FACULTAD DE LA ESCUELA DE INGENIERÍA

ESCUELA PROFESIONAL DE

INGENIERÍA DE SISTEMAS

SGSI del Laboratorio Clínico Escalabs en la ciudad de Trujillo, 2021

AUTORES:

Blas Farfan, Jonatan Samuel (orcid.org/0000-0002-9030-319X)

Eche Zapata, Sheyla Madeline (orcid.org/0000-0001-5482-7888)
Moreno Soto, Nayelly Teofila (orcid.org/0000-0002-2029-0151)
Novoa Huaman, Pierce Alexander (orcid.org/0000-0002-5730-4844)
Ortiz Huatay, Carlos Miguel (orcid.org/0000-0002-5606-0446)
Quispe Ventura, Jhon Marco (orcid.org/0000-0002-6060-571X)

ASESOR:

Msc. Marcelino W. Carretero Obando (orcid.org/

0000-0002-5414-2886)

LÍNEA DE INVESTIGACIÓN:

Infraestructura de Servicio de Redes y Comunicaciones

TRUJILLO— PERÚ
(2021)
 ÍNDICE

CARÁTULA 1
ÍNDICE DE TABLAS 2
ÍNDICE DE FIGURAS 2
ÍNDICE 2
I. INTRODUCCIÓN 4
II. DESARROLLO 7
2.1. Contexto de la Organización 7
2.1.1. Presentación 7
2.1.2. Estructura de la empresa 8
2.1.3. Aspectos tecnológicos 9
2.2. Documentación de la política de seguridad 10
2.2.1. Política de Seguridad de la Información 11
2.2.2. Definición del SGSI 11
2.2.2.1. Alcance del sistema de gestión de la seguridad de la 12
información
2.2.2.2. Objetivos 13
2.2.2.3. Requisitos legales 14
2.2.2.4. Revisiones de auditorías 14
2.2.2.5. Compromiso de la dirección 17
2.2.3. Marco organizativo de la seguridad de la información 17
2.2.3.1. Responsabilidades 17
2.2.3.1.1. Dirección 17
2.2.3.1.2. Responsable de seguridad 18
2.2.3.1.3. Propietario de los riesgos 18
2.2.3.1.4. Responsable de sistemas 18
2.2.3.1.5. Personal 19
2.2.4. Evaluación de riesgos de seguridad 19
2.2.4.1. Proceso de Análisis y gestión de riesgos 19
2.2.4.2. Criterios de aceptación de riesgos 19
2.2.4.3. Propietarios del Riesgo 20
2.3. El inventario de activos 21
2.3.1. Procesos de negocio 21
2.3.2. Inventario de activos 22
2.3.3. Relación de proceso de negocio / activos 22
2.3.4. Valoración de activos 23

2
 2.4. Resultados de la evaluación de riesgos 24
2.4.1. Identificación y valoración de las amenazas 24
2.4.2. Cálculo del riesgo 27
2.4.3. Tratamiento del riesgo 29
2.5. Determinar los controles y declaración de la aplicabilidad 30
2.5.1. Declaración de la aplicabilidad 30
2.6. Documentación de la gestión de riesgos 31
2.6.1. Valoración de las amenazas tras la aplicación de las medidas 31
2.6.2. Cálculo de riesgos residuales 32
2.7. Documentación del plan de tratamiento de riesgos 32
2.7.1. Objetivo 32
2.7.2. Alcance 32
2.7.3. Responsabilidades 32
2.7.4. Tareas 33
2.7.5. Seguimiento 35
2.8. Documentación del procedimiento de gestión de métricas de seguridad 35
2.8.1. Objetivo 35
2.8.2. Alcance 35
2.8.3. Responsabilidades 35
2.8.4. Desarrollo 35
2.8.5. Requisitos de documentación 35
2.8.6. Referencias 36
2.9. Documentación del procedimiento de gestión de incidencias 36
2.9.1. Objetivo
2.9.2. Alcance
2.9.3. Responsabilidades
2.9.4. Desarrollo
2.9.4.1. Notificación de incidencias
2.9.4.2. Gestión y tratamiento de incidencias
2.9.5. Requisitos de documentación
2.9.6. Referencias
2.9.7. Anexo (Registro de las incidencias)
III. CONCLUSIONES 38
REFERENCIAS 39
ANEXOS 40

3
I. INTRODUCCIÓN
Los ciberataques crecen e incesantemente a lo largo de los años y, a su
vez, la evolución de la seguridad se moderniza y mejora, lo que lleva a
una carrera entre el bien y el mal, donde ya no se puede saber. Nuestra
información es privada y segura, por lo que el crecimiento es
imprescindible. en las empresas de hoy. Una de las prácticas más
importantes es la implementación de controles de seguridad de la
información y una de las más conocidas es el SGSI (Sistema de Gestión
de Seguridad de la Información) según la norma ISO/IEC 27001.

La implementación de políticas de control de acceso es esencial porque

le permite determinar qué usuarios tienen y qué usuarios no tienen
acceso a los servicios o recursos del dentro de la empresa. De lo
contrario, los usuarios tendrán acceso a servicios o recursos que no son
de su propiedad, lo que podría resultar en la pérdida de información o
vulnerabilidad a ciberataques, debido a que la información que soportan
los procesos de Análisis, entrega de resultados y toma de muestras a
domicilio de Escalabs prestados desde sus laboratorios recoge el
alcance del SGSI teniendo en cuenta las actividades de la empresa, sus
servicios de negocio, el equipamiento con el que cuenta y las
restricciones legales o reglamentarias que sean aplicables a su actividad
la cual todas las pautas descritas en el presente documento serán
efectivas para el conjunto de la empresa, sus instalaciones y activos de
información, asimismo, se aplica a los empleados que seguirán las
directrices en la medida que ofrecen su trabajo. También se aplica a los
contratistas, clientes o cualquier otra tercera parte que tenga acceso a la
información a los sistemas de Escalabs. Asegurando la confidencialidad
de la información que los asociados depositan y que almacena en los
sistemas de información y así maximizar la disponibilidad y calidad de
los servicios prestados a sus clientes.

El presente proyecto se enmarca en el diseño de un sistema de gestión

de la seguridad de la información basado en la norma ISO/IEC 27001
para el centro de datos de Escalabs.

4
El punto de inicio fue conocer la actualización de la norma ISO/IEC
27001 para tener en cuenta los nuevos objetivos de control y controles a
ser implementados, seguidamente de ello se continuó con el
reconocimiento del centro de datos de la empresa para definir los activos
de la información, y tener claro las amenazas o ataques de los que
pueden ser víctimas estos activos, así como también se realizó un
análisis de los riesgos para definir el criterio de mitigación de los
mismos. Según Nieves (2017) nos menciona que de la norma ISO/IEC
27001 establece las guías, procedimientos y procesos para gestionarla
apropiadamente mediante un proceso de mejoramiento continuo.

Las empresas hoy en día, se encuentran inmersas en la denominada

revolución digital, en donde se reconoce el protagonismo de la
información en sus procesos productivos, por tanto la importancia debe
tener su información adecuadamente identificada y protegida, como
también la proporcionada por sus partes interesadas, enmarcada bajo
las relaciones de cumplimiento, comerciales y contractuales como los
acuerdos de confidencialidad y demás compromisos, que obligan a dar
un tratamiento, manejo y clasificación a la información bajo una correcta
administración y custodia.
La Medicina tiene como objetivo la interconexión sistemática, continua y
progresiva de las tecnologías de la información y la comunicación (TIC)
como un medio económico y viable frente a las proyecciones actuales
para mejorar la calidad de los servicios prestados por las instituciones
médicas.
La introducción y uso de estas tecnologías en el sistema de salud para
mejorar la eficiencia y efectividad de la industria, para una mejor
atención al paciente, investigación administrativa y toma de decisiones y
política pública actual.

Es necesario reconocer los avances tecnológicos de la época, pero es

incluso más importante reconocer que las empresas con grandes
ambiciones ven al área de TI como su mejor aliado para resaltar frente a
la competencia es por eso que a dicha área se le debe dar una prioridad

5
resaltante, ya que vendría a ser el soporte para que se puedan cumplir
otros procesos.

Teniendo en cuenta la misión y visión de la empresa es necesario

resaltar la principal labor del laboratorio Escalabs ya que al ser un
laboratorio clínico y tener una gran parte de los procesos y consultas del
lado de la web y perteneciendo ese lado como parte de la
responsabilidad del área de TI es predecible que traten de cumplir con
su objetivo principal que es ofrecer un análisis confiable y seguro, para
ello requieren se debe controlar cómo funciona y cómo evoluciona en el
sistema. Lo primero a tener en cuenta es corregir los posibles desvíos
sobre lo planificado inicialmente, en segundo lugar, identificar
oportunidades de mejorar el sistema.

El equipo de trabajo detalló y describió en el informe el sector de

mercado y servicios a los que la compañía Escalabs se dedica, de igual
manera cuál es su realidad actual con relación a la seguridad de la
información enfocándose en su centro de datos y red de área local.
Además da a conocer sobre definiciones básicas de seguridad de la
información, técnicas de implementación de controles para evitar
ataques bajo el marco normativo ISO/IEC 27001.

Se debe saber que se necesita evolución, más en estos tiempos en los

que nuestra información se está expandiendo en entornos conectados a
Internet, y comprender que la pérdida de información puede causar un
daño significativo. Teniendo en cuenta el desarrollo de la tecnología,
tanto las herramientas para protegerse como las herramientas para
realizar ataques, nos hacemos la pregunta: ¿Cuál es el impacto de
implementar SGSI según ISO/IEC 27001 en los procesos de control de
acceso en la empresa Escalabs.

6
II. DESARROLLO

2.1. Contexto de la Organización

2.1.1. Presentación:

Escalabs, es un laboratorio clínico privado que presta

servicios de análisis clínicos con sedes en el norte del Perú,
que proporciona información confiable y oportuna
contribuyendo al diagnóstico y tratamiento de enfermedades.
El Laboratorio Clínico Escalabs se creó el 07 de febrero de
1998 en base a la experiencia desarrollada en el Laboratorio
Clínico Ayacucho, con el deseo de iniciar un proceso de
mejora continua en la calidad y la innovación de los productos
y servicios que la conviertan en el futuro en una organización
líder. Desde la creación del laboratorio se han ido innovando
procesos y productos, incorporando el servicio de toma de
muestras a domicilio y los servicios de análisis especializados
a través del envío de muestras a laboratorios de mayor
complejidad en Lima, a su vez, cuenta con una infraestructura
de laboratorio de espacios acordes con normas
internacionales, nueva tecnología de equipos automatizados
para prestación de servicios y mejoramiento de los existentes
en cuanto a velocidad y calidad.

Tuvo la necesidad de controlar y estandarizar sus procesos y

productos a través de un SGC, para lo cual organizaron el
laboratorio en función a procesos, mejoraron la competencia
del personal y orientaron a la empresa hacia el cliente. En el
2008 recibieron la Certificación ISO 9001:2008 a sus
procesos operativos y de apoyo, siendo el primer laboratorio
de provincias y el tercero a nivel nacional en alcanzar esta
distinción. Actualmente cuentan además con la Certificación
de Salud y Seguridad en el Trabajo OHSAS 18001 y la
Certificación de Gestión Ambiental ISO 14001.

7
2.1.2. Estructura de la empresa:

Dirección General:

Sistema de gestión de calidad. Se encarga de detectar,

reducir y corregir posibles deficiencias analíticas internas,
antes de emitir un resultado.

Administración:

Finanzas. Realiza las cancelaciones de las obligaciones

económicas del laboratorio. Como así también la de gestionar
los ingresos y gastos que tiene la clínica.

Informática y sistemas. Se encarga de responder las

necesidades de los médicos y los pacientes. Analizar los
procesos clínicos. Diseñar, desarrollar e implementar los
sistemas de soporte para las decisiones clínicas

Recursos humanos. Planifica el desarrollo del laboratorio en

su conjunto, su trabajo está centrado en brindar el soporte al
funcionamiento de la clínica.

Logística. Coordinación, gestión y transporte.

Dirección Técnica:

Investigación y desarrollo.

Fase Pre-analítica.

Atención a clientes. Persona encargada de proporcionar a

los pacientes información y soporte con respecto a los
servicios de la clínica. Además, se encarga de canalizar las
quejas, reclamos y sugerencias.

Registro de pacientes. Recopila la información del paciente

dependiendo del tipo de análisis que se lleve a cabo.

8
 Toma de muestras. Son las diferentes pruebas como la de
sangre, orina, etc. La cual requiere de equipos especializados
y el profesional adecuado.

Preparación y distribución de muestras.

Fase Analítica.

Bioquímica. En este caso lo que se analizan son los

elementos de la fracción líquida de la sangre y orina como la
glucosa, colesterol, ácido úrico, etc.

Hematología. En esta sección se realizan estudios de la

sangre, es la prueba más solicitada al laboratorio y aporta
resultados muy importantes en la evaluación de un paciente.

Inmunología. En esta se hacen determinaciones de

anticuerpos con el fin de evaluar el sistema inmunitario

Microbiología. Se realizan diversas labores como la

coproparasitológica que investiga los parásitos y la
bacteriología que consiste en examinar la presencia de
organismos microscópicos en sangre, orina, etc.

Fase Post-analítica

Impresión entrega de resultados

2.1.3. Aspectos tecnológicos:

El diseño de nuestra instalación ha sido elaborado

especialmente para brindar servicios de análisis clínicos, con
ambientes tecnológicos adecuados para cada área.

Aspectos fundamentales

1. Conectividad inalámbrica
2. Servicios Web básicos
3. Soporte informático distribuido

9
 4. Escenario amplio.

Importancia tecnológica de equipos

Los equipos de alta tecnología garantizan la exactitud de

nuestros resultados, Escalabs se ha caracterizado por ser una
empresa líder en la vanguardia tecnológica.

Según el sistema o aplicación que se quiera desarrollar o

complementar podremos necesitar más o menos elementos
especializados para de esta forma poder seguir la línea . Por
ejemplo, un servidor adicional, como también todos aquellos
dispositivos móviles capaces de integrar la Web, Tablet PC,
móviles, portátiles, etc. y sus posibles combinaciones se
puedan complementar.

2.2. Documentación de la política de seguridad:

La política de seguridad debe definir los aspectos más importantes de

la organización que deben controlarse. De esta forma se detallan una
serie de procesos internos dentro de la organización que deben
realizarse periódicamente para no mantenerlos vulnerables. Una
política de seguridad no solo se aplica al equipo técnico y las
computadoras de una organización, sino que también cubre todo el
trabajo que podría crear brechas de seguridad o vigilancia. Cabe
señalar que muchos problemas de seguridad en las organizaciones
son causados por errores de personas que pasan por alto la
vulnerabilidad de los datos y la información de la organización.

Es necesario establecer los mecanismos de seguridad que se

aplicarán en la empresa. Tendrán que considerar diferentes áreas de
acción mientras:

• Prevención: recuerda que prevenir es mejor que curar, por lo que

esta primera etapa será fundamental para evitar problemas.

10
• Detección: ante una amenaza, es fundamental saber detectar y
diagnosticar correctamente los errores recibidos.

• Acción: existe una cierta invulnerabilidad a nuestros sistemas

informáticos, lo que nos obliga a establecer protocolos de acción que
nos permitan abordar cualquier amenaza de la manera más rápida y
eficiente posible.

2.2.1 Política de Seguridad de la Información:

Las políticas nos proporcionan principios y aspectos de

seguridad de información que la organización necesita:

• La retención de trabajo.
• El uso de servicios de red
• Política de sistema de gestión de seguridad de la
información(SGSI).
• Uso de licencias de software.
• Protección a la privacidad y a los datos.
• Autenticación de usuarios.
• Restricciones en la instalación de software.
• Los servicios deben ser seguros desde cualquier punto de
acceso al momento de conectarse.
• Garantizar confidencialidad e integridad para la información
y servicios que encuentren.
• La seguridad de los equipos ya que así evitamos pérdidas
o robo de información.

2.2.2. Definición del SGSI

Es necesario documentar un sistema de gestión de

seguridad de la información (SGSI) que le permita controlar
la información recopilada, producida en todos los procesos
del laboratorio, gestionar la seguridad en la operación de
los servicios, apoyar la infraestructura y brindar los
servicios. Los datos que se mantienen actualmente tienen

11
 un valor intrínseco, sin embargo, la utilidad de dicha
información no se mide hasta que se descubre ese valor.

Para que una organización permanezca segura en un

entorno de confidencialidad, integridad y disponibilidad de
información, es necesario adoptar la visión general que
ofrece un sistema de gestión de seguridad de la
información (SGSI) que se establece, implementa,
mantiene y mejora continuamente. los requisitos de la
norma ISO/IEC 27001:2014, para que todos los activos
cubiertos por el SGSI se mantengan a salvo, se proponen
controles para mitigar los riesgos a los que está expuesta
la organización, evitando así posibles pérdidas económicas
o daños a la imagen de la empresa. Invertir en sistemas de
gestión de seguridad de la información no garantiza la
mejora de los resultados del negocio, ya que es necesario
que las organizaciones midan costos y beneficios para
conocer su rentabilidad.

2.2.2.1. Alcance del sistema de gestión de la seguridad

de la información

Primero, la organización debe determinar el alcance del

sistema de gestión de seguridad de la información del
SGSI. El alcance se basa en las características de la
empresa, organización, ubicación, activos y tecnología por
lo que definir el alcance no implica que se cubra todo el
sistema, es recomendable comenzar con un alcance
limitado, donde los procesos centrales son de la empresa.
involucrados o contienen información más relevante para la
empresa, es decir, aquellos identificados en el mapa como
misioneros. Es importante tener el mapa de procesos e
identificar claramente aquellos que serán parte del alcance.

12
 Al definir el alcance, es importante tener claro acerca de
las terceras partes y su influencia en la seguridad de la
información; Como parte del sistema, también se deben
tener en cuenta los requisitos legales y contractuales de
seguridad de la información. La creación de planes de
redes y sistemas, la definición de ubicaciones físicas y la
existencia de organigramas facilitan la definición clara del
alcance del SGSI. En el caso del laboratorio clínico
Escalabs, proponemos concentrar el alcance del SGSI en
los siguientes procesos misionales:

● Solicitar toma de muestras.

● Planeación de muestreos.
● Realizar muestreo.
● Analizar muestras.
● Elaborar informe de resultados.

Cualquier otro proceso que la organización incluya en el

SGSI es válido. Se recomienda que la decisión de incluir
múltiples procesos se base en un análisis que de hecho
sugiere la importancia de incluir este proceso SGSI e
ineficaz, por el contrario, es una buena práctica
simplificarlo al máximo, tanto más cuando la organización
el desarrollo del sistema comienza desde cero.

2.2.2.2. Objetivos

El presente sistema de gestión de la seguridad de la

información (SGSI) presenta los siguientes objetivos:

● Asegurar el compromiso de la Alta Dirección con el

Sistema de Gestión de Seguridad de la Información.
● Determinar los controles adecuados que permitan
definir un plan de tratamiento de los riesgos que
garanticen que se mantengan en un nivel aceptable
de riesgo.

13
 ● Proteger los activos de la información con base en los
criterios de confidencialidad, integridad, trazabilidad y
disponibilidad.
● Garantizar el cumplimiento de los requerimientos
legales, reglamentarios y contractuales vigentes.
● Capacitar y sensibilizar al personal del laboratorio y
partes interesadas sobre el SGSI fortaleciendo el nivel
de conciencia, creando una cultura de seguridad.
● Garantizar la continuidad de los servicios prestados
por el laboratorio.
● Implementar acciones correctivas y de mejora para el
SGSI que permitan alcanzar niveles más avanzados
de seguridad de la información.

2.2.2.3. Requisitos legales

La política del SGSI debe tener en cuenta el marco

legal del laboratorio de análisis microbiológicos:

● ISO 17025:2005 Requisitos generales para la

competencia de laboratorios de ensayo y calibración.
● Resolución Ministerial N° 217-2004/MINSA: Gestión
integral de residuos hospitalarios y similares.
● Decreto N° 014-2017-MINAM: La prevención y el
manejo de los residuos o desechos peligrosos
generados en el marco de la gestión integral.
● Resolución 1164:2002: Manual de procedimientos de
gestión integral de residuos hospitalarios y peligrosos.
● Ley Nº 28256:2017: Referente a residuos peligrosos y
material ambiental.

2.2.2.4. Revisiones de auditorías

Uno de los requisitos más importantes de la norma ISO

27001 es la revisión que la dirección de la empresa debe
realizar con una cierta periodicidad, al menos una vez al

14
 año, del sistema de gestión de seguridad de la información.
El propósito de esta revisión es asegurar que el SGSI sea
adecuado, efectivo y apropiado en todo momento para los
propósitos y el contexto de la organización. Esta revisión
es parte de la fase “VERIFICAR” del ciclo de mejora
continua y es una gran herramienta para analizar y aceptar
oportunidades de mejora ya que toma en cuenta todos los
aspectos y avances del SGSI para que haya una visión
para todo, de tal modo se pueda identificar y discutir
debilidades.

ENTRADAS PARA EL PROCESO:

Existen muchas fuentes de las que se pueden recopilar

datos e información útiles para la revisión por la dirección:

● Las auditorías realizadas en la organización, No solo las

internas del SGSI tienen sentido aquí, sino también otras
como auditorías de clientes, otros estándares de gestión,
etc. Todas pueden proporcionar información sobre las
fortalezas y debilidades del SGSI y señalar oportunidades
de mejora.
● Las revisiones anteriores del SGSI, y las acciones que han
resultado de ellas, son el punto de partida, dónde se ubicó
el SGSI y qué se hizo al respecto desde entonces. Debido
a que de esta manera proporciona una valiosa información
sobre lo que se puede hacer para seguir mejorando y
progresando.
● Técnica, producto o proceso que podría utilizarse en la
organización para mejorar la operación y efectividad del
SGSI. Es probable que la información requerida para este
punto provenga primero del gerente de TI, pero también
puede ser sugerida por las diversas personas involucradas
en las tareas que necesitan mejoras.

15
● Vulnerabilidades o amenazas que no se abordaron
adecuadamente en el análisis de riesgo anterior. Es decir,
si se detectaron nuevas amenazas o se realizaron cambios
que deben examinarse antes, como también para evaluar
si los riesgos que no se han abordado por alguna razón
antes ahora necesitan tratamiento.
● Cambios en la organización o en la infraestructura de TI,
por ejemplo, que afectarían directa y claramente al SGSI,
ya que las medidas de seguridad aplicadas en los
sistemas de información anteriores pueden no ser válidas
o suficientes para los nuevos sistemas. Pero también
cambios de personal que requieran un reajuste de los
derechos de acceso a la información, en los servicios
ofrecidos por la organización, que puedan imponer nuevos
requisitos de seguridad, etc.

SALIDAS PARA EL PROCESO:

● Mejoras de la efectividad del SGSI, es decir si se van a

implementar más controles, se van a mejorar los ya
implantados, se van a transferir riesgos, etc.
● Actualización de la evaluación y gestión de riesgos. Se
deben documentar los cambios que se hayan producido en
el análisis y gestión de riesgos y las razones que los
motivaron.
● Cambiar los procedimientos y controles que afectan la
seguridad de la información, si es necesario, para
responder a incidentes internos o externos que puedan
afectar el SGSI.
● Mejoras en la forma de medir la efectividad de los
controles. Cuando revisa los indicadores que se utilizan, es
necesario comprobar si siguen siendo útiles, eliminando
los que no lo son y diseñando nuevos indicadores que
sean más efectivos a la hora de brindar información
relevante.
16
 2.2.2.5. Compromiso de la dirección

La dirección expresa su compromiso total con las

presentes políticas, objetivos y planes de SGSI;
estableciendo roles y responsabilidades con respecto a la
seguridad de la información; comunicando la importancia
del cumplimiento de las disposiciones; proporcionando los
recursos necesarios; decidiendo sobre los criterios y
niveles de aceptación del riesgo; garantizando que se
realizarán auditorías internas y revisiones del SGSI.
Asimismo proporcionando los recursos necesarios para
configurar, implementar, operar, monitorear, revisar,
mantener y mejorar el SGSI; garantizando que los
procedimientos de seguridad de la información respalden
las necesidades comerciales; Identificar y cumplir con los
requisitos legales y reglamentarios, así como con las
obligaciones contractuales de seguridad; Mantener una
seguridad adecuada mediante la correcta aplicación de
todos los controles implementados; Realice revisiones si es
necesario y mejore la eficacia del SGSI.

2.2.3. Marco organizativo de la seguridad de la información

2.2.3.1. Responsabilidades.

2.2.3.1.1. Dirección.

 Elaborar, promover y mantener la política de

seguridad de la información.
 Elaborar el plan de riesgos y las posibles
soluciones para mitigar las amenazas.

17
  Proponer nuevos objetivos en materia de
seguridad de la información. Desarrollar y
mantener el marco normativo de seguridad y
controlar su cumplimiento.
 Validar la implantación de los requisitos de
seguridad necesarios.
 Liderar la implantación del SGSI.

2.2.3.1.2. Responsable de seguridad.

La responsabilidad tendrá el Oficial de seguridad de

la información, Coordina el mantenimiento y mejora
continua del SGSI tiene como responsabilidades:

 Participar en la creación y revisión de las

políticas, lineamientos, metodologías,
procedimientos y planes referidos a la
seguridad de la información.
 Evaluar, coordinar y monitorear el
cumplimiento de las políticas, procedimientos
y controles de seguridad de la información.
 Dar seguimiento a los incidentes de
seguridad de la información.
 Promover la difusión de los temas de
seguridad de la información.

2.2.3.1.3. Propietario de los riesgos.

Los propietarios de un riesgo son personas,

generalmente miembros del equipo del proyecto,
que son responsables de la gestión, seguimiento y
control de un riesgo identificado que se les asigna,
incluida la implementación de las medidas
seleccionadas.

2.2.3.1.4. Responsable de sistemas.

18
 Los gerentes de sistemas de información, o
gerentes de TI, son responsables de la operación
segura y efectiva de todos los sistemas informáticos,
aplicaciones relacionadas, hardware y software.

2.2.3.1.5. Personal.

 Gestionar los eventos de seguridad de la

información para detectar y tratar con eficiencia,
en particular identificar si es necesario o no
clasificarlos como incidentes de seguridad de la
información.
 Permitir identificar los incidentes de seguridad de
la información para ser evaluados y dar
respuesta de la manera más eficiente y
adecuada.
 Minimizar los impactos adversos de los
incidentes en la organización y sus operaciones
de negocios mediante las salvaguardas
adecuadas como parte de la respuesta a tal
incidente.

2.2.4. Evaluación de riesgos de seguridad

2.2.4.1. Proceso de Análisis y gestión de riesgos.

Identificación del riesgo: Computadoras, Laptop,

Impresoras, Red Local.
Evaluación del riesgo: pérdida de información de los
equipos o por impresión, virus que puede robar nuestra
información.
Tratamiento de Riesgo: Backups de la información,
creación de redes VLAN y el antivirus actualizado.
Seguimiento de Riesgo: se evalúa la funcionalidad de lo
planteado.

19
2.2.4.2. Criterios de aceptación de riesgos.

Se deben evaluar las consecuencias potenciales para

poder evaluar su criticidad: riesgo aceptable y riesgo
residual.

Riesgo aceptable:

No se trata de eliminar totalmente el riesgo, ya que muchas

veces no es posible ni tampoco resultaría rentable, sino de
reducir su posibilidad de ocurrencia y minimizar las
consecuencias a unos niveles que la organización pueda
asumir, sin que suponga un perjuicio demasiado grave a
todos los niveles: económico, logístico, de imagen, de
credibilidad, etc.

Riesgo residual:

Se trata del riesgo que permanece y subsiste después de

haber implementado los debidos controles, es decir, una
vez que la organización haya desarrollado completamente
un SGSI. Es un reflejo de las posibilidades de que ocurra
un incidente, pese a verse implantado con eficacia las
medidas evaluadoras y correctoras para mitigar el riesgo
inherente.

2.2.4.3. Propietarios del Riesgo

Los propietarios del riesgo de la administración diaria de la

seguridad de los activos de información y el monitoreo del
cumplimiento de las políticas y los controles de seguridad
en los activos de información que se encuentren bajo su
administración, y tienen como responsabilidades:

 Administrar los controles relevantes a la seguridad

de la información, acorde a las medidas de
tratamiento de la información especificadas por los
propietarios de la información (restricción de
accesos, validación de autenticidad, mecanismos de
resguardo, entre otros).

20
  Cumplir con los controles implementados para la
protección de los activos de información asignados
para su custodia.
 Colaborar en la investigación de los incidentes de
seguridad de la información.
 Respaldar, verificar y recuperar la información de los
respaldos, manteniendo el registro del resguardo
debidamente estructurado que permita tener la
disponibilidad de los respaldos de acuerdo a su
clasificación.
 Proteger y resguardar los activos de información
físicos de accesos indebidos o no autorizados.

2.3. El inventario de activos

Aunque la norma no exige la identificación de los activos para la realización

de la evaluación de riesgos, sigue siendo una metodología válida y
recomendable que da cumplimiento a los requisitos de la norma, y es
coherente con el objetivo de un SGSI y la implantación de controles. De
acuerdo con el sistema a emplear para la evaluación de riesgos en nuestro
proyecto, comenzaremos
con el inventario de activos.
En este apartado se describe la manera de documentar el listado y la
valoración de los activos de información con los que cuenta la organización.

2.3.1. Procesos de negocio

PROCESO DE NEGOCIO DESCRIPCIÓN

CONTABILIDAD Registro de información y datos de

contabilidad

COBRANZA Gestión de cobros, pagos o retrasos

SISTEMAS Soporte técnico a las demás áreas

RECURSOS HUMANOS Contrato del personal y los sueldos

21
 2.3.2. Inventario de activos

NOMBRE DESCRIPCIÓN CATEGORÍA UBICACIÓN

Servidor Físico server 2008 Almacenamient Servidor

o

Computadoras Equipos de Registro Registro y Servidor y

Almacenamient Usuarios
o

Laptops Equipos de Registro Registro y Servidor y

Almacenamient Usuarios
o

Impresora Impresión Datos Servidor y

Usuarios

Cinta Almacenar Datos Datos Servidor y

Magnética Usuarios

Sistema Sistema Contable Server / Aplicación Servidor /

Contable Clientes Usuarios

Base de Datos Base de datos se utiliza Datos Servidor

Contable para guardar la
información que se va a
utilizar

Aplicación SBA Es un Software que se Aplicación Servidor

utiliza para poder ver el
control de planillas

2.3.3. Relación de proceso de negocio / activos

22
 PROCESOS

CONTABILIDAD COBRANZAS SISTEMAS RECURSOS

HUMANOS
ACTIVOS

Servidor Físico x x x

Computadoras x x

Laptops x x x

Impresora x x x

Cinta Magnética x x

Aplicación Contable x x x

Base de Datos X X X
Contable

Aplicación SBA X X X

2.3.4. Valorización de Activos:

VALORACIÓN
ACTIVO CONFIDENCIALI INTEGRIDAD DISPONIBILIDAD
DAD TOTAL

Servidor 3 3 3 9

Computadoras 1 3 3 7

Laptops 1 3 3 7

Impresora 0 0 3 3

Cinta 1 3 3 7
Magnética

Sistema 3 3 3 9
Contable

23
Base de Datos 3 3 3 9
Contable

Aplicación 3 2 2 7
SBA

2.4. Resultados de la evaluación de riesgos.

A continuación, desarrollaremos el análisis de riesgo basándonos en

la metodología MARGARIT mediante la identificación de activos,
amenazas y vulnerabilidades.

2.4.1. Identificación y valoración de las amenazas.

Para la realización de análisis de riesgos elaboramos una tabla de

amenazas a las que se enfrenta la organización.

Servidor

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Acceso no 3 1 0 1
autorizado

Corte de 3 3 1 3
electricidad

Caída por 2 2 2 3
sobrecarga

Computadoras

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Virus 3 3 2 0
informático

Almacenamie 1 2 2 1
nto limitado

facilidad de 3 3 3 0

24
 acceso

Laptops

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Virus 3 3 2 0
informático

Amenazas 3 2 2 3
físicas

Facilidad de 3 3 3 0
acceso

Impresora

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Falta de tinta 1 1 0 1

Falta de papel 2 2 2 1

Cables 1 2 1 0
deteriorados

Cinta magnética

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Acceso no 1 3 0 2
autorizado

Acceso físico 3 3 3 1
no autorizado

25
 Amenazas 2 2 2 3
físicas

Sistema contable

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

registros 2 3 3 0
inadecuados

malas 1 2 3 0
transacciones

acceso no 3 3 0 2
autorizado

Base de datos contable

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Acceso no 3 3 2 1
autorizado

Documentación 1 3 1 2
extraviada

Mala 2 1 3 0
manipulación

Aplicación SBA

Amenaza Probabilidad Degradación Degradación Degradación

confidencialidad integridad disponibilidad

Acceso no 2 2 3 0
autorizado

Divulgación de 1 3 3 0
información

No entendible 1 2 3 1

26
 2.4.2. Cálculo del riesgo

Aplicando las tablas revisadas en clase, se obtienen los valores

de riesgo mostrados en las tablas siguientes para cada activo:

Servidor

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Acceso no
autorizado 5 4 4

Corte de
electricidad 7 7 6

Caída por
sobrecarga 6 5 6

Computadoras

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Virus informático 6 6 4

Almacenamiento
limitado 6 4 0

Facilidad de acceso 2 2 2

Laptops

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Virus informático 6 6 4

Amenazas físicas 6 4 0

Facilidad de acceso 2 2 2

27
 Impresora

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Falta de tinta 6 6 4

Falta de papel 6 4 0

Cables deteriorados 2 2 2

Cinta magnética

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Acceso no
autorizado 2 0 4

Acceso físico no
autorizado 4 4 6

Amenazas físicas 4 4 6

Sistema contable

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Registros
inadecuados 5 4 4

Malas transacciones 7 7 6

Acceso no
autorizado 6 5 6

28
 Base de datos contable

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Acceso no
autorizado 5 4 4

Documentación
extraviada 6 6 5

Mala manipulación 5 4 5

Aplicación SBA

Riesgo Riesgo Riesgo Impacto

confidencialidad integridad disponibilidad

Acceso no
autorizado 4 6 4

Divulgación de
información 2 5 5

No entendible 5 5 5

2.4.3. Tratamiento del riesgo

En la siguiente tabla se mostrará los valores obtenidos y que el

máximo de riesgo son 3 además las acciones necesarias para
cada activo:

Nombre Tratamiento
Servidor Se asume el riesgo
Computadora Se asume el riesgo
Laptops Se asume el riesgo
Impresora Se asume el riesgo
Cinta Magnética Se asumen el riesgo
Sistema Contable Se seleccionarán medidas de
seguridad para reducir el riesgo.
Base de Datos Contable Se seleccionarán medidas de
seguridad para reducir el riesgo.
Aplicación SBA Se asumen el riesgo

29
2.5. Determinar los Controles y Declaración de la Aplicabilidad.

2.5.1. Declaración Aplicabilidad.

Sección Objetivos Control Estado Justificación

A.5 Políticas de Seguridad de La Información
En la empresa

A.5.1 Directrices de Escalabs se ha

identificado los
Gestión de la
tipos de problemas
seguridad de 5.1.1. Políticas
que pueden surgir
la de seguridad Aplicar para ello es
información
necesario
informar y
concientizar a los
colaboradores

Las políticas de
seguridad de la
información de la
empresa deberán
5.1.2. Revisión Aplicar ser revisada
de las políticas frecuentemente
de Seguridad para asegurar la
información y
procesos

A61 Organización de la seguridad de la Información

A.6.1 6.1.1 Roles y Establecer un

responsabilidades proceso de

30
 Organización en la seguridad Aplica asignación de roles,
Interna de la información responsabilidad

Y autoridad

A.7 Seguridad y relativa a los recursos Humanos

A.7.1 Antes del 7.1.1 Aplicado En la empresa

Empleo Investigación Escalads es

De antecedentes importante realizar

una revisión de la
información
personal que
presenten los
postulantes.

2.6. Documentación de la gestión de riesgos

Con la aplicación de controles se reducirán el nivel de amenaza o el de
vulnerabilidad y, en algunos casos, ambos. Como consecuencia de todo ello se
obtendrá la disminución del nivel de riesgo.

2.6.1. Valoración de las amenazas tras la aplicación de las medidas.

Realizamos de nuevo una valoración de las amenazas, considerando las

medidas de seguridad seleccionadas anteriormente

Para los ejemplos puestos: (Hay que considerar que esto se tiene que
hacer para todos los activos de información identificados)

Activo: Servidores
Amenzas Probabilidad Degradación confidencialidad Degradación integridad Degradación disponibilidad
Robo 1 0 0 1
Incendio 1 0 0 1
Inundación 0 0 0 0
Virus 2 2 2 2
Corte Electricos 1 0 0 1
Error SO. 1 0 0 1
Error de usuario 1 0 2 1

2.6.2. Cálculo de riesgos residuales

31
 Con los nuevos valores de las amenazas y llevando a cabo el proceso
de cálculo de impactos y riesgos, obtenemos los valores de riesgo
residual para cada activo.
Amenzas Riesgo confidencialidad Riesgo integridad Riesgo disponibilidad
Robo 0 0 1
Incendio 0 0 1
Inundación 0 0 0
Virus 2 2 3
Corte Electricos 0 0 1
Error SO. 0 0 1
Error de usuario 0 1 3

2.7. Documentación del plan de tratamiento de riesgos

Tras identificar los controles a implementar y el riesgo que se pretende reducir
con ellos, se deben planificar las tareas que se van a llevar a cabo, los plazos y
los recursos asignados. Todo ello debe documentarse en un plan de
tratamiento de riesgos.

2.7.1. Objetivo
El Tratamiento de los riesgos tiene como objetivo implantar en el
Laboratorio Clínico Escalabs los procesos que le permitan reducir los
riesgos a los niveles considerados como aceptables según la evaluación
del tratamiento de los riesgos.
2.7.2. Alcance
Este plan afectará a Laboratorio Clínico Escalabs durante el año
siguiente de la aprobación e implementación.
2.7.3. Responsabilidades

● El área de sistemas se encargará de la implementación y

ejecución de las tareas técnicas para los equipos informáticos.
● El responsable de seguridad se encargará del seguimiento de
todas las actividades de relacionados con el SGSI.
● La dirección general difundir, organizar, aprobar y los objetivos
relacionados con el SGSI

2.7.4. Tareas
Control Activos
Acción Asociado Responsable Plazo Afectados Recursos

32
 A.5.1.1
Políticas para
la seguridad
de la
información
A.6.1.1 Roles
y
1. Aprobar y responsabilida
difundir la des para la Horas de
política de seguridad de Dirección Dirección
seguridad la información General 1 mes Todos general
2.- Elaborar
procedimiento
de gestión de A.12.1.1
uso de la Procedimiento Horas
información de s operativos Responsable responsables
cada activo documentados de Seguridad 10 meses Todos de seguridad
Horas de
Dirección
3.- Elaboración Dirección general /
de Políticas A.6.2.2 General / Horas de
para Teletrabajo Teletrabajo Sistemas 15 días PC Sistemas

4.- Términos, A.7.1.2

condiciones y Términos y
responsabilidad condiciones Horas de
es al momento del empleo Responsable Recursos
de seleccionar A 7.1 .1 de RRHH / humanos /
al empleado Selección área Legal 1 mes Todos área legal
A.8.2.1
Clasificación
de la
5..- información
Clasificación, A.8.2.2
etiquetado y Etiquetado de Horas de
manejo de los la información Responsable cada área
activos de la A.8.2.3 Manejo jefe de cada responsable
empresa activos área 1 mes Todos del activo
6.- Medidas de
seguridad para A.8.3.1
el control y Gestión de Horas del
gestión de los medios Jefe de jefe de
medios extraíble removibles sistemas 1 mes Datos Sistemas
7.- Políticas e A.9.1.1 Horas de
control de Políticas de Responsable cada área
acceso a los control de jefe de cada responsable
activos acceso área 1 mes Datos del activo

33
 A.9.2.1
Registro de
bajas de
8.- Control de Usuario
acceso de Alta, A.9.2.2 A
baja de usuario Horas de jefe
para los Jefe de de sistemas /
sistemas de provisionamien sistemas / jefe jefe de cada
ERP SAP y to de acceso a de cada área / área / jefe de
Gassuel usuarios jefe de RRHH 1 mes Sistemas RRHH
9.- Políticas de
implementación A.9.4.3
de las Sistemas de
contraseñas gestión de Jefe de Horas de jefe
de los usuarios contraseñas Sistemas 15 días Sistemas de sistemas
10.- Realizar
mantenimientos
preventivos a
los equipos
informáticos de A.11.2.4
la empresa Mantenimiento Jefe de Horas de jefe
OBST s de equipos sistemas 15 días Equipos de sistemas
11.- Política de
acceso de los
dispositivos Informática
móviles A.6.2.1 Política /
dentro de la de dispositivos Responsable Aplicacione Horas de
organización móviles de informática 3 días s Sistemas
A.18.2.1
Revisión
independiente
12.- Revisión de la
anual externa seguridad
del SGSI de la Responsable Costo de
implementado información de SGSI 12 meses Todos contratación

7.5 Seguimiento
Se verificará el cumplimiento del plan de todas las partes y el
responsable de seguridad. En case de a ver desviaciones se realizarán
las acciones necesarias y se actualizara en el plan según sea el caso.
2.8. Documentación del procedimiento de gestión de métricas de
seguridad
2.8.1. Objetivo

34
Asegurar que la empresa Escalabs recopile y analice los datos
apropiados para demostrar la eficacia del sistema de gestión de la
seguridad de la información.
2.8.2. Alcance
Procedimientos establecidos para asegurar continuidad y mejora del
sistema
2.8.3. Responsabilidades
El responsable de seguridad deberá velar por el cumplimiento del
presente establecidos.
Cumplimiento del presente procedimiento, notificando todas las
incidencias de las que tenga conocimiento.
2.8.4. Desarrollo
El Laboratorio Escalads identificados para su sistema de gestión de la
seguridad de la información unos indicadores que muestran cuán
efectivo y eficiente son la:
 Clasificación de incidencias
 Seguimiento a incidencia de diferentes áreas
 Gestión y tratamiento de incidencias.
 Control y supervisión de los accesos a los sistemas de la
empresa.
 Eficiencia y cumplimiento en el mantenimiento del sistema de
gestión de la seguridad de la información.
 Implantación de software de seguridad.
 Mantenimiento de equipos informáticos y sistemas de
información.
 Capacitación constante de persona ingresante y nuevos
postulantes.

2.8.5. Requisitos de documentación

Los documentos asociados a este procedimiento son:
 Índices de seguridad.
 Procedimientos
 Soluciones
2.8.6. Referencias

35
 Los documentos de referencia para la realización de este procedimiento
son:
 Norma NTP ISO/IEC 27001.
 Norma NTP ISO/IEC 27002.
 Política de seguridad.
 Documentación del SGSI.

2.9. Documentación del procedimiento de gestión de incidencias

2.9.1. Objetivo
Asegurar que la empresa Escalabs plantee solventar de forma veloz y
efectiva cualquier inconveniente que pueda presentarse, con la intención
de reestablecer los servicios.

2.9.2. Alcance
Los datos utilizados para el análisis de los incidentes establecidos por
los usuarios internos del laboratorio fueron tomados del sistema de
gestión de incidencias o registros de la mesa de ayuda.

2.9.3. Responsabilidades
El propietario de riesgos deberá velar por la gestión eficiente de la
atención de incidencias de la plataforma virtual.
Cumplimiento del presente procedimiento, notificando todas las
incidencias de las que tenga conocimiento.
2.9.4. Desarrollo
El Laboratorio Escalabs identificados para su sistema de gestión de la
seguridad de la información unos indicadores que muestran cuán
efectivo y eficiente son la:
 Monitoreo y seguimiento de incidencias.
 Gestión y tratamiento de incidencias.
 Eficiencia y cumplimiento en el mantenimiento del SGSI

 Capacitación constante de personal para nuevas integraciones.

2.9.5. Requisitos de documentación

Los documentos asociados a este procedimiento son:

36
  Índices de incidencias.
 Procedimientos.
 Soluciones.
2.9.6. Referencias
Los documentos de referencia para la realización de este procedimiento
son:
 Norma NTP ISO/IEC 27001.
 Norma NTP ISO/IEC 27002.
 Documentación del SGSI.

III. CONCLUSIONES

37
 Implementar un SGSI no depende solo del cumplimiento de los
parámetros brindados por la ISO 27001 sino que es fundamental la
participación de la alta dirección del directorio de la empresa para que
de esta manera todos los procesos funcionen de manera correcta.
 Es importante poder capacitar a los miembros de la empresa, para que
de esta manera sepan sobre los procesos y procedimientos establecidos
dentro de la organización.
 Se logró garantizar el cumplimiento de los requerimientos legales,
reglamentarios y contractuales vigentes en el laboratorio clínico
Escalabs.
 Se logró capacitar y sensibilizar al personal del laboratorio y partes
interesadas sobre el SGSI fortaleciendo el nivel de conciencia, creando
una cultura de seguridad.
 Se logró garantizar la continuidad de los servicios prestados por el
laboratorio clínico Escalabs.
 Se logró implementar acciones correctivas y de mejora para el SGSI que
permitan alcanzar niveles más avanzados de seguridad de la
información en el laboratorio clínico Escalabs

38
REFERENCIAS
 IPARRAGUIRRE ALANYA, Robert Williams. Propuesta de mejora del
modelo de gestión de incidencias basado en ITIL en el área de
mantenimiento de una empresa aerolínea multinacional. 2021.
 GUARNIZO, Jorge Luís Tapia; MOLINA, Milton Alfredo Campoverde.
Análisis de gestión de incidencias de Tecnologías de la Información.
Caso de estudio: Hospitales Generales Coordinación Zonal 7-Salud.
Polo del Conocimiento: Revista científico-profesional, 2019, vol. 4, no 7,
p. 119-148.
 NIEVES, Arlenys Carolina, et al. Diseño de un sistema de gestión de la
seguridad de la información (SGSI) basados en la norma ISO/IEC
27001. 2017.

39
ANEXOS

ANEXO 1: RESERVA DE CITAS

40
 ANEXO 02: AGENDAMIENTO DE CITA

ANEXO 03: PÁGINA WEB DE ESCALABS

ANEXO 04: Laboratorio Clínico

41
ANEXO 05: CITAS PRESENCIALES

ANEXO 06: SALA DE ESPERA

42