Metodología para la seguridad de tecnologías de información y comunicaciones en la Clínica Ortega
Descripción del Articulo
Es un hecho que los sistemas de gestión y de información están muy arraigados en los procesos productivos, industriales, de servicios, gubernamentales y casi cualquier sector activo de la sociedad. Esta dependencia de los sistemas de información en general, requiere dotar de seguridad a los mismos p...
| Autor: | |
|---|---|
| Formato: | tesis de maestría |
| Fecha de Publicación: | 2015 |
| Institución: | Universidad Nacional del Centro del Perú |
| Repositorio: | UNCP - Institucional |
| Lenguaje: | español |
| OAI Identifier: | oai:repositorio.uncp.edu.pe:20.500.12894/1478 |
| Enlace del recurso: | http://hdl.handle.net/20.500.12894/1478 |
| Nivel de acceso: | acceso abierto |
| Materia: | Seguridad Tecnologías Información Comunicación |
| Sumario: | Es un hecho que los sistemas de gestión y de información están muy arraigados en los procesos productivos, industriales, de servicios, gubernamentales y casi cualquier sector activo de la sociedad. Esta dependencia de los sistemas de información en general, requiere dotar de seguridad a los mismos para preservar la calidad de los servicios y velar por la eficacia y eficiencia de los procesos de negocio y el valor de sus activos. Ya no es suficiente con establecer controles en forma aislada ni ad hoc, tampoco es suficiente actuar de modo meramente reactivo y defensivo, se requiere de un sistema de gestión de seguridad de tecnologías de información y comunicaciones y un accionar proactivo. Si consideramos un grupo empresarial, donde dos o más empresas se integran verticalmente, el desafío de gestionar la seguridad de una manera conveniente es aún mayor. Existen diferentes estándares que se desarrollaron para gestionar la seguridad de la información, algunos más generales, algunos centrados en la gestión de riesgos (serie ISO/IEC 27.000), y otros incluso tendientes a desarrollar un modelo de madurez de la seguridad de la información (por ejemplo ISM3); sin embargo, en la especificación de las mismos no se afronta su aplicación a un grupo empresarial, lo cual requiere consideraciones adicionales. En este trabajo de investigación, se analizan diferentes enfoques de estos estándares, con el fin de proponer una metodología de implementación, gestión y mejora de seguridad de tecnologías de información y comunicaciones en la clínica Ortega. Se presentan además diferentes alternativas estratégicas y se discute sobre su conveniencia o no. Se analizan diferentes métodos conocidos de análisis y gestión de riesgos. Algunos de ellos promovidos por los gobiernos y/o industria de países de vanguardia y trayectoria reconocida en la seguridad de tecnologías de información y comunicaciones que han tenido gran aceptación. Se promueve un enfoque sistémico y pragmático, no dogmático, en pro de una metodología eficaz y sostenible, primando un criterio de conveniencia costo-beneficio. Se enfatiza la necesidad de su orientación y adecuación a los reales requerimientos de seguridad en la continuidad de procesos de información. Se presenta una metodología adecuada a sus requerimientos, que busca integrar lo mejor de cada uno de los enfoques analizados; se incluye una propuesta de organigrama de Seguridad que compatibiliza la jerarquía estructural del grupo y las necesidades de seguridad de tecnologías de información y comunicaciones. Adicionalmente se formaliza el concepto en términos de propiedades y se define con una visión propia del tema, un algoritmo para el ajuste contemplando valoraciones cualitativas y cuantitativas y dependencias parciales y/o totales entre activos. También se describen características y funcionalidades deseables de una herramienta de software de apoyo a la metodología. Finalmente se analiza la aplicación de la metodología a un Caso de Estudio, en particular. En el mismo se analizan las particularidades del caso de estudio: los estándares y recomendaciones internacionales específicos, el modelo organizacional aplicable a la clínica Ortega. |
|---|
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
