PLANTILLA DE BUSINESS CASE

1. Resumen Ejecutivo
La entidad pblica Essalud tiene por finalidad dar cobertura a los
asegurados a travs del otorgamiento de prestaciones de prevencin,
promocin, recuperacin, rehabilitacin, prestaciones econmicas, y
prestaciones sociales.
La investigacin y desarrollo del trabajo se centrar en la Red Asistencial
"Juan Aita Valle" de Lambayeque, perteneciente a Essalud, con el objetivo
de proponer la mejora en el cumplimiento de la Gestin de Identidades y
Accesos, de la entidad antes mencionada.
Los encargados de la Gestin de Identidades y Accesos pertenecen al rea
de Soporte informtico de la Red Asistencial.
Lo observado con respecto a la Gestin de Identidades y Accesos, que no va
acorde con lo establecido en las polticas de seguridad de informacin en la
entidad antes mencionada, son las siguientes:

Carente continuidad en la actualizacin de los usuarios que han sido

dados de baja y alta en la entidad.
Demora en la actualizacin y revisin de los perfiles de acceso de
usuarios a los principales sistemas de informacin, por motivos de
desplazamiento interno de personal.
Uso de cuentas y contraseas genricas (referidas a la entidad) en el
acceso a sistemas de informacin, por parte de algunos usuarios de
reas de administracin de informacin crtica.

Lo planteado como posibles soluciones para estas eventualidades, se

resumen el as siguientes alternativas:

Generacin de patrones de contraseas con un determinado nmero

de caracteres, dados por la compaa y por el usuario.
Establecimiento de una poltica sobre la revisin peridica de
usuarios.

Alternativa 1: Restructuracin e implementacin de polticas de Gestin de

Identidades y Accesos.
Breve descripcin:
Consistir en el reforzamiento de las polticas actuales sobre Gestin de
Identidades y Accesos, debido a que esta, no aplica eficientemente a la
realidad de la Red Asistencial. Todo esto mediante subcontratacin de una
empresa auditora.
Costo total: S/.
Fortalezas
- Mayor rigurosidad en

Debilidades
- Mayor tiempo

de

Recomendacin
En caso que haya un

la revisin de las
polticas actuales.
Incrementa
el
compromiso con la
correcta
ejecucin
de
las
nuevas
polticas
a
implementar, lo cual
permitir mejorar la
Gestin
de
Identidades
y
Accesos.

anlisis y ejecucin de
lo requerido
-El costo ahorrado con
el uso de Outsourcing
puede que no sea el
esperado.

empresa con la cual ya

se haya anteriormente
realizado un estudio de
auditoria, se sugiere
recontratarlo para la
elaboracin
de
las
polticas, ya que conoce
en un mayor grado la
situacin de la empresa.
- Se recomienda la
segregacin
de
funciones
que
aparecern con esta
solucin planteada
Alternativa 2: Revisin peridica de la situacin actual de la Gestin de
Identidades y Accesos.
Breve descripcin:
Consistir en la evaluacin peridica de la situacin actual de la Gestin de
Identidades y Accesos dentro de la red asistencial, en consecuencia, se
corregir los errores que aparezcan tras la revisin. Todo esto se realizara con
el personal interno del rea de Soporte informtico
Costo total: S/. 0.00
Fortalezas
- Menor tiempo de
ejecucin debido a
sus
conocimientos
sobre las reas ms
crticas
de
la
entidad.
-

Debilidades
-Al
no
ajustar
las
polticas actuales a la
realidad de la Red
Asistencial, existe el
riesgo que todo regrese
a la situacin anterior.
-

Recomendacin
-Se
recomienda
la
segregacin
de
funciones
que
aparecern con esta
solucin planteada.

2. Situacin actual
a. Contexto poltico
Objetivos:
Brindar atencin integral a los asegurados, con los ms
altos estndares de calidad, en el marco de un
fuerte
compromiso del
Estado con el bienestar de
los
asegurados.
Desarrollar una plataforma de Tecnologas de Informacin y
Comunicaciones (TIC) que integre y automatice los procesos
prestacionales y administrativos, que tenga impacto en el
conjunto del sistema nacional de salud y seguridad social
(Sistema Unificado de Informacin, Plan Nacional de
Conectividad en todos los CAS, TelEsSalud)

Riesgos:

 La existencia de usuarios activos en los sistemas, aun

cuando ya no laboran en la empresa.
Usuarios con perfiles de reas a las cuales ya no
pertenecen, por motivo de traslado.
Cuentas con perfiles de acceso a sistemas de informacin
crtica para la entidad, con nivel de seguridad bajo.
b. Entorno tcnico actual
Para describir la situacin actual de la empresa con respecto a la
perspectiva del negocio como la de TI, se adjuntara a este
documento el archivo Entorno tcnico actual.
c. El problema del negocio
Tomando en consideracin la Gestin de Identidades y Accesos, se
puede observar que no va acorde con lo establecido en las polticas
de seguridad de informacin en la Red Asistencial, debido a que no
existe compromiso por parte de los usuarios en la utilizacin de
nombres de usuarios y contraseas con mayor nivel de seguridad, ni
tampoco por parte del rea de Soporte informtico con respecto a la
actualizacin inmediata de las altas y bajas de usuarios, adems de
administracin de las privilegios de usuarios cuando existan traslados
internos de personal.
La
primera
alternativa
de
solucin,
Restructuracin
e
implementacin de polticas de Gestin de Identidades y
Accesos, ayudara a la Red Asistencial de la siguiente manera:

Permitira tener polticas precisas para el manejo de las altas y

bajas de usuarios, al momento de ser retirados o incluidos en
la entidad. Adems de poder corregir lo que no cumpla con la
poltica implantada, mediante la revisin y correccin
propiamente dicha.
Proporcionar polticas precisas de perfiles acceso de manera
correcta y actualizada, disminuyendo el riesgo de intrusin de
personal no autorizado a los sistemas de las reas a las que ya
no pertenece por motivo de desplazamiento interno.
La poltica restructurada, permitir la creacin de una Lista
Negra de nombres de usuarios y contraseas que contengan
datos genricos referidos a la entidad o de bajo nivel de
seguridad.

La segunda alternativa de solucin, Revisin peridica de la

situacin actual de la Gestin de Identidades y Accesos,
mitigara las siguientes eventualidades:

Forzara la revisin constante del manejo de las altas y bajas

de usuarios, al momento de ser retirados o incluidos en la
entidad. Adems de poder corregir lo que no cumpla con la

poltica existente, mediante la revisin y correccin

propiamente dicha.
Permitir la correcta administracin de los perfiles acceso,
disminuyendo el riesgo de intrusin de personal no autorizado,
a los sistemas de las reas a las que ya no pertenece por
motivo de desplazamiento interno.
La revisin peridica de la situacin actual, permitir la
creacin de una Lista Negra de nombres de usuarios y
contraseas que contengan datos genricos referidos a la
entidad o de bajo nivel de seguridad.

d. Impacto en los stakeholders

Actualmente, los usuarios de los sistemas de la Red Asistencial se ven
afectados por la vulnerabilidad en sus usuarios y contraseas de los
sistemas de informacin que usan, ya que no se cumple con la
poltica de Normas para el Control de Acceso a los Sistemas
Informticos, debido a que generan cuentas con nombres de usuarios
y contraseas usando palabras comunes o relacionadas a la empresa.
Esto permite que sea ms sencillo para otras personas obtener estas.
As mismo, existen usuarios con perfiles de reas a las cuales no
pertenecen. Por otro lado, existen usuarios que an mantienen
acceso a sus cuentas debido a que no han sido dadas de baja de
manera correcta luego de ser separados de la Red Asistencial.
e. Riesgos actuales
Riesgos de Negocio Actuales:
Filtracin de informacin crtica, lo cual impedira el cumplimiento
de los objetivos estratgicos tales como, desarrollar e
implementar un sistema de calidad orientado a satisfacer las
necesidades y expectativas del usuario, y desarrollar una
plataforma de Tecnologas de Informacin y Comunicaciones (TIC)
que integre y automatice los procesos
prestacionales y
administrativos.
Riesgos Tcnicos Actuales:
La existencia de usuarios activos en los sistemas, aun cuando ya
no laboran en la empresa.
Usuarios con perfiles de reas a las cuales ya no pertenecen, por
motivo de traslado.
Cuentas con perfiles de acceso a sistemas de informacin crtica
para la entidad, con nivel de seguridad bajo.
Riesgos Tcnicos consecuentes:

 Posible alteracin de la informacin crtica de la entidad, por parte

del personal que fue retirado de la empresa, pero que an tenga
usuarios activos.
Posible alteracin de la informacin crtica de la entidad, por parte
de usuarios que aun tengan perfiles de accesos a reas a las
cuales ya no pertenecen, por motivo de traslado.
Robo de cuentas con perfiles de acceso a sistemas de informacin
crtica para la entidad, debido a su nivel de seguridad bajo.
Riesgos de Negocio consecuentes:
Mal uso de la informacin crtica filtrada, por lo que imposibilitara
el cumplimiento del objetivo estratgico de Brindar atencin
integral a los asegurados, con los ms altos estndares de calidad,
en
el marco de un
fuerte compromiso del
Estado con el
bienestar de los asegurados.
3. Solucin propuesta
a. Alineamiento estratgico
Mediante la revisin peridica de la situacin actual de la
Gestin de Identidades y Accesos, podemos evitar que usuarios
tengan acceso a perfiles de usuarios que no le corresponden o que
puedan ingresar a los sistemas si ya han sido dados de baja en la
empresa, adems de siempre mantener una historial de
contraseas y usuarios que permita mantener un nivel alto en la
gestin de accesos.
Teniendo esto en cuenta Evitamos la Filtracin de informacin
crtica, garantizando el cumplimiento de los objetivos estratgicos
tales como, desarrollar e implementar un sistema de calidad
orientado a satisfacer las necesidades y expectativas del usuario, y
desarrollar una plataforma de Tecnologas de Informacin y
Comunicaciones (TIC) que integre y automatice los procesos
prestacionales
y
administrativos.
b. Entorno tcnico
Luego de la implementacin de la propuesta, existira una mejor
gestin de identidades y accesos, donde el filtro de la informacin
seria la mnima; as mismo, el control sobre las acciones de cada
usuario se dara mayor efectividad. Presentando rigurosidad en el
filtro de usuarios que acceden a los sistemas crticos de la entidad,
verificando sus perfiles y pertenencia al rea en el cual el sistema se
explota. Por otro lado, se verificara peridicamente las contraseas de
accesos a sistemas crticos, donde se evaluara la complejidad como el
historial de contraseas que este usuario tiene, contrastndolo con
una lista negra de contraseas, con la finalidad de que la contrasea
sea segura; existir concientizacin peridica sobre la creacin de
contraseas seguras

c. Entorno de negocio
A nivel del entorno operacional, la red Asistencial al implementar
una de las soluciones planteada mejora la seguridad del acceso a los
sistemas informticos, debido a que se evita la filtracin de
informacin mediante implementacin de las polticas de Gestin de
Identidades y Accesos, las cuales les restringe el acceso a los sistemas
informticos, a los usuarios que han sido dado de baja y a los que
tienen perfiles de usuario que no corresponden al rea en la que se
encuentran. Los usuarios se incomodaran al principio, debido a que se
les restringirn sus antiguos perfiles de usuarios al momento de ser
cambiado de rea, adems de concientizarlos en el uso de nombres
de usuarios y contraseas con mayor nivel de seguridad. Estas
medidas les permitirn cumplir sus funciones en los sistemas de
informacin con mayor confianza y seguridad para la empresa.
d. Beneficios
Los beneficios que se podrn percibir con el implemento de alguna
de las soluciones propuestas durante un plazo de tiempo que es de 20
semanas para Restructuracin e implementacin de polticas de
Gestin de Identidades y Accesos, y de 12 semanas para la Revisin
peridica de la situacin actual de la Gestin de Identidades y
Accesos.
Como beneficio tenemos, la proteccin tanto de los datos de usuarios
como de los datos asociados con los recursos organizacionales; con
esto se disminuyen los riesgos relacionados con el aseguramiento de
la informacin y robo de identidad.
Correcto Control de acceso eficiente basado en roles.
Mayor cumplimiento de regulaciones actuales relacionadas con la
proteccin de datos de usuario.
Administracin delegada de usuarios, recursos y polticas para
controlar el acceso a las aplicaciones.
Eficiencia administrativa mejorada y costos ms bajos; un empleado
de tiempo completo ahora puede administrar todas las cuentas de
usuario, mientras que el resto del personal de TI desarrollar y mejorar
el entorno de TI de la organizacin.
Disminuye los costos administrativos del soporte a la gestin de
identidades y accesos.
4. Alternativas de solucin

Alternativa 1: Restructuracin e Implementacin de Polticas de

Gestin de Identidades y Accesos

Descripcin
Consistir en el reforzamiento de las polticas
actuales sobre Gestin de Identidades y
Accesos, debido a que esta, no aplica
eficientemente a la realidad de la Red
Asistencial. Todo esto mediante
subcontratacin de una empresa auditora. Para
llegar a concretar esta solucin, primero la
empresa auditora realizar un anlisis sobre las
polticas actuales y situacin actual en la cual
opera la Red Asistencial; segn el resultado que
arroje el anlisis que ha realizado, elaborar un
plan de trabajo para la reestructuracin de las
polticas actuales que concluir con una nueva
poltica de Gestin de Identidades y Accesos,
acorde con la situacin actual de la Red
Asistencial. Para que esta poltica se difunda en
toda la organizacin, se realizar la
capacitacin pertinente a las jefaturas y al rea
de Soporte informtico. Finalmente se realizar
las correcciones pertinentes de los problemas
que ya se han encontrado.
Beneficio
- Apoya la estrategia de la organizacin para el
logro de los objetivos de negocio.
- Fortalece la proteccin de los activos de
informacin de la organizacin.
- Mejora la eficiencia, oportunidad y control de
la gestin de identidades y accesos.
- Disminuye los costos administrativos del
soporte a la gestin de identidades y accesos.
- Aumento de la productividad.
- Apoya el cumplimiento regulatorio.
- Eficiencia administrativa mejorada y costos
ms bajos; un empleado de tiempo completo
ahora puede administrar todas las cuentas de
usuario, mientras que el resto del personal de
TI desarrollar y mejorar el entorno de TI de la
organizacin.
Riesgos

Impacto sobre los

stakeholders

- Malestar por parte de los

usuarios que antes usaban
esta cuentas con perfiles no
autorizados.
- Los jefes de las distintas
reas tendrn mayor
control sobre la informacin
que administra.

Costo (S/.)

Se incurrira en un costo de
20000 soles para la
contratacion de la empresa
auditora

Cronograma

- Incumplimiento de la Poltica despus de un

periodo de tiempo.
- Pueden presentarse eventualidades sobre el
incumplimiento de la poltica entre los periodos
de tiempos establecidos para la revisin, como
la regularizacin de trmites das antes de la
revisin como asignacin de perfiles a usuarios
autorizados temporalmente a sistemas fuera
de su mbito laboral.
- Resistencia a la adaptacin de las nuevas
polticas por parte de los usuarios finales.

Fortalezas
- Mayor rigurosidad en la revisin de las
polticas actuales.
- Incrementa el compromiso con la correcta
ejecucin de las nuevas polticas a
implementar, lo cual permitir mejorar la
Gestin de Identidades y Accesos.

El tiempo de ejecucin total

de la propuesta de solucin
ser de 20 semanas:
-5 semanas para evaluacin
y diagnstico por parte de la
empresa auditora.
-1 semana para elaboracin
de plan de trabajo
-2 semanas para elaboracin
e implementacin de la
Poltica de Gestin de
Identidades y Accesos
-3 semanas para la
capacitacin al personal
pertinente
-7 semanas para evaluacin
y correccin de los sistemas
crticos de informacin
donde se encuentre el
incumplimiento de la
Poltica.
-2 semanas para
presentacin de resultados.
Debilidades
- Mayor tiempo de anlisis y
ejecucin de lo requerido
- El costo ahorrado con el
uso de Outsourcing puede
que no sea el esperado.

Alternativa 2: Revisin peridica de la situacin actual de la Gestin

de Identidades y Accesos
Impacto sobre los
Descripcin
stakeholders
Consistir en la evaluacin peridica de la
- Malestar por parte de los
situacin actual de la Gestin de Identidades y usuarios que antes usaban
Accesos dentro de la red asistencial, en
esta cuentas con perfiles no
consecuencia, se corregir los errores que
autorizados.
aparezcan tras la revisin. Todo esto se
- Los jefes de las distintas
realizara con el personal interno del rea de
reas tendrn Mayor control
Soporte informtico. Para llegar a concretar
sobre la informacin que
esta solucin, primero el rea de Soporte
administra.
informtico, realizar un anlisis sobre la
situacin actual en la cual opera la Red
Asistencial; con los datos obtenidos se realizar
un contraste con respecto a las polticas ya
existentes, con lo cual se realizar las
correcciones pertinentes de los problemas que

ya se han encontrado, posteriormente se

establecern los plazos para las revisiones
peridicas que realizar el rea de Soporte
informtico en Red Asistencial para que as
asegurar la realizacin y continuidad de las
polticas existentes

Beneficio
- Apoya la estrategia de la organizacin para el
logro de los objetivos de negocio.
- Fortalece la proteccin de los activos de
informacin de la organizacin.
- Mejora la eficiencia, oportunidad y control de
la gestin de identidades y accesos.
- Disminuye los costos administrativos del
soporte a la gestin de identidades y accesos.
- Aumento de la productividad.
- Apoya el cumplimiento regulatorio.
- Eficiencia administrativa mejorada y costos
ms bajos; un empleado de tiempo completo
ahora puede administrar todas las cuentas de
usuario, mientras que el resto del personal de
TI desarrollar y mejorar el entorno de TI de la
organizacin.
Riesgos
- Incumplimiento de la Poltica despus de un
periodo de tiempo.
- Pueden presentarse eventualidades sobre el
incumplimiento de la poltica entre los periodos
de tiempos establecidos para la revisin, como
la regularizacin de trmites das antes de la
revisin como asignacin de perfiles a usuarios
autorizados temporalmente a sistemas fuera
de su mbito laboral.
- Resistencia a la adaptacin de las nuevas
polticas por parte de los usuarios finales.

Costo (S/.)

No se incurrira en gastos
significativos, debido a que
el personal de la propia
empresa trabajar dentro de
su horario laboral para la
implmentacion de la
propesta de solucion

Cronograma
El tiempo de ejecucin total
de la propuesta de solucin
ser de 12 semanas:
-2 semanas para evaluacin
y diagnstico por parte del
personal asignado a la labor.
-1 semana para elaboracin
de plan de trabajo
-1 semanas para revisin e
implementacin de la
Poltica de Gestin de
Identidades y Accesos
-2 semanas para la
capacitacin al personal
pertinente
-5 semanas para evaluacin
y correccin de los sistemas

crticos de informacin
donde se encuentre el
incumplimiento de la
Poltica.
-1 semanas para
presentacin de resultados.

Fortalezas
- Menor tiempo de ejecucin debido a sus
conocimientos sobre las reas ms crticas de
la entidad

Debilidades
- Al no ajustar las polticas
actuales a la realidad de la
Red Asistencial, existe el
riesgo que todo regrese a la
situacin anterior.

5. Anexos
Anlisis de los datos obtenidos del modelo de madurez de la empresa

Dominios
Gestin de Riesgos (ISO 27005: 2011)
Polticas de Seguridad de Informacin (ISO 5)
Organizacin de la Seguridad de la Informacin (ISO 6)
Seguridad de los Recursos Humanos (ISO 7)
Gestin de Activos (ISO 8)
Control de Acceso (ISO 9)
Criptografa (ISO 10)
Seguridad Fsica y Ambiental (ISO 11)
Operaciones de Seguridad (ISO 12)
Seguridad en las Comunicaciones (ISO 13)
Sistemas de Adquisicin, desarrollo y mantenimiento (ISO 14)
Relaciones con los proveedores (ISO 15)
Gestin de Incidentes de Seguridad de la Informacin (ISO 16)
Aspectos de Seguridad de Informacin de Gestin de
Continuidad (ISO 17)
Cumplimiento (ISO 18)

Promedio Final

Puntaje
3.00
2.33
1.29
2.60
2.50
0.93
1.00
1.00
1.21
2.00
2.13
2.50
2.00
2.00
1.75

1.68

Como se aprecia en los resultados obtenidos tenemos un Promedio Final 1.68 el

cual nos indica que el nivel de madurez se encuentra entre procesos informales
y procesos repetitivos. Ahora bajo el contexto de la entidad, esta cuanta con
polticas y procesos documentados, pero estos estn desfasados en el tiempo,
se cumplen de forma parcial o se actualizaron los procesos mas no se
documentaron. El punto ms crtico Control de Acceso, obtuvo un puntaje de
0.93, lo cual se ve reflejado en que la poltica que presento la empresa se
aplica de forma parcial y no abarca todos los requerimientos presentados
dentro de ella.