Cuando uno está enfermo y acude al médico, durante el proceso de la consulta, como pacientes, se llegan a contar aspectos de nuestras vidas íntimas, esto con el propósito de que esa información sea útil para mejorar o proteger el estado de salud, y esto se hace con la confianza de que el médico guardará absoluta discreción y mantendrá en secreto todo lo que se le exprese, por lo tanto, esta información debe estar protegida y siempre disponible.
Para esto existen varias normas técnicas que proporcionan una serie de líneas de actuación y buenas prácticas para la gestión de la seguridad de la información e una organización, entre las que destaca la norma ISO/IEC 27001:2005 la cual especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Un SGSI
es para una organización el diseño, implantación, mantenimiento de un conjunto
de procesos para gestionar eficientemente la accesibilidad de la información,
buscando asegurar la confidencialidad, integridad y disponibilidad de los
activos de información minimizando a la vez los riesgos de seguridad de la
información.
Una gestión eficaz de la seguridad de la información permite garantizar:
- Su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información,
- Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, y
- Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Se
entiende por información todo aquel conjunto de datos organizados en poder de
una entidad que posean valor para la misma, independientemente de la forma en
que se guarde o transmita (escrita, en imágenes, oral, impresa en papel,
almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail,
transmitida en conversaciones, etc.), de su origen (de la propia organización o
de fuentes externas) o de la fecha de elaboración.
La
certificación del Sistema de Gestión de Seguridad de la Información, de acuerdo
a UNE-ISO/IEC 27001, contribuye a fomentar las actividades de
protección de la información en las organizaciones, mejorando su imagen y
generando confianza frente a terceros.
Garantizar
un nivel de protección total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de
la seguridad de la información es, por tanto, garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y minimizados
por la organización de una forma documentada, sistemática, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos,
el entorno y las tecnologías
Beneficios del SGSI
- Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
- Reducción del riesgo de pérdida, robo o corrupción de información.
- Los clientes tienen acceso a la información a través medidas de seguridad.
- Los riesgos y sus controles son continuamente revisados.
- Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
- Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
- Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
- Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
- Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
- Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
- Confianza y reglas claras para las personas de la organización.
- Reducción de costes y mejora de los procesos y servicio.
- Aumento de la motivación y satisfacción del personal.
- Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
Para
establecer y gestionar un Sistema de Gestión de la Seguridad de la Información
en base a ISO 27001:2005, se utiliza el ciclo continuo PDCA, tradicional en los
sistemas de gestión de la calidad:
Consiste en planear, hacer, checar y actuar:
Planear = Establecer con planificación
Hacer = Implementar y Utilizar el SGSI
Checar = Monitorizar y Revisar
Actuar = Mantener y Mejorar
Es
evidente que los Sistemas de Gestión de Seguridad de la Información es una
herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones dado que la información es uno de los activos más
importantes de toda organización e institución, por lo tanto requieren
junto a los procesos y sistemas que la manejan, ser protegidos convenientemente
frente a amenazas que puedan poner en peligro la continuidad de los niveles de
competitividad, rentabilidad y conformidad legal necesarios para alcanzar los
objetivos de la organización.
En
definitiva, con un SGSI, la organización conoce los riesgos a los que
está sometida su información y los gestiona mediante una sistemática definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Referencias Bibliográficas
Oscar Blanco, D. R. (s.f.). Principios de seguridad de
la información en entornos de la salud. Manual de salud electrónica para
directivos de servicios y sistemas de salud, 331-343. http://www.seis.es/documentos/informes/secciones/adjunto1/16_Principios_de_seguridad_de_la_informacion_en_entornos_de_salud.pdf
Gupta, P. (2012). El
portal de ISO 27001 en Español. Obtenido de ISO 27000.ES:
http://www.iso27000.es/sgsi.html
f
En mi breve experiencia con el ISO27001 me parece perfecto el nivel de seguridad que este maneja, pues nos brinda una seguridad y confianza envidiables, excelente información
ResponderEliminarISO27001 la mejor opcion en cuanto a propuestas de seguridad en informacion a la salud
ResponderEliminarEl SGSI es muy seguro y bueno, siempre es importante tener un sistema que proteje tu información puesto que ésta siempre puede correr riezgos, los cuales llegarían a perjudicar a otras personas, como a los pacientes, y eso es algo que nunca debería de pasar!
ResponderEliminarDesconocía que existiere protección a la información y evitarán riesgo, es bueno saber que esta herramienta esta al alcance así evitamos riesgos
ResponderEliminar