar por su nombre a los pacientes, respetando el orden de llegada Ser amable con los pacientes , no discutir con ellos Explicarle al paciente con amabilidad, en que consiste el proceso que van a realizar.
19
1.1.9 Análisis FODA del Laboratorio Clínico Ramírez de Peña
Planta
Fortalezas física en muy
buenas
condiciones.
Oportunidades Capacitación permanente
del
personal.
Personal calificado.
Buena ubicación geográfica.
El laboratorio está situado en un
Apertura
de
nuevos
puntos
de
servicios (sucursales).
sector que cuenta con el servicio de 24 horas de energía.
37
años
de
experiencia
en
el
mercado.
Trabajan con todas las ARS.
Posee una planta para casos de interrupciones eléctricas.
Debilidades
Falta de un servidor.
No tiene una página web
No se realizan copias de seguridad periódicamente.
Amenazas Uso inadecuado de las tecnologías de la información. Establecimiento
de
laboratorios
clínicos cercanos a la zona.
No posee licencia para el uso de los diferentes software.
No se cumplen las políticas de seguridad establecidas.
El sistema de información no cuenta con el módulo de contabilidad.
20
1.1.10 Levantamiento tecnológico
El Laboratorio Clínico Ramírez de Peña, S.L.R, actualmente cuenta con un total de 5 computadoras desktop (de escritorio) para los diferentes usuarios que laboran en la institución, distribuidos del siguiente modo:
Procesador
Disco
Memoria
Sistema
Duro
Ram
Operativo
Intel Pentium
500
2 GB
Windows
HP 2824-
Dual 1.80
GB
XP
Laser Jet
Profession
Epson LX-
al 2002
3001
GHZ
Impresora
Ups
Área
Caja
SP2 Intel Corel
80 GB
2 GB
Windows 7
Duo 2.66
Ultimate
GHZ
32 bits
Intel Pentium
160
Dual 1.60
GB
1 GB
GHZ
Gerencia
Windows 7
Canon
Ultimate
MP2301
Seguro
32 bits
Intel Celeron
300
1.80 GHZ
GB
1 GB
Windows
Laser Jet
XP
2012 HP
1
Hematología
1
Sucursal
Profesional 2008 SP3 Intel Pentium 4 3.20GHZ
40 GB
1 GB
Windows 7
Hp Laser
Profession
Jet P1006
al 32 bits 21
Las aplicaciones instaladas en los ordenadores son las siguientes: Antivirus avast Winrar Microsoft office enterprise 2007 Mozilla firefox Google chrome Adobe reader Adobe flash player Sinergia software
El Laboratorio Clínico cuenta con un router Cisco Soho de 4 puertos y a la vez tienen un switch TP-Link con 8 puertos.
22
1.2 ANTECEDENTES La finalidad de esta parte de la investigación es obtener información de monográficos, tesis y trabajos realizados referentes a los “Controles y políticas de seguridad de un sistema de información en el sector privado, que sirvan como antecedentes y referencia para la elaboración de este trabajo de grado.
Por estas razones, al iniciar esta investigación, nuestro primer peldaño fue consultar diferentes fuentes secundarias entre las que están las electrónicas, documentos físicos, monográficos, tesis y libros de textos. Por ser este tema tan importante y esencial, se han abordado los estudios de monografías y tesis de las diferentes universidades entre las que están: Universidad Autónoma de Santo Domingo (UASD), Universidad Católica de Santo Domingo, Pontificia Universidad Católica Madre y Maestra (PUCMM), Universidad Acción Pro Educación y Cultura (UNAPEC), Universidad
Tecnológica
de
Santiago
(UTESA),
Universidad
del
Caribe
(UNICARIBE), Universidad O&M, Universidad de las Fuerzas Armadas del Ecuador, Universidad Francisco De Paula Santander Ocaña de Colombia.
De las bibliotecas citadas en las universidades se encontró temas de investigación similar en: la Universidad Acción Pro Educación y Cultura (UNAPEC),Universidad Tecnológica de Santiago (UTESA), Universidad del Caribe (UNICARIBE), siendo estas las siguientes:
Bayona, L., Mejía, K., Sarmiento, B. (2014) “Creación de un manual de políticas de seguridad de la información para la dependencia Secretaria de la institución educativa Nuestra Señora de Belén de Cúcuta”. Para optar por el título de Especialista en Auditoría de Sistemas, Universidad Francisco De Paula Santander Ocaña, Colombia.
23
El objetivo fue crear un manual de políticas de seguridad de la información para la institución educativa nuestra señora de Belén de Cúcuta.
Entre los principales hallazgos se destacan:
La realización de un diagnóstico del estado de la seguridad de la información.
El establecimiento de internacionales
de
políticas
seguridad
de de
seguridad
basado
en
normas
la información y de datos brindando
solución y permitiendo control a los riesgos que se detectaron en el diagnóstico con las herramientas de recolección de información que se utilizaron, de manera que garantice la integridad, confidencialidad y disponibilidad de la misma.
Entre las recomendaciones más relevantes se encuentran:
Crear una política de seguridad de la información (PSI), que sea aprobada, distribuida y divulgada que todos la conozcan.
Los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de un personal responsable y que en caso del
traslado del equipo fuera de
la entidad, la información clasificada o
limitada sea borrada físicamente o protegida su divulgación.
Guagalango, R. y Moscoso P. (2011) “Evaluación técnica de la seguridad informática del data center de la escuela politécnica del ejército”. Para optar por el título de Ingeniero en Sistemas e Informática, Universidad de las Fuerzas Armadas de Ecuador. 24
El objetivo fue realizar una evaluación técnica e informática, en la unidad de sistema de información del data center de la escuela politécnica del ejército en Sangolqui, considerando como referencia los estándares ISO 27001 e ISO 27002.
Entre los principales hallazgos se destacan:
La protección de la infraestructura computacional en todas las áreas del data center, siendo uno de los factores de éxitos principales la comunicación en la organización, porque el recurso humano organizado con normas y políticas establecidas más las herramientas computacionales colaboran en la prevención de amenazas y disminución de riesgos en seguridad.
La aplicación de las normas ISO 27000 que son un estándar internacional que ha permitido conocer en forma general la situación actual de la institución en términos de seguridad de la informática, y complementa los resultados obtenidos en la evaluación técnica e informática durante el proceso.
Entre las recomendaciones más relevantes se encuentran:
Adquirir una herramienta para el análisis y gestión de riesgos en las TICS, para prevenir vulnerabilidades y minimizar los riesgos que puedan ocasionar problemas en el data center en el presente y futuro.
Aplicar por parte de la institución un sistema de gestión de seguridad en el área de la informática que enuncia la norma 27001 para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el sistema informático actual.
25
Rodríguez J. y Liranzo, M. (2011) “Análisis de la auditoría como herramienta de control en el sistema de información del banco de Reservas, Sucursal Higüey”. Para optar por el título de Licenciada en Contabilidad, Universidad del Caribe (UNICARIBE), Santo Domingo, R. D.
El objetivo fue analizar el sistema de información del banco de Reservas, sucursal Higüey basándose en la auditoría interna como herramienta de evaluación, supervisión y control para proveer mejoras que persiguen mayor facilidad en el logro de los objetivos empresariales.
Entre los principales hallazgos se destacan:
Conflictos e insatisfacciones generadas que entorpecen el crecimiento general debido a que los procedimientos de auditoría no satisfacen los objetivos de información de la oficina principal, debido a que se cambian los patrones y se remite la información a la principal con patrones cambiados, la información no ajusta perfectamente en el formato definido en la principal.
Entre las recomendaciones más relevantes se encuentran:
Capacitar constantemente al personal de auditoría con el fin de mantenerlo actualizado en términos de tecnologías de la información así como los nuevos pronunciamientos de la profesión.
Actualizar el software de auditoría para que la capacidad laboral crezca en armonía con el incremento de la capacidad tecnológica.
26
De los Santos, M. y Mena, A. y De la Cruz, L. (2010) “Auditoría de políticas de seguridad y procedimientos de un data center”. Para optar por el título de Ingeniero en Sistema Computacional, Universidad Apec (UNAPEC), Santo Domingo, R. D.
El objetivo fue desarrollar una investigación para buscar debilidades en el data center del ministerio de relaciones exteriores a nivel de sus procedimientos.
Entre los principales hallazgos se destacan:
Las múltiples fallas que se pueden convertir en oportunidades para mejorar el buen funcionamiento del data center producto de la realización de la auditoría. Entre las recomendaciones más relevantes se encuentran: Garantizar la continuidad de los procesos y servicios de la institución.
Fortalecer el esquema de control de acceso al data center; optar por una capacitación constantes del personal de TI. Santana, A. y Hernández, J. (2010) “Sistema de seguridad de información de Moto Max”. Para optar por el título de Licenciado en Informática, Universidad Tecnológica de Santiago (UTESA), Santo Domingo, R. D. El objetivo fue relevar la consistencia de los sistemas de información y de control, las operaciones y el comportamiento de reglas y normas desarrollando una investigación para buscar debilidades en el data center del Ministerio de Relaciones Exteriores a nivel de sus procedimientos.
27
Entre los principales hallazgos se destacan:
El diseño de una política de seguridad como parte del entorno de trabajo diario, ya que, es imprescindible si tomamos en cuenta que cada vez son mayores los ataques pero también genera una gran proporción de dinero a la hora de estar actualizados. Entre las recomendaciones más relevantes se encuentran:
Contar con un sistema de electricidad aparte para el área de cómputo y gerencia.
Implementar un buen sistema de seguridad que cuente con lectores de huellas dactilares para mayor seguridad y transparencia.
28
1.3 PLANTEAMIENTO DEL PROBLEMA DE INVESTIGACIÓN
Un control es un proceso de inspección que se encarga de evaluar el funcionamiento y la productividad de un mecanismo. Las empresas adoptan en sus planes operacionales una serie de medidas que son establecidas con el propósito de contar con instrumentos o herramientas que salvaguarden la integración de sus bienes institucionales a este conjunto de estrategias se les denominan controles internos.
En el siglo XXI con el auge y crecimiento de la tecnología las empresas tanto públicas como privadas se auxilian de sistemas informáticos para el desarrollo de sus operaciones diarias, manejando grandes volúmenes de datos que se convierten en el corazón del sistema informático de la empresa. Por lo tanto el bien institucional que el personal de tecnología debe preocuparse en salvaguardar es la información.
Es responsabilidad del departamento de informática definir ciertas medidas que reciben el nombre de controles internos, dichas medidas buscan establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informáticos de la empresa. Para llevar esto a cabo los responsables del sistema deben diseñar un conjunto de políticas de seguridad que son reglamentos que establecen que está y que no está permitido realizar en el sistema para garantizar la integridad de los datos y la seguridad del sistema mismo.
La seguridad en un sistema de información es la capacidad de resistencia de un software a los accidentes o acciones ilícitas o malintencionadas que puedan causar un daño a la información de un sistema computacional en una empresa. La importancia para una empresa de mantener vigentes controles y políticas enfocadas a la seguridad de sus sistemas informáticos radica en que no puede darse el lujo de perder su información, ya que estaría retrasando las operaciones que con normalidad se producen en la empresa y crearía insatisfacción a los clientes. 29
Debido a esta importancia que posee la información en una organización, es necesario que se evalúe cada cierto tiempo los procedimientos implementados por el personal informático con la finalidad de garantizar la seguridad del sistema de información y a la vez contar con estrategias que ayuden a prevenir posibles amenazas que puedan afectar o dañar la información alojada en el sistema y exponga a la institución a pérdidas de datos y monetarias debido a la falta de planes de contingencias por parte del departamento de informática.
La empresa en la cual se realizará el estudio, Laboratorio Clínico Ramírez de Peña, S.R.L. se auxilia de un sistema de información para el desarrollo de sus procesos y operaciones cotidianas. Las herramientas de controles como medida de reducción de riesgo no se están implementado debidamente, originándose así problemas tales como: la perdida de información por no realizar copias de seguridad periódicamente y en aquellos casos en los cuales se realizan respaldo a esa información, proceder a guardarla en la unidad c del sistema operativo, corriendo así el riesgo de la perdida de todos los datos en caso de que un virus ataque al ordenador o el disco duro se dañe.
La presente investigación es llevada a cabo con la finalidad de analizar los tipos de controles y políticas empleadas por el departamento de informática del Laboratorio Clínico Ramírez de Peña, S.R.L. como medidas de seguridad de sus sistemas de información, con miras a mitigar y/o prevenir cualquier tipo de riesgo que ponga en peligro la seguridad misma del sistema y de los datos.
Dicho trabajo de investigación permitirá evaluar el impacto de los controles empleados por el personal correspondiente de informática del Laboratorio Clínico Ramírez de Peña, S.R.L. dentro de sus sistemas de informaciones y a la vez convertir en fortalezas las debilidades encontradas en las políticas de seguridad empleadas en la empresa con el fin de contribuir a la mejora de su sistema de información. 30
La puesta en ejecución de las recomendaciones que se efectuarán al término de este proceso investigativo ayudaría a establecer un sistema más robusto y seguro.
De lo expuesto surgen las siguientes interrogantes:
¿De cuáles controles se auxilia el personal de TI como mecanismo de seguridad para la protección de la información de su sistema?
¿Se cumplen las políticas elaboradas por el personal a cargo del área de tecnología en el Laboratorio Clínico Ramírez de Peña, S.R.L.?
¿A cuáles amenazas se expone a diario el sistema de información?
¿Cuáles políticas de seguridad se le aplican a los ordenadores?
¿Posee el departamento de informática algún plan de contingencia para enfrentar posibles amenazas que pongan en riesgo la seguridad del sistema?
¿Con qué frecuencia se realizan respaldos de seguridad a las informaciones?
¿Qué tipo de software utilizan para recuperar información perdida?
¿Posee el Laboratorio Clínico una planta en caso de interrupciones en el suministro eléctrico?
31
1.4 OBJETIVOS DE LA INVESTIGACIÓN 1.4.1 Objetivo general: Implementar controles y políticas que garanticen la seguridad del sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L.
1.4.2 Objetivos específicos:
Clasificar los controles y políticas aplicadas en el sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L.
Evaluar los diferentes tipos de amenazas y riesgos que puedan afectar el sistema de información del Laboratorio Clínico.
Establecer recomendaciones con miras al fortalecimiento de la seguridad del sistema de información.
32
1.5 JUSTIFICACIÓN El uso de sistemas computarizados en las empresas en el sector privado agrega un elemento de innovación y cambio en el manejo de las operaciones empresariales, ya que contribuye a la digitalización de los datos y rapidez de búsqueda de información.
Es evidente como cada día se hace énfasis en la seguridad de los sistemas de información para prevenir riesgos en las plataformas tecnológicas que distorsionen el normal funcionamiento de la empresa. Para esto deben establecerse controles y políticas de seguridad que busquen como resultado salvaguardar el conjunto de datos y/o información que a través de diferentes procesos computacionales se realizan constantemente y requieren de una garantía de protección y seguridad ante cualquier eventualidad.
Luego de realizar un levantamiento físico en las instalaciones del Laboratorio Clínico Ramírez de Peña, S.R.L. en lo que se refiere al manejo del laboratorio, observamos la necesidad que tiene la institución de aplicar controles y políticas de seguridad de la información que le permita un mejor rendimiento de los recursos y herramientas tecnológicas. Dichos controles y políticas podrán ser implementados para regularizar las políticas de control de acceso y clasificación y respaldo de la información así como también para prevenir a tiempo amenazas que puedan impactar negativamente el sistema de información y/o minimizar los posibles riesgos a correr. El Laboratorio Clínico no cuenta con controles y políticas de seguridad que garanticen la seguridad de las informaciones a pesar de tener dos (02) sistemas de información.
El propósito de esta investigación es implementar controles y políticas de seguridad en el sistema de información del Laboratorio Clínico Ramírez de Peña. Con esta investigación aportaremos una propuesta de mejora al Laboratorio Clínico Ramírez de Peña de Baní, en cuanto a la importancia del uso de los controles y el 33
establecimiento de las políticas de seguridad, ofreciendo a la empresa un mejor aprovechamiento de estas herramientas y un mejor manejo de su sistema de información.
Los beneficios a reflejarse al finalizar este proceso investigativo en el sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L. son: Aumento de la productividad. Compromiso con la misión de la compañía. Mejora de las relaciones laborales. Integridad y confidencialidad de los datos.
Entre las desventajas del sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L. no contar con políticas y controles de seguridad, se encuentran:
Perdidas de datos por no aplicarse políticas de clasificación y respaldo de la información. Ordenadores infectados por virus. Suplantaciones de identidades del personal que accede al sistema por parte de personas malintencionadas.
34
1.6 ASPECTOS METODOLÓGICOS DE LA INVESTIGACIÓN
1.6.1 Tipo de investigación
Esta investigación es de tipo descriptivo porque se describe cómo es y cómo se manifiesta el sistema de información del Laboratorio Clínico Ramírez de Peña S.R.L. y sus componentes. De igual modo detalla el fenómeno estudiado a través de la medición de uno o más de sus atributos, como son los controles y políticas de seguridad que se aplican al sistema de información del Laboratorio Clínico), para esto se emplean técnicas de investigación como las encuestas.
1.6.2 Metodología de la investigación El método utilizado en esta investigación es deductivo porque sirve para descubrir las consecuencias de la ausencia de controles y políticas en el sistema de información del Laboratorio Clínico a partir de levantamientos de información realizados.
1.6.3 Técnicas y procedimientos de recolección de datos
En esta investigación las fuentes utilizadas son de tipo primario, debido a que, las informaciones recolectadas se obtienen a través de un contacto directo con el personal que a diario interactúa con el sistema informático del Laboratorio Clínico Ramírez de Peña, el cual es el objeto de análisis en este proceso investigativo. Las técnicas empleadas son la de observación y de entrevistas.
35
1.6.4 Enfoque de la investigación El enfoque de este trabajo de investigación es de tipo cualitativo ya que pretende explicar las características de los controles y políticas de seguridad existentes en el sistema de información del Laboratorio Clínico.
1.6.5 Población y muestra El universo de esta investigación serán los laboratorios, siendo la población objeto de estudio los laboratorios clínicos de los cuales como muestra se utilizará el Laboratorio Clínico Ramírez de Peña y el 100% de la población que interactúa día tras día con el sistema de información objeto a investigar, a su vez se utilizarán otros municipios como muestras para tener un control en lo que se refiere al sistema que se pretende recomendar.
1.6.6 Indicadores Manejo de los controles Aplicación de las políticas
1.6.7 Variables Controles y políticas de seguridad Seguridad de un sistema de información
36
CAPÍTULO II MARCO TEÓRICO Y CONCEPTUAL
2.1 SISTEMA DE INFORMACIÓN
2.1.1 Concepto Según Whitten, Bentley y Dittman (2004), un sistema de información “es un conjunto de personas, datos, procesos y tecnologías de la información que interactúan para recoger, procesar, almacenar y proveer la información necesaria para el correcto funcionamiento de la organización”.
Para Laudon, K. y Laudon J. (2013), los sistemas de información “son un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan, almacenan y distribuyen información para apoyar la toma de decisiones y el control de una organización”.
2.1.2 Componentes de un sistema de información Para Ponjuán, G. (1999), los componentes básicos de un sistema de información son:
Documentos: cualquier fuente de información, en forma material, capaz de ser empleada para referencia o estudio como una autoridad.
Registros: es un conjunto de elementos que en forma colectiva aportan información acerca del asunto que registran. Ficheros o archivos de registros: es un conjunto de registros, casi siempre con características similares.
37
Equipos: el equipamiento es muy variado y depende de la línea tecnológica que emplea el sistema. Elementos de apoyo a los sistemas pueden citarse: manuales de procedimiento, software específico.
Procesos: conjunto de tareas que se relacionan de forma lógica, para obtener un resultado concreto. Dentro de los sistemas de información se desarrollan múltiples procesos, con sus procedimientos, actividades y tareas.
Personas: son las que diseñan los sistemas, operan los equipos, realizan los procesos, y ponen gran parte de las decisiones técnicas y profesionales que permiten que los sistemas operen con eficacia.
2.1.3 Funciones básicas de un sistema de información. Ruth, A. (2015), destaca en su libro Business Information Systems & Technologies, las funciones básicas de un sistema de información que el flujo de datos habilitado por las tecnologías de la era de la Información ha transformado literalmente muchas empresas. Hoy la mayoría de las empresas utilizan la tecnología de la información en una forma de crear, almacenar y distribuir información. Hay tres componentes interdependientes
de
los
sistemas
de
información:
Los
ordenadores,
las
comunicaciones y los conocimientos. Estos componentes deben trabajar juntos, con el fin de un sistema de información con el fin de apoyar la organización de sus actividades y de su misión.
Los sistemas de información tienen varias funciones básicas, incluyendo la captura, el procesamiento, la generación, el almacenamiento, la recuperación y la transmisión de datos. Estas funciones pueden ocurrir simultáneamente o secuencialmente. 38
En primer lugar, la tecnología de la información, captura datos, es decir, que compila registros detallados de las actividades para su posterior análisis y procesamiento. Ejemplos de la captura de datos incluyen la recogida de datos personales e información de la agenda cuando en un libro se ha extraído de la biblioteca; la recogida de información del cliente para pedidos a través de Internet. Al capturar los datos son tratados (es decir, convertir, analizar o sintetizados) en información que puede ser utilizado por la organización y sus empleados.
Procesamiento de datos: está compuesto por el manejo y transformación de los datos en información. Procesamiento de la información implica la transformación de los datos recogidos de una forma a otra. El procesamiento de texto permite a los usuarios crear documentos y otros documentos basados en texto. Procesamiento de imágenes convierte información visual como gráficos y fotografías en un formato que se pueda almacenar o manipular en el sistema de información y/o transmitido a través de la red. Sistemas de procesamiento de voz transformar y transmitir información hablada para permitir reuniones virtuales y otras aplicaciones.
Un sistema de información también se puede utilizar para generar los datos mediante el procesamiento. La función de generación organiza los datos y la información en una forma útil, como en la generación de un documento o presentación multimedia. Los datos y la información también se almacenan para que se puedan recuperar y procesados en un momento posterior. Por último, los datos y la información también se pueden transmitir por medio de los sistemas de información y distribuir a otras partes a través de una red de comunicaciones.
2.1.4 Tipología de los sistemas de información Se han desarrollado diversas tipologías de sistemas de información. Estas surgen básicamente a partir de las propias necesidades del sector y de la adecuación a los 39
procesos fundamentales desarrollados de acuerdo con las particularidades propias de cada organización.
A continuación la clasificación de los sistemas de información según Laudon, K. y Laudon J. (2013).
Sistemas de Procesamiento de Transacciones (STP): Sirven al nivel operativo en el trabajo diario (p.ej.: impresora fiscal). Se pueden identificar 5 categorías: ventas y marketing, producción, finanzas, contabilidad, recursos humanos.
Sistemas de Trabajo de Conocimientos y de Automatización de Oficinas: Los sistemas de trabajo de conocimientos (KWS) ayudan a quienes crean nueva información, como contadores, ingenieros, etc. Los sistemas de automatización de oficinas (OAS) en cambio ayudan a quienes procesan la información como secretarias, archivistas, etc.
Sistemas de Información Gerencial (MIS): Brinda informes a quienes administran una organización Estos informes son resúmenes de las actividades rutinarias e informes de excepción.
Sistemas de Apoyo a Decisiones (DSS): Ayuda a quienes deben tomar decisiones que son semiestructuradas, únicas o que cambian rápidamente. Son más analíticos que otros sistemas. Son interactivos.
Sistemas
de
Apoyo
a
Ejecutivos
(ESS):
Sirven
al
nivel
superior
de
administradores, y le brinda información del entorno.
40
2.2 AMENAZAS Y VULNERABILIDADES DE LOS SISTEMAS DE INFORMACIÓN
2.2.1 Concepto de amenaza y vulnerabilidad
Según investigaciones realizadas por Mifsud, E. (2012), una amenaza puede definirse como “todo elemento o acción capaz de atentar contra la seguridad de la información”. Las amenazas surgen a partir de la existencia de vulnerabilidades. Mientras que una vulnerabilidad como “una debilidad de cualquier tipo que compromete la seguridad del sistema de información”.
2.2.2 Tipos de amenazas 2.2.2.1 Humanas Estos ataques provienen de individuos que de manera intencionada o no, causan enormes pérdidas aprovechando alguna de las vulnerabilidades que los sistemas puedan presentar.
A continuación se detallan algunas de las amenazas más importantes:
Hacker: persona que vive para aprender y todo para él es un reto, es curioso y paciente, no se mete en el sistema para borrarlo o para vender lo que consiga, quiere aprender y satisfacer su curiosidad. Cracker: es un hacker cuyas intenciones van más allá de la investigación, es una persona que tiene fines maliciosos, demuestran sus habilidades de forma equivocada o simplemente hacen daño sólo por diversión.
41
Ingeniería social: un atacante utiliza la interacción humana o habilidad social para obtener información comprometedora acerca de una organización, de una persona o de un sistema de cómputo. El atacante hace todo lo posible para hacerse pasar por una persona modesta y respetable, por ejemplo, pretende ser un nuevo empleado, un técnico de reparación, un investigador, etc. Trashing (cartoneo): generalmente, un usuario anota su login y pasword en un papelito y luego, cuando lo recuerda, lo arroja a la basura. El trashing puede ser físico (como el que se describió) o lógico, como analizar buffers de impresora y memoria bloques de discos, entre otros. Intrusos remunerados: se trata de personas con gran experiencia en problemas de seguridad y con un amplio conocimiento del sistema, que son pagados por una tercera parte generalmente para robar secretos o simplemente dañar la imagen de la entidad afectada. Exempleados: se trata de personas descontentas con la organización que aprovechan las debilidades de un sistema que conocen perfectamente, para dañarlo como venganza por algún hecho que consideran injusto. Personal interno: las amenazas a la seguridad de un sistema, provenientes del personal del propio sistema informático, rara vez es tomada en cuenta, porque se supone un ámbito de confianza muchas veces inexistente. Estos ataques son accidentes por desconocimiento o inexistencia de las normas básicas de seguridad; pero también son de tipo intencional. Por ejemplo: un electricista puede ser más dañino que el más peligroso de los delincuentes informáticos, ya que, un corte de energía puede causar un desastre en los datos del sistema.
42
2.2.2.2 Lógicas En este tipo de amenazas se encuentran una gran variedad de programas que, de una u otra forma, dañan los sistemas creados de manera intencionada (software malicioso conocido como malware) o simplemente por error (bugs o agujeros).
Las amenazas más comunes son: Adware: software que durante su funcionamiento despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes o a través de una barra que aparece en la pantalla. Backdoors: durante el desarrollo de aplicaciones grandes o de sistemas operativos es habitual entre los programadores insertar atajos en los sistemas de autenticación del programa o del núcleo que se está diseñando. A estos atajos se les denomina puertas traseras y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos. Bombas Lógicas: son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas, la función que realizan no es la original del programa, sino que generalmente se trata de una acción perjudicial. Caballos de Troya: es aquel programa que se hace pasar por un programa válido cuando en realidad es un programa malicioso. Gusanos (Worms): programas que se propagan por sí mismos a través de las redes, tomando ventaja de alguna falla o hueco de seguridad en los
43
sistemas operativos o en el software instalado en los equipos de cómputo y que tiene como propósito realizar acciones maliciosas. Pharming: consiste en suplantar el Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de conducir al usuario a una página Web falsa. Phishing: es un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria. Spam: mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas. El spam también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea. Virus: programas que tienen como objetivo alterar el funcionamiento de la computadora y en ciertos casos alterar la información, se propagan sin el consentimiento y conocimiento del usuario. Algunos de los virus informáticos requieren de la intervención del usuario para comenzar a propagarse, es decir, no se activan por sí mismos, otros no la requieren y se activan solos.
2.2.3 Tipos de vulnerabilidades Vulnerabilidad natural: se refiere a todo lo relacionado con las condiciones de la naturaleza que ponen en riesgo la información. Por ejemplo, incendios, inundaciones, terremotos, huracanes, entre otros. Por ello es conveniente contar con las medidas adecuadas, como tener respaldos, fuentes de energía
44
alterna y buenos sistemas de ventilación, para garantizar el buen funcionamiento de los equipos. Vulnerabilidad física: se refiere al lugar en donde se encuentra almacenada la información, cómo los centros de cómputo. Para un atacante le puede resultar más sencillo acceder a la información que se encuentra en los equipos que intentar acceder vía lógica a éstos o también se puede dar el caso de que al acceder a los centros de cómputo el atacante quite el suministro de energía eléctrica, desconecte cables y robe equipos. Si este tipo de vulnerabilidad se llega a efectuar, afecta a uno de los principios básicos de la seguridad informática que es la disponibilidad. Vulnerabilidad de hardware: hacen referencia a los posibles defectos de fábrica o a la mala configuración de los equipos de cómputo de la empresa que puedan permitir un ataque o alteración de éstos. Por ejemplo; la falta de actualización de los equipos que se utilizan o la mala conservación de los equipos son factores de riesgo para las empresas. Vulnerabilidad de software: está relacionado con los accesos indebidos a los sistemas informáticos sin el conocimiento del usuario o del administrador de red. Por ejemplo; la mala configuración e instalación de los programas de computadora, pueden llevar a un uso abusivo de los recursos por parte de usuarios mal intencionados. Los sistemas operativos son vulnerables, ya que, ofrecen una interfaz para su configuración y organización en un ambiente tecnológico y se realizan alteraciones en la estructura de una computadora o de una red. Vulnerabilidad de comunicación: es el trayecto de la información, es decir, donde sea que la información viaje, ya sea, vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es 45
un aspecto crucial en la implementación de la seguridad de la información por lo tanto se debe evitar cualquier falla en la comunicación que provoque que la información no esté disponible para los usuarios, o por el contrario, que esté disponible para quien no tiene autorización. Vulnerabilidad humana: se refiere a los daños que las personas puedan causar a la
información y al ambiente tecnológico que la soporta sea de
manera intencional o no. Muchas veces los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales, la principal vulnerabilidad es la falta de capacitación y la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, etc. También existen las vulnerabilidades humanas de origen externo, como son; el vandalismo, estafas, invasiones.
2.3 CONTROL INTERNO INFORMÁTICO 2.3.1 Concepto El control interno en las empresas tiene como finalidad ayudar en la evaluación de la eficacia y eficiencia de la gestión administrativa. El control interno informático es una función del departamento de Informática de una organización, su función primordial es controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.
Según Plattini, M. (2010), también se puede definir como: “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”.
46
2.3.2 Objetivos del control interno informático Establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informáticos de la empresa. Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa. Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa. Establecer las acciones necesarias para el adecuado diseño e implementación de
sistemas
computarizados,
a
fin
de
que
permitan
proporcionar
eficientemente los servicios de procesamiento de información en la empresa.
2.3.3 Clasificación de los controles internos informáticos Según Monroy, E. (2013), los controles se clasifican en: Controles preventivos: tratan de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Reducen riesgos. Evitan problemas antes de que aparezcan.
Controles detectivos: detectan un error, omisión o acto delictivo que haya ocurrido y reporta la ocurrencia. Tratan de descubrir a posteriori errores o fraudes que no hayan sido posible evitarlos con controles preventivos. Entre los ejemplos de tipos de controles detectivos se encuentran: puntos de chequeo en trabajos de producción y la realización de auditorías. 47
Controles correctivos: ayudan a corregir riesgos para reducir el impacto de una amenaza. Este tipo de control remedia los problemas descubiertos por los controles detectivos. Tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Algunos ejemplos de este tipo de control, son: Planificación de contingencia y procedimientos de respaldo.
2.4 POLÍTICAS DE SEGURIDAD 2.4.1 Concepto de política Según López, J. (2009), la política de seguridad “es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma”; mientras que, para Villalón, A. (2007), una política de seguridad “es un documento sencillo que define las directrices organizativas en materia de seguridad”. Las políticas de seguridad establecen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los dueños y permiten adoptar una buena actitud dentro de la organización.
2.4.2 Clasificación de las políticas de seguridad 2.4.2.1 Políticas de control de acceso El control de acceso implica quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado. El concepto de control de acceso consta de tres pasos. Estos pasos son: la identificación, autenticación y autorización. Con el uso de estos tres principios un administrador de sistema puede controlar que recursos están disponibles para los usuarios del mismo.
A continuación se presentan los tres pasos de una política de control de acceso: 48
La identificación: se refiere a las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión.
La autenticación: es el segundo paso del proceso de control de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema.
La autorización: se produce después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no.
2.4.2.2 Políticas de clasificación, recuperación y borrado de la información Para Álvarez, E. (2011), “el establecimiento de planes, normas y políticas de almacenamiento de la información y de seguridad de los datos, asegura un control y gestión de la información eficiente”. Gracias a la tecnología, esta información se puede almacenar, recuperar y borrar desde cualquier lugar y en cualquier momento. Almacenamiento. Los datos que se recopilan en los soportes de almacenamiento pueden constituir información muy delicada y su indebida divulgación no solo puede afectar a la propia empresa, ya que, los empleados u otras entidades también pueden verse perjudicados. Por ello, el primer paso en la gestión segura de la información es realizar una clasificación de los 49
datos y un almacenamiento adecuados, en base a unas políticas establecidas y actualizadas. Recuperación. Las pérdidas de datos son acontecimientos comunes en las empresas, a veces por causas fortuitas y otras veces por fallos humanos o en los equipos. En este sentido, las técnicas de recuperación de la información son una herramienta imprescindible en las organizaciones, ya que permiten restaurar la actividad y asegurar su continuidad. Borrado seguro. Por último, cuando la información ha sido tratada en la empresa y llega al final de su vida útil, debe ser eliminada de forma segura, para evitar que pueda caer en manos de terceros y sea recuperada.
2.4.2.3 Políticas de código de conducta Según Kindle, F. (2009), el código de conducta “es una guía hacia los principios generales, que impregnan las relaciones con nuestros clientes y demás socios comerciales, con los mercados financieros, con las comunidades y países en los que trabajamos y, no menos importante, entre nosotros mismos”. Algunas de estas políticas son: Ser respetuoso con los bienes de la compañía. Utilizar los sistemas de información con profesionalidad. Proteger la información confidencial. Respetar los derechos de propiedad intelectual de otros. Proteger la información privilegiada.
50
2.4.2.4 Políticas de protección de equipos y de redes Al respecto de las políticas de protección de equipos, Vázquez, J. (2009), señala que: Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización del área de sistemas. Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos. Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o del CPU. Para Fraile, A. (2011), las políticas de redes internas son: Instalación de cortafuegos. Política restrictiva. Instalación de antispam y antivirus. Instalación de NIDS en las tres interfaces. Segmentación de servicios públicos: web y pasarela antivirus/antispam. Servicios internos movidos: base de datos y correo. Clientes remotos usan VPN.
2.4.2.5 Políticas de usuarios y contraseñas La contraseña se debe considerar al mismo nivel que la firma escrita, es decir, es algo estrictamente personal y utilizado junto con el nombre del usuario para determinar de forma fehaciente quien realiza una operación, ya que, en muchos casos se manejan datos críticos y con un alto grado de confidencialidad. Por ello 51
siempre deben observarse las siguientes directrices y/o políticas de usuarios y contraseñas: Todo usuario debe acceder siempre al sistema con el nombre de usuario que le ha sido asignado. Cuando un usuario olvide su contraseña se le deberá asignar otra nueva. La contraseña debe tener una longitud mayor o igual a seis caracteres. No debe coincidir con ninguna palabra o nombre (el de la persona, familiar, aficiones) que pueda permitir que una tercera persona la adivine. Las contraseñas deben ser cambiadas periódicamente.
Cuando un usuario se traslade de puesto de trabajo, conserva su nombre y contraseña, aunque trabaje en otro lugar.
2.5 SEGURIDAD DE LA INFORMACIÓN 2.5.1 Concepto Según Villalón, A. (2007), la seguridad “es la característica que indica que un sistema está libre de todo peligro, daño o riesgo."
Existen muchas definiciones del término seguridad. Entre ellas está la ofrecida en el 2005, por el estándar para la seguridad de la información ISO/IEC 27001. “La seguridad de la información consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la 52
autenticidad, la responsabilidad, la fiabilidad y el no repudio”; sin embargo, Murillo, F. (2000), define la seguridad de la información como “el conjunto de recursos (metodologías, documentos, programas y dispositivos físicos) encaminados a lograr que los recursos de cómputo disponibles en un ambiente dado, tengan acceso única y exclusivamente quienes tengan la autorización para hacerlo”.
2.5.2 Bases de la seguridad de la información
Existe una frase que hizo famosa dentro del mundo de la seguridad Spafford, E. (2000), profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él”.
2.5.2.1 Fiabilidad La fiabilidad se define como la “probabilidad de que un sistema se comporte tal y como se espera de él”. En general, un sistema será seguro o fiable si podemos garantizar tres aspectos: Confidencialidad: acceso a la información sólo mediante autorización y de forma controlada. Integridad: modificación de la información sólo mediante autorización. Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.
53
2.5.2.2 Confidencialidad En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes, pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado pueda descifrar la información recibida y en función del tipo de mecanismo de encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida.
2.5.2.3 Integridad
En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.
2.5.2.4 Disponibilidad En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. Un sistema está disponible cuando su diseño e implementación permite deliberadamente 54
negar el acceso a datos o servicios determinados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.
2.5.3 Normas de buenas prácticas. 2.5.3.1 Concepto de estándar de seguridad Los estándares de seguridad son una herramienta que apoya la gestión de la seguridad informática, ya que, los ambientes cada vez más complejos requieren de modelos que administren las tecnologías de manera integral, sin embargo, existen distintos modelos aplicables en la administración de la seguridad.
2.5.3.2 COBIT Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute) en 1992. COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.
La primera edición de COBIT data de 1996. Su misión es "investigar, desarrollar, publicar y promover, un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean de aplicación internacional, manteniéndolos actualizados para el uso diario de gerentes y auditores". Gerentes, auditores y usuarios se benefician del desarrollo de COBIT, ya que éste los ayuda a entender sus sistemas IT y decidir el nivel de seguridad y control que se requiere 55
para proteger los activos de sus compañías a través del desarrollo de un modelo de management IT.
2.5.3.3 ITIL Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
2.5.3.4 Estándar ISO A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación los estándares más importantes de la serie ISO 27000 sobre la seguridad de la información: 56
ISO/IEC 27000 es un conjunto de estándares desarrollados y/o
en fase de
desarrollo- por ISO (Organización Internacional de Estándares) e IEC (Comisión Electrónica Internacional), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
SGSI (Sistema de Gestión de la Seguridad de la Información). Valoración de Riesgo. Controles.
Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014. Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan - Do- Check- Act para evitar convertirlo en el único marco de referencia para la mejora continua).
ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del Sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799 -2: 2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIS de las organizaciones. “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos del negocio 57
de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”.
ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los sistemas de información. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.
2.5.4 Planes de contingencias 2.5.4.1 Concepto Según López, E. (2009), un plan de contingencia o plan de recuperación en caso de desastre “es una guía para la restauración rápida y organizada de las operaciones de cómputo después de una suspensión”. Específica quién hace qué y cómo. Los objetivos de dicho plan son los de restablecer, lo más pronto posible, el procesamiento de aplicaciones críticas (aquellas necesarias para la recuperación) para posteriormente restaurar totalmente el procesamiento normal.
Un plan de contingencias minimiza la pérdida potencial de activos y mantiene a la empresa operando, al tomar acciones decisivas basadas en la planeación anticipada.
58
Dicho de otra manera, un plan de contingencias es un programa de recuperación de la organización, cabe aclarar que el plan de contingencias no sólo es un problema del área de sistemas, sino de toda la organización.
Un plan de contingencia es un plan escrito en el que se detallan acciones, procedimientos y recursos que deben usarse durante un desastre que cause destrucción parcial o total de los servicios de computación. En este plan se define qué tareas son críticas, quién es el responsable de todos los aspectos del proceso de recuperación, y cómo va a funcionar la organización mientras los sistemas están siendo reparados o transportados a un nuevo local.
2.5.4.2 Elementos de un plan de contingencia El plan de contingencia o un plan de emergencia y recuperación es un plan formal que describe los pasos a seguir en el caso de presentarse alguna situación de emergencia, con la finalidad de reducir el impacto que pueda provocar el desastre, y posteriormente restablecer las operaciones del procesamiento electrónico de datos en forma tan inmediata como sea posible, por lo tanto, el diseño e implementación de un plan de esta naturaleza debe contemplar:
Los riesgos y los porcentajes de factibilidad de éstos, a los que está expuesta la organización.
La definición de procedimientos y políticas a seguir durante el momento de la crisis.
La integración de prácticas de mantenimiento, entrenamiento en el plan y pruebas del mismo. 59
La especificación de alternativas de respaldo.
La definición de medidas y el tiempo previsto para la recuperación.
La asignación de responsabilidades al personal, tanto en las actividades que se realizarán durante la emergencia como en las de preparación y las de recuperación.
La identificación de aplicaciones (sistemas automatizados) de mayor importancia dentro de la producción de datos, para darles la seguridad necesaria.
60
CAPÍTULO III INVESTIGACIÓN DE CAMPO Y RESULTADOS OBTENIDOS
3.1 ANÁLISIS DE LAS ENCUESTAS Tabla No. 1 ¿Tiene alguna restricción para acceder a una página web? Indicador
Frecuencia
Porcentaje
Si
2
40 %
No
2
40 %
No lo he intentado
1
20 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 1. Según los datos revelados por este estudio, un 40 % de los usuarios tiene alguna restricción para acceder a una página web, sin embargo otro 40 % no tiene ningún tipo de restricción para acceder a una página web, en tanto que, un 20 % de los usuarios no ha intentado acceder a una página web.
61
Tabla No. 2 ¿Tiene usted acceso a YouTube? Indicador
Frecuencia
Porcentaje
Si
3
60 %
No
2
40 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 2. De acuerdo a la información mostrada en el gráfico anterior, un 60 % de los usuarios encuestados tiene acceso a YouTube, en tanto que, un 40 % no tiene acceso a YouTube.
62
Tabla No. 3 ¿Puede usar las redes sociales? Indicador
Frecuencia
Porcentaje
Si
4
80 %
No
1
20 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 3. Un dato muy relevante que pudimos encontrar es que el 80 % de los usuarios encuestados si puede usar las redes sociales en horas de trabajo, mientras que, un 20 % no puede usar las redes sociales.
63
Tabla No. 4 ¿Puede usted descargar archivos de internet? Indicador
Frecuencia
Porcentaje
Si
3
60 %
No
2
40 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 4. En el gráfico presentado más arriba, un total de 60 % de usuarios puede descargar archivos de internet, sin embargo, un 40 % no puede.
64
Tabla No. 5 ¿Puede acceder a otras máquinas mediante conexión remota? Indicador
Frecuencia
Porcentaje
Si
1
20 %
No
4
80 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 5. Es evidente que el 20 % de los usuarios puede acceder a otras máquinas remotamente, por otra parte, el 80 % no puede acceder a otras máquinas mediante conexión remota, según datos revelados por esta encuesta.
65
Tabla No. 6 ¿Posee privilegios para instalar y desinstalar programas? Indicador
Frecuencia
Porcentaje
Si
2
40 %
No
3
60 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M. Fecha: 24/02/2015.
Fuente: Tabla No. 6. El 40 % de los usuarios encuestados coincidió en que posee privilegios para instalar y desinstalar programas en el ordenador, sin embargo, un 60 % no tiene privilegios para desinstalar o instalar una aplicación, tal como muestra el gráfico anterior.
66
Tabla No. 7 ¿Puede usted hacer modificaciones a carpetas compartidas? Indicador
Frecuencia
Porcentaje
Si
3
60 %
No
1
20 %
No lo he intentado
1
20 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M.
Fecha: 24/02/2015.
Fuente: Tabla No. 7. Un total de un 60 % de los encuestados pueden modificar las carpetas compartidas, en tanto que, un 20 % no pueden modificar las carpetas compartidas y otro 20 % no lo ha intentado. 67
Tabla No. 8 ¿Cuándo accede a internet se pone lento? Indicador
Frecuencia
Porcentaje
Casi Siempre
1
20 %
A veces
4
80 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M.
Fecha: 24/02/2015.
Fuente: Tabla No. 8. Tal y como lo muestra el gráfico de arriba, el 20 % de los usuarios considera que casi siempre que accede a internet se pone lento, mientras que, un 80 % de los usuarios está de acuerdo que a veces cuando accede a internet se pone lento.
68
Tabla No. 9 ¿Cuántos caracteres tiene la contraseña que utiliza? Indicador
Frecuencia
Porcentaje
6
2
40 %
Entre 6 y 12
3
60 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M.
Fecha: 24/02/2015.
Fuente: Tabla No. 9. En este gráfico se muestra como el 40 % de los encuestados usa una contraseña conformada de 6 caracteres, sin embargo, un 60 % de los encuestados tiene una contraseña compuesta entre 6 y 12 caracteres.
69
Tabla No.10 ¿Recibió usted entrenamiento para aprender a usar el sistema? Indicador
Frecuencia
Porcentaje
Si
4
80 %
No
1
20 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M.
Fecha: 24/02/2015.
Fuente: Tabla No.10. Tal y como lo muestra el gráfico de arriba, el 80 % de los usuarios está de acuerdo en que recibieron entrenamiento adecuado para aprender a usar el sistema, por otro lado, un 20 % de los mismos dice no haber recibido entrenamiento para aprender a utilizar el sistema.
70
Tabla No. 11 ¿Qué tiempo le tomó familiarizarse con el sistema actual? Indicador
Frecuencia
Porcentaje
Una Semana
4
80 %
Un Mes
1
20 %
Total
5
100 %
Fuente: Encuesta realizada por Mejía, J. y Peña, M.
Fecha: 24/02/2015.
Fuente: Tabla No. 11. Como se ilustra en el gráfico presentado anteriormente, un total de 4 usuarios, equivalente a un 80 % le tomó una semana familiarizarse con el sistema actual, mientras que, 1 usuario, equivalente a un 20 % le tomó un mes para conocer el funcionamiento del sistema que actualmente utilizan.
71
CAPÍTULO IV PROPUESTA DE APLICACIÓN
4.1 DESARROLLO DE LOS CONTROLES Y POLÍTICAS Luego de efectuarse una exhaustiva investigación referente al uso de las políticas de seguridad del sistema de información del Laboratorio Clínico Ramírez de Peña, S.R.L. se realiza la siguiente propuesta respaldada en las políticas contempladas en el estándar de seguridad de la información ISO/IEC 27002. El departamento tecnológico tendrá la responsabilidad de ejecutar cada una de las políticas y controles establecidos para el mejor funcionamiento del sistema de información del Laboratorio Clínico.
4.1.1 Políticas sobre ubicación y protección del equipo Este tipo de políticas tiene como fin ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y las oportunidades para acceso no autorizado, considerando los siguientes lineamientos para la protección del equipo:
Restringir el acceso a personas no autorizadas hacia las áreas de cómputo mediante señalización en las paredes de afiches de solo personal autorizado; la puerta del departamento de cómputo debe permanecer cerrada esté o no el personal de tecnología; si el personal no está lo recomendable es bloquear el computador y poner seguro a la puerta. Adoptar controles como: sistema contra incendios (extintores) y sistemas de vigilancia (cámaras de seguridad) para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego.
Prohibir el consumo de alimentos o ingesta de líquidos mientras se opera con los equipos de cómputos. El personal debe ir al comedor, con ésto se evita un derrame de agua encima de los equipos de cómputo. 72
4.1.2 Políticas de mantenimiento del equipo Las políticas que se presentan a continuación aseguran la continua disponibilidad e integridad de los equipos:
Mantener registros de todas las fallas sospechadas y reales a través de la elaboración de check list. Realizar backup de los equipos que se le esté realizando mantenimiento para garantizar la permanencia y confidencialidad de la información en caso de que el equipo presente fallos. Destinar a los usuarios una partición del disco duro diferente a la destinada para archivos, programas y el sistema operativo, generalmente la c:\. con el fin de
salvaguardar informaciones administrativas generales tales como:
formularios de ars, reportes, etc.
4.1.3 Políticas de registro de usuario, contraseñas y privilegios
Conviene la existencia de un procedimiento formal para el registro del usuario que otorgue y revoque el acceso a todos los sistemas y servicios de información, conformado de los siguientes lineamientos:
Eliminación o bloqueo inmediatamente de los derechos de acceso de los usuarios que han cambiado de puesto o trabajo o han dejado la organización.
Realización de chequeos periódicos una vez al mes para eliminar o bloquear los ids de usuario y cuentas redundantes.
73
Las claves secretas son un medio común para verificar la identidad del usuario antes de otorgar acceso a un sistema o servicio de información en concordancia con la autorización del usuario. Están disponibles, y se debiera considerar la idoneidad, de otras tecnologías para la identificación y autenticación del usuario; tales como biométricas, por ejemplo verificación de huellas digitales, verificación de firmas; y el uso de dispositivos de hardware como tarjetas inteligentes.
El proceso de implementación de políticas de contraseñas debe incluir los siguientes requerimientos:
Las claves secretas predeterminadas por el vendedor deben ser cambiadas después de la instalación de sistemas o software.
El usuario debe utilizar una contraseña de un nivel de seguridad elevado compuesta por un mínimo de ocho caracteres constituida por una combinación de símbolos alfabéticos, numéricos y especiales.
La contraseña no debe contener números consecutivos. La contraseña debe ser difícil de adivinar, esto implica que las mismas no se relacionen con el trabajo o la vida personal del usuario (datos tales como: nombre, apellido, fecha y lugar de nacimiento, artista o personaje favorito, entre otros).
Las claves deben ser diferentes a las contraseñas que se hayan usado previamente.
74
Los sistemas multiusuarios que requieren protección contra el acceso no autorizado deben controlar la asignación de privilegios a través de un proceso de autorización formal. Se deben considerar los siguientes pasos:
Aplicar privilegios a los usuarios en los cuales se les permita acceso únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
Asignar los privilegios a los usuarios sobre la base de “sólo lo que necesitan saber” y sobre una base de evento por evento en línea con la política de control del acceso es decir, los requerimientos mínimos para su rol funcional, sólo cuando se necesitan.
Mantener un proceso de autorización y un registro de todos los privilegios asignados.
Quitar privilegios a los usuarios de instalar y/o desinstalar programas.
4.1.4 Políticas de control del acceso El propósito que persiguen estas políticas de control de acceso es establecer claramente las reglas de control del acceso y los derechos para cada usuario. Los controles de acceso son tanto lógicos como físicos y estos deben ser considerados juntos. La política debe tomar en cuenta lo siguiente:
Denegar el acceso a las carpetas compartidas en la red a personas no autorizadas a realizar cambios en los archivos compartidos.
75
Establecer un control de resetear la contraseña después de realizar tres intentos para acceder al sistema para prevenir que personas ajenas a la institución pretendan acceder a la base de datos para obtener información confidencial.
Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado. Se deben considerar los siguientes lineamientos:
El acceso a áreas donde se almacena información se debe controlar y restringir sólo a personas autorizadas; se debieran utilizar controles de autenticación; por ejemplo, tarjeta de control de acceso más PIN; para autorizar y validar todo los accesos; se debiera mantener un rastro de auditoría de todos los accesos.
Es recomendable llevar un control en un formulario digital de quien entra y sale al área de cómputo del Laboratorio Clínico.
No permitir acceso a las instalaciones de procesamiento de información del laboratorio sin ninguna autorización previa por la gerencia.
4.1.5 Políticas de la seguridad del cableado El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño. Se deben considerar los siguientes lineamientos para la seguridad del cableado:
El cableado de la red debe estar protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas 76
públicas. Si el cable de red está junto a un cable de electricidad podría quemarse. La canaleta o tubo es para protección del agua y del sol porque podría deteriorarse el cable provocando que las fibras y la tarjeta de red se dañen.
Determinar la cantidad de empalmes que se puedan realizar a un cable para que la trasmisión de la data no tenga interferencias. Cuando el cable es menor a 100 pies se hace un empalme normal con un adaptador de cable o usando un jack, pero, si es igual o mayor a 100 pies donde se hace el empalme debe usarse un concentrador de red o switch.
4.1.6 Políticas de protección de la data del sistema Estas políticas tienen como rol garantizar la protección de la base de datos del sistema de información evitando el uso de bases de datos operacionales que contenga información personal o cualquier otra información confidencial para propósitos de pruebas. Si la información personal o confidencial se utiliza para propósitos de prueba, todos los detalles confidenciales deben ser removidos o modificados más allá de todo reconocimiento antes de utilizarlos. Cuando se utiliza la data operacional para propósitos de prueba se deben aplicar los siguientes lineamientos para protegerla: Crear una autorización separada para cada vez que se copia información operacional en un sistema de aplicación de prueba. Borrar la información operacional de los sistemas de aplicación de prueba inmediatamente después de haber completado la prueba. Registrar el copiado y uso de la información operacional para proporcionar un rastro de auditoría. 77
4.1.7 Políticas de respaldo o back-up El objetivo de estas políticas consiste en establecer procedimientos de generación y restauración de copias de respaldo para salvaguardar la información crítica de los procesos significativos de la entidad que asegure que toda la información esencial y software se pueda recuperar después de un desastre o falla de medios, en el cual se pongan de manifiesto los siguientes puntos:
Automatizar los procedimientos de respaldo para facilitar el proceso de respaldo y restauración. Realizar al concluir las actividades diarias de la empresa las copias de seguridad o backups. Producir registros exactos y completos de las copias de respaldo y procedimientos documentados de la restauración, tales como: fecha, nombre, etc. Almacenar en un servidor ubicado en el área de tecnología de la institución las copias de respaldo, así como también realizarse una réplica de la información alojada en el servidor y almacenarla en un lugar apartado (en la sucursal 2 del Laboratorio Clínico) para escapar a cualquier daño que se origine por un desastre en el local principal y a la vez garantizar la información. Probar regularmente los medios de respaldo (disco duros y cd) para asegurar que se pueden confiar en ellos para usarlos cuando sea necesario en caso de emergencia. Proteger las copias de respaldo por una codificación para garantizar la confidencialidad de su contenido. 78
4.1.8 Políticas de acceso a internet
El propósito de estas políticas es establecer normas que aseguren el buen funcionamiento del Internet, para facilitar sus labores en el sistema de información, esta medida aplica para todo el personal empleado temporal y terceras persona que utilicen los equipos. Debe entenderse que internet es una herramienta estrictamente de trabajo y no con otros fines ajenos a las funciones del usuario. Esto será monitoreado por el departamento de tecnología.
A continuación se presentan las medidas a tomar:
El usuario no debe habilitar, ni revisar correos electrónicos que no sean autorizados por el departamento de tecnología, ya que, estos correos pueden tener virus y afectar la red del ministerio (Hotmail, Yahoo, Gmail, etc.) El usuario no debe entrar a páginas web con contenido pornográfico. No se permitirá el uso de redes sociales en horas de trabajo (Facebook, twitter, instagram, whatsapp, youtube, etc.) El usuario no debe bajar ningún programa (software), sin la debida autorización del departamento de tecnología, tales como: Archivos de música, películas, videojuegos, etc, para evitar el ingreso de virus al ordenador.
79
4.2 IMPLEMENTACIÓN DE LOS CONTROLES Y POLÍTICAS Luego de analizar el resultado del proceso de levantamiento de información se determinó que se deben efectuar ciertas medidas acorde a los requerimientos del Laboratorio Clínico Ramírez de Peña, S.R.L. que involucran directamente al departamento de tecnología de la información para tener una planificación estructurada y bien definida orientada al uso eficiente de los equipos y el sistema, por lo cual, es necesario llevar a cabo un conjunto de actividades durante los meses de mayo, junio y julio.
1. En la primera y segunda semana del mes de mayo, proceder a estandarizar los equipos informáticos (entiéndase, que todos los ordenadores trabajen con el mismo sistema operativo y programas).
2. Durante la tercera y cuarta semana de mayo efectuar la compra del servidor y realizar sus respectivas configuraciones. 3. Para la primera semana de junio compra del extintor como medida de prevención de incendios. 4. Durante la segunda semana de junio es necesario realizar la compra de las cámaras de seguridad que se ubicaran en puntos estratégicos para tener un control permanente de todo lo que ocurre en el área de cómputo y proceder a su instalación. 5. Es importante que en las tres últimas semanas del mes de junio y la primera de julio se implementen las políticas de seguridad de control de acceso, contraseñas, mantenimiento de equipos, cableado, backups y elaboración del plan de contingencia en el cual se expondrán los procedimientos a llevar a cabo en casos de enfrentarse a riesgos que ponga en peligro la información. 80
6. Y por último, la segunda semana de julio dedicarlas a orientar a los usuarios del sistema de información sobre la importancia de la aplicación de controles y políticas de seguridad al sistema de información.
Diagrama de Gantt
81
4.2.1 Inversión Se deja a la empresa la libertad de elegir el tipo de servicio según su interés y posibilidades. La inversión es como se detalla a continuación:
Descripción
Monto
Referencia
Cotización del servidor
RD$32,200.00
Ver anexo 8
Cotización del extintor
RD$1,100.00
Ver anexo 7
Cotización de las cámaras de seguridad
RD$33,600.00
Ver anexo 7
Cotización de los letreros de señalización
RD$2,500.00
Ver anexo 9
Cotización de página web
RD$35,000.00
Ver anexo 10
Cotización de los licenciamientos de software
RD$33,423.00
Ver anexo 11
SUBTOTAL
RD$137,823.00
IMPREVISTO=SUBTOTAL+10%
RD$13,782.00
TOTAL
RD$151,605.00
El proyecto no cuenta con un análisis costo beneficio debido a que el beneficio es un beneficio intangible, no es monetario, ya que beneficiaría a la empresa tanto en términos de imagen, branding, presencia en el canal digital y en la creación de un canal de comunicación con sus clientes actuales y posibles consumidores.
Para llevar a cabo todo este conjunto de actividades, se requiere de la mano de obra de dos técnicos.
82
Presupuesto Mano de Obra Descripción
Horas
Precio
Total
Estandarización de equipos
5
RD$350.00
RD$1,750.00
Configuración del servidor
5
RD$450.00
RD$2,250.00
60
RD$600.00
RD$36,000.00
10
RD$500.00
RD$5,000.00
Implementación de las políticas de seguridad y elaboración del plan de contingencia. Capacitación a los usuarios TOTAL MANO DE OBRA
RD$45,000.00
TOTAL GENERAL DEL PROYECTO
RD$196,605.00
4.3 EVALUACIÓN DE LOS CONTROLES Y POLÍTICAS
Una vez implementadas las políticas y los controles, se procederá a su revisión, confrontando estos datos con la situación inicial, buscando de un modo comparativo las mejoras y los puntos que deben fortalecerse.
A continuación se presenta el proceso que se llevará a cabo para evaluar la eficacia de los controles y políticas aplicadas al sistema de información del Laboratorio Clínico Ramírez de Peña S.R.L.
Implementar auditorías externas que certifiquen el informe presentado por el departamento tecnológico del laboratorio Ramírez de Peña y examinen si el sistema está cumpliendo con los requerimientos de seguridad auxiliándose de las técnicas de investigación, observación y prueba.
Revisar en las distintas documentaciones elaboradas sobre políticas y normativas generales referentes a la seguridad del sistema que los controles y 83
políticas que se estén efectuando guarden relación con las establecidas en el manual informático.
Diseñar checklist para dar seguimiento a
las políticas y controles
administrativos, operativos y técnicos. (Ver anexo 12).
Estas políticas serán evaluadas mensualmente, las mismas estarán bajo la responsabilidad del departamento de informática del Laboratorio Clínico.
84
CONCLUSIÓN
Al llegar al epílogo de esta investigación se pudo obtener una serie de informaciones que fortalecieron el tema de investigación “Controles y políticas de seguridad de un sistema de información en el sector privado”, logrando un mejor entendimiento del tema y la utilización de las mejores prácticas para evaluar la seguridad del sistema de información del Laboratorio Clínico Ramírez de Peña S.R.L.
La empresa utiliza controles de tipos detectivos, ya que, no tienen delimitados ningún tipo de control que actúe para prevenir fallas que se puedan originar y tampoco se trabaja con controles que permitan corregir errores que han ocurrido en el pasado. Los problemas que se presentan se solucionan según van surgiendo.
No se cumplen las políticas elaboradas por el personal de informática, muestra de ello es, que a pesar de tenerse definida una política de backups, no se tiene establecido una fecha determinada para la realización de los mismos.
Se pudo observar que la empresa no cuenta con un servidor de dominio en el cual se pueda almacenar los datos del sistema de información y se controle las terminales.
La ubicación de la base de datos del sistema de información se encuentra en el ordenador asignado al departamento de registro. Se realizan copias de seguridad (backup) de los datos e informaciones dos veces a la semana de modo manual sólo cuando el personal se recuerde de realizarlo. Quedando dicha información sin respaldo alguno en caso de que el ordenador del área de registro quede fuera de servicio ya sea por fallas de hardware o por el ingreso de un virus al computador.
Se determinó que cada una de las cuentas de administrador, no cuentan con una política de restricción (al subir el sistema operativo no requiere ingresar contraseña) 85
pudiendo cualquier persona que encienda el ordenador acceder a todos los recursos de esa terminal y con ello a los archivos que se encuentren compartidos en la red.
En lo que al sistema de información respecta existen tres cuentas de usuarios con derechos administrativos, los cuales contienen todos los privilegios para realizar cualquier tipo de función ya una vez dentro del mismo.
El proceso utilizado por los usuarios para ingresar al sistema de información carece de una correcta política de autentificación, debido a la forma que tienen los usuarios para acceder, utilizan su nombre personal como nombre de usuario y contraseña a la vez.
Las contraseñas establecidas no reúnen las características que engloban una contraseña segura, como son: que esté compuesta de letras mayúsculas, minúsculas, números y caracteres, y que se cambie periódicamente. La contraseña no ha sido cambiada desde el momento en que se empezó a utilizar el sistema.
86
RECOMENDACIONES Partiendo de la investigación realizada y del estudio a cada una de las informaciones obtenidas se exhorta a los propietarios del Laboratorio Clínico Ramírez de Peña, S.R.L., gerentes de IT y todo el personal, las siguientes recomendaciones para un mejor aprovechamiento de los controles internos informáticos y las políticas de seguridad del sistema de información:
Es necesario adquirir un equipo que cumpla las funciones de un servidor.
Se recomienda la compra e instalación de cámaras de seguridad en áreas donde se ubiquen los equipos tecnológicos y químicos.
Se sugiere el diseño de afiches con señalización en las puertas de entrada de cada departamento con mensajes como: “Solo personal autorizado”.
Se necesita comprar un extintor y colocarlo en un punto estratégico en caso de incendios.
Es recomendable hacer una copia de seguridad (backup), diariamente debido al gran volumen de información que se maneja en la empresa y a la gran importancia que esto significa y guardarlo en el equipo que se adquirirá, el cual cumplirá exclusivamente con esos fines; el de alojar todo el conjunto de información de la empresa y almacenar los respaldos que se produzcan.
Se necesita cambiar el modo de acceso al sistema operativo, estableciéndose la creación de una contraseña segura para poder realizar cualquier actividad en el ordenador.
87
Una buena práctica es la creación de un personal técnico fijo encargado de supervisar y brindar mantenimiento a los equipos informáticos, así como auxiliar al personal del Laboratorio Clínico en el momento en que ocurra una eventualidad.
Se exhorta establecer políticas para la creación de contraseñas de todo el personal para que sean más seguras y difíciles de adivinar, tales como:
No debe utilizarse información personal en la contraseña, como son: nombre del usuario o de sus familiares, sus apellidos o apodos, su fecha y lugar de nacimiento, número de teléfono.
Cambiar las contraseñas cada cierto tiempo
Utilizar una contraseña compuesta por letras (tanto minúsculas como mayúsculas) y caracteres especiales y números.
Establecimiento de control de acceso que limite el acceso de personas ajenas a los intereses de la institución.
Limitar y controlar la asignación y uso de privilegios en las cuentas de usuarios, es decir, únicamente permitir hacer uso de los programas comunes instalados en la computadora como son programas de oficina, sistema operativo y servicios básicos tales como impresión, correo, acceder a cualquier carpeta o archivo compartido en la red, etc. Sólo el personal informático dependiente del laboratorio, puede realizar tareas propias de un administrador del equipo (configuración de dispositivos, agregar o quitar programas, agregar o eliminar hardware, etc.)
88
BIBLIOGRAFÍA Acosta, J. (2010), “Políticas de seguridad”. Obtenido de: http://es.slideshare.net/jmacostarendon/politicas-deseguridad, Venezuela. Álvarez, E. (2011), “Guía sobre almacenamiento y borrado seguro de la información”. Obtenido de: http://www.cocin-cartagena.es/services-view/guiasobre-almacenamiento-y-borrado-seguro-de-informacion/ España. Bayona, L., Mejía, K., & Sarmiento, B., (2014), “Creación de un manual de políticas de seguridad de la información para la dependencia secretaria de la institución educativa nuestra señora de Belén de Cúcuta, Colombia. De los Santos, M., Mena, J., De la Cruz, L., (2010), “Auditoría de políticas y seguridad de procedimiento de un data center, República Dominicana. Guagalanco, R. & Moscoso, P. (2011), “Evaluación técnica de la seguridad informática del data center de la escuela politécnica del ejército”, Ecuador. Kindle, F. (2009), “Código de conducta”. Obtenido de: http://www02.abb.com/global/clabb/clabb151.nsf/0/eb728012119767d0c12573 1400596839/$file/Codigo+de+Conducta_ABB.pdf, España. Medina, J. (2006), “Estándares para la seguridad de información con tecnologías de información”. Obtenido de: http://www.tesis.uchile.cl/tesis/uchile/2006/medina_j/sources/medina_j.pdf, Chile. Ramos, A. (2011), “Políticas de redes internas” Obtenido de: http://www.criptored.upm.es/intypedia/docs/es/video5/DiapositivasIntypedia00 5.pdf, España. Reyes, O. (2008) “Manual básico de Laboratorio Clínico”. Obtenido de: http://www.monografias.com/trabajos-pdf4/manual-basico-laboratorioclinico/manual-basico-laboratorio-clinico.pdf, Colombia. Rodríguez, J., & Liranzo, M., (2011), “Análisis de la auditoría como herramienta de control en el sistema de información del Banco de Reservas, sucursal Higȕey”, República Dominicana. Santana, A., & Crisóstomo, J., (2010), “Sistema de Seguridad de Información de Moto Max”, República Dominicana.
89
Villalón, A. (2007), Seguridad en Unix y redes. Obtenido de: https://www.rediris.es/cert/doc/unixsec/unixsec.pdf España. Wienclaw, R. (2015), “Business Information Systems & Technologies”. Obtenido de: http://web.a.ebscohost.com/ehost/detail/detail?vid=6&sid=3a9d31dd-80ea42d0-b100ad74b1d8dadf%40sessionmgr4005&hid=4207&bdata=JnNpdGU9ZWhvc3Qtb Gl2ZQ%3d%3d#db=e6h&AN=27577815, Estados Unidos.
Web grafía: Dange, A. (2008) “Sistemas de información” Obtenido de http://www.econlink.com.ar/sistemas-informacion/definicion, Colombia. López, E. (2009) “Plan de contingencia” Obtenido de http://redyseguridad.fip.unam.mx/proyectos/seguridad/DefinicionPlanesCon.php, México. Mifsud, E. (2012) “Introducción a la seguridad informática”. Obtenido de: http://recursostic.educacion.es/observatorio/web/en/software/softwaregeneral/1040-introduccion-a-la-seguridad-informatica?showall=1, España. Monroy, E. (2013) “Controles en auditoría informática” Obtenido en: http://es.slideshare.net/elianamarisolmm/controles-en-auditoría, Colombia. Morrow, M. (2001) “Sistemas de información en las organizaciones” Obtenido en: http://www.eumed.net/librosgratis/2012a/1169/sistemas_de_informacion_en_o rganizaciones.html, Cuba. Noris, (2011) “Control interno informático”. Obtenido de: https://noris14.wordpress.com/2011/06/10/control-interno-informatico/ Colombia. Pérez, J. (2009), “Políticas de usuarios y contraseñas”. Obtenido de: http://www.si.uniovi.es/es/segysist/gestionusuarios.asp, España.
Personas encuestadas:
Cadena, L., Gerente, funcionario que puede sustituir al Gerente General en caso de ausencia de este, además tiene funciones en el área financiera y administrativa. Función: Firmar junto con el Gerente General en los cheques que se emitan. Recibir de la secretaria los ingresos diarios y el cuadre. 90
Marrero, C. Secretaria, es quien les da las primeras atenciones a los clientes. Función: recibir las llamadas telefónicas y anotar los pacientes.
Mejía, Y. Encargada de Seguros, responsable de todo lo relacionado con las ARS y con los afiliados asegurados que demanden los servicios del laboratorio. Función: Coordinar con la gerencia y las demás secretarias los asuntos de las ARS.
Pérez, F. Encargada de Facturación, llevar un control de la entrada y salida del dinero que ingresa al laboratorio. Función: Recibir diariamente de mano de la secretaria de caja, el dinero que entra al día y el cuadre correspondiente.
Pérez, M., Encargada de Hematología, es la responsable de que cada prueba se realice de acuerdo a los procedimientos establecidos. Función: Realizar todas las pruebas que hay recibido al día y cumplir con las normas de seguridad.
91
ANEXOS
Anexo 1 Vista frontal del Laboratorio Clínico
Anexo 2 Los investigadores con el personal del Laboratorio Clínico
Anexo 3
Anexo 4
Área de recepción
Logo de la institución
Anexo 5 Ubicación geográfica de la empresa
Anexo 6
Entrevista al Gerente del Laboratorio Clínico Ramírez de Peña, S.R.L. Dr. Leonardo Cadena
El objetivo de este cuestionario es identificar las fortalezas y debilidades existentes en el Laboratorio Clínico relacionadas al área de Informática para implementar mejoras al sistema de información.
1. ¿Qué sistema utiliza el Laboratorio Clínico? 2. ¿Con cuántos ordenadores cuenta el laboratorio? 3. ¿Qué ventajas les brinda el software que están utilizando? 4. ¿Cuáles desventajas percibe usted hasta el momento del sistema que utilizan? 5. ¿Qué tanto le ha aportado el software actual al Laboratorio Clínico? 6. ¿Desde qué tiempo la empresa viene trabajando con el software? 7. ¿Cuenta la empresa con una política de backups? 8. ¿Cada que tiempo realizan los backups? 9. ¿Qué medio emplean para la realización de los backups? 10. ¿Cuantos usuarios tienen privilegios de administrador? 11. ¿Cuáles personas tienen control de acceso al sistema? 12. ¿Cuál antivirus utiliza? 13. ¿Qué cortafuego utiliza? 14. ¿Tienen restricciones los puertos USB de los ordenadores? 15. ¿Cuenta el Laboratorio Clínico con un manual de usuario?
Anexo 7 Cotización de las Cámaras de Seguridad y el Extintor
Anexo 8 Cotización del Servidor
Anexo 9 Cotización de los letreros de señalización
Anexo 10 Cotización de la página web de la institución
Anexo 11 Cotización del licenciamiento de software
Anexo 12
FORMULARIO DE EVALUACIÓN DE CONTROLES Y POLÍTICAS Laboratorio Clínico Ramírez de Peña, S.R.L.
Fecha de Solicitud: Evaluación de Control
Tipo de Control o Política a evaluar
Política
Hallazgo: ______________________ Causas:
Situación de riesgo que genera:
Recomendación:
Procedimiento a emplear:
Dir. Dpto. Informática
Firma
Lihat lebih banyak...
Comentarios
