Caso de estudio –Clínica dental “SUPER MUELA”

Una franquicia de clínica estética dental se dirige a una empresa de servicios informáticos solicitando u
sus equipos e instalaciones para determinar el grado de seguridad informática y los ajustes que se con
necesarios.
Un trabajador de la empresa informática se dirige a la clínica para realizar una revisión y tiene una entr
titular de la misma, quien le informa de los siguientes aspectos:
El personal de la clínica de la oficina “centro” está formado por:
Como contratados:
• el titular, médico especializado en odontología.
• El administrador general de la clínica “centro” y “sur”
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo, que también ejerce como recepcionista,
• una persona para la limpieza
• y una persona de seguridad

La clínica “centro” cuenta con tres consultorios, cada una de ellas con un especialista en odontología. E
consultorio hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el esp
el auxiliar de clínica que trabaja en ese consultorio.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas

El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo
• una persona para la limpieza
• y una persona de seguridad

La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
el cual esta implementado un pequeño sistema de vigilancia con 2 cámaras IP una interna en recepció
fuera del local.
En un despacho aparte están los archivos en soporte papel de toda la franquicia y donde se encuentra
principal y el equipo de conexión con el proveedor de telefónica e internet, y un switch para la conexión
oficina, equipo ubicado sobre el escritorio del titular junto al servidor.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor principal que es Linux, la
los pacientes se encuentra en una base de datos mysql.
El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos d
El auxiliar administrativo se encarga de gestionar las citas de ambas oficinas

El personal de la clínica de la oficina “sur” está formado por:

Como contratados:
• Asistente administrativo que también ejerce como recepcionista,
• 2 odontólogos
• dos auxiliares de clínica y
• un auxiliar administrativo
• una persona para la limpieza
• y una persona de seguridad

La clínica cuenta con dos consultorios, cada una de ellas con un especialista en odontología. En cada
un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como
clínica que trabaja en esa consulta.
En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y ano
En la oficina del asistente administrativo en una esquina están los archivos en soporte papel y también
conexión remota.
Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.
El objetivo de la clínica es proteger la información, de los médicos y los pacientes.
Debajo se recogen tablas orientativas para realizar las valoraciones de impacto según escalas de tres valores. En función del nivel
de detalle que se desee conseguir, puede aumentarse el número de intervalos de la escala.

Asimismo, se incluye una tabla para la definición del riesgo aceptable, que debe ser definido previamente a la realización del
análisis de riesgos de acuerdo a la estrategia corporativa.

TABLA PARA ESTIMAR LA PROBABILIDAD

VALOR DESCRIPCIÓN

Bajo (1) La amenaza se materializa a lo sumo una vez cada año.

Medio (2) La amenaza se materializa a lo sumo una vez cada mes.

Alto (3) La amenaza se materializa a lo sumo una vez cada semana.

TABLA PARA ESTIMAR EL IMPACTO

VALOR DESCRIPCIÓN

Bajo (1) El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la organización.

Medio (2) El daño derivado de la materialización de la amenaza tiene consecuencias reseñables para la organización.

Alto (3) El daño derivado de la materialización de la amenaza tiene consecuencias graves reseñables para la organización.

CRITERIOS DE ACEPTACIÓN DEL RIESGO

RANGO DESCRIPCIÓN

Riesgo <= 4 La organización considera el riesgo poco reseñable.

Riesgo > 4 La organización considera el riesgo reseñable y debe proceder a su tratamiento.

 El siguiente listado recoge las principales amenazas a considerar en el ámbito de un análisis de riesgos. Se trata de
un extracto ligeramente modificado del catálogo de amenazas de MAGERIT.

Amenazas Amenazas Amenazas

Fuego Corte del suministro eléctrico Errores de los usuarios

Daños por agua Condiciones inadecuadas de temperatura o humedad Errores del administrador

Desastres naturales Fallo de servicios de comunicaciones Errores de configuración

Interrupción de otros servicios y suministros esenciales

Amenazas Desastres industriales Amenazas

Fuga de información Denegación de servicio

Introducción de falsa información Amenazas Robo

Alteración de la información Degradación de los soportes de almacenamiento de la informac Indisponibilidad del personal

Corrupción de la información Difusión de software dañino Extorsión

Destrucción de información Errores de mantenimiento / actualización de programas (softwa Ingeniería social

Interceptación de información (escucha) Errores de mantenimiento / actualización de equipos (hardware

Caída del sistema por sobrecarga OTRAS Amenazas

Pérdida de equipos

Indisponibilidad del personal

Abuso de privilegios de acceso

Acceso no autorizado
Esta tabla es una aproximación sencilla a un inventario de activos de la organización, para llevar un control básico de los activos gestionados, así como de sus
responsables, ubicación, y otras características relevantes.
La descripción de los campos es la siguiente:
* Identificador: Código que permite identificar de forma unívoca el activo.
* Nombre: Nombre del activo. Se recomienda asignar nombres a los activos de forma que su identificación sea intuitiva.
* Responsable: Nombre del responsable del activo. Se puede tratar de una persona concreta o de un departamento.
* Tipo: El campo tipo se utiliza para clasificar los activos. Resulta conveniente distinguir si el activo es físico o si es lógico (intangible).
* Ubicación: Indica dónde está ubicado físicamente el activo.
* Crítico: Campo que indica si el activo juega un papel fundamental / imprescindible (crítico) para la organización.(si/no)

INVENTARIO DE ACTIVOS

Identificador Nombre/Descripción Responsable Tipo Ubicación

SM_0001 Servidor Principal (base de datos) Administrador General Servidor (físico) Oficina Centro

SM_0002 Router 1 Telefónica Administrador General Router (físico) Oficina Centro

SM_0003 Switch 1 Clínica Centro Administrador General Switch (físico) Oficina Centro

SM_0004 Computadora 1 Recepción Centro Auxiliar Administrativo 1 Computadora (física) Oficina Centro

SM_0005 Camara IP 1 Seguridad Camara IP (física) Oficina Centro

SM_0006 Camara IP 2 Seguridad Camara IP (física) Oficina Centro

SM_0007 Computadora 2 Especialista 1 Computadora (física) Oficina Centro

SM_0008 Computadora 3 Especialista 2 Computadora (física) Oficina Centro

SM_0009 Computadora 4 Especialista 3 Computadora (física) Oficina Centro

SM_0010 Computadora 5 Especialista 4 Computadora (física) Oficina Sur

SM_0011 Computadora 6 Especialista 5 Computadora (física) Oficina Sur

SM_0012 Computadora 2 Recepción Sur Auxiliar Administrativo 2 Computadora (física) Oficina Sur

SM_0013 Servidor Conexión Remota Asistente Administrativo Servidor (físico) Oficina Sur

SM_0014 Router 2 Telefónica Asistente Administrativo Router (físico) Oficina Sur

SM_0015 Switch 2 Clínica Sur Asistente Administrativo Switch (físico) Oficina Sur
 Crítico

Si

No

No

Si

No

No

Si

Si

Si

Si

Si
Si

Si

No

No
 Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probabilidad e impacto de tres niveles. Instrucciones
1. Determinar el riesgo aceptable por la organización, e indicarlo en la pestaña "Tablas AR".
2. Identificar los activos críticos de la organización.
3. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálogo Amenazas".
4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores de la pestaña "Tablas AR".
5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado.
Campos de la tabla:
Activo: Nombre del activo sobre el que se evalúa el riesgo.
Amenaza: Descripción de la amenaza a la que está expuesta el activo.
Probabilidad. Probabilidad de materialización de la amenaza.
Impacto. Impacto derivado de la materialización de la amenaza.
Riesgo. Valor de riesgo resultante. (probabilidad*impacto)
En las pestañas de la hoja Excel se incluye información relevante sobre los niveles orientativos de probabilidad y riesgo, así como un catálogo de amenazas básico.

ANÁLISIS DE RIESGOS
ACTIVOS AMENAZA PROBABILIDAD IMPACTO RIESGO

Servidor 01 (Contabilidad) Fuga de información 2 3 6

Servidor 01 (Contabilidad) Degradación de los soportes de almacenamiento de la información 1 3 3

Router Wifi (Clientes) Caída del sistema por sobrecarga 1 2 2

Router Wifi (Clientes) Denegación de servicio 2 1 2

Servidor 02 (Web) Denegación de servicio 3 2 6

Servidor 02 (Web) Corte del suministro eléctrico 1 2 2

(Añadir a la tabla tantas filas como sea necesario) 0