FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS

Página 1 de 7
ANTEPROYECTO DE GRADO

1. Carlos Alberto Bernal Balamba

cabernalb@hotmail.com
2. Claudia Natalia Cifuentes Riveros
natalia.cifuentesriveros@gmail.com
3. Yeny Tatiana Flórez Aparicio
Yeny.florez@hotmail.com

1. Sistema de Gestión de Seguridad de la información ISO 27001:2013 para una

empresa prestadora de salud

2. Planteamiento del problema

Actualmente en la mayoría de las empresas de salud no se cuenta con una aplicación

completa de la norma ISO/IEC 27001:2013 donde pueda prevenir las amenazas de los
ataques informáticos ya que presentaría debilidades y no existe una estrategia que se
presenta cada día, ya que a partir se crean políticas de prevención y control ante el
incremento de amenazas informáticas.

Esta empresa de salud no es ajena a este problema, a través de los años ha tratado de
implementar un sistema de información donde los datos más sensibles y prioritarios en
donde los funcionarios interactúan no se pierdan o no puedan ingresar de un modo más
seguro, pero por los diferentes problemas evidenciados como falta de una política clara
referente a la manipulación de información y estándares de calidad para verificar los
activos de información, de igual manera no cuenta con un sistema de seguridad de la
información optimo que satisfaga los requerimientos mínimos de la información.

Con base en esto se puede incluir con la página www.eluniversal.com.co donde nos
habla sobre los ataques informáticos “ El sector salud se ha vuelto el blanco favorito de los
hackers en meses recientes, de acuerdo con investigadores en Symantec, una importante
empresa de seguridad informática que señala que también ha habido importantes incrementos
en el envío de emails fraudulentos, "secuestros" informáticos y esfuerzos para explotar
vulnerabilidades recién descubiertas en software utilizado en muchos sectores. Luego de una
ola de ataques importantes a bancos y tiendas departamentales en los últimos dos años, casi
80% de los incidentes reportados al servicio global de Symantec desde diciembre han
provenido de organizaciones de salud, dijo Robert Shaker, supervisor del servicio comercial de
la empresa” [10]

2.1. Formulación del problema

¿La EPS cuenta con una evaluación y tratamiento de riesgos sobre la implementación
de medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad
de la información?

3. Objetivos
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 2 de 7
ANTEPROYECTO DE GRADO

3.1. Diseñar un modelo para la implementación de la norma ISO/IEC 27001:2013 en la

empresa de salud, con el fin de proteger la confidencialidad, integridad y disponibilidad
de la información por medio de la evaluación y tratamiento de los riesgos y poder llegar
a cumplir eficazmente las medidas de seguridad SGSI.

3.2. Objetivos específicos

 Identificar los medios por los cuales puede llegar a realiza la fuga de la información.
 Analizar los riesgos en cuanto a seguridad de la información de la empresa.
 Desarrollar políticas de gestión que permitan a la empresa el saber cómo proteger la
información.
 Concientizar a la empresa que por medio de las buenas prácticas de un SSGI se
mantiene la continuidad de la información.

4. Justificación

La ISO27001 se aplica a empresas de todo tipo, tamaño, sector, etc. que trate datos
sensibles, pero especialmente importante en las empresas del Sector Salud que
requieren de un trato prudente de la información de los afiliados, usuarios, para evitar el
acceso no autorizado a los datos más sensibles que manejan en la empresa de sector
de salud. El conocimiento de esta información por personas no deseadas puede dañar
gravemente la intimidad personal y familiar, por lo que la confidencialidad de esta
información es importantísima. No menos importante es la integridad y disponibilidad de
dicha información e historiales clínicos, ya que su falta por pérdida, problemas de
acceso, información vulnerable y demás ya que podría provocar la pérdida fallas en el
sistema de información. por eso las organizaciones cada día identifican la calidad y la
seguridad que estimulan el desarrollo sostenible. La ISO/IEC 27001:2013 ofrecerá la
oportunidad las propiedades de confidencialidad, integridad y disponibilidad de la
información crítica. Con la norma se establecerá hacia la seguridad de la información
como los activos que son el papel, los formatos digitales (los archivos, carpetas o
documento) y los activos físicos como los (CD´S, USB, Disco Duros). Además de eso se
facilitará la información ya que se asegura la confidencialidad, protege la integridad de
la precisión y la información en su totalidad, los métodos utilizados durante el
tratamiento de la información que se manejan actualmente en empresa de salud.

5. Marco de referencia
5.1 Seguridad informática y de la información Sistema de Gestión de la Seguridad de la
Información (SGSI) [Information Security Management System, ISMS] La parte del sistema
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 3 de 7
ANTEPROYECTO DE GRADO

de gestión general, basada en un enfoque de riesgo empresarial, que se establece para

crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la
información.
5.2 La seguridad informática Está relacionada con las metodologías, procesos y
procedimientos para mantener salvaguardada la información y los datos
confidenciales de una organización, al interior de los sistemas informáticos. Los
procesos se estructuran con el uso de estándares, normas, protocolos y
metodologías para mitigar y minimizar los riesgos asociados a la infraestructura
tecnológica
5.3 .Seguridad de la información La seguridad de la información está relacionada con
las medidas preventivas aplicadas con el fin de salvaguardar y proteger la
información bajo la confidencialidad, disponibilidad e integridad. La información
puede presentarse en diversos formatos y medios tanto físicos, como electrónicos.
Por lo tanto, las organizaciones deben adoptar y adaptar metodologías para
proteger los archivos y registros, mantener en funcionamiento una infraestructura
tecnológica adecuada que sirva para la custodia y salvaguarda de la información.
5.4 Amenazas informáticas Las amenazas informáticas están relacionadas con la
posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de
tiempo, en el cual existe un daño material o inmaterial sobre los activos
informáticos y los sistemas de información. Las amenazas son consideradas como
los ataques cometidos por personas internas o externas, que pueden ocasionar
daños a la infraestructura tecnológica, a los sistemas de información o a la misma
información que circula en la organización.
5.5 Ataque informático Un ataque informático consiste en aprovechar alguna debilidad
o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas
que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo
general de índole económico, causando un efecto negativo en la seguridad del
sistema, que luego repercute directamente en los activos de la organización. Para
minimizar el impacto negativo provocado por ataques, existen procedimientos y
mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen
notablemente el campo de acción de los ataques. Uno de los pasos más
importantes en seguridad, es la educación. Comprender cuáles son las debilidades
más comunes que pueden ser aprovechadas y cuáles son sus riesgos asociados,
permitirá conocer de qué manera se ataca un sistema informático ayudando a
identificar las debilidades y riesgos para luego desplegar de manera inteligente
estrategias de seguridad efectivas
5.6 Confidencialidad La propiedad por la que la información no se pone a disposición o
se revela a individuos, entidades o procesos no autorizados.[ISO/IEC 13335-
1:2004]
5.7 Control Las políticas, los procedimientos, las prácticas y las estructuras
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 4 de 7
ANTEPROYECTO DE GRADO

organizativas concebidas para mantener los riesgos de seguridad de la información

por debajo del nivel de riesgo asumido. (Nota: control es también utilizado como
sinónimo de salvaguarda o contra medida.
5.8 Disponibilidad Acceso a la información y los sistemas de tratamiento de la misma
por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-
1:2004]: característica o propiedad de permanecer accesible y disponible para su
uso cuando lo requiera una entidad autorizada.
5.9 ISO Organización Internacional de Normalización, con sede en Ginebra (Suiza).
Es una agrupación de organizaciones nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares.
5.10 ISO 27001 Es un estándar para sistemas de gestión de la seguridad de la información
adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
publicación en 2005.
5.11 Información La información es un recurso que, como el resto de los importantes activos
comerciales, tiene valor para una organización y por consiguiente debe ser debidamente
protegida. La seguridad de la información protege ésta de una amplia gama de amenazas,
a fin de garantizar la continuidad institucional, minimizar el daño y maximizar el retorno
sobre las inversiones y las oportunidades

6. Marco metodológico
Para el desarrollo del proyecto que consiste en el diseño para la implementación de la
ISO 27001 en una empresa prestadora de salud se realizara a través de:
 Investigación aplicada: la cual busca la aplicación o utilización de los
conocimientos adquiridos para la solución de problemas prácticos y el control de
situaciones de la vida cotidiana.
 Teniendo en cuenta que para el desarrollo del diseño de implementación de esta
empresa prestadora de salud debemos hacer.
 La dirección del apoyo para la obtención de la información
 Realizar una evaluación de los riesgos a los que la empresa está expuesta
 Realizar el modelo para implementar el tratamiento de los riesgos
 Aplicabilidad de los controles a los riesgos evidenciados
 Plan para el tratamiento de los riesgos
 Medición de la eficacia los controles
 Implementación de los controles
 Realizar concienciación a los encargados para el éxito del proyecto

Para poder desarrollar nuestro proyecto es indispensable el acompañamiento y

colaboración de los encargados de los datos en la empresa ya que sin la colaboración
de ellos el proyecto sería un fracaso total.
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 5 de 7
ANTEPROYECTO DE GRADO

7. Cronograma de actividades

8. Recursos, humanos, técnicos y presupuesto

Tabla 1
Presupuesto (ejemplo ilustrativo)
Ítem Rubros Descripción Justificación Unidad Cantidad Valor Valor Fuente de
unitario total financiación
1
2
3
4
5
6
7
8

9. Referencias (Norma APA). (15 Referencias bibliográficas)

[1] Compendio Sistema de Gestión de la Seguridad de la Información (SGSI),

ICONTEC, “Tecnología de la Información, Técnicas de Seguridad, Sistemas de
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 6 de 7
ANTEPROYECTO DE GRADO

Gestión de la Seguridad de la Información (SGSI). Requisitos” Bogotá, Colombia.

[2] pmg-ssi. (2013). iso-27001-aplicacion-en-el-sector-salud. 2013, de net Sitio
web: https://www.pmg-ssi.com/2013/11/iso-27001-aplicacion-en-el-sector-salud/
[3] Bit stream. (2012). memoria.pdf. 2012, de web apps Sitio web:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/64827/8/scuervoTFM061
7memoria.pdf
[4] bureau veritas. (2019). Auditor Interno de Sistemas de Gestión de Seguridad
de la Información ISO 27001:2013. Google Chrome. Copyright Bureau Veritas
Formación Recuperado de https://www.bureauveritasformacion.com/auditor-
interno-de-sistemas-de-gestion-de-seguridad-de-la-informacion-ISO-27001-2013-
1964.aspx
[5] Adviser Expert Sol. (2005)¿Qué es norma ISO 27001?. advisera.com. ISO
27001 & ISO 22301 Blog Recuperado de
https://advisera.com/27001academy/es/que-es-iso-27001/
[6] gtt. (2010). General Data Protection Regulation (GDPR). Google Chrome. gtt
Recuperado de https://www.gtt.net/es-es/la-empresa/security-compliance/
[7] isotools. (2019). NTC ISO 27001. google Chrome Recuperado de
https://www.isotools.com.co/normas/ntc-iso-27001/
[8] seguridad superior. (2015). seguridad informática. google Chrome
Recuperado de https://www.seguridadsuperior.com.co/seguridad-informatica
[9] acis. (2018). ataques cibernéticos. google Chrome Recuperado de
https://www.acis.org.co/portal/content/el-sector-financiero-y-el-de-la-salud-en-
mayor-riesgo-por-los-ataques-cibern%C3%A9ticos
[10] el universal. (2019). Hackers se enfocan ahora en el sector salud, dicen
expertos. Google Chrome. iab Recuperado de
https://www.eluniversal.com.co/salud/hackers-se-enfocan-ahora-en-el-sector-
salud-dicen-expertos-190508-ABEU289768
[11] Compendio Sistema de Gestión de la Seguridad de la Información (SGSI),
ICONTEC, “Tecnología de la Información, Técnicas de Seguridad, Sistemas
de Gestión de la Seguridad de la Información (SGSI). Requisitos” Bogotá,
Colombia.
[12] el país. (2017). Un ciberataque paraliza 16 hospitales de Reino Unido y les
exige dinero. Google Chrome. el país s.l Recuperado de
https://elpais.com/tecnologia/2017/05/12/actualidad/1494602389_458942.html
[13] redaccionmedica. (2019). Nueva oleada de ataques de 'hackers' a los
hospitales públicos. Google Chrome. sanitaria Recuperado de
https://www.redaccionmedica.com/secciones/sanidad-hoy/nueva-oleada-de-
ataques-de-hackers-a-los-hospitales-publicos-1975
[14] vanguardia. (2018). Ciberataque global pone en riesgo sistemas informáticos
de más de 70 países. google Chrome Recuperado de
https://www.lavanguardia.com/vida/20170512/422530126477/ciberataque-global-
pone-en-riesgo-sistemas-informaticos-de-mas-de-70-paises.html
[15] eurecat. (2015). Alertan del riesgo de ciberataques que aprovechan la
 FACULTAD DE INGENIERÍA Y CIENCIAS BÁSICAS
Página 7 de 7
ANTEPROYECTO DE GRADO

Inteligencia Artificial. Google Chrome. tecnio catalonia Recuperado de

https://eurecat.org/es/ciberataques-advanced-factories/