SGSI

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACION

SGSI

Un conjunto de políticas administrativas de información para una organización de diseño, implementación y mantenimiento de procesos para gestionar la accesibilidad de la información, buscando asegurar confidencialidad, integridad y disponibilidad de la información minimizando riesgos de seguridad.

Estándar internacional que establece los requisitos para implementar y mantener un Sistema de Gestión de la Seguridad de la Información, orienta a las organizaciones en mejorar la seguridad de la información

27001

NORMA ISO

Garantizar la seguridad de la información otorga fortaleza a las organizaciones frente a posibles competidores, da cumplimiento a lo establecido por la ley y puede proporcionarle mayores beneficios económicos.

Según la ISO 27001, la seguridad de la información se refiere a su preservación, confidencialidad, integridad y disponibilidad, a través de un proceso sistemático, documentado y conocido por toda la organización, considerándola como un riesgo empresarial, por lo que es importante establecer controles de seguridad basados en la evaluación de riesgos.

Para cumplir con sus objetivos es necesario conocer los riesgos a la seguridad, asumirlos, gestionarlos y minimizarlos, de una forma eficiente y organizada.

Un SGSI debe incluir

"Se deben considerar amenazas externas e internas, las primeras producto de diversos ciberdelitos, las últimas producto de omisiones, fallos o accidentes.

Garantia de Seguridad

Un SGSI debe considerar una documentación básica, misma que ha sido evaluada en un control que defina los procedimientos

1. Alcance del SGSI: Determina el ámbito de influencia del SGSI, incluyendo departamentos, áreas y tareas.
2. Política y objetivos de seguridad: Explica el enfoque de la organización en la gestión de la seguridad de la información
3. Procedimientos y mecanismos de control que soportan al SGSI: Establece los procedimientos que regulan el SGSI
4. Enfoque de evaluación de riesgos: Determina la metodología para la gestión riesgos y niveles de riesgo aceptables
5. Informe de evaluación de riesgos: Expone los resultados de la metodología aplicada
6. Plan de tratamiento de riesgos: Determina acciones específicas, responsabilidades y prioridades en la gestión de riesgos
7. Procedimientos documentados: Facilitan la planificación, operación y control de los procesos de seguridad de la información
8. Registros: Proporcionan evidencias del funcionamiento del SGSI
9. Declaración de aplicabilidad: Señala los objetivos de control y controles empleados en el SGSI (SOA-Statement of Applicability)

• Plan (planificar): establecer el SGSI:
• Do (hacer): implementar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actuar): mantener y mejorar el SGSI.

La implementación de un SGSI se realiza a través del ciclo continuo PDCA, las fases pueden llevar un orden aleatorio dependiendo de las condiciones de la organización.

El control de documentación realizará acciones de revisión, aprobación, verificación de vigencia, legibilidad, identificación, transmisión, almacenamiento y destrucción de documentos según sea cada caso específico.

La directiva de una organización tiene como tareas específicas establecer una política de seguridad de la información, asignar responsabilidades, comunicar a la organización sobre la política de seguridad, designar recursos económicos y humanos necesarios, garantizar auditorias internar y realizar revisiones periódicas del SGSI.

La seguridad en los sistemas de información en salud ha ido implementando diversos controles para garantizar un uso eficiente de los recursos, evitar pérdidas de insumos, intercambio de información fundamental en momentos cruciales, confidencialidad de datos personales, expedición de incapacidades médicas, distribución de apoyos como canastilla maternal, trámites relacionados con pensiones y jubilaciones, entre otros. Esto ha sido posible mediante la introducción de TIC’s en los servicios de salud, facilitando el monitoreo de prácticamente todas las actividades que realiza el personal que atiende a los pacientes en diversas circunstancias.