Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD AÑO XII |N°10| Septiembre - Noviembre de ...
Seguridad de la Información – Auditoría de Sistemas

procedimientos técnicos y gerenciales, para guiar las acciones de la
...
Seguridad de la Información – Auditoría de Sistemas

Esta implementación requiere de un apoyo concreto de la Dirección y A...
Seguridad de la Información – Auditoría de Sistemas

• Identificación de riesgos asociados a cada proceso del Servicio, ba...
Seguridad de la Información – Auditoría de Sistemas

adoptado, adecuar los medios de capacitación al personal técnico y us...
Upcoming SlideShare
Loading in …5
×

Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de servicio

143 views

Published on

La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
143
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de servicio

  1. 1. Seguridad de la Información – Auditoría de Sistemas Publicado en Revista CISALUD AÑO XII |N°10| Septiembre - Noviembre de 2013 http://www.cisalud.com.ar/revista/numero10/Default.html Procesos, Calidad y Cumplimiento A la búsqueda de estándares para una mejora del servicio La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender. El objetivo de conseguir mejores resultados en la prestación de servicios nace a partir de la planificación estratégica de la empresa, y para ello, esta planificación debe estar sustentada por una Política Corporativa que incluya en forma expresa las pautas de calidad, gobernabilidad de la tecnología y seguridad de la información. Como principal ventaja, el empleo de estándares le permite revisar cada proceso de la Organización, ya sea funcional o tecnológico, ajustándolo así a las necesidades propias del Negocio en función de su entorno de gestión. Debido a ello, es que la decisión estratégica de adoptar estándares surge de la necesidad de mejorar los procesos de Negocio para facilitar el cumplimiento de leyes y regulaciones, ajustándolos a sus Políticas Corporativas. Los estándares son una herramienta que le permite contar con un Sistema de Gestión Integral, enfocado a la Calidad, Gobernabilidad y Seguridad. El Gobierno de IT y la Seguridad de la Información son los principales servicios para obtener de forma indefectible Calidad en las prestaciones que brindamos a nuestros Pacientes y Afiliados y Calidad al brindar un entorno seguro de trabajo a nuestros Médicos y Prestadores referente a la información y procesos funcionales claros y registrados adecuadamente. Leyes y Regulaciones del Negocio Adopción de estándares Políticas, Normas y Procedimientos Proceso Funcional Proceso de Servicios Tecnológicos y de Seguridad al Negocio Áreas de Negocio Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares. Para nuestro ejemplo podemos tomar tres estándares certificables que pueden ser implementados en cualquier tipo de organización elaborados por la Organización Internacional para la Estandarización (ISO), y utilizando su combinación le ayuda a cumplimentar un Sistema de Gestión Integral: ISO 9.001 Norma que permite establecer una gestión de la calidad bajo una estructura operacional de trabajo, bien documentada e integrada a los Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio ¿Nos permite ver en forma completa otros subprocesos asociados? ¿Necesariamente podré indicar que el proceso principal y cada uno de sus subprocesos están debidamente asegurados desde su funcionalidad hasta los servicios tecnológicos que le dan soporte, permitiendo alcanzar los objetivos de calidad y cumplimiento? 1
  2. 2. Seguridad de la Información – Auditoría de Sistemas procedimientos técnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de la organización de manera práctica y coordinada y que asegure la satisfacción del cliente y bajos costos para la calidad. ISO/IEC 20.000 Orientada a una entrega efectiva de los servicios de TI como base crucial para el soporte a procesos de Negocio en las empresas, tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de Gestión de Servicios de IT (GSTI). ISO/IEC 27.001 Estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Involucra a todos los procesos, tecnológicos o no, en los cuales se tratan los datos abarcando todo su ciclo de vida. Es importante que sepa que independientemente de elegir certificar en uno solo de los estándares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro ya que son complementarios desde una visión orientada al aseguramiento de la calidad en los procesos de negocio. Como muestra de ello podemos ver como la mayoría de los estándares se apoyan en los conceptos de documentación de 9001, y el COBIT en su versión 5 e ITIL 2011 han integrado a sus módulos la seguridad de la información relacionando la integridad y disponibilidad, además de los aspectos de confidencialidad de la misma. En lo relacionado a los servicios de salud, e independientemente de la responsabilidad a nivel legal respecto de la confidencialidad de los datos de los Afiliados, el empleo de estándares para normalizar nuestros procesos ayudará a ordenar todas las actividades asociadas a la Integridad y Disponibilidad de la información médica, permitiendo el tratamiento adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso de fallas en los procesos funcionales o tecnológicos que soportan al servicio médico. Implementar estándares asociados al Gobierno, Riesgo y Cumplimiento permite la integración y orquestación de Sistemas de Gestión que aporten valores de calidad y seguridad a los procesos funcionales y tecnológicos para convertir a la Institución más fiable, íntegra y con buena reputación. Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar Cada una de estas Normas son aplicables a cualquier tipo de organización y de cualquier sector, y cuya estandarización organizativa se basa en el conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer una diferencia entre estos estándares y otros indicadores de buenas prácticas, ya que en ellas se establecen controles y pautas de medición que permiten su auditabilidad y análisis de la madurez del Sistema de Gestión supervisando continuamente su rendimiento y mejora frente a un conjunto establecido de requisitos. 2
  3. 3. Seguridad de la Información – Auditoría de Sistemas Esta implementación requiere de un apoyo concreto de la Dirección y Alta Gerencia no solo a través de las Políticas publicadas y la gestión diaria, sino también a través de un acompañamiento en cada una de las actividades relacionadas con los controles internos haciendo cumplir los requisitos de gestión y continuidad de la prestación de servicios y respetar las leyes y normativas que sean de aplicación para los servicios de salud, lo que permite demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su información es primordial. Bajo este apoyo es que iniciará las actividades relacionadas con la implementación, fijando el alcance que le dará al identificar aquel Servicio que quiera certificar o bien aplicarle un estándar para ponerlo bajo un Sistema de Gestión. Este alcance debe ser provisto por la Dirección y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en su Plan de Negocios. Como resultante de ello, definirá un Comité que tendrá a cargo la coordinación de las actividades de implementación. Al momento de iniciar la implementación de estándares, la buena comunicación interna aporta un valor positivo (más que agregado) para: 1. Cumplir objetivos regulatorios del Negocio 2. Claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnológicos 3. Facilitar la coordinación de los diferentes equipos al establecer roles específicos ante proyectos de respuesta al Negocio y así crear ambientes colaborativos con pautas claras y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio. Recomendación; cada vez que decida iniciar un proyecto, identifique una fase de capacitación para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática) El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y subprocesos involucrados en el Servicio a gestionar, y a partir de allí asociar los siguientes puntos clave: • Responsables dentro de cada proceso del Servicio • Relación funcional entre cada proceso, con sus puntos de contacto • Actividades principales involucradas en cada proceso del Servicio • Soporte de servicios tecnológicos utilizados para cada actividad principal identificada (aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir luego) Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar Como primera medida contemple dos hitos de definición importantes. Como primera medida, establecer un glosario o “idioma” a través del cual se convenga un vocabulario propio a utilizar tanto en los documentos como en las diferentes comunicaciones. Esto es importantísimo, ya que personalmente considero que gran parte del éxito está basado en que todos hablemos un mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en Normas, Procedimientos, mails de comunicación de políticas o de campañas de concientización, etc. 3
  4. 4. Seguridad de la Información – Auditoría de Sistemas • Identificación de riesgos asociados a cada proceso del Servicio, basado en cada una de sus actividades y servicios tecnológicos asociados que nos ayudará a desarrollar la Matriz de Riesgos vinculada directamente con el Servicio a gestionar. • Marco Normativo (Normas y procedimientos existentes) o documentación asociada a los procesos del Servicio Una vez concebido este mapa y teniendo en claro con qué cuenta y con qué debería contar puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya que en el mapa puede relacionar ambos dominios con: • Una gestión de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada parte integrante del mismo, ya sea funcional o tecnológico; cuáles son los puntos de control; definir donde es necesario obtener registros/pistas de auditoría y de que tipo; identificar el tipo de servicio tecnológico para securitizarlo debidamente permitiendo la confidencialidad, integridad y disponibilidad de datos, verificar si la asignación de roles está debidamente segregada, • Si la documentación obtenida y utilizada es insuficiente para el cumplimiento legal y regulatorio, o bien si no es la adecuada para los procesos identificados; qué debe cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del proceso para que pueda ser gestionada adecuadamente y se alinee al estándar Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar Este relevamiento inicial le aporta la información necesaria para poder trazar un mapa integral relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan calidad, seguridad y gobernabilidad a través del empleo de los estándares adoptados. Este mapa puede asemejarse al gráfico que se acompaña, que responde al empleo de una solución integral de GRC (Governance, Risk & Compliance) como concepto de implementación de un Sistema de Gestión Integral orientada al Negocio. 4
  5. 5. Seguridad de la Información – Auditoría de Sistemas adoptado, adecuar los medios de capacitación al personal técnico y usuarios finales, fijar el método documental basado en el Servicio gestionado. Esta metodología de trabajo le permite minimizar el esfuerzo de reorganización o desarrollo para el alcance de los objetivos en la aplicación de un Sistema de Gestión Integral basado en estándares, le permite organizar mejor el proceso de evaluaciones a aquellas áreas dedicadas a la revisión de controles o auditorías internas y dar una respuesta más eficaz a las auditoría externas o de certificación. Y principalmente le permite asegurar a sus Afiliados y Prestadores que a través de su Institución brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la atención de la salud. Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems 5

×