Download fulltext HTML

https://doi.org/10.18502/espoch.v2i2.11413

statistics

  • 415 Abstract Views
  • 312 PDF Views
  • 0 HTML Views

authors

  • Diego Fernando Avila Pesantez

    Diego Fernando Avila Pesantez

    Grupo de Investigación en Innovación Científica y Tecnológica, Escuela Superior Politécnica de Chimborazo, Riobamba (ESPOCH), Riobamba, Ecuador
  • Richard Chalan Analuisa

    Richard Chalan Analuisa

    Escuela de Posgrado, Maestría en Ciberseguridad, Pontifica Universidad Católica del Ecuador sede Ambato, Ambato, Ecuador
  • George Figueras

    George Figueras

    Facultad de Ingeniería, Universidad Simón Bolívar, Caracas, Venezuela
  • Miriam Avila

    Miriam Avila

    Facultad de Mecánica, Escuela Superior Politécnica de Chimborazo (ESPOCH), Riobamba, Ecuador

Published Date

  • Jun 29, 2022

Cybersecurity Policies for Network Switching Devices in Hospital Data Centers: A Case Study

ESPOCH Congresses: The Ecuadorian Journal of S.T.E.A.M. / Volume 2, Issue 2 / Pages 507-518

Abstract

Cybersecurity policies help ensure the operation of network communication devices used in hospital data centers, since administrators can easily implement mechanisms to mitigate attacks and vulnerabilities without affecting the operation of these devices. In this work, the ISO 27032 standard was selected to follow the four-phase guidelines: understanding the organization, risk analysis, action plan, and implementation, which allowed for proposing the necessary cybersecurity policies for the network infrastructure in a Huawei device. First, the vulnerability tests were carried out with the OPENVAS and Yersinia tools, establishing the probability of attacks like MAC-ARP, DHCP Starvation, STP attack, Vlan hopping, etc. Through the respective configurations and enabling functionalities, it was possible to mitigate a significant amount of 98% of the existing vulnerabilities in the initial state of the hospital network infrastructure.


Keywords: Cybersecurity policies, ISO 27032, hospital network infrastructure, attack mitigation.


Resumen 


Las políticas de ciberseguridad permiten asegurar el funcionamiento de los equipos de comunicación de red en una infraestructura tecnológica hospitalaria, ya que los administradores pueden implementar mecanismos de mitigación a ataques y vulnerabilidades, evitando afectar el funcionamiento de estos dispositivos. En este trabajo se tomó como referencia la norma ISO 27032 para seguir los lineamientos de cuatro fases: entendimiento de la organización, análisis de riegos, plan de acciones e implementación, que permitieron proponer las políticas de ciberseguridad necesarias para la infraestructura de red en equipos de marca Huawei. En la primera etapa se realizó las pruebas de vulnerabilidades con las herramientas OPENVAS y Yersinia, estableciendo la probabilidad de ataques tales como MAC-ARP, DHCP Starvation, ataque STP, Vlan hopping, entre otros. Mediante las respectivas configuraciones y habilitación de funcionalidades, se pudo mitigar una cantidad significativa del 98% de las vulnerabilidades existentes en el estado inicial de la infraestructura de red hospitalaria.


Palabras Clave: Políticas de ciberseguridad, ISO 27032, Infraestructura de red hospitalaria, Mitigación de ataques.

References
[1] A. Inoguchi Rojas and E. L. Macha Moreno, ”Gestión de la ciberseguridad y prevención de los ataques cibernéticos en las PYMES del Perú, 2016,” Universidad San Ignacio de Loyola, June, 18 2017.

[2] O. M. Gallego, ”Diseño y Manejo de Infraestructuras de Red Cumpliendo con los Estándares de Ciberseguridad,” ETSI Informáticos, January, 6 2021.

[3] R. J. Martelo, J. E. Madera, and A. D. J. I. t. Betín, ”Software para gestión documental, un componente modular del Sistema de Gestión de Seguridad de la Información (SGSI),” Scielo, vol. 26, no. 2, pp. 129-134, May 2015.

[4] Y. Xia, C. Liu, and K. Yu, ”Design and Implementation of Vulnerability Scanning Tools for Intelligent Substation Industrial Control System Based on Openvas,” in IOP Conference Series: Earth and Environmental Science, 2020, vol. 440, no. 4, p. 042031: IOP Publishing.

[5] E. Pérez Morera, ”Estudio de soluciones de seguridad para apps móviles en Sanidad,” 2016.

[6] S. T. Argaw et al., ”Cybersecurity of Hospitals: discussing the challenges and working towards mitigating the risks,” vol. 20, no. 1, pp. 1-10, 2020.

[7] R. Camacho, H. C. C. Romero, M. V. M. Valencia, and M. A. Z. J. C. A. Lozano, ”Diagnóstico de conectividad y dispositivos de telecomunicaciones para el desarrollo de la Telesalud de veinte hospitales en el Departamento del Tolima,” Cuaderno Activa, vol. 11, pp. 105-119, Abril, 10 2019.

[8] J. J. Correa Sánchez, ”Manual de buenas prácticas en seguridad de la información para entornos hospitalarios,” Universidad EIA, Febrero, 18 2020.

[9] R. R. J. B. C. Herrera, ”La seguridad del paciente y la ciberseguridad,” BOLETÍN CONAMED, no. 15, Septiembre, 2 2017.

[10] P. Perea Paños, ”Análisis de ransomware en redes de infraestructuras médicas,” TFG EN ENGINYERIA INFORMATICA, vol. 2, 2020.

[11] C. Bresteau, S. Guigui, P. Berthier, and J. M. Fernandez, ”On the security of aeronautical datalink communications: Problems and solutions,” in 2018 Integrated Communications, Navigation, Surveillance Conference (ICNS), Herndon, VA, USA, 2018, pp. 1A4-1-1A4-13: IEEE.

[12] V. Umasuthan, ”Protecting the Communications Network at Layer 2,” in 2016 IEEE/PES Transmission and Distribution Conference and Exposition (T&D), Dallas, 2016, pp. 1-5: IEEE.

[13] J. E. Salcedo Castillo, ”Diseño y emulación de una red de datos con priorización de servicios en la Unidad Educativa Suizo Ambato,” PUCE-Quito, Quito, 2020.

[14] K. G. Bermúdez Molina, ”Análisis en Seguridad Informática y Seguridad de la Información basado en la Norma ISO/IEC 27001-Sistemas de Gestión de Seguridad de la Información dirigido a una Empresa De Servicios Financieros,” INGENIERO DE SISTEMAS, Ingeniería de Sistemas, UNIVERSIDAD POLITÉCNICA SALESIANASEDE GUAYAQUIL, 2015.

[15] S. L. Guzmán Solano, ”Guía para la implementación de la norma ISO 27032,” UNIVERSIDAD CATÓLICA DE COLOMBIA, June, 5 2019.

[16] S. N. Solano, ”PROYECTO DE TRABAJO DE GRADO GUÍA PARA LA IMPLEMENTACION DE LA NORMA ISO 27032,” UNIVERSIDAD CATÓLICA DE COLOMBIA, Colombia, 2019.

[17] I. Auditors. (2020). Implementación de un Marco de Ciberseguridad ISO 27032. Available: https://www.isecauditors.com/consultoria-csf-iso-27032

[18] N. J. Ramírez Galvis, J. S. Rivera Cardona, and C. A. Mejía Londoño, ”Vulnerabilidad, tipos de ataques y formas de mitigarlos en las capas del modelo OSI en las redes de datos de las organizaciones,” Universidad Tecnológica de Pereira, vol. 2, 2017.

[19] P. Ochoa, ”Análisis de tráfico de datos en la capa de enlace de una red LAN, para la detección de posibles ataques o intrusiones sobre tecnologías Ethernet y Wifi 802.11,” ESPE, Quito, vol. 4, 2011.

[20] A. Mehdizadeha, K. Suinggia, M. Mohammadpoorb, and H. Haruna, ”Virtual Local Area Network (VLAN): Segmentation and Security,” in The Third International Conference on Computing Technology and Information Management (ICCTIM2017), Thessaloniki, Greece, 2017, pp. 78-89: The Society of Digital Information.

[21] O. S. J. S. Younes, ”Securing ARP and DHCP for mitigating link layer attacks,” Sādhanā, vol. 42, no. 12, pp. 2041-2053, 2017.