Scribd
Cargar
308 vistas6 páginas

Caso Práctico I

Este resumen describe un caso práctico sobre la posible implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001 en una empresa llamada Fraternidad La Paz que ya tiene sistemas de gestión certificados bajo otras normas. Se analizan los pros y contras de certificar el SGSI, así como si sería posible integrarlo con los otros sistemas y si mejoraría la confidencialidad de los datos clínicos de los pacientes.

Cargado por

Luis Carvajal
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd
308 vistas6 páginas

Caso Práctico I

Este resumen describe un caso práctico sobre la posible implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001 en una empresa llamada Fraternidad La Paz que ya tiene sistemas de gestión certificados bajo otras normas. Se analizan los pros y contras de certificar el SGSI, así como si sería posible integrarlo con los otros sistemas y si mejoraría la confidencialidad de los datos clínicos de los pacientes.

Cargado por

Luis Carvajal
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOC, PDF, TXT o lee en línea desde Scribd

CASO PRÁCTICO

LUIS ALFREDO CARVAJAL CABARCA

DANIEL ANDRÉS RODRIGUEZ

GESTIÓN POR PROCESOS Y OTROS MODELOS DE GESTIÓN

DIPLOMADO HSEQ
CORPORACIÓN UNIVERSITARIA DE ASTURIAS
MORALES – BOLÍVAR
2020
INTRODUCCIÓN

A diario, las instituciones se ven amenazadas por riesgos que ponen en peligro la
integridad de la información y con ello la viabilidad de sus operaciones. Riesgos
que provienen no sólo del exterior de las empresas, sino también desde el interior.

Para poder trabajar en un entorno como este de forma segura, las empresas
pueden asegurar sus datos e información de valor con la ayuda de un Sistema de
Gestión de Seguridad de la Información.

A continuación, desarrollaremos el ejercicio propuesto con el propósito de


profundizar en los conocimientos adquiridos y plasmarlos de una manera práctica.
ENUNCIADO

EMPRESA CERTIFICADA ACORDE A LA NORMA ISO 9001:2008, ISO


14001:2004 Y OHSAS 18001:2007 DECIDE DAR UN PASO MÁS INTEGRANDO
UN SISTEMA DE GESTIÓN DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN FRATERNIDAD LA PAZ, Mutua de Accidentes de Trabajo y
Enfermedades Profesionales de la Seguridad Social quiere implantar un Sistema
de Gestión de Seguridad de la Información (SGSI) de acuerdo a la norma ISO
UNE/IEC 27001:2007 que complemente a los ya obtenidos de Calidad (ISO
9001:2008), Gestión ambiental (ISO 14001:2004) y Seguridad y Salud en el
Trabajo (OHSAS 18001: 2007) y que una empresa externa se lo Certifique Para
ello celebraron una reunión en la que analizaron los pros y los contras de esta
norma, y entre los argumentos que se esgrimieron a favor estaban:

1. Ventaja de comercialización en el mundo de globalización pues asegura


que la organización administra información sensible de sus clientes.

2. Gestión empresarial eficiente pues controla los activos de la información,


controla el acceso a los sistemas de información, etc.

3. Disminución de costes derivados por incidentes en esta materia.

4. etc.

Pero surgió una discusión sobre que al ser una Mutua de Accidentes de Trabajo
entre cuyas funciones se encuentra la prestación de asistencia sanitaria y
rehabilitadora. Por tanto, uno de sus activos más críticos es el conjunto de
historias clínicas de los trabajadores accidentados y en general pacientes
atendidos en sus instalaciones sanitarias y se aseguraría más la confidencialidad
de dichos datos, puesto que ya tenían establecidas por la LOPD unas medidas de
Seguridad de Nivel Alto.
CUESTIONES

 ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO


UNE/IEC 27001:2007 con los otros referenciales ya certificados?

 ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

 ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

 ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la


seguridad de la información?

DESARROLLO

 ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO


UNE/IEC 27001:2007 con los otros referenciales ya certificados?

Los Sistemas de Gestión son grandes aliados de las organizaciones que buscan
mejorar y ofrecer un valor agregado a las expectativas de sus stakeholders. Estas
diferentes Normas, aunque abordan áreas distintas comparten la estructura de alto
nivel que permite integrarlas, para así lograr un mejor desempeño.

Se hace necesario aplicar un procedimiento para dejar los parámetros ya


implementados en las otras Normas y agregar aquellos que deseamos integrar
con la ISO UNE/IEC 27001:2007, todo esto siguiendo un ciclo de Mejora Continua
para garantizar una correcta integración.
De tal forma podríamos concluir que si es factible integrar este sistema a los ya
existentes dentro de Fraternidad La Paz

 ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

Definitivamente, puede hacerlo puesto que como antes hemos expresado el hecho
de tener certificaciones de otras normas ISO esto no le impide, dado que podrían
integrarse y coexistir.

 ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

La gestión de los riesgos a través del Sistema de Gestión de Seguridad de la


Información nos va a permitir preservar la confidencialidad, integridad y
disponibilidad de la misma, en el interior de la empresa, ante nuestros clientes y
ante las distintas partes interesadas en nuestro negocio.

La confidencialidad implica el acceso a la información por parte únicamente de


quienes están autorizados, acorde a esto y dando respuesta al interrogante
planteado podemos afirmar con solidez que la implantación de esta Norma nos da
mayor seguridad de Confidencialidad.

 ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la


seguridad de la información?

Si. Podemos contar con la Norma ISO/IEC 27002, que es una guía de buenas
prácticas que ofrece una exhaustiva guía sobre los controles a implantar en
nuestra organización y que debemos seguir si queremos certificar el Sistema de
Gestión de Seguridad de la Información de nuestra organización con la Norma
UNE-ISO/IEC 27001.
CONCLUSIÓN

Toda empresa depende de la información y los sistemas que la soportan. Por ello,
hay que estar prevenidos ante la multitud de amenazas que pueden afectar a
nuestra información.

Cuando una organización implanta la Norma UNE-ISO/IEC 27001 lo que quiere


conseguir es reducir sus riesgos y evitar posibles incidentes de seguridad con
respecto a la información. Otra razón para certificar un Sistema de Gestión de la
Información es el mejoramiento de su imagen ante los grupos de interés de la
organización.

BIBLIOGRAFIA

[Link]

[Link]

Implantación de un SGSI en la empresa, INTECO

También podría gustarte