Seguridad de la Informacin Auditora de Sistemas

Publicado en la Revista CISALUD N 9 Octubre- Diciembre2013

Procesos, Calidad y Cumplimiento

A la bsqueda de estndares para una mejora del servicio La adopcin de estndares nos permite disponer de una gestin que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su eleccin y como combinar sus bondades es el desafo a emprender. El objetivo de conseguir mejores resultados en la prestacin de servicios nace a partir de la planificacin estratgica de la empresa, y para ello, esta planificacin debe estar sustentada por una Poltica Corporativa que incluya en forma expresa las pautas de calidad, gobernabilidad de la tecnologa y seguridad de la informacin. El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio Nos permite ver en forma completa otros subprocesos asociados? Necesariamente podr indicar que el proceso principal y cada uno de sus subprocesos estn debidamente asegurados desde su funcionalidad hasta los servicios tecnolgicos que le dan soporte, permitiendo alcanzar los objetivos de calidad y cumplimiento? Como principal ventaja, el empleo de estndares le permite revisar cada proceso de la Organizacin, ya sea funcional o tecnolgico, ajustndolo as a las necesidades propias del Negocio en funcin de su entorno de gestin. Debido a ello, es que la decisin estratgica de adoptar estndares surge de la necesidad de mejorar los procesos de Negocio para facilitar el cumplimiento de leyes y regulaciones, ajustndolos a sus Polticas Corporativas. Los estndares son una herramienta que le permite contar con un Sistema de Gestin Integral, enfocado a la Calidad, Gobernabilidad y Seguridad. El Gobierno de IT y la Seguridad de la Informacin son los principales servicios para obtener de forma indefectible Calidad en las prestaciones que brindamos a nuestros Pacientes y Afiliados y Calidad al brindar un entorno seguro de trabajo a nuestros Mdicos y Prestadores referente a la informacin y procesos funcionales claros y registrados adecuadamente.
Satisfaccin del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementacin de estndares.
Leyes y Regulaciones del Negocio Adopcin de estndares Polticas, Normas y Procedimientos

Proceso Funcional Proceso de Servicios Tecnolgicos y de Seguridad al Negocio

reas de Negocio

Satisfaccin del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementacin de estndares. Para nuestro ejemplo podemos tomar tres estndares certificables que pueden ser implementados en cualquier tipo de organizacin elaborados por la Organizacin Internacional para la Estandarizacin (ISO), y utilizando su combinacin le ayuda a 1

cumplimentar un Sistema de Gestin Integral: ISO 9.001 Norma que permite establecer una gestin de la calidad bajo una estructura operacional de trabajo, bien documentada e integrada a los procedimientos tcnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la informacin de la organizacin de manera prctica y coordinada y que asegure la satisfaccin del cliente y bajos costos para la calidad. Orientada a una entrega efectiva de los servicios de TI como base crucial para el soporte a procesos de Negocio en las empresas, tanto si se proporciona servicios internamente a clientes como si se est subcontratando proveedores. Es totalmente compatible con la ITIL (IT Infrastructure Library), o gua de mejores prcticas para el proceso de Gestin de Servicios de IT (GSTI). Estndar para la seguridad de la informacin que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI). Involucra a todos los procesos, tecnolgicos o no, en los cuales se tratan los datos abarcando todo su ciclo de vida.

ISO/IEC 20.000

ISO/IEC 27.001

Cada una de estas Normas son aplicables a cualquier tipo de organizacin y de cualquier sector, y cuya estandarizacin organizativa se basa en el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer una diferencia entre estos estndares y otros indicadores de buenas prcticas, ya que en ellas se establecen controles y pautas de medicin que permiten su auditabilidad y anlisis de la madurez del Sistema de Gestin supervisando continuamente su rendimiento y mejora frente a un conjunto establecido de requisitos. Es importante que sepa que independientemente de elegir certificar en uno solo de los estndares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro ya que son complementarios desde una visin orientada al aseguramiento de la calidad en los procesos de negocio. Como muestra de ello podemos ver como la mayora de los estndares se apoyan en los conceptos de documentacin de 9001, y el COBIT en su versin 5 e ITIL 2011 han integrado a sus mdulos la seguridad de la informacin relacionando la integridad y disponibilidad, adems de los aspectos de confidencialidad de la misma. En lo relacionado a los servicios de salud, e para normalizar nuestros independientemente de la responsabilidad a nivel legal procesos ayudar a ordenar respecto de la confidencialidad de los datos de los todas las actividades asociadas a la Integridad y Afiliados, el empleo de estndares para normalizar Disponibilidad de la nuestros procesos ayudar a ordenar todas las informacin mdica actividades asociadas a la Integridad y Disponibilidad de la informacin mdica, permitiendo el tratamiento adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso de fallas en los procesos funcionales o tecnolgicos que soportan al servicio mdico.
El empleo de estndares

Implementar estndares asociados al Gobierno, Riesgo y Cumplimiento permite la integracin y orquestacin de Sistemas de Gestin que aporten valores de calidad y seguridad a los procesos funcionales y tecnolgicos para convertir a la Institucin ms fiable, ntegra y con buena reputacin. Esta implementacin requiere de un apoyo concreto de la Direccin y Alta Gerencia no solo a travs de las Polticas publicadas y la gestin diaria, sino tambin a travs de un acompaamiento en cada una de las actividades relacionadas con los controles internos haciendo cumplir los requisitos de gestin y continuidad de la prestacin de servicios y respetar las leyes y normativas que sean de aplicacin para los servicios de salud, lo que permite demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su informacin es primordial. Bajo este apoyo es que iniciar las actividades relacionadas con la implementacin, fijando el alcance que le dar al identificar aquel Servicio que quiera certificar o bien aplicarle un estndar para ponerlo bajo un Sistema de Gestin. Este alcance debe ser provisto por la Direccin y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en su Plan de Negocios. Como resultante de ello, definir un Comit que tendr a cargo la coordinacin de las actividades de implementacin. Como primera medida contemple dos hitos de definicin importantes. Como primera medida, establecer un glosario o idioma a travs del cual se convenga un vocabulario propio a utilizar tanto en los documentos como en las diferentes comunicaciones. Esto es importantsimo, ya que personalmente considero que gran parte del xito est basado en que todos hablemos un mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en Normas, Procedimientos, mails de comunicacin de polticas o de campaas de concientizacin, etc. Al momento de iniciar la implementacin de estndares, la buena comunicacin interna aporta un valor positivo (ms que agregado) para: 1. Cumplir objetivos regulatorios del Negocio 2. Claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnolgicos 3. Facilitar la coordinacin de los diferentes equipos al establecer roles especficos ante proyectos de respuesta al Negocio y as crear ambientes colaborativos con pautas claras y roles definidos que aporten a la concrecin de los objetivos establecido por el Negocio. Recomendacin; cada vez que decida iniciar un proyecto, identifique una fase de capacitacin para el entendimiento de la operacin, identificacin de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las necesidades de servicio por parte de las reas tecnolgicas (IT, redes, comunicaciones) y de seguridad (seguridad de la informacin, o bien seguridad fsica y seguridad informtica) El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y subprocesos involucrados en el Servicio a gestionar, y a partir de all asociar los siguientes puntos clave: Responsables dentro de cada proceso del Servicio Relacin funcional entre cada proceso, con sus puntos de contacto
3

 Actividades principales involucradas en cada proceso del Servicio Soporte de servicios tecnolgicos utilizados para cada actividad principal identificada (aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir luego) Identificacin de riesgos asociados a cada proceso del Servicio, basado en cada una de sus actividades y servicios tecnolgicos asociados que nos ayudar a desarrollar la Matriz de Riesgos vinculada directamente con el Servicio a gestionar. Marco Normativo (Normas y procedimientos existentes) o documentacin asociada a los procesos del Servicio Este relevamiento inicial le aporta la informacin necesaria para poder trazar un mapa integral relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan calidad, seguridad y gobernabilidad a travs del empleo de los estndares adoptados. Este mapa puede asemejarse al grfico que se acompaa, que responde al empleo de una solucin integral de GRC (Governance, Risk & Compliance) como concepto de implementacin de un Sistema de Gestin Integral orientada al Negocio.

Una vez concebido este mapa y teniendo en claro con qu cuenta y con qu debera contar puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya que en el mapa puede relacionar ambos dominios con: Una gestin de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada parte integrante del mismo, ya sea funcional o tecnolgico; cules son los puntos de control; definir donde es necesario obtener registros/pistas de auditora y de que tipo; identificar el tipo de servicio tecnolgico para securitizarlo debidamente permitiendo la confidencialidad, integridad y disponibilidad de datos, verificar si la asignacin de roles est debidamente segregada,
4

 Si la documentacin obtenida y utilizada es insuficiente para el cumplimiento legal y regulatorio, o bien si no es la adecuada para los procesos identificados; qu debe cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del proceso para que pueda ser gestionada adecuadamente y se alinee al estndar adoptado, adecuar los medios de capacitacin al personal tcnico y usuarios finales, fijar el mtodo documental basado en el Servicio gestionado. Esta metodologa de trabajo le permite minimizar el esfuerzo de reorganizacin o desarrollo para el alcance de los objetivos en la aplicacin de un Sistema de Gestin Integral basado en estndares, le permite organizar mejor el proceso de evaluaciones a aquellas reas dedicadas a la revisin de controles o auditoras internas y dar una respuesta ms eficaz a las auditora externas o de certificacin. Y principalmente le permite asegurar a sus Afiliados y Prestadores que a travs de su Institucin brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la atencin de la salud.
Fabin Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO 20000, con 20 aos de trayectoria en Seguridad de la Informacin. Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.