servicio de salud de castilla-la mancha · 2015-06-16 · servicio de salud de castilla-la mancha...

Servicio de Salud de Castilla-La Mancha

II CURSO DE PATOLÓGIA DIGITAL

Ciudad Real, 29-30 de noviembre de 2012

Servicio de Salud de Castilla-La Mancha Noviembre 2012 2

Conceptos básicos de seguridad y lenguaje informático ¿Podemos

entenderlo?


Conceptos básicos de seguridad y lenguaje informático ¿Podemos entenderlo?

� Seguridad de los sistemas de información.� Seguridad de redes.� Encriptación, tarjeta inteligente, firma electrónica.� Estándares de calidad y de entendimiento.



� Un sistema de información (SI) es un conjunto de elementosorientados al tratamiento y administración de datos einformación, organizados y listos para su uso posterior,generados para cubrir una necesidad u objetivo.

� En informática, un sistema de información es cualquier sistemacomputacional que se utilice para obtener, almacenar,manipular, administrar, controlar, procesar, transmitir o recibirdatos, para satisfacer una necesidad de información.

� HIS, Sistema de información Hospitalario.� SIP, Sistema de información de Anatomía-Patológica.� RIS, Sistema de Información de Radiología.� LIS, Sistema de Información de Laboratorio.

� …

http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n



�La seguridad de la información se desarrolla atendiendoa tres dimensiones principales:

� Confidencialidad: entendida como la garantía delacceso a la información únicamente de los usuariosautorizados� Integridad: entendida como la preservación de lainformación de forma completa y exacta.� Disponibilidad: Entendida como la garantía delacceso a la información en el instante en que elusuario la necesita.

GUIA_AUDISEC_GLOBALSGSI.pdf



Informe Seis: La seguridad y confidencialidad de la información clínica. Aspectos técnicos de la seguridad en la informática sanitaria.

SEGURIDAD

¿Qué proteger? ¿De qué proteger?

¿Qué conseguir? ¿Cómo Proteger?

Es la característica de un sistema que lo hace ser capaz deproteger sus datos frente a la destrucción, interceptación, omodificación no deseada

Un conjunto de métodos y herramientas destinados aproteger la información y por ende, los sistemas informáticosante cualquier amenaza.

HardwareSoftwareDatos

AutenticaciónAutorizaciónDisponibilidadConfidencialidadIntegridadNo repudio

PersonasAmenazas LógicasProblemas FísicosCatástrofes

PrevenciónDetecciónRecuperaciónAuditoríaCALIDAD DE

LOS SI



Harrington,Jan L. Manual práctico de Seguridad de redes. iso-27001-2005-espanol.pdf

SEGURIDAD

¿Qué proteger? ¿De qué proteger?

¿Qué conseguir? ¿Cómo Proteger?

POLÍTICA DE SEGURIDAD

Es un documento que expone la filosofía y estructura de lasiniciativas de seguridad de una organización.Indica lo que tiene que estar protegido y quien es elresponsable.Identifica la utilización aceptable de los recursos informáticosde la organización.Identifica quién debe tener acceso y a qué

Sistema de Gestión de la Seguridad de la Información: SGSI

ISO/IEC 27001

Auditoría de Seguridad

International Organization for Standardization / Comisión Electrotécnica Internacional



Alejandro Corletti : analisis_ISO-27001.pdf, iso-controles.pdf, ISO-27001_Los-controles_Parte_II.pdf

Sistema de Gestión de la Seguridad de la Información: SGSI

ISO/IEC 27001

Valoración de riesgos

Controles



Alejandro Corletti : analisis_ISO-27001.pdf, iso-controles.pdf, ISO-27001_Los-controles_Parte_II.pdf

ISO/IEC 27001

Controles




� A.5 Política de seguridad.

� Política de seguridad (Nivel político o estratégico de laorganización): Es la mayor línea rectora, la alta dirección.Define las grandes líneas a seguir y el nivel decompromiso de la dirección con ellas.

� Plan de Seguridad (Nivel de planeamiento o táctico):Define el “Cómo”. Es decir, baja a un nivel más de detalle,para dar inicio al conjunto de acciones o líneas rectorasque se deberán cumplir.




� A.7 Administración de recursos

Este grupo cubre cinco controles y también seencuentra subdividido en:� Responsabilidad en los recursos: Inventario ypropietario de los recursos, empleo aceptable de losmismos.

� Clasificación de la información: Guías declasificación y Denominación, identificación ytratamiento de la información.




� A.9 Seguridad física y del entorno

� Documentación de control de accesos yseguridad perimetral general.

� Documentación de CPDs.

� Documentación y planos deinstalaciones.

� Empleo correcto del material informático y decomunicaciones a nivel físico: Se debe desarrollaraquí cuales son las medidas de seguridad física que sedebe tener en cuenta sobre los mismos (Ubicación,acceso al mismo, tensión eléctrica, conexiones físicasy hardware permitido y prohibido, manipulación deelementos, etc.) . No se incluye aquí lo referido aseguridad lógica.

� Seguridad física en el almacenamiento ytransporte de material informático y decomunicaciones:



SEGURIDAD DE REDES



SEGURIDAD DE REDESEL modelo TCP/IP , Internet Model, Modelo DoD o Modelo DARPA.

PROTOCOLOS DE COMUNICACIÓNDE DATOS

Dirección IP

Dirección IP

�La familia de protocolos de Internet es unconjunto de protocolos de red en los que se basaInternet y que permiten la transmisión de datos entrecomputadoras. En ocasiones se le denomina conjuntode protocolos TCP/IP, en referencia a los dosprotocolos más importantes que la componen:Protocolo de Control de Transmisión (TCP) y Protocolode Internet (IP), que fueron dos de los primeros endefinirse, y que son los más utilizados de la familia.Existen tantos protocolos en este conjunto que llegana ser más de 100 diferentes, entre ellos se encuentrael popular HTTP (HyperText Transfer Protocol), que esel que se utiliza para acceder a las páginas web,además de otros como el ARP (Address ResolutionProtocol) para la resolución de direcciones, el FTP (FileTransfer Protocol) para transferencia de archivos, y elSMTP (Simple Mail Transfer Protocol) y el POP (PostOffice Protocol) para correo electrónico, TELNET paraacceder a equipos remotos, entre otros.



SEGURIDAD DE REDESAspectos y elementos para mantener la seguridad en una red de ordenadores

� Cortafuegos (firewall en inglés) es una parte de unsistema o una red que está diseñada para bloquear elacceso no autorizado, permitiendo al mismo tiempocomunicaciones autorizadas:

�Puede bloquear paquetes destinados a puertosespecíficos de Software.� Filtra el tráfico basado en direcciones IP.� Bloquea paquetes de aplicaciones específicas.� Registra o controla el tráfico.

� Seguridad Física.

� Proxy.- es una aplicación o un dispositivo hardwareque hace de intermediario entre los usuarios,normalmente de una red local, e Internet.




� Archivos y Directorios. Mantenimiento correcto de los puntos finales de la red.

� Administración Electrónica. Orden de 11/07/2012,de la Consejería de Presidencia y AdministracionesPúblicas y de la Consejería de Fomento, por la que seaprueba la instrucción sobre el uso aceptable demedios tecnológicos en la Administración de la Juntade Comunidades de Castilla-La Mancha. [NID2012/12185] 27629 170 KB [Ver detalle]




� ¡Cuidado con la información!

�La ingeniería social se define como el proceso demanipular a usuarios legítimos para obtener informaciónclasificada o confidencial, con el objetivo de divulgarinformación, cometer fraude u obtener accesoinformático. Hoy en día está considerada como el mayorpeligro para la seguridad, ya que ataca el que puede serel eslabón más débil de la cadena: el usuario.

�Phishing, Spoofing

� Ip, puerto, Servicios




� ¡Cuidado con la información!� Phishing es un término informático que denomina un tipo dedelito encuadrado dentro del ámbito de las estafas cibernéticas, yque se comete mediante el uso de un tipo de ingeniería socialcaracterizado por intentar adquirir información confidencial de formafraudulenta (como puede ser una contraseña o información detalladasobre tarjetas de crédito u otra información bancaria). El estafador,conocido como phisher, se hace pasar por una persona o empresa deconfianza en una aparente comunicación oficial electrónica, por locomún un correo electrónico, o algún sistema de mensajeríainstantánea o incluso utilizando también llamadas telefónicas.

�Spoofing, en términos de seguridad de redes es una técnica paraengañar al usuario, y que crea que un correo o sitio Web proviene dealguien diferente al autor real, en general el propósito es hacer creerque la fuente de información es de confianza.




� ¡Cuidado con la información!� Ataques de Denegación de Servicio (demial o service o DoS),es un ataque a un sistema de computadoras o red que causa que unservicio o recurso sea inaccesible a los usuarios legítimos.Normalmente provoca la pérdida de la conectividad de la red por elconsumo del ancho de banda de la red de la víctima o sobrecarga delos recursos computacionales del sistema de la víctima.Se genera mediante la saturación de los puertos con flujo deinformación, haciendo que el servidor se sobrecargue y no puedaseguir prestando servicios, por eso se le denomina "denegación", pueshace que el servidor no dé abasto a la cantidad de solicitudes. Estatécnica es usada por los llamados crackers para dejar fuera de servicioa servidores objetivo.




� ¡Cuidado con la información!� MALWARE, ANTIVUS

�Malware (del inglés malicious software), también llamado badware,código maligno, software malicioso o software malintencionado,es un tipo de software que tiene como objetivo infiltrarse o dañar unacomputadora o Sistema de información sin el consentimiento de supropietario. El término malware es muy utilizado por profesionales de lainformática para referirse a una variedad de software hostil, intrusivo omolesto.[1] El término virus informático suele aplicarse de formaincorrecta para referirse a todos los tipos de malware, incluidos los virusverdaderos.El software se considera malware en función de los efectos que,pensados por el creador, provoque en un computador. El términomalware incluye virus, gusanos, troyanos, la mayor parte de los rootkits,scareware, spyware, adware intrusivo, crimeware y otros softwaresmaliciosos e indeseables.




� ¡Cuidado con la información!

� SOLUCIONES:

� Mantenimiento activo de los pc/portátiles, móviles

� Actualización de todos lo parches de seguridad.

� Antivirus activo con actualización frecuente.

� Desconfianza de los sitios web no conocidos.

� Desconfianza de los destinatarios de correos no conocidos.

� Nombres de usuario y contraseñas seguras.

� Acceso seguro a las redes: HTTPS, WIFI seguras…

� VPN para acceso remoto a redes.

� Envíos seguros de la información.

� …

� Wifi y Bluetooth



Encriptación, tarjeta inteligente, firma electrónica.

� http://www.cert.fnmt.es/index.php?cha=cit&sec=3&page=215&lang=es

�UNA CLAVE CIFRA UN MENSAJE

�ALGORITMO Y CLAVE DE CIFRADO




� Encriptación, cifrado, criptografía. Es un método paracambiar la apariencia de un mensaje y evitar así que sucontenido sea inteligible a usuario no deseados.� Para asegurar la privacidad de un mensaje.

� Cifrado de clave simétrica.Es un método criptográfico en el cual se usa una mismaclave para cifrar y descifrar mensajes. Las dos partesque se comunican han de ponerse de acuerdo deantemano sobre la clave a usar. Una vez que ambaspartes tienen acceso a esta clave, el remitente cifra unmensaje usando la clave, lo envía al destinatario, y éstelo descifra con la misma clave.




� UNA CLAVE CIFRA UN MENSAJE

� ALGORITMO Y CLAVE DE CIFRADO

�Criptografía de Clave Asimétrica� En este caso, cada usuario delsistema criptográfico ha de poseeruna pareja de claves:Clave privada: será custodiada porsu propietario y no se dará a conocera ningún otro.Clave pública: será conocida portodos los usuarios.� Esta pareja de claves escomplementaria: lo que cifra unaSÓLO lo puede descifrar la otra yviceversa. Estas claves se obtienenmediante métodos matemáticoscomplicados de forma que porrazones de tiempo de cómputo, esimposible conocer una clave a partirde la otra.




� Certificado de Autenticación. Tiene como finalidad garantizar electrónicamente la identidad delciudadano al realizar una transacción telemática. El Certificado de Autenticación (Digital Signature) aseguraque la comunicación electrónica se realiza con la persona que dice que es. El titular podrá a través de sucertificado acreditar su identidad frente a cualquiera ya que se encuentra en posesión del certificado deidentidad y de la clave privada asociada al mismo.

� Certificado de firma. Este certificado es el que utilizaremos para la firma de documentosgarantizando la integridad del Documento y el No repudio de origen.Es este Certificado expedido como certificado reconocido y creado en un Dispositivo Seguro deCreación de Firma, el que convierte la firma electrónica avanzada en firma electrónica reconocida,permitiendo su equiparación legal con la Firma Manuscrita (Ley 59/2003 y Directiva 1999/93/CE).

� Certificado de cifrado. Este es un Certificado cuya clave privada está soportadapor una tarjeta inteligente y cuyo único objeto es el de ser utilizado para cifrarinformación.




� En criptografía, una infraestructura de clave pública (o, en inglés, PKI,Public Key Infrastructure) es una combinación de hardware y software,políticas y procedimientos de seguridad que permiten la ejecución congarantías de operaciones criptográficas como el cifrado, la firma digital o elno repudio de transacciones electrónicas.�El término PKI se utiliza para referirse tanto a la autoridad de certificacióny al resto de componentes, como para referirse, de manera más amplia y aveces confusa, al uso de algoritmos de clave pública en comunicacioneselectrónicas. Este último significado es incorrecto, ya que no se requierenmétodos específicos de PKI para usar algoritmos de clave pública.

�La PKI del SESCAM – Proyecto Cerv@ntes� Arquitectura de Infraestructura de Clave Pública� Políticas y Prácticas de Certificación del SESCAM� Mecanismo de Registro y emisión

� Tarjeta Profesional� Certificados de Sello y Sede� Otros certificados

� La plataforma de servicios de firma electrónica TrustedX



FIRMA ELECTRÓNICA

http://www.seap.minhap.gob.es/es/prensa/notas_de_prensa/notas/2012/11/20121115.html



FIRMA ELECTRÓNICA en aplicaciones



�http://www.actasanitaria.com/noticias/actualidad/articulo-las-historias-clinicas-son-la-principal-fuente-de-denuncias-de-proteccion-de-datos.html



Estándares de calidad y de entendimiento.

�¿Qué es la norma ISO 9001?�La ISO 9001 es una normainternacional que se aplica a lossistemas de gestión de calidad(SGC) y que se centra en todoslos elementos de administraciónde calidad con los que unaempresa debe contar para tenerun sistema efectivo que lepermita administrar y mejorar lacalidad de sus productos oservicios.



Estándares de calidad y de entendimiento.�1. ESTRUCTURA PRINCIPAL

�Introducción �Planificación de Sistemas de Información (Proceso PSI) �Estudio de Viabilidad del Sistema (Proceso EVS) �Análisis del Sistema de Información (Proceso ASI) �Diseño del Sistema de Información (Proceso DSI) �Construcción del Sistema de Información (Proceso CSI) �Implantación y Aceptación del Sistema (Proceso IAS) �Mantenimiento del Sistema de Información (Proceso MSI)

�2. INTERFACES �Aseguramiento de la Calidad �Seguridad �Gestión de Configuración �Gestión de Proyectos

�3. TECNICAS �4. PARTICIPANTES

�MÉTRICA es una metodología de planificación, desarrollo y mantenimiento de sistemas deinformación. Promovida por el Ministerio de Administraciones Públicas del Gobierno de Españapara la sistematización de actividades del ciclo de vida de los proyectos software en el ámbitode las administraciones públicas.




� La Guía del PMBOK® es un estándaren la Administración de proyectosdesarrollado por el Project ManagementInstitute (PMI). La misma comprendedos grandes secciones, la primera sobrelos procesos y contextos de un proyecto,la segunda sobre las áreas deconocimiento específico para la gestiónde un proyecto.




�Lenguaje Unificado de Modelado (LUM o UML, porsus siglas en inglés, Unified Modeling Language) es ellenguaje de modelado de sistemas software más conocidoy utilizado en la actualidad; está respaldado por el OMG(Object Management Group). Es un lenguaje gráfico paravisualizar, especificar, construir y documentar un sistema.UML ofrece un estándar para describir un "plano" delsistema (modelo), incluyendo aspectos conceptuales talescomo procesos de negocio, funciones del sistema, yaspectos concretos como expresiones de lenguajes deprogramación, esquemas de bases de datos y compuestosreciclados.


Conceptos básicos de seguridad y lenguaje informático ¿Podemos

entenderlo?

Muchas gracias.

servicio de salud de castilla-la mancha · 2015-06-16 · servicio de salud de castilla-la mancha...

Documents