Este documento describe cómo la adopción de estándares como ISO 9001, ISO/IEC 20000 e ISO/IEC 27001 permite a las organizaciones de salud mejorar sus procesos de negocio y la seguridad de la información. Al mapear los procesos y subprocesos, identificar riesgos y documentar normas y procedimientos, las organizaciones pueden implementar un sistema de gestión integral enfocado en la calidad, gobernanza y seguridad. Esto ayuda a cumplir objetivos regulatorios, brindar claridad operativa y facilitar la coordinación entre equipos
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de servicio
1. Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD AÑO XII |N°10| Septiembre - Noviembre de 2013
http://www.cisalud.com.ar/revista/numero10/Default.html
Procesos, Calidad y Cumplimiento
A la búsqueda de estándares para una mejora del servicio
La adopción de estándares nos permite disponer de una gestión que asegure nuestros
procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y
como combinar sus bondades es el desafío a emprender.
El objetivo de conseguir mejores resultados en la prestación de servicios nace a partir de la
planificación estratégica de la empresa, y para ello, esta planificación debe estar sustentada
por una Política Corporativa que incluya en forma expresa las pautas de calidad,
gobernabilidad de la tecnología y seguridad de la información.
Como principal ventaja, el empleo de estándares le permite revisar cada proceso de la
Organización, ya sea funcional o tecnológico, ajustándolo así a las necesidades propias del
Negocio en función de su entorno de gestión. Debido a ello, es que la decisión estratégica de
adoptar estándares surge de la necesidad de mejorar los procesos de Negocio para facilitar el
cumplimiento de leyes y regulaciones, ajustándolos a sus Políticas Corporativas.
Los estándares son una herramienta que le
permite contar con un Sistema de Gestión
Integral, enfocado a la Calidad, Gobernabilidad y
Seguridad. El Gobierno de IT y la Seguridad de la
Información son los principales servicios para
obtener de forma indefectible Calidad en las
prestaciones que brindamos a nuestros
Pacientes y Afiliados y Calidad al brindar un
entorno seguro de trabajo a nuestros Médicos y
Prestadores referente a la información y procesos
funcionales claros y registrados adecuadamente.
Leyes y Regulaciones del Negocio
Adopción de estándares
Políticas, Normas y Procedimientos
Proceso Funcional
Proceso de Servicios Tecnológicos y de Seguridad al Negocio
Áreas de Negocio
Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los
objetivos que deben movernos a la implementación de estándares. Para nuestro ejemplo
podemos tomar tres estándares certificables que pueden ser implementados en cualquier tipo
de organización elaborados por la Organización Internacional para la Estandarización (ISO), y
utilizando su combinación le ayuda a cumplimentar un Sistema de Gestión Integral:
ISO 9.001
Norma que permite establecer una gestión de la calidad bajo una
estructura operacional de trabajo, bien documentada e integrada a los
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio ¿Nos
permite ver en forma completa otros subprocesos asociados? ¿Necesariamente podré indicar
que el proceso principal y cada uno de sus subprocesos están debidamente asegurados desde
su funcionalidad hasta los servicios tecnológicos que le dan soporte, permitiendo alcanzar los
objetivos de calidad y cumplimiento?
1
2. Seguridad de la Información – Auditoría de Sistemas
procedimientos técnicos y gerenciales, para guiar las acciones de la
fuerza de trabajo, la maquinaria o equipos, y la información de la
organización de manera práctica y coordinada y que asegure la
satisfacción del cliente y bajos costos para la calidad.
ISO/IEC 20.000
Orientada a una entrega efectiva de los servicios de TI como base
crucial para el soporte a procesos de Negocio en las empresas, tanto si
se proporciona servicios internamente a clientes como si se está
subcontratando proveedores. Es totalmente compatible con la ITIL (IT
Infrastructure Library), o guía de mejores prácticas para el proceso de
Gestión de Servicios de IT (GSTI).
ISO/IEC 27.001
Estándar para la seguridad de la información que especifica los
requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI).
Involucra a todos los procesos, tecnológicos o no, en los cuales se
tratan los datos abarcando todo su ciclo de vida.
Es importante que sepa que independientemente de elegir certificar en uno solo de los
estándares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro
ya que son complementarios desde una visión orientada al aseguramiento de la calidad en los
procesos de negocio. Como muestra de ello podemos ver como la mayoría de los estándares
se apoyan en los conceptos de documentación de 9001, y el COBIT en su versión 5 e ITIL
2011 han integrado a sus módulos la seguridad de la información relacionando la integridad y
disponibilidad, además de los aspectos de confidencialidad de la misma.
En lo relacionado a los servicios de salud, e independientemente de la responsabilidad a nivel
legal respecto de la confidencialidad de los datos de los Afiliados, el empleo de estándares
para normalizar nuestros procesos ayudará a ordenar todas las actividades asociadas a
la Integridad y Disponibilidad de la información médica, permitiendo el tratamiento
adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso
de fallas en los procesos funcionales o tecnológicos que soportan al servicio médico.
Implementar estándares asociados al Gobierno, Riesgo y Cumplimiento permite la integración y
orquestación de Sistemas de Gestión que aporten valores de calidad y seguridad a los
procesos funcionales y tecnológicos para convertir a la Institución más fiable, íntegra y con
buena reputación.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Cada una de estas Normas son aplicables a cualquier tipo de organización y de cualquier
sector, y cuya estandarización organizativa se basa en el conocido “Ciclo de Deming”: PDCA acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer
una diferencia entre estos estándares y otros indicadores de buenas prácticas, ya que en ellas
se establecen controles y pautas de medición que permiten su auditabilidad y análisis de la
madurez del Sistema de Gestión supervisando continuamente su rendimiento y mejora frente a
un conjunto establecido de requisitos.
2
3. Seguridad de la Información – Auditoría de Sistemas
Esta implementación requiere de un apoyo concreto de la Dirección y Alta Gerencia no solo a
través de las Políticas publicadas y la gestión diaria, sino también a través de un
acompañamiento en cada una de las actividades relacionadas con los controles internos
haciendo cumplir los requisitos de gestión y continuidad de la prestación de servicios y respetar
las leyes y normativas que sean de aplicación para los servicios de salud, lo que permite
demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su
información es primordial.
Bajo este apoyo es que iniciará las actividades relacionadas con la implementación, fijando el
alcance que le dará al identificar aquel Servicio que quiera certificar o bien aplicarle un
estándar para ponerlo bajo un Sistema de Gestión. Este alcance debe ser provisto por la
Dirección y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en
su Plan de Negocios. Como resultante de ello, definirá un Comité que tendrá a cargo la
coordinación de las actividades de implementación.
Al momento de iniciar la implementación de estándares, la buena comunicación interna aporta
un valor positivo (más que agregado) para:
1. Cumplir objetivos regulatorios del Negocio
2. Claridad en los requerimientos operativos del Negocio y sus procesos manuales y
tecnológicos
3. Facilitar la coordinación de los diferentes equipos al establecer roles específicos ante
proyectos de respuesta al Negocio y así crear ambientes colaborativos con pautas claras y
roles definidos que aporten a la concreción de los objetivos establecido por el Negocio.
Recomendación; cada vez que decida iniciar un proyecto, identifique una fase de capacitación
para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro
del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las
necesidades de servicio por parte de las áreas tecnológicas (IT, redes, comunicaciones) y de
seguridad (seguridad de la información, o bien seguridad física y seguridad informática)
El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y
subprocesos involucrados en el Servicio a gestionar, y a partir de allí asociar los siguientes
puntos clave:
• Responsables dentro de cada proceso del Servicio
• Relación funcional entre cada proceso, con sus puntos de contacto
• Actividades principales involucradas en cada proceso del Servicio
• Soporte de servicios tecnológicos utilizados para cada actividad principal identificada
(aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir
luego)
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Como primera medida contemple dos hitos de definición importantes. Como primera medida,
establecer un glosario o “idioma” a través del cual se convenga un vocabulario propio a utilizar
tanto en los documentos como en las diferentes comunicaciones. Esto es importantísimo, ya
que personalmente considero que gran parte del éxito está basado en que todos hablemos un
mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en
Normas, Procedimientos, mails de comunicación de políticas o de campañas de
concientización, etc.
3
4. Seguridad de la Información – Auditoría de Sistemas
• Identificación de riesgos asociados a cada proceso del Servicio, basado en cada una de
sus actividades y servicios tecnológicos asociados que nos ayudará a desarrollar la
Matriz de Riesgos vinculada directamente con el Servicio a gestionar.
• Marco Normativo (Normas y procedimientos existentes) o documentación asociada a los
procesos del Servicio
Una vez concebido este mapa y teniendo en claro con qué cuenta y con qué debería contar
puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya
que en el mapa puede relacionar ambos dominios con:
• Una gestión de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada
parte integrante del mismo, ya sea funcional o tecnológico; cuáles son los puntos de
control; definir donde es necesario obtener registros/pistas de auditoría y de que tipo;
identificar el tipo de servicio tecnológico para securitizarlo debidamente permitiendo la
confidencialidad, integridad y disponibilidad de datos, verificar si la asignación de roles
está debidamente segregada,
• Si la documentación obtenida y utilizada es insuficiente para el cumplimiento legal y
regulatorio, o bien si no es la adecuada para los procesos identificados; qué debe
cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del
proceso para que pueda ser gestionada adecuadamente y se alinee al estándar
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Este relevamiento inicial le aporta la información necesaria para poder trazar un mapa integral
relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan
calidad, seguridad y gobernabilidad a través del empleo de los estándares adoptados. Este
mapa puede asemejarse al gráfico que se acompaña, que responde al empleo de una solución
integral de GRC (Governance, Risk & Compliance) como concepto de implementación de un
Sistema de Gestión Integral orientada al Negocio.
4
5. Seguridad de la Información – Auditoría de Sistemas
adoptado, adecuar los medios de capacitación al personal técnico y usuarios finales, fijar
el método documental basado en el Servicio gestionado.
Esta metodología de trabajo le permite minimizar el esfuerzo de reorganización o desarrollo
para el alcance de los objetivos en la aplicación de un Sistema de Gestión Integral basado en
estándares, le permite organizar mejor el proceso de evaluaciones a aquellas áreas dedicadas
a la revisión de controles o auditorías internas y dar una respuesta más eficaz a las auditoría
externas o de certificación.
Y principalmente le permite asegurar a sus Afiliados y Prestadores que a través de su
Institución brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la
atención de la salud.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
5