Informe Final

INFORME FINAL
AUDITORA AL AREA DE COMPUTO DEL HOSPITAL REGIONAL

DE HUACHO
Auditores:
MANDAMIENTO MEJIA,
JHAIRO
SUSANIBAR PACHECO,
MARCOS
HUAYMANA ENRRIQUEZ LUIS
OSORIO CAMARA, NAHIL
EVANGELISTA BUSSO,
ROGGER
pg. 1
MEMORNDUM N 001
Fecha: 14 de julio del 2015
De : Grupo Universitario de la UNJFSC

A : El Jefe de la Unidad de Estadstica e Informtica
Ing. Jorge A. Snchez Marcos
Att : Mandamiento Mejia Jhairo Arturo
Ref : Auditoria y seguridad de la informacin en los procesos internos
Nos es grato presentar ante usted el jefe de la Unidad de Estadstica e Informtica del
Hospital Regional de Huacho a los integrantes que llevaran a cabo la Auditoria dentro del
rea de Cmputo con sus funciones establecidas:
Nombre y Apellidos Cargo

Mandamiento Mejia, Jhairo Arturo Jefe del Proyecto
Susanibar Pacheco, Marcos Steven Desarrollador del Plan de Proyectos
Huaymana Enrriquez, Luis Felipe Desarrollador del Cuestionario
Osorio Cmara, Nahil Encargado Auditor
Evangelista Busso, Rogger Encargado Auditor
Quienes bajo la supervisin del Ing. Martin Figueroa Revilla, docente del curso de Auditoria
y seguridad de la Informacin, efectuaran la Auditoria y seguridad de la informacin en los
procesos ms destacados dentro del rea de Cmputo.
Por tal motivo, agradecemos a Ud. Se sirva hacer de conocimiento de todo el personal que
llevara a cabo el proyecto bajo la direccin de mi persona. Con la finalidad de cumplir con
el cargo dado por nuestro docente en el curso; como con la finalidad de brindarle a su
entidad un estudio que diagnostique los riesgos y las vulnerabilidades con la que cuenta
para tener un mejor servicio dentro del Hospital Regional de Huacho.
Asimismo, cumplimos con informarle que durante la Auditoria se har de su conocimiento

y/o de los funcionarios o empleados en el rea de Cmputo, las observaciones que se
formulen sern informadas a su persona mediante un informe, a efectos que se adopten
las acciones correctivas que se requieran a futuro o se quiera alcanzar teniendo en cuenta
el impacto que le da a la entidad o sea de mayor importancia ya sea por solicitudes o
necesidades.
Atentamente,
Susanibar Pacheco Marcos Mandamiento Mejia, Jhairo

AUDITOR GENERAL JEFE AUDITORA SISTEMAS
pg. 2
AUDITORIA AL REA DE INFORMTICA DEL HOSPITAL REGIONAL DE
HUACHO
1. ORIGEN
El rea de Computo en el Hospital Regional de Huacho se rige bajo el Manual de
Organizacin y Funciones (MOF) es un documento tcnico normativo de gestin
institucional que tiene como objetivos describir y establecer la funcin bsica, las
funciones especficas, los requisitos y las relaciones de autoridad, dependencia y
coordinacin de los cargos o puestos de trabajo establecidos para la Unidad de
Estadstica e Informtica del Hospital Regional de Huacho. Tomando en cuenta que
la Unidad de Estadstica e Informtica del Hospital Regional de Huacho se divide
en Estadstica e Cmputo, la auditoria se realiz al rea de Computo.
Cabe mencionar que el Manual de Organizacin y Funciones (MOF) se establece

la Gestin de Seguridad de Informacin mediante la Resolucin Ministerial N 246-
2007-PCM/ONGEI donde se aprueba el uso obligatorio de la norma tcnica peruana
NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la informacin, cdigo de buenas
prcticas para la gestin de la seguridad de la informacin en todas las entidades
integrantes del sistema nacional de informtica.
2. OBJETIVOS
La evaluacin del rea de Informtica estar orientada a los siguientes objetivos:
2.1. Objetivo General:

Determinar si los procesos y controles que emplean para la Seguridad de la
Informacin y la administracin de las Tecnologas de la Informacin que
poseen, son las adecuadas.
2.2. Objetivos Especficos:

Determinar si los procesos para la Seguridad de la Informacin estn
alineados a las normativas que rigen al Hospital Regional de Huacho y si
son los adecuados.
Evaluar los controles que se emplean en la Seguridad de la Informacin.
Evaluar la administracin de las Tecnologas de la Informacin en la
Seguridad de la Informacin.
pg. 3
3. ALCANCE DEL EXAMEN
El alcance de esta auditora comprende slo la evaluacin del rea de Computo
que se encuentra dentro de la Unidad de Estadstica e Informtica del Hospital
Regional de Huacho. Esta auditoria se realiz en complimiento de las normas ISO
Y Cobit 4.1, durante el periodo comprendido entre el 13 de Julio al 24 de Julio del
presenta ao.
Para tal efecto, se realizaron muchas evaluaciones y verificaciones
correspondientes a la siguiente informacin:
Diagnstico de la situacin actual de los sistemas de informacin en

operacin del Hospital Regional de Huacho.
Debilidades dentro de los Software que se utiliza para el manejo de la

informacin como que seguridades se cuenta actualmente.
Clasificacin de riesgos que representa el uso de hardware y software en

la organizacin.
Evaluacin del nivel de riesgo que representa el uso inadecuado de los

productos y servicios por el personal de informtica y usuarios dentro de la
organizacin.
Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de

datos), automatizacin de procesos, CASE.
Elaboracin de una matriz de riesgos que muestre las reas de la funcin

de informtica susceptibles de una revisin por parte de auditora en el
siguiente periodo.
Revisin de la matriz de riesgos y del pronstico de proyectos de auditoria

en informtica con la gerencia o direccin a la que reporta directamente la
funcin de informtica.
Presentacin del plan de proyectos de la funcin de auditora en

informtica a la alta direccin.
Aprobacin formal de la alta direccin del informe final de la auditora en

informtica realizada.
pg. 4
4. ANTECEDENTES Y BASE LEGAL DE LA ENTIDAD
ANTECEDENTES
El Hospital Regional de Huacho, se inaugura el 02 de Octubre de 1970, durante el

segundo Gobierno Revolucionario del General Juan Velazco, siendo Ministro de
Salud el Gral. FAP Fernando Miroquesada Bahamonde.
Gracias al gobierno de Alemania se construyen dos centros de salud gemelos en

infraestructura: el de Puente Piedra y el Regional de Huacho edificado sobre un
rea de 6,273 m2. Mediante Resolucin Directoral N 063-DG-DSRS-III-LN-96, de
fecha 18 de Marzo de 1996, se crea el Servicio Bsico de Salud Regional de
Huacho, como rgano desconcentrado de la Direccin Subregional de Salud III Lima
Norte, los mismos que tendrn a su cargo la formulacin, planificacin,
organizacin, ejecucin y evaluacin de las acciones integrales de salud en el
mbito de la jurisdiccin del Hospital Regional de Huacho de la provincia de Huaura,
rea de Lima; a los Establecimientos de Salud que se detallan:
Centro de Salud Sayn
Centro de Salud Huaura
Puesto de salud Vegueta
Puesto de Salud Caleta de Carqun
Puesto de Salud Manzanares
Puesto de Salud Luriama
Puesto de Salud Hualmay
Puesto de Salud San Bartolom
Esta organizacin tiene como misin Brindar atencin integral y especializada de

salud a la poblacin del Hospital Regional de Huacho y SBS de la Regin Lima, con
equidad, calidad y transparencia; priorizando grupos vulnerables, en concertacin
con los sectores pblico, privado y otros actores sociales.
El Hospital Regional de Huacho cuenta con un manual de organizacin y funciones,

en el cual es un documento tcnico normativo de gestin institucional que tiene
como objetivos describir y establecer la funcin bsica, las funciones especficas,
los requisitos y las relaciones de autoridad, dependencia y coordinacin de los
cargos o puestos de trabajo establecidos para la Unidad de Estadstica e Informtica
del Hospital Regional de Huacho.
pg. 5
BASE LEGAL
Segn el Manual de Organizacin y Funciones (MOF):
Ley N 27657 - Ley del Ministerio de Salud.

Ley N 27444 - Ley General de Procedimiento Administrativo
Ley N 27680 Ley que aprueba la Reforma Constitucional del Captulo XIV
del Ttulo de la Constitucin Poltica del Per, sobre Descentralizacin, que
determina que los Gobiernos Regionales tienen Autonoma Poltica y
Administrativa, en los asuntos de su competencia.
Ley N 27783 Ley de Bases de la Descentralizacin, que regula la estructura
y organizacin del Estado en forma democrtica, descentralizada y
desconcentrada, correspondiente al Gobierno Nacional, Gobiernos
Regionales y Gobiernos Locales.
Ley 27867 Ley de los Gobiernos Regionales, establece y norma la
estructura, organizacin, competencias y funciones de los Gobiernos
Regionales, as como define la organizacin democrtica, descentralizada y
desconcentrada del Gobierno Regional, conforme a la Constitucin Poltica
del Per y a la Ley de Bases de la Descentralizacin.
Ley 27902 Ley que modifica la Ley Orgnica de Los Gobiernos Regionales
para regular la participacin de los Alcaldes Provinciales y la Sociedad Civil
en los Gobiernos y fortalecer el proceso de descentralizacin y
regionalizacin.
Ley N 27658 Ley Marco de Modernizacin de la Gestin del Estado.
Decreto Legislativo N 276- Ley de Bases de la Carrera Administrativa y de
Remuneraciones del Sector Pblico.
Decreto Supremo N 005-90-PCM- Reglamento de la Ley de la Carrera
Administrativa.
Ordenanza Regional N 006-2003-GRL/CR, de fecha 26 de marzo del 2004,
que aprueba el Reglamento de Organizacin y Funciones (ROF) del
Gobierno Regional de Lima.
Resolucin Ejecutiva Regional N 012-2004-PRES de fecha 15 de enero del
2004, que aprueba la modificatoria del Reglamento de Organizacin y
Funciones (ROF) del Gobierno Regional de Lima.
Resolucin Ejecutiva Regional N 404-2007-PRES de fecha 05 de junio del
2007, que aprueba el Reordenamiento del Cuadro para Asignacin de
Personal (CAP) del Gobierno
pg. 6
Regional de Lima.
Decreto Supremo N 013 2002 SA Aprueban Reglamento de la Ley del
Ministerio de Salud.
Ley N 26842 Ley General de Salud.
Ley N 27657 - Ley del Ministerio de Salud.
Ley N 27444 - Ley General de Procedimiento Administrativo
Ley N 27680 Ley que aprueba la Reforma Constitucional del Captulo XIV
del Ttulo de la Constitucin Poltica del Per, sobre Descentralizacin, que
determina que los Gobiernos Regionales tienen Autonoma Poltica y
Administrativa, en los asuntos de su competencia.
Ley N 27783 Ley de Bases de la Descentralizacin, que regula la estructura
y organizacin del Estado en forma democrtica, descentralizada y
desconcentrada, correspondiente al Gobierno Nacional, Gobiernos
Regionales y Gobiernos Locales.
Ley 27867 Ley de los Gobiernos Regionales, establece y norma la
estructura, organizacin, competencias y funciones de los Gobiernos
Regionales, as como define la organizacin democrtica, descentralizada y
desconcentrada del Gobierno Regional, conforme a la Constitucin Poltica
del Per y a la Ley de Bases de la Descentralizacin.
Ley 27902 Ley que modifica la Ley Orgnica de Los Gobiernos Regionales
para regular la participacin de los Alcaldes Provinciales y la Sociedad Civil
en los Gobiernos y fortalecer el proceso de descentralizacin y
regionalizacin.
Ley N 27658 Ley Marco de Modernizacin de la Gestin del Estado.
Decreto Legislativo N 276- Ley de Bases de la Carrera Administrativa y de
Remuneraciones del Sector Pblico.
Decreto Supremo N 005-90-PCM- Reglamento de la Ley de la Carrera
Administrativa.
Ordenanza Regional N 006-2003-GRL/CR, de fecha 26 de marzo del 2004,
que aprueba el Reglamento de Organizacin y Funciones (ROF) del
Gobierno Regional de Lima.
Resolucin Ejecutiva Regional N 012-2004-PRES de fecha 15 de enero del
2004, que aprueba la modificatoria del Reglamento de Organizacin y
Funciones (ROF) del Gobierno Regional de Lima.
pg. 7
Resolucin Ejecutiva Regional N 404-2007-PRES de fecha 05 de junio del
2007, que aprueba el Reordenamiento del Cuadro para Asignacin de
Personal (CAP) del Gobierno Regional de Lima.
Decreto Supremo N 013 2002 SA Aprueban Reglamento de la Ley del
Ministerio de Salud.
5. OTROS ASPECTOS
Segn los objetivos propuestos en este informe, se analiz la Gestin de la
Seguridad de informacin determinando algunos aspectos que por su importancia
merecen ser mencionados:
Norma tcnica peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la

informacin, cdigo de buenas prcticas para la gestin de la seguridad de la
informacin en todas las entidades integrantes del sistema nacional de
informtica.
6. CONCLUSIONES EN RELACION Al OBJETIVO PROPUESTO
Buscando mejorar la Gestin de la Seguridad de Informacin, se concluye lo

siguiente:
6.1. Para determinar si los procesos y controles que emplean para la

Seguridad de la Informacin y la administracin de las Tecnologas de la
Informacin que poseen, son las adecuadas.
El Hospital Regional de Huacho y especficamente el rea de Computo, cuenta

con una Resolucin Ministerial donde se aprueba el uso obligatorio de la norma
tcnica peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la informacin,
cdigo de buenas prcticas para la gestin de la seguridad de la informacin en
todas las entidades integrantes del sistema nacional de informtica.
Esta normativa ofrece recomendaciones para realizar la gestin de la seguridad

de la informacin y servir como gua para desarrollar estndares de seguridad
dentro del rea de Cmputo del Hospital Regional de Huacho
Gracias a esto, esta normativa nos permite evaluar con sus dominios los
procesos y controles que emplean para la Seguridad de la Informacin, tambin
para la administracin de las Tecnologas de Informacin con que actualmente
cuenta el rea de Cmputo del Hospital Regional de Huacho.
pg. 8
7. RECOMENDACIONES EN RELACIN AL OBJETIVO PROPUESTO
Buscando que se tomen en cuenta las medidas pertinentes para el Hospital

Regional de Huacho, especficamente en el rea Cmputo, se recomienda lo
siguiente:
7.1. Para determinar si los procesos y controles que emplean para la

Seguridad de la Informacin y la administracin de las Tecnologas de la
Informacin que poseen, son las adecuadas.
Referente a los niveles de seguridad de la informacin, para asegurar el

cumplimiento de las normativas a la cual se rige el Hospital Regional de
Huacho, se plantea que la Gerencia disponga que el rea de Cmputo pueda
emitir reportes peridicamente para llevar un control de los accesos a las
diferentes fuentes de informacin, de esta manera poder gestionar
adecuadamente la Seguridad de la Informacin en el rea de Cmputo en el
Hospital Regional de Huacho.
8. VULNERABILIDADES
1- Ausencia de almacenamiento de respaldo fuera de las instalaciones
1.1- De la informacin obtenida en base a entrevistas al jefe de la unidad de estadstica
e informtica- rea de cmputo, se ha podido apreciar que no se cuenta con un
respaldo de almacenar fuera de las instalaciones todos los medios de respaldo,
documentacin y otros recursos de TI crticos, necesarios para la recuperacin de TI
y para los planes de continuidad del negocio.
1.2- Como practica general y aceptada en cobit 4.1, en el dominio ENTREGAR Y DAR
SOPORTE -DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones, donde
se plantea: Almacenar fuera de las instalaciones todos los medios de respaldo,
documentacin y otros recursos de TI crticos, necesarios para la recuperacin de TI
y para los planes de continuidad del negocio. El contenido de los respaldos a
almacenar debe determinarse en conjunto entre los responsables de los procesos
de negocio y el personal de TI. La administracin del sitio de almacenamiento externo
a las instalaciones, debe apegarse a la poltica de clasificacin de datos y a las
prcticas de almacenamiento de datos de la empresa. La gerencia de TI debe
asegurar que los acuerdos con sitios externos sean evaluados peridicamente, al
menos una vez por ao, respecto al contenido, a la proteccin ambiental y a la
seguridad. Asegurarse de la compatibilidad del hardware y del software para poder
recuperar los datos archivados y peridicamente probar y renovar los datos
archivados
pg. 9
1.3- Falta de conocimientos sobre seguridad y respaldo de la informacin por parte del
jefe de la unidad de estadstica e informtica.
1.4- Esta situacin afectara a la seguridad de la data y la documentacin del rea de
computo, en caso de alguna incidencia se pone en riesgo de prdida total data
importante e irrecuperable.
1.5- Se recomienda a la direccin general en coordinacin con la unidad de estadstica
e informtica, lo siguiente:
- Hacer un anlisis costo-beneficio para que realice si as lo considere el Hospital
Regional de Huacho, almacenar fuera de las instalaciones del hospital o en su
defecto de la unidad de estadstica e informtica, todos los medios de respaldo,
documentacin y otros recursos crticos para asegurar la continuidad del negocio.
2- Falta de mantenimiento de software aplicativo

e informtica- rea de cmputo, se observ que no se realizan mantenimientos al
software COMPU SOLUCIONES, encargado de la administracin bsica como
registro de inventario, reportes, etc.
2.2- Como practica general y aceptada en cobit 4.1, en el dominio ADQUIRIR E
IMPLEMENTAR -AI2.10 Mantenimiento de software aplicativo, donde se plantea:
Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de
software.
2.3- Falta de iniciativa y gestin por parte del jefe de la unidad de estadstica e
informtica para desarrollar un plan de mantenimiento para los software.
2.4- Esta situacin afecta el rendimiento y la usabilidad del software, y el estancamiento
de funcionalidades ante nuevos requerimientos.
- Implementar un plan de mantenimiento para todo el software operativo con
actualizacin de un ao.
3- Falta de licencias de software para algunos equipos informticos

e informtica- rea de cmputo, se observ que no se cuenta en la mayora de
equipos con licencias y/o copias originales del software instalado.
pg. 10
3.2- Como practica general y aceptada en cobit 4.1, en el dominio ENTREGAR Y DAR
SOPORTE -DS9.3 Revisin de Integridad de la Configuracin, donde se plantea:
Revisar peridicamente los datos de configuracin para verificar y confirmar la
integridad de la configuracin actual e histrica. Revisar peridicamente el software
instalado contra la poltica de uso de software para identificar software personal o no
licenciado o cualquier otra instancia de software en exceso del contrato de
licenciamiento actual. Reportar, actuar y corregir errores y desviaciones.
3.3- Falta de presupuesto para invertir en licencias obviando el riesgo que este conlleva.
3.4- En todos los casos, la utilizacin de un programa sin licencia o pirateado puede
costarle muy caro al hospital ya que se considera como delito.

- Se gestione la compra de copias originales de todo el software que se emplean
tanto en el rea como en la institucin, haciendo un anlisis costo-beneficio en
plena coordinacin.
4- Falta de una sala para servidores separados del ambiente del mantenimiento
e informtica- rea de cmputo, se observ que los servidores comparten el mismo
espacio fsico que las oficinas donde se encuentran todo el personal de rea.
IMPLEMENTAR DS12.2 Medidas de Seguridad Fsica,, donde se plantea: Definir e
implementar medidas de seguridad fsicas alineadas con los requerimientos del
negocio. Las medidas deben incluir, pero no limitarse al esquema del permetro de
seguridad, de las zonas de seguridad, la ubicacin de equipo crtico y de las reas
de envo y recepcin. En particular, mantenga un perfil bajo respecto a la presencia
de operaciones crticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolucin de incidentes de seguridad
fsica.
4.3- Falta de gestin debido a la falta de presupuesto en la unidad de estadstica e
informtica.
4.4- Esta situacin afecta la seguridad de los servidores ya que pueden manipularse sin
restriccin alguna debido al fcil acceso.
pg. 11
- Realizar un anlisis costo-beneficio presupuestando la separacin de la sala de
servidores a un cuarto aislado incluyendo todas las medidas de seguridad como
control de acceso, temperatura adecuada, etc.
5- Falta de control de acceso a internet

e informtica- rea de cmputo, se determin que los usuarios tienen pleno acceso
a cualquier pgina de internet distrayndose de sus labores.
IMPLEMENTAR -DS5.10 Seguridad de la Red, donde se plantea: Uso de tcnicas
de seguridad y procedimientos de administracin asociados (por ejemplo, firewalls,
dispositivos de seguridad, segmentacin de redes, y deteccin de intrusos) para
autorizar acceso y controlar los flujos de informacin desde y hacia las redes.
5.3- Falta de gestin por parte del jefe de la unidad de estadstica e informtica para
desarrollar un plan de control de restriccin de acceso y segmentacin de la red de
internet.
5.4- Esta situacin afecta el rendimiento de cada usuario y personal, desvindose de los
encargos que se tiene que realizar.
- desarrollar un plan de control de restriccin de acceso y segmentacin de la red
de internet.
pg. 12
ANEXO N 01
DIAGNSTICO DEL PLAN DE SEGURIDAD DE LA INFORMACIN DEL REA DE

CMPUTO
A continuacin se muestra la estructura de la ISO 17799, como metodologa a utilizar, la

cual contiene 10 clusulas de control de seguridad.
Cada clusula contiene un nmero de categoras de seguridad principales. Las diez

clusulas (acompaadas por el nmero de categoras de seguridad principales incluidas
dentro de cada clusula) son:
1. Poltica de Seguridad
1.1. Poltica de Seguridad de la Informacin
2. Organizacin de la Seguridad de la Informacin
2.1. Organizacin Interna
2.2. Grupos o procesos externos
3. Gestin de Activos
3.1. Responsabilidad por los activos
3.2. Clasificacin de la informacin
4. Seguridad de Recursos Humanos
4.1. Durante el empleo
5. Seguridad Fsica y Ambiental
5.1. reas seguras
5.2. Equipo de Seguridad
6. Gestin de Comunicaciones y Operaciones
6.1. Procedimientos y responsabilidades operacionales
6.2. Proteccin contra el cdigo malicioso y mvil
6.3. Respaldo o Back-Up
6.4. Gestin de seguridad de la red
6.5. Gestin de medios
6.6. Intercambio de informacin
7. Control de Acceso
7.1. Gestin de acceso del usuario
7.2. Responsabilidades del usuario
7.3. Control de acceso a la red
7.4. Control del acceso al sistema operativo
7.5. Control del acceso a la aplicacin y la informtica
pg. 13
7.6. Computacin y tele-trabajo mvil
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin
8.1. Requerimientos de seguridad de los sistemas de informacin
8.2. Procesamiento correcto en las aplicaciones
8.3. Controles criptogrficos
8.4. Seguridad de los archivos del sistema
9. Gestin de la Continuidad del Negocio
9.1. Aspectos de la Seguridad de la Informacin de la gestin de la continuidad
del negocio
10. Conformidad
10.1. Cumplimiento de los requerimientos legales
10.2. Consideraciones de auditoria de los sistemas de informacin
1. PROCEDIMIENTOS A UTILIZAR
Durante el desarrollo del trabajo se tiene prevista la utilizacin de cuestionarios para

las personas claves de la organizacin, as como la realizacin de entrevistas
especficas con las mismas personas.
4.1. Poltica de seguridad

4.1. 3.1. Poltica de seguridad
de la informacin
Documentar poltica de
seguridad de la
informacin
- Son comunicadas las
polticas de seguridad en la
organizacin
4.2. Organizacin de la seguridad de la informacin

4.2. 4.1. Organizacin interna Se deberan contemplar
Compromiso de la los siguientes aspectos:
gerencia con la seguridad
de la informacin - Desarrollar un plan que
- En el rea de Informtica contemple herramientas
se asignan roles de que permitan satisfacer
seguridad para revisar la las necesidades del rea
pg. 14
implementacin de la de Informtica sobre
seguridad Seguridad de la
- Existen necesidades en el Informacin.
rea de Informtica sobre
la Seguridad de la
Informacin
Coordinacin de la
Seguridad de la
Informacin - Las actividades de
- No hay control sobre las Seguridad de la
actividades de la Seguridad Informacin deben ser
de la Informacin son controladas por
coordinadas con todas las representantes del rea
reas de la informacin. de Informtica.
Asignacin de las
responsabilidades de la
seguridad de la
informacin
- Se asignan
responsabilidades sobre
temas de Seguridad de la
Informacin.
Acuerdos de
confidencialidad
- Los acuerdos de
confidencialidad que se
realizan se dan a conocer a
todos los usuarios.
- Se revisa y modifica los
requerimientos de - Solo deben de conocer
acuerdos de los acuerdos
confidencialidad. confidenciales, todos
pg. 15
- No se realiza la revisin aquellos usuarios
de los acuerdos involucrados.
confidenciales en tiempos
cortos. - Realizar las revisiones
Revisin independiente de los diversos acuerdos
de la seguridad de la confidenciales en un
informacin periodo corto para tomar
- Se revisa las medidas necesarias.
independientemente en
intervalos de tiempo los
cambios que ocurren sobre
la seguridad de la
informacin
4.2. Grupos o personas - Identificar los riesgos
externas externos a la
Identificacin de los organizacin para poder
riesgos relacionados con mitigarlos.
los grupos externos
-No son identificados los
riesgos externos a la
organizacin para poder
ser mitigados.
Tratamiento de la
seguridad cuando se lidia
con clientes - Identificar los riegos
-Se proporciona a los externos que afecta al
clientes seguridad de rea de Informtica.
acceso a la informacin del
rea de Informtica.
- No se realizan acuerdos
con terceros para mantener
la Seguridad de la
Informacin en el rea de
Informtica.
4.3. Gestin de activos
pg. 16
4.3. 5.1. Responsabilidad por Se deberan contemplar
los activos los siguientes aspectos:
Uso aceptable de los
activos
- Se proporcionan reglas
especficas para el uso de
informacin.
5.2. Clasificacin de la
informacin
Lineamientos de
clasificacin
- Existen controles para
salvaguardar la
confidencialidad de
informacin.
Etiquetado y manejo de
la informacin - Clasificar los activos
- No hay criterio para la del rea de Informtica.
clasificacin y el
etiquetado de los activos
de informacin.
4.4. Seguridad de los recursos humanos
4.4. 6.2. Formacin de Se deberan contemplar
usuarios los siguientes aspectos:
Responsabilidad de la
gerencia - Definir y documentar
- No se han definido los roles y
responsabilidades de la responsabilidades de la
gerencia para asegurar seguridad de los
que se aplique la empleados, contratistas
seguridad a lo largo de y terceros.
todo el tiempo del empleo
de la persona dentro del
rea de Informtica. - Definir e implementar
- No motivan a los usuarios requerimientos para
empleados, contratistas y proteger los activos
pg. 17
terceras personas para contra el acceso,
que cumplan con las divulgacin,
polticas de seguridad del modificacin,
rea de Informtica. destruccin no
Conocimiento, autorizada.
educacin y
capacitacin en
seguridad de la
informacin
- Los usuarios empleados,
contratistas y terceras
personas estn al tanto de
las amenazas e
inquietudes de la
seguridad de la
informacin, sus
responsabilidades y - Utilizar las
obligaciones. descripciones de los
- No se proporciona a puestos de trabajo para
todos los usuarios la documentacin de los
empleados, contratistas y roles y
terceras personas un nivel responsabilidades de
adecuado de seguridad.
conocimiento, educacin y
capacitacin en
procedimiento de
seguridad y un uso
correcto de los medios de - Se deber informar
procesamiento de previamente a los
informacin. candidatos sobre las
- Los usuarios, empleados, actividades de
contratistas y terceras investigacin de
personas no estn antecedentes.
equipadas para apoyar la
poltica de seguridad del
rea de Informtica en el
pg. 18
curso de su trabajo
normal, y reducir el riesgo
de error humano.
6.3. Respuesta ante
incidencias y malos - Considerar las distintas
funcionamientos de la responsabilidades de
seguridad seguridad dentro de los
Proceso disciplinario trminos y condiciones
- Se ha establecido un del empleo.
proceso disciplinario para - Los empleados,
los empleados que hayan contratistas y terceros
cometido un deben aceptar y firmar
incumplimiento de la los trminos y
seguridad. condiciones de su
- Antes de proceder con el contrato, el cual
proceso disciplinario no se establece sus
realiza una verificacin responsabilidades para
previa del incumplimiento la Seguridad de la
de la seguridad. Informacin.
4.5. Seguridad fsica y ambiental

4.5 7.1. reas seguras Se deberan contemplar
Permetro de seguridad los siguientes aspectos:
fsica
- No estn ubicados los - Ubicar de manera
medios de procesamiento correcta los diversos
de informacin crtica o medios de
confidencial. procesamiento de
- No se utilizan permetros informacin crtica o
de seguridad para confidencial.
proteger las reas que - Plantear y utilizar
contienen informacin y permetros de seguridad
medios de procesamiento que permitan proteger
de informacin. las reas que contienen
Controles de ingreso informacin y medio de
fsico
pg. 19
- Se cuenta con un rea de procesamiento de
recepcin u otros medios informacin.
para controlar el acceso
fsico al local o edificio.
- Se registra la fecha y la
hora de entrada y salida de
los visitantes y se
supervisa.
- No controlan el acceso - Llevar un registro y
de personas en las reas control de todas
donde se procesa o aquellas personas que
almacena informacin. tienen acceso a dicha
Asegurar las oficinas, rea de procesamiento
habitaciones y medios de informacin.
- El rea de Informtica no
cuenta con un sistema de - Implementar un
detencin de intrusos. sistema que les permita
- No se ha asignado o se detectar intrusos.
aplica proteccin fsica
contra desastres - Elaborar un proyecto
naturales. que permita adquirir
Seguridad de los diversos tipos de
equipos seguridad fsica, de esta
Proteccin contra manera estar
amenazas internar y prevenidos ante algn
externas desastre natural.
- Existen procedimientos
para evitar la prdida,
dao, robo o compromiso
de los activos.
- Los medios de
procesamiento de
informacin crtica o
confidencial se encuentran
fsicamente protegidos del
pg. 20
acceso no autorizado, - Establecer
dao e interferencia. lineamientos sobre
- No se han establecido comer, beber y fumar en
lineamientos sobre comer, la proximidad de los
beber y fumar en la medios de
proximidad de los medios procesamiento de
de procesamiento de informacin.
informacin.
7.2. Equipos de
seguridad
Ubicacin y proteccin
del equipo
- Se cuenta con un
generador de emergencia
si se requiere que el
procesamiento contine - Identificar y ejecutar
en el caso de una falla de controles que permitan
energa prolongada. minimizar distintos
- No se han adoptado riesgos como robo,
controles para minimizar el fuego, explosivos,
riesgo de amenazas vandalismo, etc.
potenciales como robo,
fuego, explosivos,
vandalismo, etc. -Inspeccionar
Servicios pblicos de peridicamente los
soporte servicios pblicos que
- No se inspeccionan se brinda.
continuamente los
servicios pblicos que nos
proveen.
Seguridad de cableado
Se protege el cableado de
la energa y las
telecomunicaciones que
llevan la data o dan
soporte a los servicios de
pg. 21
informacin contra la
intercepcin o dao.
Mantenimiento de los
equipos
- Existe un mantenimiento
o reparaciones de los
equipos.
- Se lleva un control de
todas las fallas - Aplicar tcnicas que
sospechosas y reales, y permitan borrar o sobre-
todo mantenimiento escribir la informacin
preventivo y correctivo. confidencial.
Seguridad de la
eliminacin o re-uso de
los equipos
- No se utilizan tcnicas en
los casos de borrar o
sobre-escribir la
informacin confidencial.
4.6. Gestin de las comunicaciones y operaciones
4.6. 8.1 Procedimientos y Se deberan contemplar
responsabilidades de los siguientes aspectos:
operacin
Procedimientos de - Elaborar el documento
operacin adecuado de los
documentados procedimientos para la
- No se cuenta con operacin de
documentacin de actividades del sistema
procedimientos para la asociadas con los
operacin de actividades medios de
del sistema asociadas con procesamiento de la
los medios de informacin y
procesamiento de la comunicacin.
informacin y - Asignar responsables
comunicacin. para la elaboracin del
documento de
pg. 22
- No existen responsables procedimientos de
de realizar la operacin.
documentacin de - Dicho documento debe
procedimientos de ser accesible a todos los
operacin. usuarios involucrados.
- Dicha documentacin no - Llevar un control de
es accesible a todos los todos los cambios en los
usuarios. medios y sistemas de
Gestin de cambio procesamiento de la
- No se controlan los informacin.
cambios en los medios y - Utilizar los
sistemas de procedimientos de los
procesamiento de la cambios en los medios y
informacin. sistemas de
- No se tiene en cuenta los procesamiento de la
procedimientos de los informacin.
cambios en los medios y
sistemas de
procesamiento de la
informacin.
8.3 Proteccin contra
software malicioso
Controles contra
cdigos maliciosos
- Los usuarios estn al
tanto de los peligros de los
cdigos maliciosos.
- Se toman precauciones
para evitar y detectar
cdigos maliciosos y no
autorizados.
8.5 Gestin de redes
- Se realiza un control a las
redes de la organizacin.
- Existen controles de
seguridad para
pg. 23
salvaguardar la
confidencialidad de la
informacin que se maneja
en la red pblica. - Realizar una limpieza
- Se consideran general de toda la
actividades en el rea de informacin innecesaria
gestin para optimizar el del rea de Informtica.
servicio de la red en el - Llevar un control
rea de Informtica. estricto de toda la
8.6 Gestin de medios informacin que sale y
- No se elimina la entra.
informacin innecesaria - Tener en cuenta
para el rea de cualquier tipo de riesgos
Informtica. que puedan afectar la
- No se controla las comunicacin
entradas y salidas de inalmbrica.
informacin.
8.7 Intercambio de
informacin y software
- No se toman en cuenta
los riesgos particulares
involucrados en el uso de
comunicacin inalmbrica.
- Se tiene identificada a las
personas que no pueden
revelar informacin debido
a su nivel jerrquico.
- Se consideran
estndares tcnicos para
el empaque e intercambio
de la informacin.
4.7. Control de acceso
4.7. 9.2 Gestin de acceso Se deberan contemplar
del usuario los siguientes aspectos:
- Cada usuario tiene
privilegios distintos, que
pg. 24
criterios tomados en
cuenta para la asignacin
de estos.
9.3 Responsabilidades
de los usuarios
- Las claves secretas
usadas tienen estndares
de alta calidad.
- Se encuentran los
equipos restringidos para
el acceso con - Revisar
contraseas. peridicamente los
- No existen registros de requisitos de los
los cambios de controles de accesos.
contraseas de los
usuarios.
9.4 Control de acceso a
la red
Poltica sobre el uso de
los servicios de red
- Estn implementados
las polticas de seguridad - Supervisar
para el acceso y servicios peridicamente a los
de la red. usuarios y cuentas
Proteccin de puerto de redundantes para
diagnstico y eliminar o bloquearlas.
configuracin remoto
- Se usan lneas dedicadas
privadas para proporcionar
la seguridad de la fuente
de conexiones.
- Cuentan con controles de
routing para las
conexiones a la red.
9.5 Control de acceso al
sistema operativo
pg. 25
Procedimiento para un - El historial de registro
registro seguro tiene que guardar datos
- El historial de registros no como la fecha, hora y la
guarda datos como la cantidad de intentos que
fecha, hora y la cantidad realizo el usuario.
de intentos que realizo el
usuario. - Implementar tcnicas
Identificacin y de autenticacin de
autentificacin del usuarios.
usuario
- No existen tcnicas de
autenticacin de usuarios. -Cerrar
Cierre de una sesin por automticamente las
inactividad sesiones inactivas.
- Las sesiones inactivas no
se cierran
automticamente.
9.6 Control de acceso a
la aplicacin y la
informacin
Restriccin del acceso a
la informacin
- Cuentan con
restricciones definidas
para acceder a la
informacin. - Documentar las
- Existe un control de los aplicaciones para
derechos de acceso a identificar la sensibilidad
otras aplicaciones. y confidencialidad de
- No hay documentacin sta.
de las aplicaciones para
identificar la sensibilidad y
confidencialidad de sta.
9.7 Computacin y
teletrabajo mvil
pg. 26
Computacin y
comunicaciones mviles
- Se encuentran controles
de seguridad en la
organizacin para el
acceso remoto a la red.
- Existe un nivel de
madurez estn los
protocolos de la seguridad
inalmbricos
- Utilizan antivirus y firewall
para el control de la
informacin.
4.8. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
4.8. 10.1 Requisitos de Se deberan contemplar
seguridad de los los siguientes aspectos:
sistemas
Anlisis y especificacin
de los requerimientos de
seguridad - Analizar e identificar
- No se identificaron los los requerimientos para
requerimientos para los los controles de
controles de seguridad. seguridad.
- Se realizan revisiones
peridicamente de
campos claves o archivos
de datos. - Llevar un control
- No se crean registros de mediante el registro de
las actividades en el las actividades en el
proceso de validacin de proceso de validacin de
salida de datos. la salida de datos.
10.2 Seguridad de las
aplicaciones del sistema
Control de
procesamiento interno
pg. 27
- Se almacena
documentacin de los
sistemas que manejan.
- Se necesita la
autorizacin del
propietario del sistema
para acceder a la
documentacin.
- Se protege la
documentacin del
sistema mantenido en una
red pblica. - Elaborar poltica para
10.3 Controles los controles
criptogrficos criptogrficos que
Polticas sobre el uso de permita proteger la
controles criptogrficos confiabilidad,
- No poseen una poltica autenticidad e integridad
de controles criptogrficos de la informacin.
para proteger la
confiabilidad, autenticidad - Programar al sistema
e integridad de la para que permita
informacin. cambiar y actualizar las
Gestin de claves claves.
- No se pueden cambiar y - Programar al sistema
actualizar las claves. para que permita
- No se pueden recuperar recuperar las claves
las claves cuando son ante prdida.
perdidas.
10.4 Seguridad de los

archivos del sistema
Control de software
operacional
- Se controla el acceso a
los archivos del Sistema y
cdigo fuente.
pg. 28
- Se utiliza un Sistema de
control de configuracin
para mantener el control
de todo el software - Llevar un control de las
implementado. implementaciones de los
Proteccin de la data del diversos cambios
sistema mediante el uso de
- No se controlan las procedimientos para el
implementaciones de control de cambios.
cambios mediante el uso
de procedimientos
formales para el control del
cambio
4.10. Gestin de la continuidad comercial
4.10. 10.1 Aspectos de la Se deberan contemplar
gestin de continuidad los siguientes aspectos:
del negocio
Desarrollar e
implementar los planes
de continuidad
incluyendo la seguridad - Identificar y tomar las
de la informacin medidas necesarias
- No se identifican aquellos ante cualquier evento
eventos que ocasionan que ocasione
interrupciones en los interrupciones en los
procesos comerciales. procesos comerciales.
- No se han desarrollado e - Implementar el sistema
implementado planes para para que permita
mantener y restaurar las restaurar las
operaciones. operaciones.
4.11. Cumplimiento
pg. 29
4.11 Cumplimiento de los Se deberan contemplar
requerimientos legales los siguientes aspectos:
- No cumplen con las
leyes, regulacin - Regirse bajo las leyes,
estatutaria, reguladora o regulacin y cualquier
contractual, y cualquier tipo de requerimiento de
requerimiento de seguridad
4.12 seguridad.
Consideraciones de
auditoria de los sistemas
de informacin
Controles de auditoria
de los sistemas de
informacin
- Cuentan con una
asesora sobre los
requerimientos legales
ANEXO N 02
PLAN DE TRABAJO DEL DIAGNOSTICO DE LA SEGURIDAD DE LA INFORMACIN
I. Objetivo y alcance del trabajo
El objetivo del presente trabajo est dirigido a asesorar y orientar al Hospital

Regional de Huacho que desarrolle un Plan de Accin que permita contar con una
infraestructura para administrar los riesgos de informacin y de tecnologa de
informacin de acuerdo con las mejores prcticas y cumplir con la normatividad del
organismo regulador.
1.1 Objetivo
Objetivo General
Realizar la auditoria de seguridad de la informacin en la Hospital
Regional de Huacho ya que actualmente no cuenta con ella o se
haya realizado con anterioridad.
Objetivo Especifico
pg. 30
1. Determinar si los niveles de seguridad son adecuados, para
asegurar el cumplimiento de las polticas normativas de la
Hospital Regional de Huacho.
2. Evaluar la administracin de riesgos operativos y tecnolgicos,

relacionados a las principales reas que manejan informacin en
el Hospital Regional de Huacho.
3. Determinar si la infraestructura tecnolgica instalada es

suficiente para dar soporte a los sistemas de informacin, base
de datos y sistemas de red con la que trabaja el Hospital
Regional de Huacho.
4. Revisar si los planes estratgicos de la organizacin consideran

al rea de Estadstica e Informtica en materia de seguridad de
informacin y eficiente desempeo de las actividades.
5. Determinar el grado de avance de los proyectos tecnolgicos

propuestos por la Oficina de Cmputo.
6. Verificar las disposiciones y reglamentos que apoyan al

mantenimiento del orden dentro de las reas principales que
manejan informacin en el Hospital Regional de Huacho.
1.2 Alcance del Trabajo

Este trabajo se ejecutar en el Hospital Regional de Huacho, donde se
formulara un plan de seguridad de la informacin, un plan de continuidad del
negocio periodo que durara 6 meses. Desde el 18/04/15 al 18/10/15, en
cuento a lo que tiene que ver con el tiempo de trabajo por otro lado nuestro
alcance esta abarcado a las reas principales de Hospital Regional de
Huacho, en donde se maneja informacin, se procesa o se distribuye,
usando como gua y normativa las ISO 17779 y LA 27001. Estas reas son
las siguientes:
A. rgano de Control
o rgano de Control Institucional
B. rgano de Asesora
1. Oficina de Planteamiento Estratgico
2. Unidad de Asesora Jurdica
3. Unidad de Gestin de la Calidad
C. rgano de Apoyo
pg. 31
1. Oficina de Administracin
Unidad de Personal
Unidad de Economa
Unidad de Logstica
2. Unidad de Estadstica e Informacin
Oficina de Computo.
3. Unidad de Apoyo a la Docencia e Investigacin
4. Unidad de Seguros
II. Metodologa
Para el presente diagnostico estamos utilizando las ISO 17779 y LA 27001 en el
cual con la obtencin de la informacin que se ha generado a travs de los
cuestionarios bien elaborados y estructurados se podrn evaluar con la
comparacin de los controles existentes el nivel de cumplimiento que hay en el
Hospital Regional de Huacho, las ISO son las siguientes:
ISO/IEC 17799:
Es una norma internacional que ofrece recomendaciones para realizar la gestin de
la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organizacin.
Tiene como objetivo proporcionar una base comn para desarrollar normas de
seguridad dentro de las organizaciones, un mtodo de gestin eficaz de la
seguridad y para establecer transacciones y relaciones de confianza entre las
empresas.
La ISO 17799 establece once dominios:
Poltica de seguridad: Dirigir y dar soporte a la Gestin de la seguridad de la
informacin - directrices y recomendaciones, esto se da en el rea el rgano
de Control rgano de Control Institucional que es la encargada de llevar
un control interno en cuanto a que se cumplan las asistencias ,
responsabilidades y normas establecidas en el Hospital Regional de
Huacho.
Organizacin de seguridad: definir los roles y las responsabilidades.
Monitorea a los socios y a las empresas tercerizadas. En el Hospital
Regional de Huacho se da en la Unidad de Gestin De La Calidad.
Clasificacin y control de activos: Inventario y nivel de proteccin de los
activos. En el Hospital Regional de Huacho se da en la Unidad de Logstica.
pg. 32
Seguridad ligada al personal: Reducir riesgos de errores humanos, robos,
fraudes o mal uso de los recursos. En el Hospital Regional de Huacho se da
en la Unidad De Personal.
Seguridad fsica y del entorno: Evitar accesos no autorizados, violacin,
daos o perturbaciones a las instalaciones y a los datos. . En el Hospital
Regional de Huacho se da en la Unidad de Estadstica e Informtica.
Gestin de comunicaciones y operaciones: Asegurar la operacin correcta
y segura de los recursos de tratamiento de informacin. En el Hospital
Regional de Huacho se da en la Oficina de Computo.
Control de acceso: Evitar accesos no autorizados a los sistemas de
informacin (de usuarios, computadores, redes, etc.). En el Hospital
Regional de Huacho se da en la Unidad de Estadstica e Informtica.
Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad est
incorporada dentro de los sistemas de informacin. Evitar prdidas,
modificaciones, mal uso. Hospital Regional de Huacho se da en la Oficina
de Computo.
Gestin de incidentes: Gestionar los incidentes que afectan la seguridad de
la informacin. En el Hospital Regional de Huacho se da en la Unidad de
Accesoria Jurdica.
Gestin de continuidad del negocio: Reaccionar a la interrupcin de las
actividades del negocio y proteger sus procesos crticos frente a fallas,
ataques o desastres. En el Hospital Regional de Huacho se da en la Unidad
de Economa.
Conformidad con la legislacin: Evitar el incumplimiento de leyes,
regulaciones, obligaciones y de otros requerimientos de Seguridad. En el
Hospital Regional de Huacho se da en la Oficina de Planteamiento
Estratgico, junto con la Unidad de Seguros.
ISO/IEC 27001:
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar
un sistema de gestin de la seguridad de la informacin (SGSI).
Este estndar internacional adopta un proceso para establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar el SGSI en una organizacin.
Este estndar internacional adopta tambin el modelo Plan-Do-Check-Act
(PDCA), el cual es aplicado a toda la estructura de procesos de SGSI, que significa
lo siguiente:
pg. 33
Plan(Establecer el SGSI): Implica, establecer a poltica SGSI, sus objetivos,
procesos, procedimientos relevantes para la administracin de riesgos y
mejoras para la seguridad de la informacin, entregando resultados acordes
a las polticas y objetivos de toda la organizacin.
Do (Implementar y operar el SGSI): Representa la forma en que se debe
operar e implementar la poltica, controles, procesos y procedimientos.
Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable,
los procesos ejecutados con relacin a la poltica del SGSI, evaluar
objetivos, experiencias e informar los resultados a la administracin para su
revisin.
Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y
correctivas, basados en las auditoras internas y revisiones del SGSI o
cualquier otra informacin relevante para permitir la continua mejora del
SGSI.
III. Procedimiento
Para el desarrollo del plan de trabajo, se utiliz a la encuesta como una herramienta
eficaz para la investigacin e identificacin de la situacin actual de la empresa.
Para asegurarnos que la encuesta tenga las preguntas esenciales para la
investigacin, nos basamos en las ISO antes mencionadas anteriormente. Y
contaremos con un equipo de trabajo que estar bien estructurado, con sus
funciones establecidas y con un cronograma que previamente se ha realizado para
la realizacin del Plan de Trabajo. Teniendo como en cuenta la entrevista con los
responsables que nos proporcionaran las facilidades de poder realizar este Plan de
Trabajo.
3.1. Entrevista:
Para comenzar este Plan de Trabajo, el mediador y facilitador de la informacin
sobre los procesos y del estado actual del Hospital Regional de Huacho atrvez de
las entrevista fue el jefe del rea de Estadstica e Informtica, el Ing. Jorge Alberto
Snchez Marcos, para poder obtener desde un punto administrativo, cmo funciona
los principales procesos en donde se manejan informacin , basndose en su
experiencia y en los aos de servicios en el hospital en las diferentes reas
administrativas, dndonos las pautas correctas para el anlisis, aconsejndonos
que herramientas usar, que horarios venir a recolectar informacin y dndonos la
autorizacin en el hospital para realizar este Plan de Trabajo. Otras persona
importante fue el jefe del rea de computo el Seor Perry Castillo Loyola, que nos
dio el permiso para entrar a los principales sistemas de manejo de informacin para
pg. 34
poder sacar nuestras propias conclusiones y ver el proceso actual que utiliza el
hospital.
3.2. Cuestionario:
Despus de estar en el Hospital Regional de Huacho analizando y

observando los principales procesos de manejo de informacin gracias a las
entrevistas con las personas que nos facilitan nuestro Plan de Trabajo,
pasamos a la elaboracin de una encuesta basado en las ISO 17779 y LA
27001 y la situacin actual de la empresa. Una encuentra que cuente con
preguntas precisas y entendibles en base a los 11 dominios con el fin de
encontrar resultados que nos ayude a diagnosticar nuestro Plan de Trabajo
de Seguridad de la Informacin. Y hacer un control que si en el estado actual
se cumple los estndares que nos da las normas ISO, como tambin por
medio de esos resultados informar al Hospital Regional de Huacho que se
puede mejorar a futuro.
IV. Identificacin y Evaluacin de los Riesgos de informacin y los
Riesgos de Tecnologa de la Informacin
Para evaluar los riesgos de informacin y tecnologa de informacin se

tendrn en cuenta los siguientes objetivos, segn los once dominios:
pg. 35
POLTICA DE SEGURIDAD
Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en

concordancia con los requerimientos comerciales, leyes y regulaciones.
ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
Manejar la seguridad de la informacin dentro de la organizacin y los

medios de proceso de informacin a los cuales entidades externas tienen
acceso.
GESTIN DE ACTIVOS
Mantener la proteccin de los activos organizacionales y asegurar que la

informacin reciba un nivel de proteccin apropiado.
SEGURIDAD DE LOS RECURSOS HUMANOS
Para el grupo de personas dentro de una organizacin como empleados,

contratistas o terceros, antes del empleo deben entender sus
responsabilidades, roles y as reducir riesgo de robo, fraude o mal uso de
los medios, durante el empleo estar al tanto de las amenazas de la seguridad
de la informacin, a la terminacin o cambio del empleo asegurar que salgan
de la organizacin o cambien de empleo de una manera ordenada.
SEGURIDAD FSICA Y AMBIENTAL
En las reas seguras se debe evitar el acceso fsico no autorizado,

interferencia al local y a la informacin de la organizacin. Adems evitar la
prdida, robo o compromiso de los activos y la interrupcin de las actividades
de la organizacin.
GESTION DE LAS COMUNICACIONES Y OPERACIONES
Asegurar la operacin correcta y segura de los medios de procesamiento de

informacin, mantener el nivel apropiado de la seguridad de la informacin,
minimizar el riesgo de las fallas de los sistemas, proteger la integridad del
software, hacer una copia de respaldo de la informacin, asegurar la
proteccin de la informacin en red.
Evitar la divulgacin, modificacin, eliminacin no autorizada de los activos,
mantener la seguridad de la informacin mediante acuerdos de intercambio
pg. 36
con una entidad externa, detectar actividades de procesamiento de
informacin no autorizados.
CONTROL DE ACCESO
Controlar el acceso a la informacin, gestionar usuarios autorizados, evitar

el acceso no autorizado a los servicios de red, sistemas operativos, sistemas
de aplicacin y asegurar la seguridad de la informacin cuando se use
computacin mvil y tele-trabajo.
ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN
Asegurar que la seguridad sea parte integral de los SI, evitar errores,
prdida, modificacin no autorizada en las aplicaciones, proteger la
confidencialidad, autenticidad e integridad de la informacin, garantizar la
seguridad de los archivos del sistema, reducir riesgos de las vulnerabilidades
tcnicas publicadas.
GESTIN DE UN INCIDENTE EN LA SEGURIDAD DE LA
INFORMACIN
Asegurar que los eventos y debilidades en la seguridad de la informacin

sea comunicada para tomar una decisin correctiva oportuna, y asegurar
que se aplique un enfoque efectivo a la gestin de la seguridad de la
informacin.
GESTIN DE LA CONTINUIDAD COMERCIAL
Contrarrestar las interrupciones de las actividades comerciales, y proteger

los procesos comerciales crticos de los efectos de fallas.
CUMPLIMIENTO DE LOS REQUERIMIENTOS LEGALES
Evitar violaciones contra cualquier ley, obligacin contractual y

requerimiento de seguridad. Asegurar el cumplimiento de los sistemas con
las polticas y estndares de seguridad organizacional, maximizar la
efectividad y minimizar la interferencia del proceso de auditora de los
sistemas de informacin.
V. Formulacin del Plan de Seguridad de la Informacin (PSI)
5.1 Objetivo y Alcance
pg. 37
En el presente trabajo desarrollaremos el diseo e implementacin de un
plan de seguridad de informacin con el objetivo de describir y recomendar
tcnicas para el manejo exitoso de la seguridad informtica.
Mediante este plan la empresa que maneja informacin relevante continuara
con el buen funcionamiento de la misma.
Como la mayora de las empresas no aplican medidas de seguridad
consistentes para guardar informacin y esto es notable en las diferentes
reas de la empresa, por lo cual en caso de algn desastre o accidente
puede terminar por acabar con la misma empresa.
Es por esto que es necesario implementar un plan de seguridad y evitar
cualquier tipo de peligro interno.
5.2 Recursos:
Hardware y
Econmico Humano Logsticos
Software
Pasajes de Habilitadores de la Computadoras y
Analistas
movilidad Informacin laptop
Personal
Sistemas del
Encargado de la Equipo de
Saldo en recargar Hospital Regional
elaboracin del Trabajo
de Huacho
plan
Personal
Alimentos del encargado de la Sistema Operativo
Gestores
grupo de trabajo elaboracin del Windows 8.1
informe final
Personal del Hospital Office 2013 Auditores

Regional de Huacho
El Profesor del Curso Encuestas
-------
(Guia) Impresas
pg. 38
5.3 Responsables
NOMBRE Y APELLIDO RESPONSABILIDAD
Huaymana Enrriquez Luis Felipe Gestores (Jefe del Plan de Trabajo)
Evangelista Busso, Rogger William Analista
Mandamiento Mejia, Jhairo Auditor
Osorio Cmara , Nahil Melani Gestor
Susanibar Pacheco Marcos Analista
5.4 Cronograma:
DIAS/UTILE HRS/HOMB
ACTIVIDAD S RE HORAS FECHA
ESTIMADAS
Programacin 01 08 08 18/04/15
cronograma
Plan de Trabajo 02 08 16 27/04/15
Trabajo de en la 03 08 24 05/05/15
institucin
Elaboracin de 03 08 24 09/05/15
Observaciones
Evaluacin Descargos 01 08 08 15/05/15
Elaboracin de Informe 03 08 24 23/06/15
Evaluacin de Informe 04 08 32 15/07/15
Total 17 08 136
NOTA: Hay que recalcar que el alcance es un periodo de medio ao, pero el
cronograma est establecido de acuerdo al tiempo que dura el curso.
pg. 39
DIAGRAMA DE GANTT
PRO. CRONO
PLAN TRAB
T. INSTITU
ELA OBSE
EV. DESCA
ELA. INF
EVA. INF
a
a
a
a
a
a
a
a
a
a
a
a
a
-40 -20 0 20 40 60 80
DIAS
5.5 Financiamiento:
Para el financiamiento directo que el grupo de trabajo le ofrece al Hospital

Regional de Huacho, de algn modo es propuesto por nosotros ya que no
estamos tercializando el Plan de Trabajo a las empresas que deseen
patrocinarnos sern bienvenidos ya que somos un grupo estudiantil que
estamos en proceso de mejora. Nuestro Financiamiento seria el siguiente:
pg. 40
Inversin S/.
Pago al contado 5000.00
Financiamiento en 2 cuotas S/.
Cuota I (22/06/2015) 2,500.00
Cuota II (30/09/2015) 2,500.00
Total 5,500.00
Total intereses -500.00
Cuota inicial 1,000.00
8 cuotas mensuales 500.00
Total a cancelar 5,778.00
Intereses incluidos -778.00
Cuota inicial 1,503.00
12 cuotas mensuales 460.00
Total a cancelar 7,943.00
Intereses incluidos -383.00
5.6 Plan de Trabajo:
Etapa I: Definicin de la organizacin de la seguridad

Para implementar el plan de seguridad de la informacin y que este sea
exitosa se definirn las actividades siguientes.
DEFINICIN DE LA ORGANIZACIN DE SEGURIDAD
Definicin de la estructura organizacional de la seguridad: Para esto se
analiza la estructura organizacional que soporta la seguridad de la
informacin, por lo que definiremos roles y responsabilidades para hacer un
monitoreo de la informacin.
DEFINICIN DE LA VISIN Y ESTRATEGIA DE LA SEGURIDAD O
COMPROMISO DE ALA DIRECCIN
Definicin de la visin y estrategia de la seguridad: Se definir la posicin
estratgica que mantiene la seguridad dentro de la organizacin.
DEFINICION DE PROGRAMAS DE ENTRENAMIENTO Y
CONCIENTIZACIN
pg. 41
Definicin de programas de entrenamiento y concientizacin: Instruir al
personal como proteger toda la informacin confidencial.
Etapa II: Identificacin de riesgos asociados a factores estratgicos
En esta etapa tendremos un entendimiento de los factores estratgicos del
negocio. A partir de esta etapa ser posible priorizar los requerimientos de
seguridad.
Sus actividades son:
ANALISIS DEL USO Y ESTRATEGIA DE LA TECNOLOGA
Para esto necesitamos identificar por completo los riesgos existentes
relacionados a la tecnologa de la informacin.
ANALISIS DE LAS INICIATIVAS Y PROCESOS DEL NEGOCIO
Se debe identificar y documentar los riesgos de la tecnologa que se
encuentran involucrados en cada iniciativa de negocio.
EVALAUCION DE AMENAZAS, VULNERABILIDADES Y RIESGOS
Se identificara y har un inventario de los riesgos y vulnerabilidades de
seguridad de la informacin.
Etapa III: Desarrollar y completar polticas y arquitectura de seguridad
Esta etapa tiene como objetivo complementar y formalizar las polticas de
seguridad desarrolladas por la oficina de sistemas para proveer sustento
formal.
Esto permitir plasmar la estrategia de seguridad de la informacin en una
etapa de desarrollo de polticas, arquitectura de seguridad, estndares para
su implementacin.

DESARROLLO DE LA POLTICA Y ESTNDARES DE SEGURIDAD DE LA
INFORMACIN
Aqu se completa y formaliza la poltica de seguridad como documento
fundamental para una estrategia de proteccin de la informacin efectiva.
Las polticas a desarrollar deben estar de acuerdo al estndar ISO 17799.
CLASIFICACIN DE LA INFORMACION
Se le asignan valores relativos a la informacin del negocio para aplicar un
nivel apropiado de controles.
Lograr que la poltica de seguridad y las tecnologas sean las adecuadas
para su implementacin.
ARQUITECTURA DE SEGURIDAD Y ESTNDARES TCNICOS
pg. 42
Permitir obtener una interpretacin a nivel tcnico de las polticas y
estndares corporativos del Hospital Regional de Huacho.
Estos estndares permitirn al responsable de la plataforma implementar
polticas de seguridad definidas en la fase previa independiente de la
plataforma misma.
Etapa IV: Implementacin - Validacin
El objetivo de esta etapa es validar e implementar los controles existentes y
faltantes de acuerdo a la etapa previa del dice; o del PSI.
IMPLEMENTACION/VALIDACION DE PROCESOS DE MONITOREO
Implementacin de procesos operacionales para la deteccin de
disconformidades con las polticas de seguridad y estndares.
En esta actividad se debe completar los procedimientos de auditoria de
sistemas y culminar con los planes existentes.
IMPLEMENTACION/VALIDACION DE PROCESOS DE EJECUCIN
En esta fase se implementan o completan los procesos operacionales
destinados a prevenir disconformidades con las polticas y estndares de
seguridad.
IMPLEMENTACION/VALIDACION DE PROCESOS DE RECUPERACION
Implementacin de procesos operacionales destinados a restaurar las
operaciones de negocio de interrupciones del servicio. Es objetivo de esa
fase completar los procesos relacionados al plan de adecuacin. Mediante
la gestin de la continuidad y con su propia metodologa el cual nos apoya.
pg. 43
ANEXO N 03
ANALISIS DE RIESGO
ACTIVOS Y AMENAZAS
Presentamos la lista de activos reconocidos en el HOSPITAL REGIONAL
DE HUACHO, asignando un valor a la importancia que tienen en empresa,
ponderada en una escala del 1 al 10.
Esta importancia es un valor subjetivo que refleja el nivel del impacto que
puede tener el HOSPITAL REGIONAL DE HUACHO si un incidente afecta a
los activos, sin considerar las medidas de seguridad que existan sobre los
mismos.
Listado de Activos:
Aqu definimos los distintos activos reconocidos del Hospital Regional de
Huacho, asignando un valor de importancia del 1 al 5. Esta importancia es
un valor subjetivo que refleja el nivel de Impacto que puede tener el Hospital
Regional de Huacho, si un incidente afecta a los activos, sin considerar las
medidas de seguridad que existan sobre los mismos.
I IMPA
CATEGORA D DESCRIPCIN DE ACTIVOS CTO
1 Data generada por los usuarios 5
ACTIVOS DE 2 Data generado por los sistema de informacin 5
INFORMACIN 3 Documentos de reportes 2
4 Manuales de los sistemas de informacin 1
5 Sistema Administrativo 4
6 Sistema de Cmaras Web 4
ACTIVOS DE
7 Sistema de Trmite 4
SOFTWARE
8 Sistema de Control de IP 2
9 Herramientas de desarrollo 1
pg. 44
1
0 Antivirus 1
1
1 Experiencia en el proceso 4
ACTIVOS DEL 1
PERSONAL 2 Credibilidad 4
1
3 Valores 4
ACTIVOS 1
INTANGIBLES 5 Reconocimiento del MINSA 5
1
6 Cableado de red 4
1
7 PC's de escritorio 3
1
8 Impresora (digitales) 2
1
9 Telfono fijo (IP) 2
ACTIVOS
2
FSICOS
1 Laptops 3
2
2 Servidores 3
2
3 Herramientas de escritorio 2
Dispositivos de conectividad y soporte en
2 comunicaciones (Cableado, antenas, Swich,
4 mdems) 3
2
5 Sistema elctrico y pozo a tierra 5
ACTIVOS DE 2
SERVICIO 6 Aire acondicionado 1
2
7 Internet (inalmbrico, cableado) 2
A continuacin se listan las amenazas que pueden afectar a dichos activos,

indicando la probabilidad de que estas contingencias ocurran, en una escala
del 1 al 3. Esta probabilidad fue evaluada teniendo en cuenta las medidas
de seguridad existentes en la organizacin.
Listado de Amenazas:
ID AMENAZA POSIBILIDAD
1 Inexistencia de marco para establecer objetivos 2
2 Falta de polticas de seguridad del rea de TI 3
3 Falta de comunicacin de las polticas en el rea de TI 1
4 No contar con encargado para el desarrollo, revisin y evaluacin de las plticas 2
5 Falta de procedimiento para revisar las polticas de seguridad 1
6 Falta de roles de seguridad para asegurar las polticas de seguridad 2
7 Falta de control de las actividades de la seguridad 1
8 Falta de revisin de cambios que ocurren sobre la seguridad de la informacin 3
pg. 45
9 Riesgos externos no identificados 1
10 Falta de control de los grupos externos del rea de TI 1
11 Falta de acuerdos con terceros para mantener la seguridad 1
12 Falta de clasificacin de activos 2
13 Falta de reglas para el uso de la informacin 2
14 Falta de controles para salvaguardar la confidencialidad de informacin 1
15 Falta de documentacin de los roles y responsabilidades de la seguridad del personal 3
16 Falta de investigacin al personal nuevo 2
17 No consideracin de las responsabilidades de seguridad en el contrato 1
18 Falta de motivacin al personal para que cumplan con las polticas de seguridad 1
19 Falta de informacin acerca de las amenazas de seguridad 1
20 Falta de proceso disciplinario 3
21 No contar con permetros de seguridad 2
22 Falta de control del acceso fsico al rea de TI 1
23 Falta de control del personal que ingresa al rea de TI 2
24 Desastres naturales 2
25 Falta de proteccin fsica a los accesos no autorizados 3
26 Falta de generador de energa 1
27 Robos 1
28 Incendios 2
29 Vandalismo 1
30 Mal mantenimiento de equipos 3
31 Mal manejo de los sistemas 3
32 Falta de control de cambios en medios y sistemas 1
33 Falta de precauciones para evitar y detectar virus 2
34 Falta de control de las entradas y salidas de informacin 1
35 Mal manejo de los riesgos con el uso de comunicacin inalmbrica 3
36 Falta de identificacin de los riesgos al acceso de informacin 2
37 Falta de polticas para entregar nuevo acceso al personal 2
38 Falta de chequeo peridico para eliminar o bloquear usuarios 1
39 Falta de estndares para las claves secretas 1
40 Falta de polticas para el acceso a la red 3
41 Falta de controles de seguridad para el acceso remoto 2
42 Mal manejo de antivirus 1
43 Mal manejo de la informacin 2
44 Falta de proteccin del sistema 1
45 Falta de control criptogrfico 1
46 Mal manejo del control y configuracin del sistema 3
47 Falta de asesora sobre requerimientos legales 2
48 Falta de reporte de los incidentes 1
Posibles consecuencias y medidas existentes.

En este cuadro se listan los activos del Hospital Regional de Huacho, las
amenazas que los afectan directamente y las consecuencias que puede
acarrear la materializacin de estas amenazas. Se describen tambin las
salvaguardas o informacin referida a las medidas que ha tomado el Hospital
Regional de Huacho para mitigar estas consecuencias. Por ltimo se han
evaluado estas medidas, indicando si son efectivas o regularmente efectivas.
pg. 46
NOMBRE DE ACTIVO VITAL SE ES
COMO?
AMENAZAS PROTEGE? EFECTIVA?
DATA GENERADA POR USUARIO Y
SISTEMA DE INFORMACIN
Falta de controles para salvaguardar la
NO
confidencialidad de informacin
Hay reglas
establecidas
SI REGULAR
Falta de reglas para el uso de la para el uso de
informacin informacin
Falta de documentacin de los roles y
responsabilidades de la seguridad del NO
personal
Falta de control de las entradas y salidas de
NO
informacin
Mal manejo de la informacin NO
Documentos de reportes
responsabilidades de la seguridad del
personal NO
Desastres naturales NO
confidencialidad de informacin NO
Falta de reporte de los incidentes NO
Manuales de los sistemas de
informacin
Falta de reglas para el uso de la
informacin NO
personal NO
Falta de investigacin al personal nuevo NO
Falta de control de cambios en medios y
sistemas NO
Sistema de Cmaras Web
Falta de proteccin del sistema NO
Mal manejo del control y configuracin del
sistema NO
Riesgos externos no identificados NO
Sistema de Control de IP
Mal manejo de los riesgos con el uso de
comunicacin inalmbrica NO
Falta de control criptogrfico NO
Mal manejo del control y configuracin del
sistema NO
Falta de polticas de seguridad del rea de Existen polticas
TI SI de seguridad REGULAR
Falta de comunicacin de las polticas en el
rea de TI NO
Mal manejo de los sistemas NO
Falta de proteccin fsica a los accesos no
autorizados NO
pg. 47
Falta de polticas para el acceso a la red NO
Herramientas de desarrollo
Falta de asesora sobre requerimientos
legales NO
Inexistencia de marco para establecer
objetivos NO
Antivirus
Cuenta con
antivirus
Mal manejo de antivirus SI (SOPHOS) REGULAR
Cuenta con
Falta de precauciones para evitar y detectar antivirus
virus SI (SOPHOS) REGULAR
Se realiza un
mantenimiento
continuo a los
Mal mantenimiento de equipos SI equipos SI
Falta de informacin acerca de las
amenazas de seguridad NO
Credibilidad
No contar con encargado para el desarrollo, Se cuenta con
revisin y evaluacin de las plticas SI personal experto
Falta de procedimiento para revisar las
polticas de seguridad NO
Falta de roles de seguridad para asegurar
las polticas de seguridad NO
Falta de clasificacin de activos NO
Falta de proceso disciplinario NO
Control de
Robos SI seguridad REGULAR
Valores
Control de
Falta de control de las entradas y salidas de
informacin NO
autorizados NO
Falta de control de las actividades de la
seguridad NO
Reconocimiento del MINSA
Robos Control de
SI seguridad REGULAR
Vandalismo NO
Falta de proceso disciplinario NO
Cableado de red
Se cuenta con
generar de
Falta de generador de energa SI energa SI
Incendios NO
Impresora, laptops y telfono fijo
Falta de control del personal que ingresa al
rea de TI NO
pg. 48
autorizados NO
Se cuenta con
generador de
Control de
Vandalismo NO
Se realiza un
mantenimiento
continuo a los
Herramientas de escritorio
Se cuenta con
Mal manejo de los sistemas SI personal experto SI
Falta de control de cambios en medios y
sistemas NO
Falta de proteccin del sistema NO
Mal manejo del control y configuracin del Se cuenta con
sistema SI personal experto SI
Dispositivos de conectividad y
soporte en comunicaciones
(Cableado, antenas, Swich, mdems)
amenazas de seguridad NO
No contar con permetros de seguridad NO
Falta de control del acceso fsico al rea de
TI NO
Falta de control del personal que ingresa al
rea de TI NO
autorizados NO
Se cuenta con
generador de
Control de
Incendios NO
Vandalismo NO
Se realiza un
mantenimiento
continuo a los
Sistema elctrico y pozo a tierra
Incendios NO
Se cuenta con
generador de
Aire acondicionado
pg. 49
Se cuenta con
generador de
Incendios NO
Control de
Vandalismo NO
Internet (inalmbrico, cableado)
Se cuenta con
generador de
Incendios NO
Falta de polticas para el acceso a la red NO
SISTEMA ADMINISTRATIVO Y DE
TRAMITE
confidencialidad de informacin NO
Mal manejo del control y configuracin del Se cuenta con
sistema SI personal experto SI
Se realiza
Falta de chequeo peridico para eliminar o mantenimientos
bloquear usuarios SI peridicos SI
Falta de identificacin de los riesgos al
acceso de informacin NO
Falta de polticas para entregar nuevo
acceso al personal NO
Hay polticas
para entregar
Falta de control de cambios en medios y nuevos acceso al
sistemas SI personal REGULAR
Mal manejo de antivirus NO
Personal
capacitado en el
EXPERIENCIA EN EL PROCESO SI antivirus SI
Inexistencia de marco para establecer
objetivos
Falta de polticas de seguridad del rea de
TI NO
Existen polticas
Falta de comunicacin de las polticas en para la seguridad
el rea de TI SI del rea REGULAR
Se realizan
reuniones
No contar con encargado para el continuas para
desarrollo, revisin y evaluacin de las informar las
plticas SI nuevas medidas SI
Falta de procedimiento para revisar las Se cuenta con
polticas de seguridad SI personal experto
Falta de roles de seguridad para asegurar
las polticas de seguridad NO
Falta de control de las actividades de la
seguridad NO
pg. 50
Falta de revisin de cambios que ocurren
sobre la seguridad de la informacin NO
Riesgos externos no identificados NO
informacin NO
Hay reglas
establecidas
Falta de controles para salvaguardar la para el uso de
confidencialidad de informacin SI informacin REGULAR
personal NO
PC'S DE ESCRITORIO Y SERVIDORES
Falta de control del acceso fsico al rea de
TI NO
Falta de control del personal que ingresa
al rea de TI NO
Falta de proteccin fsica a los accesos
no autorizados NO
Falta de generador de energa NO
Se cuenta con un
generador de
Robos SI energa SI
Vandalismo NO
Se realiza
mantenimiento
Mal mantenimiento de equipos SI continuo SI
Calculo de la Vulnerabilidad y de Riesgo

En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los
que incide cada activo vital identificado. Para esto se tiene en cuenta el
nivel de importancia asignado a cada uno y la probabilidad de ocurrencia
de estos riesgos. Para realizar dicho clculo se desarrollaron las siguientes
operaciones:
PROBABILIDAD DE OCURRENCIA: representan la probabilidad de

que se materialicen las amenazas identificadas, en una escala del 1 al
3. Esta probabilidad fue evaluada teniendo en cuenta las medidas de
seguridad existentes en el Banco San Jos.
NIVEL DE VULNERABILIDAD: se calcula el porcentaje de probabilidad de

que se materialicen las amenazas, con respecto a la cantidad de
amenazas identificadas para dicho activo. Esto es debido a que cada
activo est afectado por un nmero diferente de amenazas posibles, de
manera que este clculo sirve para obtener un porcentaje de
probabilidades equilibrado por igual para cualquier activo,
independientemente de la cantidad de amenazas que lo afectan.
pg. 51
NIVEL DE RIESGO: en este momento interviene el nivel de importancia
que refleja el nivel de Impacto que puede tener el Banco San Jos si
un incidente afecta a los activos, multiplicando al nivel de
vulnerabilidad. De esta forma se obtiene el nivel de riesgo de cada
activo con respecto a una amenaza. La suma de estos valores es el
nivel de riesgo total que corresponde a cada activo.
IM PROBABILID
VULNE
NOMBRE DEL PA AD DE RIES
AMENAZA RABILID
ACTIVO CT OCURRENCI GO
AD
O A
Falta de controles para
salvaguardar la confidencialidad de 1 20 100
informacin
DATA Falta de reglas para el uso de la 2 40 200
1 y GENERADA POR informacin
USUARIO Y 5 Falta de documentacin de los roles
2
SISTEMAS DE y responsabilidades de la seguridad 3 60 300
INFORMACIN del personal
Falta de control de las entradas y
salidas de informacin
1 20 100
Mal manejo de la informacin 2 40 200
CANTIDAD DE AMENAZAS= 5 180 900
Falta de documentacin de los roles
y responsabilidades de la seguridad 3 60 120
del personal
Desastres naturales 2 40 80
3 Documentos de 2 Falta de controles para
reportes salvaguardar la confidencialidad de 1 20 40
informacin
Mal manejo de la informacin 2 40 80
Falta de reporte de los incidentes 1 20 40
2 50 50
informacin
Manuales de y responsabilidades de la seguridad 3 75 75
4 los sistemas de 1 del personal
informacin Falta de investigacin al personal 2 50 50
nuevo
Falta de control de cambios en
1 25 25
medios y sistemas
Falta de proteccin del sistema 1 25 100
Mal manejo del control y
Sistema de 3 75 300
6 4 configuracin del sistema
Cmaras Web
Riesgos externos no identificados 1 25 100
Mal manejo de los riesgos con el
3 37,5 75
uso de comunicacin inalmbrica
Falta de control criptogrfico 1 12,5 25
Sistema de
8 2 Mal manejo del control y
Control de IP 3 37,5 75
configuracin del sistema
Falta de polticas de seguridad del
3 37,5 75
rea de TI
pg. 52
Falta de comunicacin de las
1 12,5 25
polticas en el rea de TI
Mal manejo de los sistemas 3 37,5 75
Falta de proteccin fsica a los
3 37,5 75
accesos no autorizados
Falta de polticas para el acceso a
3 37,5 75
la red
Falta de asesora sobre 66,6
2 66,67
requerimientos legales 7
Herramientas Inexistencia de marco para 66,6
9 1 2 66,67
de desarrollo establecer objetivos 7
66,6
Mal manejo de la informacin 2 66,67
7
200,
CANTIDAD DE AMENAZAS= 3 200,00
00
Mal manejo de antivirus 1 25 25
Falta de precauciones para evitar y
2 50 50
10 Antivirus 1 detectar virus
Mal mantenimiento de equipos 3 75 75
1 25 25
amenazas de seguridad
No contar con encargado para el
114,
desarrollo, revisin y evaluacin de 2 28,57
29
las plticas
Falta de procedimiento para revisar 57,1
1 14,29
las polticas de seguridad 4
Falta de roles de seguridad para 114,
2 28,57
asegurar las polticas de seguridad 29
12 Credibilidad 4 Falta de clasificacin de activos 2 28,57 114,
29
Falta de investigacin al personal 114,
2 28,57
nuevo 29
171,
Falta de proceso disciplinario 3 42,86
43
57,1
Robos 1 14,29
4
742,
86
Robos 1 25 100
Falta de control de las entradas y
1 25 100
salidas de informacin
13 Valores 4 Falta de proteccin fsica a los
3 75 300
accesos no autorizados
Falta de control de las actividades
1 25 100
de la seguridad
Robos 1 20 100
Reconocimiento Vandalismo 1 20 100
15 5
o del MINSA Desastres naturales 2 40 200
Falta de proceso disciplinario 3 60 300
266,
Desastres naturales 2 66,67
Cableado de 67
16 4
red Falta de generador de energa 1 33,33 133,
pg. 53
33
266,
Incendios 2 66,67
67
666,
67
Falta de control del personal que 57,1
2 28,57
ingresa al rea de TI 4
57,1
4
Falta de proteccin fsica a los 85,7
3 42,86
18, accesos no autorizados 1
Impresora,
19 28,5
Y
laptops y 2 Falta de generador de energa 1 14,29
7
21
telfono fijo 28,5
Robos 1 14,29
7
28,5
Vandalismo 1 14,29
7
85,7
Mal mantenimiento de equipos 3 42,86
1
371,
43
Mal manejo de los sistemas 3 60 120
1 20 40
medios y sistemas
Herramientas
23 2 Falta de proteccin del sistema 1 20 40
de escritorio
3 60 120
Falta de informacin acerca de las 27,2
1 9,09
amenazas de seguridad 7
No contar con permetros de 54,5
2 18,18
seguridad 5
Falta de control del acceso fsico al 27,2
1 9,09
rea de TI 7
2 18,18
Dispositivos de ingresa al rea de TI 5
54,5
conectividad y Desastres naturales 2 18,18
5
soporte en
Falta de proteccin fsica a los 81,8
24 comunicacione 3 accesos no autorizados 3 27,27
2
s (Cableado, 27,2
antenas, Stich, Falta de generador de energa 1 9,09 7
mdems) 27,2
Robos 1 9,09
7
54,5
Incendios 2 18,18
5
27,2
Vandalismo 1 9,09
7
81,8
2
518,
18
Incendios 2 40 200
Sistema
25 elctrico y pozo 5 Falta de generador de energa 1 20 100
a tierra Desastres naturales 2 40 200
No contar con permetros de
2 40 200
pg. 54
seguridad
16,6
Falta de generador de energa 1 16,67
7
33,3
3
33,3
Incendios 2 33,33
Aire 3
26 1
acondicionado Falta de reporte de los incidentes 1 16,67 16,6
7
16,6
Robos 1 16,67
7
16,6
Vandalismo 1 16,67
7
133,
33
Falta de generador de energa 1 20 40
Desastres naturales 2 40 80
Internet
27 (inalmbrico, 2 Incendios 2 40 80
cableado) Falta de reporte de los incidentes 1 20 40
Falta de polticas para el acceso a
3 60 120
la red
salvaguardar la confidencialidad de 1 12,5 50
informacin
3 37,5 150
Falta de proteccin del sistema 1 12,5 50
SISTEMA Falta de chequeo peridico para
5y
ADMINISTRATIV 4 eliminar o bloquear usuarios
1 12,5 50
7
O Y DE TRAMITE Falta de identificacin de los riesgos
al acceso de informacin
2 25 100
Falta de polticas para entregar
nuevo acceso al personal
2 25 100
medios y sistemas
1 12,5 50
Mal manejo de antivirus 1 12,5 50
CANTIDAD DE AMENZAS= 8 150 600
Inexistencia de marco para 61,5
2 15,38
establecer objetivos 4
Falta de polticas de seguridad del 92,3
3 23,08
rea de TI 1
Falta de comunicacin de las 30,7
1 7,69
polticas en el rea de TI 7
No contar con encargado para el
61,5
desarrollo, revisin y evaluacin de 2 15,38
EXPERIENCIA las plticas 4
11 EN EL PROCESO 4 Falta de procedimiento para revisar 30,7
1 7,69
las polticas de seguridad 7
Falta de roles de seguridad para 61,5
2 15,38
asegurar las polticas de seguridad 4
Falta de control de las actividades 30,7
1 7,69
de la seguridad 7
Falta de revisin de cambios que
92,3
ocurren sobre la seguridad de la 3 23,08
pg. 55
informacin 1
30,7
Riesgos externos no identificados 1 7,69
7
Falta de reglas para el uso de la 61,5
2 15,38
informacin 4
30,7
salvaguardar la confidencialidad de 1 7,69
informacin 7
92,3
y responsabilidades de la seguridad 3 23,08
del personal 1
Falta de investigacin al personal 61,5
2 15,38
nuevo 4
738,
46
No contar con permetros de 66,6
2 22,22
seguridad 7
Falta de control del acceso fsico al 33,3
1 11,11
rea de TI 3
2 22,22
ingresa al rea de TI 7
66,6
7
17 PC'S DE
Falta de proteccin fsica a los 100,
y ESCRITORIO Y 3 3 33,33
accesos no autorizados 00
22 SERVIDORES
33,3
Falta de generador de energa 1 11,11
3
33,3
Robos 1 11,11
3
33,3
Vandalismo 1 11,11
3
100,
00
533,
33
Conclusiones
En el siguiente cuadro se muestran los niveles de vulnerabilidad y de riesgo
en los que incurre cada activo que se ha identificado al inicio del anlisis.
Para realizar esto se tuvo en cuenta el nivel de importancia que se le asign
a cada uno y la probabilidad de ocurrencia de estos riesgos.
Se necesit de estas operaciones para el desarrollo de lo dicho

anteriormente:
Nivel de Riesgo(R) y Vulnerabilidad (V)
Lo primero es listar los niveles de Riesgo y Vulnerabilidad para cada activo

con el que cuenta el rea de informtica, considerando la importancia de 1
a 10.
pg. 56
NIVEL DE
NIVEL DE RIESGO (
VULNERABILI
ACTIVOS R )
DAD
VALOR R% VALOR V%
Data generada por los usuarios y
1 y 2 sistemas de informacin 900 8,95 180 5,14
3 Documentos de reportes 360 3,58 180 5,14
Manuales de los sistemas de
4 informacin 200 1,99 200 5,71
5 Sistema Administrativo y tramite 600 5,96 150 4,28
6 Sistema de Cmaras Web 600 5,96 150 4,28
7 Sistema de Control de IP 500 4,97 250 7,14
8 Herramientas de desarrollo 200 1,99 200 5,71
9 Antivirus 175 1,74 175 5,00
10 Experiencia en el proceso 738,46 7,34 184,62 5,27
11 Credibilidad 742,86 7,38 185,71 5,30
12 Valores 600 5,96 150 4,28
13 Reconocimiento del MINSA 700 6,96 140 4,00
14 Cableado de red 666,67 6,63 166,67 4,76
15 y
16 PC's de escritorio y servidores 533,33 5,30 177,78 5,08
17,
18 y Impresora (digitales), telfono fijo (IP) y
19 laptops 371,43 3,69 185,71 5,30
20 Herramientas de escritorio 360 3,58 180 5,14
Dispositivos de conectividad y soporte
en comunicaciones (Cableado, antenas,
21 Swich, mdems) 518,185,15 172,73 4,93
22 Sistema elctrico y pozo a tierra 800 7,95 160 4,57
23 Aire acondicionado 133,331,33 133,33 3,81
24 Internet (inalmbrico, cableado) 360 3,58 180 5,14
100, 3501,5 100,0
10059,26 00 5 0
ACTIVOS POR ORDEN DE RIESGOS
ACTIVOS RIESGO R%
1y2 Data generada por los usuarios y sistemas de informacin 900 8,95
3 Documentos de reportes 360 3,58
4 Manuales de los sistemas de informacin 200 1,99
5 Sistema Administrativo y tramite 600 5,96
6 Sistema de Cmaras Web 600 5,96
7 Sistema de Control de IP 500 4,97
8 Herramientas de desarrollo 200 1,99
9 Antivirus 175 1,74
10 Experiencia en el proceso 738,46 7,34
11 Credibilidad 742,86 7,38
12 Valores 600 5,96
13 Reconocimiento del MINSA 700 6,96
14 Cableado de red 666,67 6,63
15 y 16 PC's de escritorio y servidores 533,33 5,30
17, 18 y
pg. 57
19 Impresora (digitales), telfono fijo (IP) y laptops 371,43 3,69
20 Herramientas de escritorio 360 3,58
Dispositivos de conectividad y soporte en comunicaciones
21 (Cableado, antenas, Swich, mdems) 518,18 5,15
22 Sistema elctrico y pozo a tierra 800 7,95
23 Aire acondicionado 133,33 1,33
24 Internet (inalmbrico, cableado) 360 3,58
100,
10059,26 00
ACTIVOS POR ORDEN DE VULNERABILIDAD

NIVEL DE
ACTIVOS VULNERABILIDAD
VALOR V%
1y2 Data generada por los usuarios y sistemas de informacin 180 5,14
3 Documentos de reportes 180 5,14
4 Manuales de los sistemas de informacin 200 5,71
5 Sistema Administrativo y tramite 150 4,28
6 Sistema de Cmaras Web 150 4,28
7 Sistema de Control de IP 250 7,14
8 Herramientas de desarrollo 200 5,71
9 Antivirus 175 5,00
10 Experiencia en el proceso 184,62 5,27
11 Credibilidad 185,71 5,30
12 Valores 150 4,28
13 Reconocimiento del MINSA 140 4,00
14 Cableado de red 166,67 4,76
15 y 16 PC's de escritorio y servidores 177,78 5,08
17, 18
y 19 Impresora (digitales), telfono fijo (IP) y laptops 185,71 5,30
20 Herramientas de escritorio 180 5,14
Dispositivos de conectividad y soporte en comunicaciones
21 (Cableado, antenas, Swich, mdems) 172,73 4,93
22 Sistema elctrico y pozo a tierra 160 4,57
23 Aire acondicionado 133,33 3,81
24 Internet (inalmbrico, cableado) 180 5,14
3501,55 100,00
Anlisis de Importancia
Para el anlisis de importancia se toma en cuenta el nivel de riesgo y la
importancia con una ponderacin de 1 a 10. Para esto se calcul el
porcentaje del impacto y el porcentaje de riesgo. Al calcular la diferencia de
estos (Dif. De %) se obtiene el porcentaje que muestra cuan sobrevaluado o
menospreciados estn los activos de acuerdo a sus riesgos. Para el
desarrollo se necesit los siguientes clculos:
- DEF. DE %= R% - 1%
- DIF. DE IMPORTANCIA = (10* IMPORTANCIA ACTUAL * DEF. DE %)/1000
- IMPORTANCIA IDEAL= IMPORTANCIA ACTUAL + DIF. DE IMPORTANCIA
pg. 58
NIVEL DE IMPORTANCI
RIESGO A ACTUAL DIF. IMPO
IMPO DEF DE RTAN
ACTIVOS RTAN . DE IMPO CIA
RIES
R% CIA 1% % RTAN IDEA
GO
ACTU CIA L
AL
1y Data generada por los usuarios y 8.85
2 sistemas de informacin 900 8,95 6 4,20 4,75 2,85
- 6.08
3 Documentos de reportes 360 3,58 7 4,90 1,32 -0,92
Manuales de los sistemas de - 4.97
4 informacin 200 1,99 7 4,90 2,91 -2,03
- 8.97
5 Sistema Administrativo y tramite 600 5,96 10 6,99 1,03 -1,03
6 Sistema de Cmaras Web 600 5,96 5 3,50 2,47 1,23 6.23
7 Sistema de Control de IP 500 4,97 6 4,20 0,77 0,46 6.46
- 5.12
8 Herramientas de desarrollo 200 1,99 8 5,59 3,61 -2,88
- 4.92
9 Antivirus 175 1,74 8 5,59 3,85 -3,08
738, 6.92
10 Experiencia en el proceso 46 7,34 5 3,50 3,84 1,92
742, 8.74
11 Credibilidad 86 7,38 7 4,90 2,49 1,74
12 Valores 600 5,96 8 5,59 0,37 0,30 8.30
13 Reconocimiento del MINSA 700 6,96 8 5,59 1,36 1,09 9.09
666, - 9.63
14 Cableado de red 67 6,63 10 6,99 0,37 -0,37
15 y 533, - 8.11
16 PC's de escritorio y servidores 33 5,30 9 6,29 0,99 -0,89
17, 5.10
18 y Impresora (digitales), telfono fijo (IP) 371,
19 y laptops 43 3,69 5 3,50 0,20 0,10
- 6.39
20 Herramientas de escritorio 360 3,58 8 5,59 2,02 -1,61
Dispositivos de conectividad y 8.16
soporte en comunicaciones 518, -
21 (Cableado, antenas, Swich, mdems) 18 5,15 10 6,99 1,84 -1,84
22 Sistema elctrico y pozo a tierra 800 7,95 5 3,50 4,46 2,23 7.23
133, - 3.41
23 Aire acondicionado 33 1,33 4 2,80 1,47 -0,59
- 6.08
24 Internet (inalmbrico, cableado) 360 3,58 7 4,90 1,32 -0,92
1005 100, 138.7
9,26 00 143 100,00 0,00 -4,25 5
pg. 59
Listado por orden de importancia
ACTIVOS IMPORTANCIA IDEAL

Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, Swich,
21 mdems) 11,84
9 Antivirus 11,08
5 Sistema Administrativo y tramite 11,03
8 Herramientas de desarrollo 10,88
14 Cableado de red 10,37
15 y 16 PC's de escritorio y servidores 9,89
20 Herramientas de escritorio 9,61
4 Manuales de los sistemas de informacin 9,03
3 Documentos de reportes 7,92
24 Internet (inalmbrico, cableado) 7,92
12 Valores 7,70
13 Reconocimiento del MINSA 6,91
7 Sistema de Control de IP 5,54
11 Credibilidad 5,26
17, 18 y
19 Impresora (digitales), telfono fijo (IP) y laptops 4,90
23 Aire acondicionado 4,59
6 Sistema de Cmaras Web 3,77
1y2 Data generada por los usuarios y sistemas de informacin 3,15
10 Experiencia en el proceso 3,08
22 Sistema elctrico y pozo a tierra 2,77
147,2473263
pg. 60
CALCULO DE VULNERABILIDAD DESCUBIERTAS
Se muestran los valores mximos y mnimos de vulnerabilidad que pueden obtener los activos cuando las probabilidades son
llevadas a puntos extremos. Este clculo es necesario para compararlos con los valores relevados que figuran en la tercera columna.
Estos clculos se realizan sin tener en cuenta la influencia de la importancia, es decir se representan exclusivamente las debilidades
de cada activo, con las medidas de seguridad que actualmente existen.
ACTIVOS MAXIMO MINIMO REAL
1 y2 Data generada por los usuarios y sistemas de informacin 300 5 100 5 180 5,14
3 Documentos de reportes 300 5 100 5 180 5,14
4 Manuales de los sistemas de informacin 300 5 100 5 200 5,71
5 Sistema Administrativo y tramite 300 5 100 5 150 4,28
6 Sistema de Cmaras Web 300 5 100 5 150 4,28
7 Sistema de Control de IP 300 5 100 5 250 7,14
8 Herramientas de desarrollo 300 5 100 5 200 5,71
9 Antivirus 300 5 100 5 175 5,00
10 Experiencia en el proceso 300 5 100 5 184,62 5,27
11 Credibilidad 300 5 100 5 185,71 5,30
12 Valores 300 5 100 5 150 4,28
13 Reconocimiento del MINSA 300 5 100 5 140 4,00
14 Cableado de red 300 5 100 5 166,67 4,76
15 y 16 PC's de escritorio y servidores 300 5 100 5 177,78 5,08
17, 18 y 19 Impresora (digitales), telfono fijo (IP) y laptops 300 5 100 5 185,71 5,30
20 Herramientas de escritorio 300 5 100 5 180 5,14
21 Dispositivos de conectividad y soporte en comunicaciones (Cableado, antenas, Swich, mdems) 300 5 100 5 172,73 4,93
22 Sistema elctrico y pozo a tierra 300 5 100 5 160 4,57
23 Aire acondicionado 300 5 100 5 133,33 3,81
24 Internet (inalmbrico, cableado) 300 5 100 5 180 5,14
6000 100 2000 100 3501,55 100,00
pg. 61
Porcentajes de Vulnerabilidades Descubiertas
Se deduce del cuadro anterior, se puede calcular que el porcentaje de
vulnerabilidades descubiertas en el Hospital Regional de Huacho siendo el
58,36% y sabiendo que el porcentaje mnimo es 33,33% , entonces podemos
concluir que el Hospital Regional de Huacho debera reducir en 25,03 % de
vulnerabilidades descubiertas para as conseguir el nivel mnimo de riesgos
posibles.
PORCENTAJES DE VULNERABILIDADES DESCUBIERTAS 58,36
PORCENTAJE DE VULNERABILIDAD MINIMO 33,33
DESVIACION 25,03
Los resultados del anlisis indican que los activos que presentan mayor riesgo,
son Data generada por los usuarios y sistemas de informacin (1 y 2) y Sistema
elctrico y pozo a tierra (22), debido a que el rea de Informtica Hospital
Regional de Huacho maneja una gran cantidad de data, tanto de los usuarios
como de los sistemas de informacin, esta informacin tendra un alto riesgo
si llegara a verse vulnerado o manejado de manera errnea, este activo es vital
porque da a da para poder solucionar los problemas de otras reas del
Hospital, necesita tener control y acceso absoluto a la informacin. Por otro
lado una de las cosas ms importantes es el sistemas elctrico y el pozo a
tierra, esto es importante considerarlo porque a medida que los pacientes
aumentan, aumenta la necesidad de ms personal en las diferentes reas para
manejar los procesos administrativos, si aumenta el personal aumenta la
necesidad de computadoras para estos colaboradores, si no se tiene un buen
sistema elctrico y pozo a tierra, esto no es posible por lo que se necesita tomar
en cuenta.
El anlisis de los riesgos presento como activos con mayor ndice de

vulnerabilidad a Sistema de Control de IP (7), Manuales de los sistemas de
informacin (4) y Herramientas de desarrollo (8), esto se debe a la presencia
concurrente de amenazas con nivel alto (3) de posibilidad de ocurrencia.
pg. 62
ANEXO N 04
ANALISIS DE RIESGO
Ing. Percy Castillo Loyola Jefe del rea de Cmputo
pg. 63
Personal del rea de Cmputo en horas de labor -
Reparando/Registrando/Mantenimientos
pg. 64

Informe Final

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Informe Final

Transféré par

Droits d'auteur :

Formats disponibles

INFORME FINAL

AUDITORA AL AREA DE COMPUTO DEL HOSPITAL REGIONAL

Fecha: 14 de julio del 2015

De : Grupo Universitario de la UNJFSC

Nombre y Apellidos Cargo

Asimismo, cumplimos con informarle que durante la Auditoria se har de su conocimiento

Susanibar Pacheco Marcos Mandamiento Mejia, Jhairo

Cabe mencionar que el Manual de Organizacin y Funciones (MOF) se establece

2.1. Objetivo General:

2.2. Objetivos Especficos:

Diagnstico de la situacin actual de los sistemas de informacin en

Debilidades dentro de los Software que se utiliza para el manejo de la

Clasificacin de riesgos que representa el uso de hardware y software en

Evaluacin del nivel de riesgo que representa el uso inadecuado de los

Otros aspectos: Telecomunicaciones, EDI (intercambio electrnico de

Elaboracin de una matriz de riesgos que muestre las reas de la funcin

Revisin de la matriz de riesgos y del pronstico de proyectos de auditoria

Presentacin del plan de proyectos de la funcin de auditora en

Aprobacin formal de la alta direccin del informe final de la auditora en

El Hospital Regional de Huacho, se inaugura el 02 de Octubre de 1970, durante el

Gracias al gobierno de Alemania se construyen dos centros de salud gemelos en

Esta organizacin tiene como misin Brindar atencin integral y especializada de

El Hospital Regional de Huacho cuenta con un manual de organizacin y funciones,

Segn el Manual de Organizacin y Funciones (MOF):

Ley N 27657 - Ley del Ministerio de Salud.

Norma tcnica peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la

6. CONCLUSIONES EN RELACION Al OBJETIVO PROPUESTO

Buscando mejorar la Gestin de la Seguridad de Informacin, se concluye lo

6.1. Para determinar si los procesos y controles que emplean para la

El Hospital Regional de Huacho y especficamente el rea de Computo, cuenta

Esta normativa ofrece recomendaciones para realizar la gestin de la seguridad

Buscando que se tomen en cuenta las medidas pertinentes para el Hospital

7.1. Para determinar si los procesos y controles que emplean para la

Referente a los niveles de seguridad de la informacin, para asegurar el

2- Falta de mantenimiento de software aplicativo

3- Falta de licencias de software para algunos equipos informticos

3.5- Se recomienda a la direccin general en coordinacin con la unidad de estadstica

5- Falta de control de acceso a internet

DIAGNSTICO DEL PLAN DE SEGURIDAD DE LA INFORMACIN DEL REA DE

A continuacin se muestra la estructura de la ISO 17799, como metodologa a utilizar, la

Cada clusula contiene un nmero de categoras de seguridad principales. Las diez

Durante el desarrollo del trabajo se tiene prevista la utilizacin de cuestionarios para

4.1. Poltica de seguridad

4.2. Organizacin de la seguridad de la informacin

4.5. Seguridad fsica y ambiental

10.4 Seguridad de los

PLAN DE TRABAJO DEL DIAGNOSTICO DE LA SEGURIDAD DE LA INFORMACIN

I. Objetivo y alcance del trabajo

El objetivo del presente trabajo est dirigido a asesorar y orientar al Hospital

2. Evaluar la administracin de riesgos operativos y tecnolgicos,

3. Determinar si la infraestructura tecnolgica instalada es

4. Revisar si los planes estratgicos de la organizacin consideran

5. Determinar el grado de avance de los proyectos tecnolgicos

6. Verificar las disposiciones y reglamentos que apoyan al

1.2 Alcance del Trabajo

Despus de estar en el Hospital Regional de Huacho analizando y

Para evaluar los riesgos de informacin y tecnologa de informacin se

Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en

Manejar la seguridad de la informacin dentro de la organizacin y los

Mantener la proteccin de los activos organizacionales y asegurar que la

Para el grupo de personas dentro de una organizacin como empleados,

SEGURIDAD FSICA Y AMBIENTAL

En las reas seguras se debe evitar el acceso fsico no autorizado,