Gestión por procesos y otros modelos de gestión

Empresa Asturiana de Informática

Estudiante
GENSY HUMBERTO BARRERA ESTUPIÑAN

Docente
DANIEL ANDRES RODRIGUEZ

CORPORACIÓN UNIVERSITARIA ASTURIAS

Especialización Gerencia de Seguridad y Salud en el Trabajo
PROTECCIÓN Y COMPORTAMIENTO DE SEGURIDAD
ENERO
2023
Enunciado

Empresa certificada acorde a la norma ISO 9001:2008, ISO 14001:2004 y OHSAS

18001:2007 decide dar un paso más integrando un sistema de gestión de seguridad de la

información.

FRATERNIDAD LA PAZ, Mutua de Accidentes de Trabajo y Enfermedades Profesionales

de la Seguridad Social quiere implantar un Sistema de Gestión de Seguridad de la

Información (SGSI) de acuerdo a la norma ISO UNE/IEC 27001:2007 que complemente a

los ya obtenidos de Calidad (ISO 9001:2008), Gestión ambiental (ISO 14001:2004) y

Seguridad y Salud en el Trabajo (OHSAS 18001: 2007) y que una empresa externa se lo

Certifique.

Para ello celebraron una reunión en la que analizaron los pros y los contras de esta norma,

y entre los argumentos que se esgrimieron a favor estaban:

1. Ventaja de comercialización en el mundo de globalización pues asegura que la

organización administra información sensible de sus clientes.

2. Gestión empresarial eficiente pues controla los activos de la información, controla el

acceso a los sistemas de información, etc.

3. Disminución de costes derivados por incidentes en esta materia

4. etc.

Pero surgió una discusión sobre que al ser una Mutua de Accidentes de Trabajo entre

cuyas funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora. Por

tanto, uno de sus activos más críticos es el conjunto de historias clínicas de los

trabajadores accidentados y en general pacientes atendidos en sus instalaciones

sanitarias y se aseguraría más la confidencialidad de dichos datos, puesto que ya tenían

establecidas por la LOPD unas medidas de Seguridad de Nivel Alto.

Cuestiones

• ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO UNE/IEC

27001:2007 con los otros referenciales ya certificados?

• ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

• ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

• ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la seguridad

de la información?

Desarrollo de la actividad

1. ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO UNE/IEC

27001:2007 con los otros referenciales ya certificados?

Es de toda factibilidad aplicar las normas ISO UNE/IEC 27001:2007 ya que todas las

normas están sujetas y reguladas, para los entes de vigilancia y control regulador, nos

permiten que puedan ser integradas dentro de varias situaciones o necesidades, con esto

los procesos integrales, empresariales entran en un concurso de organigramas y

desarrollos fortalecidos, permitiéndonos así ir ocupando los vacíos que por exceso o

defecto hacen parte del diario desarrollo de una empresa.

2. ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

Dentro de cada una de las normas debe de existir personas jurídicas o naturales y desde

cualquier ángulo que se puedan integrar al proceso pueden acceder a las normas en su

competencia, cada una de las empresas tienen auditor interno quien se encarga de hacer

seguimiento a cada uno de los procesos y cumplimiento de cada una de las normas, una

de sus funciones como persona natural puede ejercer el derecho o función de auditor

externo, eso sí que cuente con el certificado, para desarrollar las actividades que ameritan

esta competencia laboral.

3. ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

Todas las normas siempre van acopladas a otras que integran la funcionalidad de las

historias clínicas, aquí en Colombia contamos con la ley de habeas data, que le deja a las

personas con la autoridad y garantía de permitir ingresar a su historial médico, como su

absoluta confidencialidad.

4. ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la

seguridad De la información ?

Existe un manual de pasos que indican de forma clasificada el orden de manejos en la

información a continuación los enumeramos:

La Iso27001 es una norma internacional que permite el aseguramiento de la

confidencialidad e integridad de los datos, de la información de cualquier organización, así

como los sistemas que la procesan. Esto nos permite a cada una de las organizaciones

salvaguardar la información que custodian, sobre todo en la red y formatos digitales de la

compañía evaluando objetivamente los riesgos, definiendo una serie de medidas para

eliminarlos o reducirlos al máximo.

En base a la 27001 esta norma certificada, cualquier empresa puede establecer un

sistema de seguridad, teniendo que seguir para ello los siguientes pasos:

Determinar la política a seguir

Una vez la dirección de la organización este suficientemente involucrada y comprometida

con el proyecto, el siguiente paso es definir:

. El tipo de política de seguridad de la información que se requiere llevar acabo.

. Objetivos y metas lo más concretos posibles en materia de seguridad.

. Recursos a utilizar.
. Definición de responsabilidades.

Como seleccionar un método para la evaluación y análisis de riesgos

Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros

potenciales y de qué forma dichos riesgos pueden afectar a la información confidencial y

los sistemas informáticos de la empresa. Finalmente, también hay que valorar la

probabilidad de que ese peligro potencial se convierta en una realidad. Es importante que,

a partir de ese modelo, la empresa sea capaz de:

. Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad.

. Determinar criterios que definan que se entiende por riesgo aceptable.

. Estimar los diferentes niveles de riesgo y sus consecuencias asociadas.

. Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de

aceptabilidad previamente definidos.

. Valorar los costos de la eliminación de riesgos.

Definir acciones y objetivos para gestionar los riesgos

El siguiente paso consiste en la definición de la acción necesaria para contrarrestar dichos

riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de

riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y

contractuales.

Implementacion de la ISO 27001

Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes

acciones:

. Una descripción de la gestión de riesgos donde se detalla la planificación de acciones,

recursos, responsabilidad el orden de prioridad con respecto a la seguridad de la

información.
. Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la

asignación de funciones y responsabilidades.

. Las medidas necesarias para alcanzar los objetivos.

. Planes de capacitación de los profesionales.

. Implementacion del sistema y gestión de los recursos.

Concientización de los empleados y asignación de recursos

Para implementar con éxito un Sistema de gestión de seguridad se deben asignar

recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo.
También es importante que los empleados que trabajan con el sistema de gestión de
seguridad de la información, por ejemplo, con el mantenimiento del sistema, la
documentación o la seguridad sean formados correctamente.

Finalmente, todos los empleados deben estar suficientemente concientizados de los

riesgos y medidas para su prevención, poniendo todo de su parte para eliminarlos o
minimizarlos.

Realizar controles internos

Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo

seguirá siendo en el futuro la norma ISO 27001 incluye los siguientes requisitos:

. Ejecutar auditorías internas.

. La dirección debe realizar evaluaciones periódicas del sistema de gestión de seguridad

la información para asegurar que el sistema permanece completo, y de forma paralela,
facilitar los procedimientos para encontrar errores e implantar mejoras.

La plata forma ISOTools facilita la automatización de la 27001

La ISO27001 para los sistemas de gestión de seguridad informática es una norma sencilla
de gestionar de forma automatizada con la plataforma tecnológica ISOTools con dicha
plataforma se da cumplimiento a los requisitos basados en el ciclo PHVA para establecer,
implementa, mantener y mejorar el sistema de gestión de la seguridad en la información.

De manera complementaria esta plataforma permite poner en práctica los controles

establecidos en ISO 27002, así como los requisitos de otras normas de seguridad de la
información como PMG SSI de los servicios públicos de chile entre otros
 Conclusiones

En la Gestión por procesos y otros modelos de gestión podemos ver normas que deben

ser aplicadas dentro de cada una de las compañía o empresas, estas herramientas son

demasiado fundamentales tanto en la seguridad interna como externa, por ello pueden

monitorear movimiento dentro de los procesos que se ejecutan, y a su vez presentando

a las personas indicadas para su evaluación o redireccionamiento a su oportuna

intervención o mejoramiento continuo dada cada una delas situaciones presentadas

dentro delos procesos de cada compañía.

 Referencias

https://www.isotools.org/2015/08/13/como-implementar-un-sistema-de-gestion-de-seguridad-
de-la-informacion/

https://www.isotools.org/2015/03/03/los-modelos-de-gestion-y-el-enfoque-basado-en-
procesos/
https://www.centrovirtual.com/recursos/biblioteca/pdf/gestion_por_procesos//clase2_pdf1.pdf
https://www.centro-virtual.com/recursos/biblioteca/pdf/gestion_por_procesos/clase1_pdf1.pdf