Modelo de evaluación de la seguridad de la información en una clínica privada en base a la ISO 27001

Abstract

El principal problema que enfrentan actualmente las empresas en el ámbito del cumplimiento normativo consiste en la dificultad que les representa realizar la implementación adecuada de los planes de Seguridad de la Información basados en la norma NTP-ISO/IEC 27001:2014 tal como lo exige la Ley de Protección de Datos Personales. Implementar un plan de seguridad implica establecer controles de seguridad alineados a la NTP-ISO/IEC 27001:2014, controles que son actividades puntuales y otros que son actividades que requieren monitoreo y mantenimiento en el tiempo. Sin embargo la aplicación directa de la norma no tiene en cuenta que para poder determinar los controles a implementar hay que conocer el negocio y lo que es relevante para el mismo, alineado a sus objetivos estratégicos. Este problema se acrecienta cuando el activo más importante de un negocio resulta ser un activo de información, como en el caso de la Clínica Internacional, empresa del sector salud para la cual la Historia Clínica representa su activo más importante por contener información sensible de sus pacientes, por lo que se encuentra regulado por la Ley General de Salud y la Ley de Protección de Datos Personales. Por este motivo, y por ser la referente entre las empresas de su sector, se trabajó el modelo con el objetivo de brindar un panorama sobre la importancia que producen los beneficios y resultados de aplicarlo en la realidad de esta empresa. El modelo de evaluación de la seguridad de la información, que es el tema principal de nuestra tesis, se encuentra desarrollado en dos partes: la construcción de la metodología (Modelo) y el desarrollo de la metodología. En la primera parte desarrollamos la relación entre el modelo que estamos proponiendo con los estándares que desarrollan las ISO, así como la modalidad de evaluación de requisitos que desarrolla la ISO 27001. Teniendo esto como base pasamos al desarrollo de la metodología, que viene a ser las fases o pasos de nuestro modelo, iniciando con el Conocimiento del entorno organizacional, es decir conocer los objetivos y lo que es relevante para el negocio, sus necesidades y riesgos, riesgos que nos dan un panorama de lo que valoran como negocio. Luego seguimos con el Análisis de brechas, donde primero determinamos los controles de la ISO 27001 que son aplicables al tipo de negocio estudiado y con eso se realiza el análisis del cumplimiento de lo que se tiene implementado. Esto nos lleva a la parte de Valoración de controles, donde se da un valor numérico a los controles basado en los riesgos del negocio. En paralelo se trabaja el desarrollo de un Nivel de Madurez en Seguridad de la Información, basado en lo que conocemos del negocio. Después de ser creado el nivel de madurez se procede a realizar una clasificación de los controles según los niveles establecidos, permitiéndonos establecer un nivel de madurez proyectado en el tiempo. Con la información de la valoración de controles y el nivel de madurez podemos establecer la Priorización de la implementación donde se determina los controles que son prioritarios para el negocio y como su implementación nos lleva de un nivel de madurez al siguiente. Por último definimos las Recomendaciones para la implementación, recomendaciones para poder implementar los controles priorizados en el punto anterior. La aplicación del modelo en la Clínica Internacional nos permite demostrar la importancia que tiene el tomar como input el conocimiento del negocio cuando se realizan este tipo de evaluaciones, nos permite alinear y priorizar las actividades a realizar orientadas bajo el marco de un esquema de nivel de madurez, que a su vez, nos permite realizar las implementaciones necesarias en un tiempo y alcance acorde al desarrollo del negocio. El diagnóstico realizado durante la puesta en ejecución del modelo nos lleva a conocer lo que requiere el negocio alineándonos con lo exigido por las normas y lo que es importante para ellos. Es importante recalcar que este tipo de modelo busca mostrar en un lenguaje sencillo los aspectos que desarrolla el marco de la seguridad de la información, y en el desarrollo de la tesis se pudo comprobar la importancia de la participación de la alta gerencia y jefaturas de áreas clave, estratégicamente gracias a ellos se puede obtener la información de lo que requiere el negocio y la forma adecuada para implementar sus necesidades sin afección de sus procesos actuales, salvo los ajustes necesarios producto de las recomendaciones que arroja el modelo en sí.

The main problem that currently faces companies in the field of regulatory compliance is the difficulty that the representation is carried out the appropriate implementation of information security plans based on NTP-ISO/IEC 27001:2014 standard as required by the Personal Data Protection Law. Implementing a security plan involves establishing security controls aligned with the NTP-ISO / IEC 27001: 2014 standard, which are specific activities and others that require activities that require monitoring and maintenance over time. However, the direct application of the standard does not take into account in order to determine which controls are important for it, aligned with its strategic objectives. This problem increases when the most important of a business turns out to be an information asset, as in the case of the Clínica Internacional, the company in the health sector for which the Clinical Record represents its most important physical activity due to information from the sensitive barrier of their patients, for which reason it is regulated by the General Health Law and the Personal Data Protection Law. For this reason, and for the reference among companies in its sector, it became the model with the aim of providing an overview of the importance of the benefits and results of design in the reality of this company. The information security assessment model, which is the main theme of our thesis, is developed in two parts: the construction of the methodology (Model) and the development of the methodology. In the first part we developed the relationship between the model we are proposing with the standards developed by ISO, as well as the modality of evaluation of requirements developed by ISO 27001. Taking this as a basis, we move on to the development of the methodology, which is to be the phases or steps of our model, starting with the Knowledge of the organizational environment, that is, knowing the objectives and what is relevant to the business, its needs and risks, risks that give us an overview of what they value as a business. Then we continue with the Gap Analysis, where we first determine the controls of ISO 27001 that are applicable to the type of business studied and with that the analysis of the fulfillment of what is implemented is done. This brings us to the Valuation of Controls section, where a numerical value is given to the controls based on the business risks. At the same time, the development of a Maturity Level in Information Security is being worked on, based on what we know of the business. After the level of maturity is created, a classification of the controls is carried out according to the established levels, allowing us to establish a level of maturity projected over time. With the information of the valuation of controls and the level of maturity we can establish the Prioritization of the implementation where the controls are determined that are priorities for the business and how its implementation takes us from one level of maturity to the next. Finally we define the Recommendations for the implementation, recommendations to be able to implement the controls prioritized in the previous point. The application of the model in Clínica Internacional allows us to demonstrate the importance of taking as input the knowledge of the business when these types of evaluations are carried out, it allows us to align and prioritize the activities to be carried out under the framework of a scheme of maturity level, which in turn, allows us to make the necessary implementations in a time and scope according to the development of the business. The diagnosis made during the implementation of the model leads us to know what the business requires by aligning with what is required by the rules and what is important for them. It is important to emphasize that this type of model seeks to show in a simple language the aspects developed by the information security framework, and in the development of the thesis it was possible to verify the importance of the participation of senior management and heads of areas key, strategically thanks to them you can get the information of what the business requires and the appropriate way to implement their needs without affecting their current processes, except for the necessary adjustments product of the recommendations that the model itself throws.