Actualització dels sistemes de gestió de la seguretat de la informació a la Fundació Hospital Sant Bernabé de Berga

Abstract

Aquest projecte s'emmarca en el desenvolupament del Màster Interuniversitari de les Tecnologies de la Informació i la Comunicació que te per objectiu la implantació d'un Pla de seguretat de la informació , SGSI, en un entorn real, en aquest cas La FUNDACIO HOSPITAL SANT BERNABÉ,fundació Pública de serveis que treballa per prestar assistència hospitalària a la comarca del Berguedà i gestiona també una residencio d'avis, la RESIDENCIA SANT BERNABÉ. Al llarg de les fases de creació del pla director de seguretat s'anirà construint tota la base necessària per a la preparació de la certificació de la ISO/IEC 27001:2013 Primer es fa un anàlisi inicial de l'estat en que es troba la fundació respecte a la ISO/IEC 27002:2013 per tal de tindre una visió de l'estat actual i de on es vol arribar respecte al nivell d'adaptació a la norma. Posteriorment s'elabora el sistema documental exigit per la ISO/IEC 27001:2013, la política de seguretat i la metodologia d'anàlisi de riscos. Desprès es realitza aquest anàlisi de riscos de l'organització. en aquest cas, seguint la metodologia Magerit. En aquest punt es realitza el inventari d'actius i la seva valoració. També s'enumeren les amenaces que poden afectar a aquests actius i el impacte que tindrien. Una vegada fet aquest passos anteriors es defineixen una sèrie de projectes que han de permetre minimitzar l'impacta de les amenaces detectades i es valora el cost de la seva implantació. Per últim, es realitza un anàlisi de compliment respecte la ISO/IEC 27002:2013 considerant que els projectes anterior han estat implantats.

Este proyecto se enmarca en el desarrollo del Máster Interuniversitario de las Tecnologías de la Información y la Comunicación que té por objetivo la implantación de un Pla de seguridad de la información , SGSI, en un entorno real, en este caso La FUNDACIO HOSPITAL SAN BERNABÉ,fundación Pública de servicios que trabaja para prestar asistencia hospitalaria en la comarca del Berguedà y gestiona también una residencio de abuelos, la RESIDENCIA SAN BERNABÉ. A lo largo de las fases de creación del plan director de seguridad se irá construyendo toda la base necesaria para la preparación de la certificación de la ISO/IEC 27001:2013 Primero se hace un análisis inicial del estado en que se encuentra la fundación respecto a la ISO/IEC 27002:2013 para tener una visión del estado actual y de donde se quiere llegar respecto al nivel de adaptación a la norma. Posteriormente se elabora el sistema documental exigido por la ISO/IEC 27001:2013, la política de seguridad y la metodología de análisis de riesgos. Desprendido se realiza este análisis de riesgos de la organización. en este caso, siguiendo la metodología Magerit. En este punto se realiza el inventario de activos y su valoración. También se enumeran las amenazas que pueden afectar a estos activos y el impacto que tendrían. Una vez hecho este pasos anteriores se definen una serie de proyectos que tienen que permitir minimizar lo impacta de las amenazas detectadas y se valora el coste de su implantación. Por último, se realiza un análisis de cumplimiento respete la ISO/IEC 27002:2013 considerando que los proyectos anterior han sido implantados.

This project is framed in the development of the Interuniversity Master's in Information and Communication Technology "MISTIC", which aims to implement an Information Security Plan, SGSI, in a real environment, in this case The FUNDACIO HOSPITAL SANT BERNABÉ, Public Services Foundation that works to provide hospital care in the Berguedà region and also manages a residence for the elderly, RESIDENCIA SANT BERNABÉ. Throughout the phases of the creation of the security plan, the entire base necessary for the preparation of ISO / IEC 27001: 2013 certification will be built First, an initial analysis of the state in which the foundation is found in relation to ISO / IEC 27002: 2013 in order to have a vision of the current state and where it is intended to reach the level of adaptation to the norm. The documentary system required by ISO / IEC 27001: 2013 is subsequently developed, the security policy and the risk analysis methodology. After this analysis of risks of the organization is carried out. in this case, following the Magerit methodology. At this point, the asset inventory and its valuation are carried out. Also listed are the threats that may affect these assets and the impact they would have. Once this step is done, a series of projects are defined that should allow minimizing the impact of the threats detected and the cost of its implementation is valued. Finally, an analysis of compliance with the ISO / IEC 27002: 2013 is carried out, considering that the previous projects have been implemented.