Академический Документы
Профессиональный Документы
Культура Документы
ANEXOS
II
ndice de Tablas
III
Tabla 7.1.16 - Proceso admisin. Actividades de gestin habilitador: Gestionar los recursos humanos .. 101
Tabla 7.1.17 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Admisin ....... 102
Tabla 7.1.18 - Proceso admisin. Actividades de gestin habilitador: Gestionar el riesgo ....................... 104
Tabla 7.1.19 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Admisin ....... 105
Tabla 7.1.20 - Proceso admisin. Actividades de gestin habilitador: Gestionar la seguridad ................. 106
Tabla 7.1.21 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Admisin ....... 106
Tabla 7.1.22 - Proceso admisin. Actividades de gestin habilitador: Gestionar programas y proyectos 109
Tabla 7.1.23 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Admisin ........ 109
Tabla 7.1.24 - Proceso admisin. Actividades de gestin habilitador: Gestionar el cambio ..................... 111
Tabla 7.1.25 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Admisin ........ 111
Tabla 7.1.26 - Proceso admisin. Actividades de gestin habilitador: Gestionar los activos .................... 113
Tabla 7.1.27 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Admisin ........ 114
Tabla 7.1.28 - Proceso admisin. Actividades de gestin habilitador: Gestionar las solicitudes e incidentes
de servicio ................................................................................................................................................. 115
Tabla 7.1.29 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Admisin ....... 116
Tabla 7.1.30 - Proceso admisin. Actividades de gestin habilitador: Gestionar la continuidad ............... 119
Tabla 7.1.31 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Admisin ....... 119
Tabla 7.1.32 - Proceso admisin. Actividades de gestin habilitador: Gestionar servicios de seguridad . 121
Tabla 7.1.33 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Admisin ....... 122
Tabla 7.1.34 - Proceso atencin. Actividades de gestin habilitador: Gestionar la estrategia .................. 124
Tabla 7.1.35 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Atencin ....... 125
Tabla 7.1.36 - Proceso atencin. Actividades de gestin habilitador: Gestionar los recursos humanos... 127
Tabla 7.1.37 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Atencin ....... 127
Tabla 7.1.38 - Proceso atencin. Actividades de gestin habilitador: Gestionar el riesgo ........................ 129
Tabla 7.1.39 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Atencin ....... 130
Tabla 7.1.40 - Proceso atencin. Actividades de gestin habilitador: Gestionar la seguridad .................. 131
Tabla 7.1.41 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Atencin ....... 132
Tabla 7.1.42 - Proceso atencin. Actividades de gestin habilitador: Gestionar programas y proyectos . 134
Tabla 7.1.43 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Atencin ......... 134
Tabla 7.1.44 - Proceso atencin. Actividades de gestin habilitador: Gestionar el cambio ...................... 135
Tabla 7.1.45 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Atencin ......... 136
Tabla 7.1.46 - Proceso atencin. Actividades de gestin habilitador: Gestionar los activos ..................... 137
Tabla 7.1.47 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Atencin ......... 138
Tabla 7.1.48 - Proceso atencin. Actividades de gestin habilitador: Gestionar las solicitudes de servicio e
incidentes .................................................................................................................................................. 139
Tabla 7.1.49 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Atencin ........ 140
Tabla 7.1.50 - Proceso atencin. Actividades de gestin habilitador: Gestionar la continuidad ............... 142
Tabla 7.1.51 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Atencin ........ 143
Tabla 7.1.52 - Proceso atencin. Actividades de gestin habilitador: Gestionar servicios de seguridad .. 144
Tabla 7.1.53- Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Atencin ......... 145
Tabla 7.1.54 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la estrategia. ................... 147
Tabla 7.1.55 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Egreso .......... 147
Tabla 7.1.56 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los recursos humanos ..... 150
Tabla 7.1.57 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Egreso .......... 150
Tabla 7.1.58 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el riesgo .......................... 152
IV
Tabla 7.1.59 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Egreso .......... 152
Tabla 7.1.60 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la seguridad .................... 153
Tabla 7.1.61 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Egreso .......... 153
Tabla 7.1.62 - Proceso Egreso. Actividades de gestin habilitador: Gestionar programas y proyectos ... 155
Tabla 7.1.63 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Egreso ............ 156
Tabla 7.1.64 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el cambio ........................ 157
Tabla 7.1.65 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Egreso ............ 157
Tabla 7.1.66 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los activos ....................... 159
Tabla 7.1.67 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Egreso ............ 159
Tabla 7.1.68 - Proceso Egreso. Actividades de gestin habilitador: Gestionar las solicitudes de servicio e
incidentes .................................................................................................................................................. 161
Tabla 7.1.69 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Egreso .......... 161
Tabla 7.1.70 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la continuidad .................. 163
Tabla 7.1.71 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Egreso .......... 164
Tabla 7.1.72 - Proceso Egreso. Actividades de gestin habilitador: Gestionar servicios de seguridad .... 165
Tabla 7.1.73 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Egreso .......... 166
Tabla 7.1.74 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la estrategia ........... 168
Tabla 7.1.75 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Identificacin. 168
Tabla 7.1.76 -Proceso Identificacin. Actividades de gestin habilitador: Gestionar recursos humanos .. 170
Tabla 7.1.77 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Identificacin. 170
Tabla 7.1.78 Proceso Identificacin. Actividades de gestin habilitador: Gestionar el riesgo .................. 172
Tabla 7.1.79 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Identificacin. 172
Tabla 7.1.80 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la seguridad ........... 173
Tabla 7.1.81 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Identificacin. 173
Tabla 7.1.82 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los programas y
proyectos .................................................................................................................................................. 175
Tabla 7.1.83 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Identificacin .. 175
Tabla 7.1.84 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar el cambio ............... 176
Tabla 7.1.85 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Identificacin .. 177
Tabla 7.1.86 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los activos ............. 178
Tabla 7.1.87 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Identificacin .. 178
Tabla 7.1.88 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar las solicitudes de
servicio e incidentes.................................................................................................................................. 179
Tabla 7.1.89 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Identificacin . 180
Tabla 7.1.90 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la continuidad ........ 181
Tabla 7.1.91 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Identificacin . 182
Tabla 7.1.92 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad .................................................................................................................................................. 183
Tabla 7.1.93 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Identificacin . 183
Tabla 8.1.1 - Aplicacin de la norma ISO/IEC 27002:2013 a las actividades sugeridas por COBIT ......... 188
Tabla 10.1.1 - Leyenda para especificar el nivel de madurez de un proceso habilitador .......................... 224
Tabla 10.1.2 Evaluacin de cumplimiento para proceso habilitador EDM01 ......................................... 226
Tabla 10.1.3 - Evaluacin de cumplimiento para proceso habilitador EDM02 .......................................... 228
Tabla 10.1.4 - Evaluacin de cumplimiento para proceso habilitador EDM03 .......................................... 230
Tabla 10.1.5 - Evaluacin de cumplimiento para proceso habilitador APO01 .......................................... 234
V
Tabla 10.1.6 - Evaluacin de cumplimiento para proceso habilitador MEA01 .......................................... 237
Tabla 10.1.7 - Evaluacin de cumplimiento para proceso habilitador MEA03 .......................................... 238
Tabla 10.1.8 Admisin. Evaluacin de cumplimiento para proceso habilitador APO02 ......................... 241
Tabla 10.1.9 Admisin. Evaluacin de cumplimiento para proceso habilitador APO07 ......................... 244
Tabla 10.1.10 Admisin. Evaluacin de cumplimiento para proceso habilitador APO12 ....................... 247
Tabla 10.1.11 Admisin. Evaluacin de cumplimiento para proceso habilitador APO13 ....................... 248
Tabla 10.1.12 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI01 ......................... 251
Tabla 10.1.13 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI06 ......................... 253
Tabla 10.1.14 - Admisin. Evaluacin de cumplimiento para proceso habilitador BAI09 ......................... 256
Tabla 10.1.15 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS02 ....................... 258
Tabla 10.1.16 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS04 ....................... 261
Tabla 10.1.17 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS05 ....................... 264
Tabla 10.1.18 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO02......................... 266
Tabla 10.1.19 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO07......................... 269
Tabla 10.1.20 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO12......................... 272
Tabla 10.1.21 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO13......................... 273
Tabla 10.1.22 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI01 .......................... 276
Tabla 10.1.23 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI06 .......................... 277
Tabla 10.1.24 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI09 .......................... 279
Tabla 10.1.25 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS02 ......................... 282
Tabla 10.1.26 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS04 ......................... 284
Tabla 10.1.27 - Atencin. Evaluacin de cumplimiento para proceso....................................................... 286
Tabla 10.1.28 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO02 ........................... 289
Tabla 10.1.29 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO07 ........................... 291
Tabla 10.1.30 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO12 ........................... 293
Tabla 10.1.31 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO13 ........................... 295
Tabla 10.1.32 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI01 ............................. 297
Tabla 10.1.33 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI06 ............................. 298
Tabla 10.1.34 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI09 ............................. 300
Tabla 10.1.35 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS02 ........................... 303
Tabla 10.1.36 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS04 ........................... 305
Tabla 10.1.37 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS05 ........................... 307
Tabla 10.1.38 - Identificacin. Evaluacin de cumplimiento para proceso habilitador APO02 .................. 309
Tabla 10.1.39 - Identificacin. Evaluacin de cumplimiento para proceso habilitador APO07 .................. 311
Tabla 10.1.40 Identificacin. Evaluacin de cumplimiento para proceso habilitador APO12 ................... 313
Tabla 10.1.41 - Identificacin. Evaluacin de cumplimiento para proceso habilitador APO13 .................. 314
Tabla 10.1.42 - Identificacin. Evaluacin de cumplimiento para proceso habilitador BAI01 ................... 316
Tabla 10.1.43 - Identificacin. Evaluacin de cumplimiento para proceso habilitador BAI06 ................... 317
Tabla 10.1.44 - Identificacin. Evaluacin de cumplimiento para proceso habilitador BAI09 ................... 319
Tabla 10.1.45 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS02 .................. 321
Tabla 10.1.46 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS04 .................. 323
Tabla 10.1.47 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS05 .................. 324
VI
ndice de Ilustraciones
VII
ANEXO A: Carta de conformidad de la empresa
1.1 Carta
1
ANEXO B: Marco Terico y Estado del arte
El ciclo de vida propuesto por COBIT 5.0 comprende de siete fases. El programa de
implantacin y mejora suele ser continuo e iterativo. Durante la ltima fase, los nuevos
objetivos y requisitos sern identificados y comenzar un nuevo ciclo. [ISACA, 2012c].
Figura 2.1.1 - Siete fases del ciclo de vida de COBIT 5.0. [ISACA, 2012c].
Fase 1 - Cules son los drivers?: Identifica los controles del cambio y crea en
el comit estratgico o directivos el deseo del cambio, el cual se expresa en un
business case. Los drivers pueden ser eventos, tendencias, dficits de
rendimiento, implementaciones de software e incluso objetivos estratgicos de la
empresa. Estos pueden actuar como impulsadores del cambio.
2
Fase 4 - Qu necesitamos hacer?: Planes de soluciones viables y prcticas
mediante la definicin de los proyectos apoyados por business cases justificables
y el desarrollo de un plan de cambios para su implementacin.
A continuacin se muestra el listado de los procesos habilitadores por cada uno de los
dominios que considera el marco.
3
Evaluar, Dirigir y Monitorear (EDM)
Este dominio en particular est alineado con la norma ISO 38500, la cual se
detallar ms adelante, pues toma como referencia las tres tareas que
recomienda est norma para un buen gobierno de TI.
Contiene los siguientes procesos habilitadores:
- Garantizar el mantenimiento y configuracin del marco de control de gobierno.
- Garantizar la entrega de beneficios.
- Garantizar la optimizacin de riesgos.
- Garantizar la optimizacin de recursos.
- Garantizar la transparencia de los stakeholders.
4
- Gestionar la identificacin y construccin de soluciones.
- Gestionar la disponibilidad y capacidad.
- Gestionar la habilitacin de cambios organizacionales.
- Gestionar los cambios.
- Gestionar la aceptacin de cambio y la transicin.
- Gestionar el conocimiento.
- Gestionar los activos.
- Gestionar la configuracin.
COBIT 5.0 define nuevos modelos de madurez, los cuales se encuentran basados en
una norma exigente como lo es la ISO/IEC 15504. Estos son los siguientes [ISACA
2012a]:
5
Figura 2.3.1 - Modelos de Madurez segn ISO/IEC 15504. [ISACA, 2012a].
Tal como se aprecia en la figura, hay 6 niveles de capacidades para cada proceso.
Estos son:
Proceso incompleto: Este proceso no est implementado o presenta fallas en su
propsito.
Proceso ejecutado: Este proceso implementado logra su propsito.
Proceso controlado: El proceso ejecutado, previamente descrito es implementado
en un modo controlado (planeado, monitoreado y ajustado).
Proceso estable: El proceso controlado es ahora implementado usando una
definicin de procesos capaz de lograr los resultados esperados.
Proceso predecible: El proceso estable descrito ahora opera teniendo en cuenta
los lmites definidos para lograr los resultados esperados.
Proceso optimizado: El proceso predecible descrito es continuamente mejorado
hasta lograr los objetivos de negocio relevantes actualmente y proyectados.
6
ANEXO C: Mapeo de Fases de Gobierno de TI
Contexto Estratgico
La organizacin desea llegar a toda la poblacin objetivo y brindar una mejor atencin
a travs de nuevos recursos junto con el apoyo de una buena gestin y manejo de
tecnologa de vanguardia para satisfacer las necesidades de sus clientes.
1
Drivers: Impulsadores del cambio
7
Lograr que las tecnologas empleadas sean
las mejores del mercado de acuerdo a las X
necesidades de la empresa.
Reducir los costos en tecnologa y procesos
X
de informacin asegurando la calidad
Velar por la informacin confidencial de todos
X
los pacientes y asegurar su disponibilidad
Tabla 3.1.1- Descripcin de Requerimientos.
La inversin deseada para implementar una nueva solucin tiene como base lo
siguiente:
Cumplir con la regulacin actual y vigente dentro del pas: Ley de proteccin de
datos personales, norma tcnica peruana de historia clnica y ley de emergencia.
Brindar responsabilidad a la gerencia y dar una direccin correcta a los recursos
tcnicos y financieros para logar el cumplimiento de objetivos.
Anlisis y Recomendaciones
Opciones preliminares
Para cubrir las necesidades y segn el contexto sealado y colmar las expectativas de
la alta direccin y otros stakeholders se listan las siguientes sugerencias que puedan
corresponder los requerimientos clave:
Opciones Descripcin
Adquisicin de Equipos de Contar con equipos para deteccin de enfermedades
vanguardia. y tecnologas de informacin y sistemas que apoyen a
la mejora de la experiencia del cliente.
Implementacin de sistemas Se desea gestionar los recursos de forma adecuada y
para gestin. medir su desempeo.
8
Implementar un SGSI2 Emplear dicha solucin para cumplir con las
regulaciones y polticas de seguridad establecidas
para velar por la integridad de la informacin.
Adoptar buenas prcticas de Esta opcin se recomienda para mejorar la entrega de
ITIL servicios a los clientes, gestin de proveedores y
relaciones de negocio que sean el soporte para
cumplir otros objetivos de negocio.
Implementar un SGCN3 Se plantea esta solucin para evitar la interrupcin de
los servicios y elaborar su plan de recuperacin de
servicios de TI.
Implementar un Sistema de Se plantea esta solucin para lograr la direccin
Gobierno de TI estratgica y alcance de objetivos, basado en los
enfoques y procesos ms relevantes, sin dejar de lado
los drivers y resultados esperados.
Implementar la mejora Esta opcin se toma en cuenta como parte de un
continua trabajo de reingeniera de los procesos y lograr
incrementar su eficiencia.
Tabla 3.1.2 - Descripcin de Opciones a considerar
Criterios para la
1 2 3 4 5 6 7
eleccin
Cumplir con la No No S - S S No
regulacin
Cubrir las S No S S S S No
necesidades de
negocio
Potenciar y mejorar el S S - S No S S
servicio entregado
Entrega de valor para No No S S No S S
las partes interesadas
Resultados Inviable Inviable Viable Viable Aplica4 Viable Inviable
Tabla 3.1.3 - Evaluacin de criterios por propuesta
2
SGSI: Sistema de Gestin de seguridad de Informacin
3
SGCN: Sistema de Gestin de Continuidad de negocios
4
En este caso particular un SGCN aporta a la solucin del problema pero existen mejores opciones.
9
Opciones viables
Tras la evaluacin de los criterios, realizada en base al alcance y definicin de este
tipo de proyectos, se tiene como opciones viables las siguientes:
Opcin 1: Emplear principios de ITIL para la entrega de servicio.
Opcin 2: Implementar un gobierno de TI.
Opcin 3: Implementar un SGSI.
5
Costo Beneficios Costo Costo Costo
6
total efectivo Beneficio beneficio Neto
Opcin 1: ITIL 90000 40 80000 4000 10000
Opcin 2: 200000 25 192000 2500 5000
Gobierno
Opcin 3: SGSI 121000 35 115000 3500 6000
Tabla 3.1.4 - Resumen de costos de proyectos
5
El beneficio se considera como un factor. A mayor beneficio por ahorro de recursos, el factor es menor,
por ello el costo total se incrementa a razn.
6
Costo relacionado al trabajo neto en la consultora.
7
En el caso de los tiempos de duracin de los proyectos se considera la fase anlisis, diseo e
implementacin con sus respectivas iteraciones. Se toma con base proceso core y un enfoque en
particular.
10
Si bien es cierto, Gobierno de TI es un proyecto de costo ms elevado permite trabajos
futuros que empleen la propuesta conjunta de implementacin de un SGSI y buenas
prcticas de ITIL segn sea el enfoque.
Justificacin y recomendaciones
Se sugieren estas tres opciones viables, pues a nivel general, la organizacin requiere
acciones basadas en procesos clave para poder cumplir con las regulaciones y
objetivos estratgicos planteados, lo cual implica realizar un anlisis a fondo de los
beneficios y cumplimiento con criterios como el alineamiento estratgico, entrega de
valor, gestin del riesgo, entre otros que garanticen contrarrestar los efectos de la
problemtica y adaptarse al contexto descrito.
11
pues por medio de esta solucin se puede emplear principios para disear un SGSI e
incluso adoptar buenas prcticas de ITIL por medio de sus procesos habilitadores.
Gestin y Capacidad
Tras la eleccin de implementar un sistema de gobierno de tecnologas de
informacin, se elabora el plan de supervisin de la inversin. Al ser esta una solucin
que compromete a la alta direccin, se debe definir el asignar un rol de supervisor y
establecer mecanismos de control para velar por la inversin realizada, y a travs de
mtricas e indicadores verificar los resultados. Es posible emplear el balanced
scorecard propuesto en COBIT 5.0 y evaluar la perspectiva financiera.
Para visualizar los resultados, se recomienda la medicin de los procesos. COBIT 5.0
brinda los mecanismos e indicadores para identificar el nivel de madurez de estos
empleando la norma ISO 15504 como base.
Para la gestin del cambio, se puede gestionar por medio de procesos habilitadores de
COBIT o incluso adoptar procesos de la fase de transicin de ITIL para aplicar sus
buenas prcticas a la gestin y cambios dentro del proyecto y su inversin.
12
ANEXO D: Mapeo de Fases de Gobierno de TI
Se realiza la identificacin del estado organizacional dentro de cada una de las fases
propuestas en COBIT 5.0 durante la iniciativa, ejecucin y posterior al programa de
gobierno de TI. Junto con el comit estratgico, del cual depende esta iniciativa, se
realiza este anlisis. Se propone para este fin la siguiente estructura.
Se establecen los objetivos de alto nivel y se prioriza aquellos que van a ser cubiertos
por esta iniciativa. Para esto se toma como referencia el plan estratgico de la
empresa y el plan de TI vigente (2012 2016).
El business case antes presentado sustenta la eleccin del proyecto bajo y sus
principales beneficios, de acuerdo a los drivers que han sido identificado y al retorno
de la inversin realizada.
Por esta razn y segn los drivers identificados, este comit y los involucrados deben
comunicar esta iniciativa para motivar al personal para colaborar en esta etapa de
cambio producto de los drivers e intenciones para lograr los objetivos estratgicos
planteados a corto y largo plazo.
13
Como organizacin, se establecen los planes iniciales para lograr este cambio y
evaluar el impacto de esta solucin frente a los beneficios y resultados esperados.
14
As mismo, se debe corresponder a las exigencias de sus stakeholders y
proveedores, especialmente a los actores y canales a travs de los cuales se brindan
los servicios, tales como las aseguradoras, institutos con los cuales se trabajan en
conjunto y otros programas de salud.
Para conseguir la implementacin del gobierno de TI, se debe de contar con personas
con experiencia y conocimiento necesario sobre estos principios y el marco elegido,
en este caso COBIT 5.0.
No obstante, se deber optar por una capacitacin o contar con el apoyo de una
consultora externa, propuesta en el business case, debido a que en el contexto
actual, son pocos los certificados en COBIT 5.0 y se va a requerir de una gua o
acompaamiento para la implementacin y definir la estrategia a seguir.
Identificados los drivers del cambio, se debe documentar las iniciativas y alinear con
los propsitos de COBIT 5.0 e ISACA internacional, reforzando entonces los objetivos
de la organizacin y desarrollando las mtricas para su medicin.
15
Se evala la situacin actual de la organizacin y se identifica un proceso core de
negocio para su mejora bajo el enfoque de seguridad de informacin.
Al tener los objetivos de alto nivel definidos, se debe de establecer y formalizar los
mecanismos para alcanzarlos. Para esto, el comit estratgico8 disea a nivel
preliminar un conjunto de pasos a seguir para alcanzar el estado ideal, para que a
nivel posterior se materialice o se corrija tomando en cuenta los riesgos producto del
cambio y estructura de roles planteada inicialmente.
Se asume por tanto, los costos como vlidos y que la organizacin brinda el
presupuesto inicial y lo ajusta a los plazos de este proyecto.
8
El comit estratgico forma parte de la organizacin y la informacin es confidencial, se propone la
estructura para formalizarlo.
16
Para esto se elabora un plan inicial que debe ser documentado en el cual se
muestran todos los beneficios de la iniciativa y a su vez demostrarlos, basndose en
todo caso en casos de estudio o en su experiencia empleando COBIT 4.1 como
marco de gobierno.
Mejora continua del ciclo de vida: Definir el estado ideal y realizar el anlisis de
brecha
Se evala bajo los conceptos de COBIT 5.0 e ISACA y los objetivos de alto nivel.
Entre ellos:
9
Stroke: Accidente cerebrovascular
17
4.1.4 Fase 4: Qu necesita hacerse?
Se desarrolla el plan teniendo como base proyectos para garantizar el xito del
gobierno de TI. Entre ellos:
Historias clnicas
Centro de datos dentro del cual estn los servidores que almacenan la
informacin de los pacientes y los sistemas core de la organizacin.
Personal clave y estratgico para dar la continuidad al servicio.
As mismo, dentro de los logros a corto plazo se establecen identificar los siguientes:
18
Se identifican las mtricas para la evaluacin del proceso y los objetivos
alcanzados.
El proceso seleccionado se disea nuevamente y se establecen las primeras
mejoras para lograr un nivel de madurez uno (1).
Se desprenden las polticas iniciales segn los procesos habilitadores que han
sido identificados en COBIT 5.0.
Se formaliza la iniciativa de gobierno contrarrestando los efectos de la resistencia
al cambio a nivel organizacional.
No obstante, tambin se deber identificar las fortalezas del proceso AS-IS, el cual
segn la evaluacin preliminar bajo la norma ISO 15504 integrada en COBIT 5.0 su
nivel de madurez es cero (0), debido a la falta de esquemas y comunicacin del
proceso de manera transversal a la organizacin. Entre sus fortalezas se tiene:
19
4.1.5 Fase 5: Cmo llegamos ah?
En esta etapa, se verifican ciertos detalles para la ejecucin de todos los planes
definidos as como se muestra en el caso de la implementacin de los planes d
cambio. Dentro de esta, que an sigue en marcha, se han tomado ciertas
consideraciones:
- Verificar que la ejecucin del proyecto se encuentre alineada o que tenga como
base los planes iniciales, respetando por lo tanto los tiempos establecidos.
- Monitoreo constante del riesgo del proyecto para poder tomar acciones
correctivas y, segn amerite, aprobar los cambios pertinentes. Este ltimo no se
ha presentado hasta el momento, salvo por el ajuste en el alcance y la validacin
de los plazos de entrega.
20
cambio, teniendo como fuente, el requerimiento del cambio en la estructura
organizacional para permitir nuevos roles o puestos para el mantenimiento del
gobierno de TI bajo el enfoque de seguridad de informacin.
Teniendo como base el input de la fase anterior, en la cual se definen los logros a
corto plazo y se disean los planes iniciales para la implantacin del gobierno de TI,
se inicia la implementacin de estos planes bajo lo siguiente:
21
y en consecuencia a los objetivos de negocio de manera que se pueda identificar
si la iniciativa y solucin es satisfactoria o si falta conciencia para poder aplicar
este tipo de proyectos, por lo cual se debe ir ms lento y asegurando la
materializacin de logros positivos y efectivos para cada una de las etapas.
Como una de las metas a largo plazo es ampliar el alcance del programa de gobierno
y fortalecer la toma de decisiones, por medio de planes de cambio se define tiempos
clave para poder gobernarse de acuerdo a los nuevos roles y responsabilidades
identificada para el enfoque de seguridad de informacin, es decir velar e insistir para
llegar a un acuerdo y reconocimiento formal del comit estratgico y el oficial y gestor
de seguridad de informacin.
Junto con la empresa se trazan los periodos para la revisin de cada iteracin de
gobierno. En principio, como actualmente estn todava bajo el enfoque de COBIT
4.1, se seal una revisin cada cuatro (4) meses, sin embargo, tomando en cuenta
el alcance actual del programa y las brechas del negocio se recomienda la evaluacin
cada seis (6) meses.
22
analizar es como se encuentran los procesos de negocio a la fecha.
Se verifica en esta fase que se lleve a cabo la iniciativa, es decir que algunas
actividades sean consideradas para el entorno real de la organizacin. En este caso,
la empresa referencia, por medio del marco de gobierno bajo el cual gobiernan, deben
de identificar la brecha entre ambos marcos y el enfoque de seguridad, para aplicarlo
dentro de los objetivos que tienen definidos.
Respecto al modelo de gobierno que ha sido diseado, se verifica que en efecto, est
realizado bajo el entorno de la organizacin y empleando informacin real, lo cual se
evidencia en el anexo A.
23
capacitar y concientizar al personal respecto a estas iniciativas de gobierno, sobre
todo orientarlos para adecuarse a cambios organizacionales como el nuevo esquema
de roles y responsabilidades propuesto tras la adecuacin al marco de gobierno.
24
ANEXO E: Identificacin de objetivos e indicadores
Los objetivos son mapeados a los objetivos corporativos de COBIT por lo siguiente:
Objetivo A a Objetivo 14
La relacin es directa debido a que el primer objetivo parte de brindar mejor
seguridad y experiencia al paciente por ello se requiere operaciones y personal
productivo en capacidad de brindar un servicio de acuerdo a las expectativas.
Objetivo B a Objetivo 2
Parte de la expansin estratgica no solo consiste en crecimiento a nivel de
sucursales sino por medio de programas o nuevos servicios para beneficio del
cliente. Por esta razn se mapea con dicho objetivo, pues se deber mantener un
portafolio de servicios competitivo capaz mantener un alto nivel estratgico.
25
Objetivo C a Objetivo 6
Se plantea ser reconocidos por la excelencia de atencin brindada a los clientes,
por ello se puede entender que su cultura organizacional busca orientarse a los
pacientes y la entrega de mejores servicios. Es as que se realiza el mapeo con el
objetivo corporativo 6 de COBIT 5.0.
Objetivo D a Objetivo 11
Uno de los objetivos crticos es lograr contar con procesos eficientes a nivel
financiero y optimizacin de recursos para satisfaccin de los clientes y beneficio
de la organizacin, por ello se justifica el mapeo con el objetivo 11.
Objetivo E a Objetivo 16
Este objetivo est relacionado directamente al equipo que compone la
organizacin y sus divisiones. Se reconoce la necesidad de contar con personal
capacitado para poder cumplir con las necesidades de negocio y brindar una
mejor atencin al cliente a nivel general. Por esta razn se mapea con el objetivo
16 de COBIT 5.0.
Objetivo F a Objetivo 4
Finalmente se tiene el objetivo de cumplimiento regulatorio cuyo mapeo es directo
al considerar normas como la NTP de historia clnica de los establecimientos del
sector salud, Ley de emergencia y la ley de proteccin de datos personales.
Se detallan los objetivos y su relacin principal (P) o secundaria (S) con los objetivos
organizacionales. El resumen de los objetivos de TI a aplicar se encuentra en el
documento principal junto con la justificacin de su eleccin.
Objetivo organizacional 2
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Alineamiento de las tecnologas y estrategia de
P
negocio
Financiera Compromiso de la direccin ejecutiva para tomar
S
decisiones relacionadas con TI
Materializar beneficios de TI habilitando la inversin P
26
y portafolios de servicio
Entregar servicios de TI alineados con los
P
requerimientos de negocio
Cliente
Uso adecuado de aplicaciones, informacin y
S
soluciones tecnolgicas
Agilidad de TI P
Optimizacin de activos, recursos y capacidades de
S
las TI
Capacitacin y soporte de procesos de negocio a
travs de la integracin de aplicaciones y tecnologa P
Proceso
en los procesos empresariales
Interno
Entrega de Programas que proporcionen beneficios
a tiempo, dentro del presupuesto y satisfaciendo los S
requisitos y normas de calidad
Disponibilidad de informacin til y relevante para la
S
toma de decisiones
Aprendizaje Personal de Negocio y TI competente y motivado S
y Conocimiento, experiencia e iniciativa para la
P
Crecimiento innovacin empresarial
Tabla 5.2.1 - Objetivos de TI identificados para objetivo organizacional 2
Objetivo organizacional 4
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Cumplimiento de TI y soporte para el cumplimiento
P
empresarial de las leyes y regulaciones externas
Financiera
Riesgos de negocio relacionados con las
S
tecnologas de informacin gestionadas
Entregar servicios de TI alineados con los
Cliente S
requerimientos de negocio
Seguridad de Informacin, infraestructura de
P
Proceso procesamiento y aplicaciones
Interno Disponibilidad de informacin til y relevante para
S
la toma de decisiones
27
Cumplimiento de las polticas internas por parte de
S
las TI
Tabla 5.2.2 - Objetivos de TI identificados para objetivo organizacional 4
Objetivo organizacional 6
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Alineamiento de las tecnologas y estrategia de
P
negocio
Financiera
Materializar beneficios de TI habilitando la
S
inversin y portafolios de servicio
Entregar servicios de TI alineados con los
P
requerimientos de negocio
Cliente
Uso adecuado de aplicaciones, informacin y
S
soluciones tecnolgicas
Agilidad de TI S
Capacitacin y soporte de procesos de negocio a
travs de la integracin de aplicaciones y S
Proceso
tecnologa en los procesos empresariales
Interno
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto y S
satisfaciendo los requisitos y normas de calidad
Aprendizaje Personal de Negocio y TI competente y motivado S
y Conocimiento, experiencia e iniciativa para la
S
Crecimiento innovacin empresarial
Tabla 5.2.3 - Objetivos de TI identificados para objetivo organizacional 6
Objetivo organizacional 11
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Alineamiento de las tecnologas y estrategia de
Financiera P
negocio
28
Compromiso de la direccin ejecutiva para tomar
S
decisiones relacionadas con TI
Materializar beneficios de TI habilitando la
S
inversin y portafolios de servicio
Entregar servicios de TI alineados con los
P
requerimientos de negocio
Cliente
Uso adecuado de aplicaciones, informacin y
P
soluciones tecnolgicas
Agilidad de TI P
Optimizacin de activos, recursos y capacidades
S
de las TI
Capacitacin y soporte de procesos de negocio a
Proceso travs de la integracin de aplicaciones y P
Interno tecnologa en los procesos empresariales
Disponibilidad de informacin til y relevante para
S
la toma de decisiones
Conocimiento, experiencia e iniciativa para la
S
innovacin empresarial
Tabla 5.2.4 - Objetivos de TI identificados para objetivo organizacional 11
Objetivo organizacional 14
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Materializar beneficios de TI habilitando la
Financiera S
inversin y portafolios de servicio
Uso adecuado de aplicaciones, informacin y
Cliente P
soluciones tecnolgicas
Agilidad de TI S
Optimizacin de activos, recursos y capacidades
S
Proceso de las TI
Interno Capacitacin y soporte de procesos de negocio a
travs de la integracin de aplicaciones y S
tecnologa en los procesos empresariales
29
Aprendizaje
y Personal de Negocio y TI competente y motivado P
Crecimiento
Tabla 5.2.5 - Objetivos de TI identificados para objetivo organizacional 14
Objetivo organizacional 16
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Alineamiento de las tecnologas y estrategia de
S
negocio
Compromiso de la direccin ejecutiva para tomar
Financiera S
decisiones relacionadas con TI
Riesgos de negocio relacionados con las
S
tecnologas de informacin gestionadas
Entregar servicios de TI alineados con los
S
requerimientos de negocio
Cliente
Uso adecuado de aplicaciones, informacin y
S
soluciones tecnolgicas
Proceso Agilidad de TI
S
Interno
Aprendizaje Personal de Negocio y TI competente y motivado P
y Conocimiento, experiencia e iniciativa para la
S
Crecimiento innovacin empresarial
Tabla 5.2.6 - Objetivos de TI identificados para objetivo organizacional 16
30
Se considera este objetivo porque al plantear este proyecto se desea alcanzar el
alineamiento estratgico entre objetivos de negocio y tecnologas de informacin,
por ello se debe de realizar la evaluacin respectiva en la organizacin para
garantizar su cumplimiento.
31
Optimizacin de activos, recursos y capacidades de las TI
Como parte de los objetivos de negocio que sealan apuntar a la excelencia
organizacional por medio de la eficiencia, se requiere por lo tanto la optimizacin a
nivel de tecnologa en forma estratgica.
32
Objetivos organizacionales
33
capacidades de los procesos de negocio
Nmero de programas/proyectos en
Operaciones y tiempo y presupuesto
personal productivo Niveles de costo y de personal
comparados al benchmarking
Nivel de satisfaccin de los stakeholders
con la experiencia y capacidades del
Aprendizaje personal
Personal motivado y
y Porcentaje de personal cuya capacidad es
capacitado
crecimiento insuficiente para la competencia requerida
por su rol
Porcentaje de personal satisfecho
Tabla 5.3.1 - Mtricas para los objetivos organizacionales
Objetivos de TI
34
cumplimiento de reputacin
empresarial de las Nmero de incumplimientos de TI
leyes y regulaciones reportados al Consejo de Administracin o
externas causantes de comentarios o vergenza
pblica
Nmero de incumplimientos relacionados
con proveedores de servicios de TI
Porcentaje de servicios de TI donde se
Materializar beneficios
obtienen los beneficios esperados
de TI habilitando la
Porcentaje de inversiones de TI donde se
inversin y portafolios
cumplen o exceden los beneficios
de servicio
esperados
Nmero de interrupciones de negocio
debidas a incidentes de servicios de TI
Entregar servicios de
Porcentaje de stakeholders satisfechos de
TI alineados con los
que la entrega de servicios de TI cumpla
requerimientos de
los niveles de servicio acordados
negocio
Porcentaje de usuarios satisfechos con la
calidad de la entrega de servicios de TI
Porcentaje de propietarios de procesos de
Cliente negocio satisfechos con el apoyo de
productos y servicios de TI
Uso adecuado de
Nivel de entendimiento de los usuarios del
aplicaciones,
negocio sobre cmo las soluciones
informacin y
tecnolgicas apoyan sus procesos
soluciones
Valor presente neto (VPN) mostrando el
tecnolgicas
nivel de satisfaccin del negocio con la
calidad y utilidad de las soluciones
tecnolgicas
Nmero de incidentes de seguridad
Seguridad de causantes de prdidas financieras,
Informacin, interrupcin del negocio o vergenza
Proceso
infraestructura de pblica
Interno
procesamiento y Tiempo de concesin, cambio y
aplicaciones eliminacin de privilegios de acceso
comparado con los niveles de servicio
35
acordados
Frecuencia de las evaluaciones de
seguridad en relacin a los ltimos
estndares y guas
Frecuencia de evaluaciones de la
madurez de la capacidad y de la
Optimizacin de
optimizacin de costos
activos, recursos y
Niveles de satisfaccin de la alta direccin
capacidades de las TI
y de la divisin de TI con los costos y
capacidades TI
Nmero de incidentes del procesamiento
Capacitacin y de negocio causados por errores de
soporte de procesos integracin de la tecnologa
de negocio a travs Nmero de programas de negocio
de la integracin de facilitados por TI retrasados o incurriendo
aplicaciones y en costos adicionales debido a problemas
tecnologa en los de integracin de la tecnologa
procesos Nmero de aplicaciones o infraestructuras
empresariales crticas operando aisladamente y no
integradas
Nmero de incidentes relacionados con el
incumplimiento de polticas
Cumplimiento de las
Porcentaje de polticas apoyadas por
polticas internas por
estndares y prcticas de trabajo efectivas
parte de las TI
Frecuencia de revisin y actualizacin de
polticas
Porcentaje de personal cuyas habilidades
de TI son suficientes para la competencia
requerida por sus roles
Personal de Negocio
Porcentaje de personal satisfecho con sus
Aprendizaje y TI competente y
roles en TI
y motivado
Nmero de horas de
crecimiento
aprendizaje/formacin por miembro del
personal
Conocimiento, Nivel de concienciacin y comprensin de
experiencia e la alta direccin del negocio sobre las
36
iniciativa para la posibilidades de Innovacin de TI
innovacin Nivel de satisfaccin de los stakeholders
empresarial con los niveles de experiencia e ideas de
innovacin de TI
Nmero de iniciativas aprobadas
resultantes de ideas de TI innovadoras
Tabla 5.3.2 - Mtricas para objetivos de TI
37
ANEXO F: Anlisis de procesos de COBIT 5.0 a aplicar a la organizacin
38
Entregar, dar servicio Gestionar la continuidad S
y soporte Gestionar los servicios de seguridad S
Monitorear, evaluar y Monitorear, evaluar y medir el S
asegurar rendimiento y la conformidad
Tabla 6.1.1 - Procesos habilitadores segn Objetivo de TI 1
39
Objetivo de TI: Cumplimiento de TI y soporte para el cumplimiento empresarial
de las leyes y regulaciones externas
40
Objetivo de TI: Materializar beneficios de TI habilitando la inversin y portafolios
de servicio
41
Monitorear, evaluar y medir el S
cumplimiento de los requerimientos
externos
Tabla 6.1.4 - Procesos habilitadores segn Objetivo de TI 4
42
Gestionar el cambio P
Gestionar la aceptacin de cambio y la S
transicin
Gestionar el conocimiento S
Gestionar los activos S
Gestionar las operaciones P
Gestionar solicitudes de servicios e P
incidentes
Entregar, dar servicio Gestionar los problemas P
y soporte Gestionar la continuidad P
Gestionar los servicios de seguridad S
Gestionar los controles de los procesos P
de negocio
Monitorear, evaluar y medir el P
rendimiento y la conformidad
Monitorear, evaluar y medir el sistema de S
Monitorear, evaluar y
control interno
asegurar
Monitorear, evaluar y medir el S
cumplimiento de los requerimientos
externos
Tabla 6.1.5 - Procesos habilitadores segn Objetivo de TI 5
43
Gestionar los acuerdos de servicio S
Gestionar proveedores S
Gestionar la calidad S
Gestionar el riesgo S
Gestionar la seguridad S
Gestionar programas y proyectos S
Gestionar la definicin de requisitos S
Gestionar la identificacin y construccin S
de soluciones
Gestionar la disponibilidad y capacidad S
Gestionar la habilitacin de cambios P
Construir, adquirir e
organizacionales
implementar
Gestionar el cambio S
Gestionar la aceptacin de cambio y la P
transicin
Gestionar el conocimiento S
Gestionar la configuracin S
Gestionar las operaciones S
Gestionar solicitudes de servicios e S
incidentes
Entregar, dar servicio Gestionar los problemas S
y soporte Gestionar la continuidad S
Gestionar los servicios de seguridad S
Gestionar los controles de los procesos S
de negocio
Monitorear, evaluar y medir el S
Monitorear, evaluar y rendimiento y la conformidad
asegurar Monitorear, evaluar y medir el sistema de S
control interno
Tabla 6.1.6 -Procesos habilitadores segn Objetivo de TI 6
44
Objetivo de TI: Seguridad de Informacin, infraestructura de procesamiento y
aplicaciones
45
Objetivo de TI: Optimizacin de activos, recursos y capacidades de las TI
46
Gestionar los controles de los procesos S
de negocio
Monitorear, evaluar y Monitorear, evaluar y medir el P
asegurar rendimiento y la conformidad
Tabla 6.1.8 - Procesos habilitadores segn Objetivo de TI 8
47
Objetivo de TI: Cumplimiento de las polticas internas por parte de las TI
48
Monitorear, evaluar y medir el S
cumplimiento de los requerimientos
externos
Tabla 6.1.10 - Procesos habilitadores segn Objetivo de TI 10
49
Objetivo de TI: Conocimiento, experiencia e iniciativa para la innovacin
empresarial
50
Gestionar los problemas S
Gestionar la continuidad S
Gestionar los controles de los procesos S
de negocio
Monitorear, evaluar y medir el S
rendimiento y la conformidad
Monitorear, evaluar y medir el sistema de S
Monitorear, evaluar y
control interno
asegurar
Monitorear, evaluar y medir el S
cumplimiento de los requerimientos
externos
Tabla 6.1.12 - Procesos habilitadores segn Objetivo de TI 12
Por esta razn, segn la relacin principal y secundaria para cada uno de los objetivos
de TI y su respectivo proceso habilitador. A nivel general aplican los siguientes
procesos habilitadores de COBIT 5.0
51
Gestionar el costo y el presupuesto
Gestionar los recursos humanos
Gestionar los acuerdos de servicio
Gestionar proveedores
Gestionar la calidad
Gestionar el riesgo
Gestionar la seguridad
Gestionar programas y proyectos
Gestionar la definicin de requisitos
Gestionar la disponibilidad y capacidad
Construir, adquirir e Gestionar la habilitacin de cambios organizacionales
implementar Gestionar el cambio
Gestionar la aceptacin de cambio y la transicin
Gestionar los activos
Gestionar la configuracin
Gestionar las operaciones
Gestionar solicitudes de servicios e incidentes
Entregar, dar servicio y
Gestionar la continuidad
soporte
Gestionar los servicios de seguridad
Gestionar los controles de los procesos de negocio
Monitorear, evaluar y medir el rendimiento y la
conformidad
Monitorear, evaluar y
Monitorear, evaluar y medir el sistema de control interno
asegurar
Monitorear, evaluar y medir el cumplimiento de los
requerimientos externos
Tabla 6.1.13 - Aplicacin de procesos habilitadores segn la organizacin
52
Dominio Alinear, Planear y Organizar
Se consideran dentro de la organizacin once (11) procesos habilitadores de los
trece (13) planteados por COBIT 5.0 segn la prioridad. En el caso de la gestin
de relaciones no es considerada por un motivo similar al del proceso
transparencia de los stakeholders pues primero debe de consolidarse la iniciativa
para fortalecerla y comunicarla progresivamente dentro de toda la organizacin y
externos. En el caso de la gestin de la arquitectura empresarial, no es
considerada debido a que se plantea realizar el seguimiento a partir del proceso
garantizar la optimizacin del recursos dado que toda la infraestructura tcnica ha
sido recientemente cambiada y segn la organizacin siguiendo medidas tanto
internas como externas.
53
informacin con un enfoque ms corporativo que el planteado en la anterior
versin del marco. No obstante, se debe de realizar la evaluacin que determine si
las polticas de COBIT 4.1 han sido aplicadas o no, pues de lo contrario este
modelo sera la primera iniciativa en temas de control interno y gobierno, la cual
podra apoyarse en otros marcos y formalizar dentro de la organizacin dicha
divisin que vele por el cumplimiento de las polticas internas y regulaciones.
54
y soporte
Monitorear, evaluar y medir el sistema de P
control interno
Monitorear, evaluar y
Monitorear, evaluar y medir el P
asegurar
cumplimiento de los requerimientos
externos
Tabla 6.2.2 - Procesos habilitadores Objetivo de TI 3. Resumen
Para cada uno de los procesos habilitadores seleccionados se plantea una justificacin
de su eleccin tomando en cuenta que se realizar la adaptacin para la seguridad de
informacin y a partir del anlisis de cada uno de estos y sus respectivas actividades
nacern las polticas y roles a implantar en la organizacin tomando como base los
procesos escogidos para su optimizacin segn el enfoque.
55
mbito de la seguridad de informacin se realice la revisin respectiva para ajustar
las polticas y actualizarlas segn el negocio.
Gestionar la estrategia
Se debe tomar en cuenta el siguiente proceso debido a que se debe de gestionar
la estrategia de seguridad planteada y determinar el alineamiento con la
organizacin, la regulacin y que las nuevas polticas ayuden al cumplimiento del
plan estratgico organizacional y que se materialicen los beneficios y mejoras.
Gestionar el riesgo
Se debe gestionar a lo largo del ciclo de vida de gobierno los riesgos de seguridad
planteados inicialmente de manera que se realicen las correcciones y ajustes
oportunos segn el negocio y las tendencias dentro del entorno organizacional.
56
Gestionar la seguridad
Se debe garantizar la gestin de la seguridad a nivel organizacional y que se tome
en cuenta los riesgos identificados para la elaboracin del plan de seguridad de la
organizacin que puede estar alineado a normas vigentes como la ISO/IEC 27001
adoptando los controles de la norma ISO/IEC 27002 adoptando los lineamientos
de normas internacionales sin olvidar las regulaciones en cuanto a seguridad.
Gestionar el cambio
El programa de gobierno a implementar trae con l una serie de cambios que
debern ser gestionados. A nivel de la seguridad de informacin, el marco
propone la creacin de nuevos roles y adopcin de polticas que debern ser
introducidas a la organizacin en forma progresiva, razn por la cual, los planes
del cambio debern estar actualizados y gestionados de manera de lograr la
aceptacin y reducir la resistencia al cambio frente a este tipo de proyectos.
57
Gestionar la continuidad
La gestin de la continuidad forma parte de los procesos habilitadores porque se
busca garantizar la disponibilidad de la informacin, el cual es uno de los pilares
de seguridad. Para esto ser necesario identificar procesos crticos a proteger de
manera de que en caso exista alguna interrupcin los tiempos de recuperacin
sean ptimos para evitar prdidas econmicas y la insatisfaccin de los clientes.
58
ANEXO G: Identificacin y diseo de procesos AS - IS
59
Sub-proceso nivel 2: Asignar camas en caso de no disponibilidad
El siguiente sub-proceso es iniciado bajo la condicin de que existe una rden previa
de hospitalizacin, por lo tanto se verifica nuevamente la disponibilidad de camas o de
lo contrario se deriva a otra sede de la clnica. As mismo, se observala iteraccin con
dos actores externos, el paciente y el call center de su aseguradora para validar la
cobertura y grupo de opciones con las cuales trabaja para realizar el traslado.
60
Sub-proceso nivel 2: Gestionar Cobertura y presupuesto
Este sub-proceso consta de la validacin realizada para determinar el presupuesto de
la hospitalizacin del paciente, y en caso est asegurado proceder a validar la
cobertura y la emisin de las cartas de garanta. Se tiene como actores externos al
paciente y a la ejecutiva de cartas de garanta de otras aseguradoras distintas a
RIMAC.
61
Sub-proceso nivel 3: Realizar anlisis bsicos
Este sub-proceso es iniciado segn la derivacin a plataforma del paciente luego de la
cobertura y presupuesto y proceder con los anlisis bsicos segn el motivo de la
hospitalizacin.
62
Sub-proceso nivel 4: Gestionar la hospitalizacin
Finalmente se tiene el sub-proceso de ltimo nivel, gestin de hospitalizacin en el
cual, segn los motivos de la hospitalizacin, confirma los turnos y deriva al paciente a
su cuarto y segn esta orden se traslada la historia clnica del paciente de recepcin al
piso al cual se enviar al paciente, escalando, por lo tanto, al proceso indicar
hospitalizacin y se tiene como salida la gestin o atencin del paciente, lo cual
servir como input para el proceso atencin al paciente hospitalizado.
63
7.2 Proceso: Atencin al paciente hospitalizado
64
Sub-proceso nivel 2: Gestionar el equipo mdico
En el presente sub-proceso se muestra como se realiza la gestin del equipo mdico,
la cual es una tarea cclica debido a que se realiza continuamente segn los cambios
de turnos o ingresos de nuevos pacientes que requieran alguna atencin
especializada. Incluye el reporte diario de incidencias a la gerencia mdica.
65
7.3 Proceso: Egreso del paciente
66
ANEXO H: Procesos firmados y aprobados por la empresa
67
Figura 8.1.2 - Documentos firmados (2)
68
Figura 8.1.3 - Documentos firmados (3)
69
Figura 8.1.4 - Documentos firmados (4)
70
Figura 8.1.5 - Documentos firmados (5)
71
Figura 8.1.6 - Documentos firmados (6)
72
Figura 8.1.7 - Documentos firmados (7)
73
Figura 8.1.8 - Documentos firmados (8)
74
Figura 8.1.9 -Documentos firmados (9)
75
Figura 8.1.10 - Documentos firmados (10)
76
Figura 8.1.11 - Documentos firmados (11)
77
Figura 8.1.12 - Documentos firmados (12)
78
Figura 8.1.13 - Documentos firmados (13)
79
Figura 8.1.14 - Documentos firmados (14)
80
Figura 8.1.15 - Documentos firmados (15)
81
ANEXO I: Identificacin actividades, roles y responsabilidades para los
habilitadores
A continuacin se presenta las actividades de gestin para los cuatro (4) procesos
seleccionados y diseados bajo la notacin BPMN 2.0. Para su identificacin, tal como
se seala, se procede a analizar la viabilidad de aplicacin de las actividades
propuestas por COBIT 5.0 para cada proceso habilitador que aplican para el enfoque
de seguridad de informacin.
En la siguiente tabla se muestra la leyenda que ser til para la lectura de la matriz de
responsabilidades que se presentarn para cada uno de los procesos habilitadores. La
explicacin terica de esta matriz y abreviaturas empleadas se encuentra en el
captulo 2.
Leyenda Descripcin
R Responsable
A Accountable
C Consulted
I Informated
(*) Rol no implementado o ejercido dentro de la organizacin
Tabla 9.1.1 - Leyenda para lectura de matriz RACI
82
Se presentan los procesos habilitadores en comn:
10
Se consideran nicamente las regulaciones para el proceso.
83
Alinear la estrategia de seguridad de informacin con la
estrategia empresarial
Obtener el compromiso de la alta direccin para verificar
la seguridad de informacin y la gestin de riesgos de
informacin.
Asignar responsabilidad para que se apliquen principios
de gobierno, modelos de toma de decisin acordados.
Supervisar mecanismos para asegurar que los sistemas
para medir el desempeo de seguridad de informacin
cumplen con la ley de proteccin de datos personales y
la norma tcnica peruana de historia clnica.
Monitorear el sistema de
Proporcionar supervisin de la efectividad y el
gobierno
cumplimiento con el sistema de control de la empresa.
Evaluar la efectividad y rendimiento de los stakeholders
en los que se ha delegado responsabilidad y autoridad
para el gobierno de TI de la empresa.
Tabla 9.1.2 - Actividades de gestin habilitador: Garantizar el mantenimiento y configuracin del
marco de control de gobierno
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Jefe de proyectos
Directorio
Auditora
Evaluar el sistema
A R C C R C R C R C C I R C C
de gobierno
Dirigir el sistema de
A R C C R I R I I C C I I C R I I I I I
gobierno
Monitorear el
A R C C R I R I I C C I I C R I I I I I
sistema de gobierno
Tabla 9.1.3 - Matriz de responsabilidades para el proceso habilitador EDM01
11
El administrador de plataformas en este caso realiza la gestin de tecnologas a gran nivel incluyendo
los sitemas que comprende el proceso. En caso se deba de recurir al desarrollador del sistema, lo reporta
y asume la responsabilidad frente a la solucin de algn incidente.
84
b. Proceso habilitador: Garantizar la entrega de beneficios
85
Dirigir los cambios necesarios en el portafolio de
inversiones y servicios para realinearlos con los
objetivos actuales, los esperados y/o sus limitaciones.
Dirigir los cambios necesarios en asignacin de
imputaciones y responsabilidades del portafolio de
inversin y entrega de valor a partir de los servicios y
procesos de negocio enfocados a la seguridad de
informacin.
Monitorear el resultado de las iniciativas de seguridad
de informacin frente a las expectativas para asegurar
la entrega de valor de acuerdo a los objetivos de
negocio
Definir objetivos de desempeo, mtricas, metas y
Monitorear la optimizacin
puntos de referencia. Revisarlos y formalizarlo junto con
del valor
los stakeholders.
Tomar medidas de gestin para asegurar la
optimizacin del valor. En caso sean medidas
correctivas, asegurarse de que sean iniciadas y
controladas.
Tabla 9.1.4 - Actividades de gestin habilitador: Garantizar la entrega de beneficios
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Directorio
Auditora
Evaluar optimizacin
A R R C R R C C C C C R C C
del valor
Dirigir optimizacin
A R R C R C R I I I C I I I R I I I I I
del valor
Monitorear
A R R C R R R C C C I C R I C
optimizacin valor
Tabla 9.1.5 - Matriz de responsabilidades para el proceso habilitador EDM02
86
c. Proceso habilitador: Garantizar la optimizacin del riesgo
87
Monitorear el perfil frente al riesgo o el apetito del
riesgo de la empresa para lograr un equilibro ptimo
entre riesgos y oportunidades de negocio
Incluir las salidas de los procesos de gestin de riesgos
de informacin como entradas las la gestin de riesgos
Monitorear la gestin del de la organizacin.
riesgos Comunicar los problemas de la gestin de riesgos al
directorio.
Monitorear las metas y mtricas de gestin de los
procesos de gobierno y gestin del riesgo respecto a
los objetivos. Iniciar medidas correctivas para casos
especiales
Tabla 9.1.6 - Actividades de gestin habilitador: Garantizar la optimizacin de riesgos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Evaluar la gestin de
A R C C R C R R R I C C R C
riesgos
Dirigir la gestin de
A R C C R C R I I R C I I I R I I I I I
riesgos
Monitorear la gestin
A R C C R C R I I R R I C C R I I I I I
de riesgos
Tabla 9.1.7 - Matriz de responsabilidades para el proceso habilitador EDM03
88
organizacin para poder realizar esta optimizacin debido a que cuenta con procesos
inconclusos y no documentados, por lo cual es recomendable evaluar su aplicacin a
futuro habiendo logrado mejoras a nivel de proceso y la formalizacin de roles bajo el
enfoque de seguridad de informacin.
12
ISM: Information Security Manager
89
la descripcin de puestos.
Tomar como referencia los requisitos de la empresa y
continuidad del servicio de TI para la definicin de roles.
Estructurar los roles y responsabilidades para reducir la
posibilidad de que un solo rol pueda comprometer un
proceso crtico.
Implementar prcticas para monitorear que los roles y
responsabilidades se pongan en prctica de forma
correcta. El nivel de supervisin o monitoreo debe estar
en consonancia con este puesto y las
responsabilidades asignadas.
Considerar el ambiente interno de la empresa
incluyendo la gestin de la cultura y filosofa, tolerancia
al riesgo, valores ticos, cdigo de conducta,
responsabilidad y requisitos de seguridad de
informacin.
Alinear con estndares nacionales e internacionales de
seguridad de informacin que sean viables. Evaluar
Mantener los elementos buenas prcticas de seguridad de informacin.
habilitadores del modelo de Desarrollar las polticas de seguridad de informacin de
gobierno acuerdo al negocio, procesos y requisitos legales o
regulatorio dentro del ambiente interno de la empresa.
Evaluar y actualizar las polticas como mnimo una vez
al ao, para ajustarlas de acuerdo a los cambios
operativos o a nivel de negocio
Implantar las polticas de TI y seguridad de informacin
a todo el personal relevante y establecer los mtodos y
procedimientos de medicin de su cumplimiento.
Desarrollar un programa de sensibilizacin sobre
seguridad de informacin
Establecer indicadores para medir comportamientos
Comunicar los objetivos y con respecto a la seguridad de informacin
la direccin de gestin Proporcionar recursos suficientes y calificados para dar
soporte al proceso comunicativo.
Garantizar que la informacin comunicada engloba una
clara articulacin del entorno empresarial y con un nivel
90
de detalle adecuado para cada rea de la empresa.
Definir sistemas y accesos de datos a nivel empresarial
dentro de los procesos de gestin de seguridad de
informacin que involucran procesos base.
Proveer polticas y directrices para asegurar la
adecuacin y consistencia de la clasificacin de la
informacin (datos) en toda la empresa.
Definir la propiedad de la Crear y mantener un inventario de la informacin
informacin y del sistema (sistemas y datos) que incluya un listado de los
propietarios, custodios y clasificaciones. Incluir
sistemas tercerizados y aquellos cuya propiedad debe
permanecer dentro de la empresa.
Definir e implementar procedimientos para asegurar la
integridad y consistencia de la informacin almacenada
en formato electrnico.
Examinar informes que detallan el control de la
seguridad de informacin y las debilidades del proceso.
Contemplar medidas para mejorar la eficiencia y
eficacia de la seguridad de informacin.
Identificar procesos crticos de negocio basndose en el
Gestionar la mejora
rendimiento, cumplimiento y los riesgos relacionados.
continua de los procesos
Evaluar la capacidad del proceso e identificar objetivos
de mejora.
Aplicar prcticas de gestin de calidad y en base estas
realizar la actualizacin de los procesos o la
implementacin de mejoras.
Programar y realizar evaluaciones peridicas para
determinar el cumplimiento con las polticas y
procedimientos de seguridad de informacin para tomar
Mantener el cumplimiento
las acciones correctivas de ser necesario.
de las polticas y
Integrar el rendimiento y el cumplimiento dentro de los
procedimientos
objetivos individuales del personal.
Evaluar el desempeo de los procesos habilitadores del
marco de referencia y adoptar las acciones necesarias
Tabla 9.1.8 - Actividades de gestin habilitador: Gestionar el marco de TI
91
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir estructura
C C C C C R C C R I A R C C C C
organizativa
Establecer roles y
I C I R C C C C A R C C C C
responsabilidades
Mantener
habilitadores del C A C C C C I C C C C R C C
gobierno
Comunicar objetivos
y direccin de A C R C I R C I R R I I I R I I I I I
gestin
Definir propiedad de
la informacin y I I C A R C I C C C
sistemas
Gestionar mejora de
A R R C I C R C R R R R
procesos
Mantener
cumplimiento de
A R R R R R I R C R C R R
polticas y
procedimientos
Tabla 9.1.9 - Matriz de responsabilidades para el proceso habilitador APO01
Este proceso habilitador dentro de este modelo es compatible para todos los procesos.
Aplican todas las actividades de gestin del proceso. Se presentan tambin las sub-
actividades de acuerdo a la realidad de los procesos empleados en el diseo de
gobierno y de acuerdo al entorno y realidad de la empresa modelo para la elaboracin
del proyecto.
92
de gobierno de TI. El oficial de seguridad de informacin se encarga de evaluar y
verificar que los requerimientos definidos se cumplan y que se puedan aplicar las
medidas correctivas del caso.
93
rendimiento y la gestin de riesgos de informacin.
Evaluar la integridad, eficacia e idoneidad de los datos
recolectados y consolidarlos.
Disear informes de rendimiento del proceso desde el
enfoque de seguridad de informacin. Implementar
mecanismos para su elaboracin de acuerdo a lo
esperado por los stakeholders.
Analizar e informar sobre el
Comparar los valores de rendimiento internos y
rendimiento
externos de acuerdo al proceso.
Distribuir informes a las partes interesadas relevantes,
tanto de rendimiento como de las incidencias
suscitadas dentro del proceso.
Desarrollar medidas correctivas para tratar los
problemas relacionados al proceso y que afecten a la
Asegurar la implantacin seguridad de informacin.
de medidas correctivas Asegurar la asignacin de responsabilidades dentro de
las acciones correctivas y emitir los informes
respectivos.
Tabla 9.1.10 - Actividades de gestin habilitador: Monitorear, evaluar y medir el rendimiento y la
conformidad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Establecer enfoque
A R R C I C I I I R C I R I C C C I
de supervisin
Establecer objetivos
de cumplimiento y I I I A R C I R C C I R C I
rendimiento
Recopilar y procesar
datos cumplimiento y C R I I C A R I R I
rendimiento
94
Analizar e informar
A R C C C C C C C C R C
sobre el rendimiento
Asegurar la
implantacin de I I I I C R C C C I A R C R C
medidas correctivas
Tabla 9.1.11 - Matriz de responsabilidades para el proceso habilitador MEA01
95
Evaluar peridicamente las polticas relacionadas al
proceso bajo el enfoque de seguridad de informacin.
Obtener la conformidad del cumplimiento de polticas que
garanticen el alineamiento con requerimientos externos.
Determinar el nivel de satisfaccin.
Obtener garanta de
Garantizar que los proveedores de TI cumplan con los
cumplimiento de
requerimientos de seguridad de informacin.
requisitos externos
Consolidar a nivel empresarial los informes sobre
requerimientos externos e internos y difundirlos a todas
las unidades de negocio que abarcan el proceso.
Tabla 9.1.12 - Actividades de gestin habilitador: Monitorear, evaluar y medir el cumplimiento de
requerimientos externos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Identificar requisitos
externos de A R R C R
cumplimiento
Obtener respuesta a
R R R A R I I R R R C C C R I
requisitos externos
Confirmar
cumplimiento de I R R R R R I I C R I R C C C R C
requisitos externos
Obtener garanta de
cumplimiento de I I I I C C I I C R A R C I I C C
requisitos externos
Tabla 9.1.13- Matriz de responsabilidades para el proceso habilitador MEA03
96
1.1.2 Proceso de admisin de pacientes
Este proceso admisin de pacientes tiene mayor interaccin con actores externos y
proveedores, as como mayor gestin a nivel tecnolgica debido a los sistemas de
atencin, reservas e informes. El proceso debe cumplir con la ley de proteccin de
datos personales, ley de emergencia y la norma tcnica peruana de la historia clnica.
97
Definir de acuerdo al proceso de admisin, las
capacidades y servicios de TI a entregar.
Definir los objetivos de TI a alto nivel y cmo contribuirn
a los objetivos de negocio empresariales y como soporta
este proceso al cumplimiento de ambos.
Identificar dentro del proceso las brechas a cerrar y los
cambios requeridos para llegar al nivel deseado.
Examinar el nivel de cumplimiento del proceso respecto a
la ley de proteccin de datos personales, norma tcnica
Realizar un anlisis de
peruana de la historia clnica y la ley de emergencia.
brecha
Mejorar la definicin del estado deseado en el proceso y
sus objetivos. Sustentarlos demostrando los beneficios a
partir de este estado frente al impacto en caso no se
llegara a esta meta
Definir la estrategia de seguridad de informacin y
alinearla con la de TI y las estrategias de negocio para el
cumplimiento de objetivos en el proceso de admisin.
Crear la hoja de ruta que incluya la planificacin e
interdependencias de las iniciativas a nivel empresarial
Definir el plan estratgico de acuerdo al proceso, la cual a su vez seale los
y la hoja de ruta riesgos y costos de los cambios.
Asegurar que el plan estratgico de TI y la hoja de ruta
contengan los requerimientos de seguridad de
informacin identificados en el proceso de admisin
Obtener el apoyo de las partes interesadas y la
aprobacin del plan.
Desarrollar el plan estratgico y el plan de seguridad de
informacin que incluya aspectos relacionados al
proceso de admisin y comunicarlo a los stakeholders
Desarrollar el plan de comunicacin de acuerdo a pblico
Comunicar la estrategia y
objetivo identificando los canales de comunicacin.
la direccin de TI
Obtener retroalimentacin y actualizar el plan de
comunicaciones y la estrategia de seguridad de
informacin y TI segn sea necesario para mantener el
impulso.
Tabla 9.1.14 - Proceso admisin. Actividades de gestin habilitador: Gestionar la estrategia
98
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Comprender la
direccin de la C C C A C C C R C R C I I R C
empresa
Definir objetivo de
A C C C I R C I C C I R C C C C C
capacidades de TI
Realizar un anlisis
R R C C C C C A C C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C C C C
ruta
Comunicar
estrategia y I R I I R I A I I I R I I I R I I I I I
direccin de TI
Tabla 9.1.15 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Admisin
Se muestra a continuacin las actividades que aplican para este proceso de admisin
bajo el enfoque de seguridad de informacin. Posteriormente se muestra la matriz de
responsabilidades para su gestin en la organizacin y a nivel de los actores del
proceso.
99
Asegurar que los requisitos de seguridad se incorporan
en el proceso de contratacin.
Asegurar la existencia de capacitaciones y que existe
personal capaz de cubrir funciones crticas de otro para
reducir la dependencia.
Asegurar la segregacin de funciones en roles crticos
del proceso.
Minimizar dependencia de una persona en la realizacin
Identificar personal clave
de una funcin crtica dentro del proceso de admisin a
de TI
travs de captura e intercambio de conocimiento.
Identificar y ejecutar acciones segn cambios laborales
relacionados a los actores del proceso de admisin.
Definir habilidades y competencias necesarias de los
recursos para lograr los objetivos dentro del proceso y
poder escalar hacia los objetivos de alto nivel.
Brindar capacitaciones y programas de seguridad de
informacin al personal que ejecuta los procesos y a
nivel transversal para formar conciencia.
Llevar a cabo revisiones peridicas para evaluar la
Mantener las habilidades
evolucin de las habilidades y competencias de los
y competencias del
recursos internos y externos. A partir de estas identificar
personal
si se requieren habilidades adicionales para cubrir el
proceso y ejecutar el plan de accin para desarrollarlas.
Asegurar conocimientos y habilidades del personal
solicitando certificaciones segn la funcin a realizar. En
caso de la seguridad de informacin, si aplicase, se
podra solicitar certificaciones como ISO/IEC 27002,
CISM, ISO/IEC 27001: Leed Auditor.
Dentro de la evaluacin del desempeo, considerar
criterios con respecto a la seguridad de informacin.
Establecer objetivos individuales alineados con los
Evaluar el desempeo objetivos del proceso de admisin. Deben reflejar
laboral de los empleados competencias bsicas, valores empresariales y
habilidades para las funciones.
Proporcionar instrucciones para uso y almacenamiento
de informacin personal dentro del proceso de
100
evaluacin.
Implementar un proceso de reconocimiento a medida que
el personal alcance el compromiso, desarrollo de
competencias y logro de objetivos.
Gestionar la ubicacin del personal de seguridad de
informacin de acuerdo a los requerimientos de negocio.
Comprender la demanda actual y futura de recursos
Planificar y realizar un
humanos involucrados dentro del proceso de admisin
seguimiento del uso de
para apoyar el logro de objetivos de TI y necesidades
recursos humanos de TI y
operativas del da a da.
del negocio
Mantener informacin adecuada sobre el tiempo
dedicado a diferentes tareas, trabajos, servicios o
proyectos
Obtener un acuerdo formal por parte del personal sobre
las polticas y requisitos de la seguridad de informacin a
aplicarse en el proceso de admisin.
Implementar polticas o procedimientos que describan
Gestionar el personal como gestionar el personal para identificar necesidad de
contratado tercerizar algn servicio de TI.
Llevar a cabo revisiones para asegurar que el personal
cumple con sus funciones, que el derecho de acceso son
adecuados y alineados con los acuerdos pactados al
firmar el contrato.
Tabla 9.1.16 - Proceso admisin. Actividades de gestin habilitador: Gestionar los recursos
humanos
101
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener personal
suficiente y R I C R A R R C R C
adecuado
Identificar personal
I R R R A R R R R R
clave de TI
Mantener habilidad y
competencia del R C R A R R R R R
personal
Evaluar desempeo
R R R A R R R R R
laboral del empleado
Planificar y realizar
seguimiento del uso
R C A R R C I R R R C R C
de recusos humanos
de TI y negocio
Gestionar personal
I I R C R A R C C R C
contratado
Tabla 9.1.17 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Admisin
102
Medir y analizar datos histricos de riesgo de TI y
seguridad de informacin suscitados dentro del proceso
de admisin y de prdidas experimentadas de acuerdo a
las tendencias externas.
Determinar condiciones especficas que existan o
faltaban cuando se materializaron los riesgos dentro de
los procesos y como afectaban la frecuencia del evento y
la prdida.
Ejecutar anlisis del entorno para verificar los factores de
riesgo asociados al proceso.
Identificar, analizar y evaluar los riesgos de informacin
dentro del proceso.
Construir los escenarios de riesgo de TI y seguridad
dentro del proceso. Incluir las asociaciones y
dependencias entre las amenazas, para detectar
medidas de emergencia.
Analizar el riesgo
Identificar los riesgos residuales dentro del proceso e
identificar exposiciones que puedan requerir una
repuesta al riesgo
Validar resultados del anlisis de riesgos del proceso
antes de usarlos para la toma de decisiones. Verificar
alineamiento con requerimientos organizacionales.
Crear e informar el nivel aceptable y exposicin al riesgo
que incluya los aspectos de seguridad de acuerdo al
proceso.
Identificar dentro del proceso los servicios esenciales
Mantener un perfil del
para sostenerlo. Analizar la dependencia e identificar
riesgo
debilidades.
Definir un conjunto de indicadores que permitan la
identificacin rpida y supervisin de los riesgos de
seguridad del proceso y sus tendencias.
Definir e implementar evaluaciones y estrategias de
respuesta frente a los riesgos del proceso de admisin.
Expresar el riesgo Informar los resultados del anlisis de riesgos a los
stakeholders sobre el proceso de admisin en trminos
adecuados y entendibles para soportar decisiones
103
empresariales.
Informar el perfil del riesgo a los stakeholders junto con la
efectividad del proceso de admisin y los controles
asociados y a la vez identificar oportunidades de TI para
aceptar un mayor riesgo e incrementar la capacidad de
gestin.
Monitorear continuamente los riesgos de seguridad de
informacin del proceso de admisin y verificar que el
Definir un portafolio de riesgo este alineado con el apetito y tolerancia al riesgo
acciones para la gestin definido por la organizacin.
de riesgos Definir conjunto de propuestas para reducir el riesgo o
proyectos para incrementar las oportunidades
estratgicas de acuerdo a los beneficios y regulaciones.
Aplicar las prcticas y controles para la mitigacin de
riesgos de seguridad. Se recomienda aplicar en este
caso la norma ISO/IEC 27002:2013. Incluir controles
Responder al riesgo
preventivos y correctivos.
Catalogar los incidentes y comunicar los impactos de
negocio a los responsables.
Tabla 9.1.18 - Proceso admisin. Actividades de gestin habilitador: Gestionar el riesgo
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
I R I R R R I C A C C C R C
Recopilar datos
I R I C R C I C A C C C R C
Analizar el riesgo
Mantener un perfil
I R I C A C I C R C C C R C
del riesgo
104
I R I C R C I C A C C C C C
Expresar el riesgo
Definir portafolio de
acciones para I R I C A R I C R I C I C C
gestin del riesgo
I R I R R R I C A R R R R R
Responder al riesgo
Tabla 9.1.19 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Admisin
105
para producir resultados reproducibles y comparables.
Integrar la planificacin, diseo, implementacin y
supervisin de procedimientos de seguridad y controles
para prevencin y deteccin temprana de eventos dentro
del proceso de admisin y la respuesta a incidentes.
Realizar revisiones peridicas del SGSI incluyendo las
polticas, objetivos definidos en la etapa de concepcin
del SGSI
Supervisar y revisar el Realizar evaluaciones o auditoras al SGSI de forma
SGSI peridica para determinar su cumplimiento e identificar
mejoras en el proceso.
Registrar acciones y eventos que podran tener impacto
en la efectividad o desempeo del SGSI.
Tabla 9.1.20 - Proceso admisin. Actividades de gestin habilitador: Gestionar la seguridad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Establecer y
C C C C C I I C A C I R I I I R C
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C C R C
riesgos de seguridad
informacin
Supervisar y revisar
C R C I R A C R R R R R R
el SGSI
Tabla 9.1.21 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Admisin
106
Para el proceso de admisin se consideran aplicables algunas actividades de gestin
de este proceso habilitador debido a que dentro de la organizacin el conjunto de
procesos que integran el macro-proceso hospitalario cubren un nico programa. No
obstante, no aplican todas las actividades relacionadas a proyecto debido a que como
parte de este proceso de negocio es ms relevante tratarlos a alto nivel, encaminarlos
y alinearlos estratgicamente con la cartera de proyectos y los requerimientos de
seguridad de informacin. Se muestra tambin la respectiva matriz de
responsabilidades de acuerdo al anlisis y aplicacin del habilitador.
107
negocio que lo justifica y garantiza el alineamiento
estratgico.
Integrar la seguridad de informacin y las tecnologas
con la gestin de proyectos.
Desarrollar plan de proyecto con informacin que permita
a la direccin controlar el progreso del proyecto. Incluir
recursos, responsabilidades e hitos que marcan el cierre
Planificar proyectos de cada una de las etapas.
Mantener los planes de proyecto y sus dependencias,
asegurando la comunicacin entre estos y que al realizar
un cambio en uno de stos se refleje en los dems.
Establecer un marco base para proyectos, el cual es
revisado, aprobado e incorporado a los planes de
proyecto vigentes.
Identificar las actividades y prcticas para garantizar la
calidad de los proyectos. Asegurar que las tareas
Gestionar la calidad de provean garantas del cumplimiento de los
los programas y requerimientos definidos.
proyectos. Definir los requerimientos de validacin y verificacin de
la calidad de entregables de los proyectos asociados al
proceso.
Registrar riesgos de seguridad de informacin y las
acciones correctivas frente a estos. Revisar y actualizar
la matriz de riesgos de proyecto peridicamente.
Integrar proyectos de seguridad de informacin al
Gestionar el riesgo de los
programa y proceso de admisin de pacientes. Alinearlos
programas y proyectos.
a los procesos de gestin de proyectos.
Asignar la responsabilidad al personal con capacidades
adecuadas para ejecutar el proceso de gestin del riesgo
de los proyecto.
Determinar evaluaciones peridicas a los proyectos para
asegurar que los requerimientos de seguridad de
Supervisar y controlar
informacin asociados al proceso son implementados de
proyectos.
forma efectiva.
Supervisar los cambios al programa y revisar
requerimientos claves de desempeo para verificar el
108
avance.
Obtener la aprobacin y firma de los entregables
producidos en cada iteracin del proyecto asociado al
proceso.
Tabla 9.1.22 - Proceso admisin. Actividades de gestin habilitador: Gestionar programas y
proyectos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener enfoque
para gestin de
I A C C R R C C C I R C
programas y
proyectos
Gestionar el
compromiso de las A C C R C C R I I R I C I C C
partes interesadas
Desarrollar y
mantener el plan del C C A C R R C R C C I C I R C
programa
C I A R C C C C C R C
Planificar proyectos
Gestionar la calidad
de los programas y C R I A R C R I C I C C C
proyectos
Gestionar el riesgo
de los programas y R R I A R C R I C C C C R C
proyectos
Supervisar y
I R I A R C C C C I C C R C
controlar proyectos
Tabla 9.1.23 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Admisin
109
cumplimiento con la ley de proteccin de datos personales, norma tcnica peruana de
la historia clnica y la ley de emergencia.
110
Mantener un sistema de seguimiento e informe para
todas las solicitudes de cambio enfocados en seguridad
de informacin dentro del proceso de admisin.
Supervisar los cambios de seguridad de informacin
Hacer seguimiento e
abiertos para asegurar que sean cerrados en los plazos
informar cambios de
previstos.
estado
Elaborar los informes de cambio en seguridad de
informacin dentro del proceso y que incluyan las
mtricas de rendimiento para facilitar su revisin y
seguimiento
Realizar la documentacin sobre las revisiones de
cambios de seguridad de informacin.
Cerrar y documentar los
Definir un periodo vlido para preservar la informacin
cambios
sobre los cambios realizados dentro del proceso bajo los
enfoques de seguridad.
Tabla 9.1.24 - Proceso admisin. Actividades de gestin habilitador: Gestionar el cambio
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Evaluar, priorizar y
autorizar peticiones A R C C R C R C C R R
de cambio
Gestionar cambios
A I C R I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C R C R
estado
Cerrar y documentar
A R R C C R C R I C
los cambios
Tabla 9.1.25 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Admisin
111
g. Proceso habilitador: Gestionar los activos
112
para mitigarlos a lo largo del ciclo de vida de los activos
del proceso de admisin.
Asegurar que las medidas de seguridad de informacin y
los requerimientos estn alineados al ciclo de vida.
Realizar adquisiciones de activos en base a solicitudes
aprobadas de acuerdo a las polticas y prcticas de la
empresa bajo los criterios de la seguridad de informacin
y alineados al proceso de admisin de pacientes.
Eliminar activos de forma segura siguiendo
procedimientos que garanticen la proteccin y
destruccin de datos que alguna vez estuvieron
almacenados en ellos.
Establecer procedimientos de control en base a
instalaciones de sistemas o software dentro de los
activos de TI.
Mantener un registro de todas las licencias de software
Administrar licencias
adquiridas para los activos que soportan el proceso base.
Realizar auditoras para identificar si existe software no
autorizado o si se cumplen los mecanismos de control
evidenciados en el inventario y registro de activos.
Tabla 9.1.26 - Proceso admisin. Actividades de gestin habilitador: Gestionar los activos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Identificar y registrar
C C C I R A C C
activos actuales
Gestionar activos
C I C C C C R A C C C
crticos
113
Gestionar el ciclo de
C I C R A R I
vida de los activos
I C I C A R R C
Administrar licencias
Tabla 9.1.27 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Admisin
Este proceso habilitador indica las actividades a seguir para llevar a cabo la gestin de
incidentes y solicitudes de seguridad de informacin, los cuales pueden ser inmediatos
o a travs de algn proceso para su solucin temporal o total. Se prioriza aquellas
solicitudes o incidentes de seguridad de informacin.
114
servicio as resolver solicitudes de forma estandarizada.
Mantener procedimientos para recopilar evidencias sobre
incidentes de acuerdo a requisitos externos y el marco
legal al cual se encuentra sujeto el proceso. Asegurar
que el personal est al tanto de los requisitos.
Investigar, diagnosticar y Registrar un nuevo problema en caso no exista dentro de
localizar incidentes la base de datos y/o si el incidente de seguridad de
informacin es recurrente.
Identificar posibles soluciones temporales o permanentes
para los incidentes de seguridad de informacin, asignar
su tratamiento a los especialistas respectivos.
Definir un plan de respuesta para los incidentes de
seguridad de informacin en el cual se detalla las
soluciones apropiadas.
Resolver y recuperarse de
Ejecutar las acciones de recuperacin para restablecer el
incidentes
proceso de admisin completamente.
Documentar la solucin e identificar si es temporal o
permanente para tomarlo en cuenta a futuro.
Verificar con los usuarios del proceso si se ha
Cerrar solicitudes de completado la solicitud del servicio o si el incidente ha
servicio e incidentes sido resuelto. En caso afirmativo cerrar la solicitud o
incidente.
Asegurar que los incidentes de seguridad de informacin,
el anlisis y seguimiento de estos, siguen los
procedimientos existentes.
Seguir el estado y emitir Informar el resultado de las investigaciones sobre los
informes incidentes de seguridad a las partes interesadas y a la
gerencia ejecutiva.
Elaborar informes y distribuirlos peridicamente a los
stakeholders como parte de la mejora continua.
Tabla 9.1.28 - Proceso admisin. Actividades de gestin habilitador: Gestionar las solicitudes e
incidentes de servicio
115
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir esquema de
clasificacin de
C I I A C R R R C
incidentes y solicitud
de servicio
Registrar, clasificar y
priorizar solicitudes e I I C A R C
incidentes
Verificar, aprobar y
resolver solicitudes R C C I C R A C
de servicio
Investigar,
diagnosticar y R I C I I C R A C
localizar incidentes
Resolver y
recuperarse de I I I I I C R A R
incidentes
Cerrar solicitudes de
C I C I I I A C R
servicio e incidentes
Seguir el estado y
I I C I I I I A R C
emitir informes
Tabla 9.1.29 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Admisin
El siguiente proceso habilitador indica cmo crear estrategias que garanticen que el
proceso de admisin de pacientes estar disponible ante diversas situaciones y
emergencias. En este caso se busca el compromiso del oficial de seguridad de
informacin que seale que los incidentes o riesgos de seguridad de informacin, en
caso se materialicen, afectaran lo menos posible la continuidad de negocio.
116
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Determinar el nivel de criticidad del proceso de admisin
de pacientes a nivel de seguridad de informacin y de
acuerdo a la ley de proteccin de datos personales,
norma tcnica peruana de la historia clnica y ley de
Definir las polticas de emergencia, para verificar que su aplicacin en el
continuidad de negocio, programa de continuidad.
objetivos y alcance Asegurar que la seguridad de informacin forma parte del
ciclo de vida de continuidad de negocio.
Identificar partes interesadas, roles y responsabilidades
claves dentro del proceso para alinearlos a los objetivos
y polticas del SGCN.
Identificar e incluir escenarios que den pie a eventos que
afecten la continuidad del proceso de admisin dentro
del enfoque de la seguridad de informacin.
Realizar el anlisis de impacto de negocio para el
proceso de admisin, incluyendo los factores de
seguridad de informacin y el mximo tolerable de
interrupcin en estos aspectos.
Mantener una estrategia
Analizar las amenazas que afecten la continuidad del
de continuidad
proceso bajo el enfoque de la seguridad de informacin
para mejorar mtodos preventivos e incrementar la
resiliencia.
Obtener la aprobacin de los ejecutivos y dar pie a las
estrategias seleccionadas que cubran los requerimientos
definidos para el SGCN bajo el enfoque de seguridad de
informacin.
Alinear los aspectos de seguridad de informacin del
proceso de admisin a las estrategias de continuidad y el
SGCN. Incluirlas en el Plan de continuidad de negocios.
Desarrollar e implementar Asegurar que los proveedores clave del proceso definan
una respuesta a la estrategias de continuidad de negocio y recuperacin.
continuidad de negocio Evaluar cmo afecta que no se cuente con estas para
considerarlo dentro de las polticas del SGCN.
Definir los procedimientos de recuperacin para reanudar
el proceso de admisin y que este cumpla con los
117
requerimientos de seguridad de informacin definidos.
Definir y documentar recursos necesarios para recuperar
el proceso, incluyendo todos los planes documentados y
considerando las necesidades de seguridad y
almacenamiento de la informacin en otro lugar.
Distribuir los planes.
Planificar actividades para probar el plan como est
Ejecutar, probar y revisar definido en los documentos. Asignar roles y
el plan de continuidad responsabilidades para esta actividad.
Realizar el anlisis y revisin para determinar el logro.
Considerar que los incidentes de seguridad de
informacin, dentro del proceso de admisin, son fuentes
para probar y verificar las repuestas del plan de
continuidad de negocios.
Revisar el plan peridicamente tomando en cuenta los
Revisar, mantener y
objetivos de negocio, objetivos de TI y los lineamientos
mejorar el plan de
del proceso de admisin junto con sus estrategias de
continuidad
seguridad. Considerar posibles cambios producto del
entorno.
Comunicar los cambios en torno al plan de continuidad
que puedan afectar los procesos o los requerimientos de
seguridad de informacin
Asegurar que los requerimientos de seguridad se
cumplen en los procesos de backup y restauracin de la
informacin dentro del proceso de admisin de
pacientes.
Realizar las copias de seguridad respectivas y establecer
Gestionar acuerdos de
polticas para su gestin de acuerdo a las regulaciones y
respaldo
exigencias dentro del proceso de admisin,
salvaguardando los datos del paciente.
Probar y mantener las copias de seguridad recientes y
aquellas archivadas de manera peridica para garantizar
la disponibilidad de la informacin y su integridad.
Asegurar que los parmetros y niveles de seguridad
Ejecutar revisiones post-
estn incluidos luego de la reanudacin del proceso de
reanudacin
admisin.
118
Evaluar la efectividad del plan de acuerdo a los tiempos
definidos en el anlisis de impacto de negocio de
acuerdo al proceso de admisin.
Identificar debilidades u omisiones como parte de la
mejora continua para asegurar que el proceso de
admisin podr llevarse a cabo sin inconvenientes ante
cualquier evento bajo condiciones seguras.
Tabla 9.1.30 - Proceso admisin. Actividades de gestin habilitador: Gestionar la continuidad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir la poltica de
continuidad de
A C R C C C R I C C R R
negocio, objetivos y
alcance
Mantener una
estrategia de A C R I I C R I R R R
continuidad
Desarrollar e
implementar una
respuesta a la I R C I C R I C R A
continuidad de
negocio
Ejercitar, probar y
revisar el plan de I R I I R R I R I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C A
post-reanudacin
Tabla 9.1.31 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Admisin
119
j. Proceso habilitador: Gestionar los servicios de seguridad
120
Cifrar la informacin almacenada y gestionada de
acuerdo a su clasificacin
Implementar mecanismos de bloqueo de los dispositivos.
Implementar el filtrado del trfico de la red en dispositivos
de usuario final dentro del proceso de admisin
Deshacerse de los dispositivos de usuario final de forma
segura.
Mantener los derechos de acceso de los usuarios de
acuerdo a los requerimientos del proceso de admisin.
Autenticar los accesos a los activos de informacin de
acuerdo al nivel de seguridad y segn los lineamientos
Gestionar la identidad del
de los procesos de negocio.
usuario y el acceso lgico
Segregar y gestionar cuentas de usuario privilegiadas.
Realizar revisiones peridicas de la gestin de cuentas y
privilegios dentro del proceso de admisin. Verificar que
la identificacin de estas es unequvoca.
Establecer procedimientos de empleo, eliminacin y
destruccin de las historias clnicas y actas de
conformidad y garanta.
Asignar privilegios de acceso a informacin de historias
Gestionar documentos clnicas, actas de conformidad y garanta.
sensibles y dispositivos Realizar un inventario de documentos sensibles y
de salida dispositivos de salida crticos para llevar a cabo el
proceso de admisin de pacientes.
Establecer polticas de proteccin fsica apropiadas sobre
formularios o documentos que contienen informacin
sensible.
Tabla 9.1.32 - Proceso admisin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
121
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Proteger contra
R C A R C I R I C
software malicioso
Gestionar seguridad
I C A C C I R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A I C R I R
usuario final
Gestionar identidad
del usuario y acceso R C A I C C R I R C
lgico
Gestionar
documentos
sensibles y C I I C A I R R
dispositivos de
salida
Tabla 9.1.33 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Admisin
Otro de los procesos que forman parte del alcance del proyecto de tesis es el proceso
de atencin. Este proceso a diferencia del proceso de admisin, contiene ms
actividades manuales y de gestin debido a que su objetivo es garantizar la seguridad
y confort del paciente brindndole la atencin y cuidados respectivos. No se deja de
lado las actividades tcnicas y la gestin de informacin confidencial como las
historias clnicas.
122
Se presenta la matriz de responsabilidades para gestionar el habilitador de acuerdo al
enfoque de seguridad de informacin.
123
Definir las metas deseadas del proceso y establecer los
beneficios que se obtienen al llegar a estas.
Definir la estrategia de seguridad de informacin y
alinearla a la estrategia de negocio para cumplir los
objetivos del proceso.
Crear la hoja de ruta que incluya la planificacin e
Definir el plan estratgico interdependencias de las iniciativas a nivel empresarial
y la hoja de ruta de acuerdo al proceso, la cual a su vez seale los
riesgos y costos de los cambios.
Asegurar que el plan estratgico de TI y la hoja de ruta
contengan los requerimientos de seguridad de
informacin identificados en el proceso de atencin.
Desarrollar el plan estratgico y el plan de seguridad de
informacin que incluya el proceso de atencin de
pacientes y comunicarlo a los stakeholders.
Desarrollar el plan de comunicacin de la estrategia
Comunicar la estrategia y
aplicada dentro del proceso de atencin. Identificar
la direccin de TI
canales de comunicacin.
Actualizar el plan de comunicacin segn la
retroalimentacin del personal y a la estrategia de
seguridad de informacin dentro del proceso de atencin.
Tabla 9.1.34 - Proceso atencin. Actividades de gestin habilitador: Gestionar la estrategia
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Comprender la
direccin de la C C C A C C C R C R C I I R C
empresa
124
Evaluar entorno,
capacidades y C C C R C C C C C A I C I R C
rendimiento actual
Realizar un anlisis
R R C C C C C A I C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C I C C
ruta
Comunicar
estrategia y I R I I R I A I I I R I I I R I I I I I
direccin de TI
Tabla 9.1.35 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Atencin
125
Definir habilidades y competencias necesarias que deben
tener los recursos para lograr los objetivos del proceso y
poder escalar hacia los objetivos de alto nivel.
Brindar capacitaciones y programas de seguridad de
informacin al personal que ejecuta los procesos.
Proporcionar facilidades a los actores de este proceso
Mantener las habilidades
para lograr el desarrollo profesional para fomentar las
y competencias del
oportunidades de progreso personal y menor
personal
dependencia de personas clave.
Llevar a cabo revisiones peridicas para evaluar la
evolucin de las habilidades y competencias de los
recursos internos. A partir de estas identificar si se
requieren habilidades adicionales para cubrir el proceso y
ejecutar el plan de accin para desarrollarlas.
Dentro de la evaluacin del desempeo, considerar
criterios con respecto a la funcin de seguridad de
informacin.
Establecer objetivos individuales alineados con los
objetivos del proceso de atencin. Estos deben reflejar
competencias bsicas, valores empresariales y
Evaluar el desempeo habilidades para las funciones.
laboral de los empleados Proporcionar instrucciones para uso y almacenamiento
de informacin personal dentro del proceso de
evaluacin.
Desarrollar planes para la mejora de desempeo del
personal que ejecuta el proceso de atencin.
Implementar un proceso de reconocimiento a medida que
el personal logre o desarrolle sus objetivos.
Comprender la demanda actual y futura de recursos
humanos involucrados dentro del proceso de atencin
Planificar y realizar un para apoyar el logro de objetivos de TI y necesidades
seguimiento del uso de operativas del da a da salvaguardando los objetivos de
recursos humanos de TI y la funcin de seguridad de informacin.
del negocio Realizar el inventario del personal del proceso e
identificar sus respectivas funciones.
Mantener informacin adecuada sobre el tiempo
126
dedicado a diferentes tareas, trabajos, servicios o
proyectos
Obtener un acuerdo formal por parte del personal sobre
las polticas y requisitos de la seguridad de informacin a
aplicarse en el proceso de atencin al paciente.
Llevar a cabo revisiones para asegurarse que el personal
cumple con sus funciones, que el derecho de acceso es
Gestionar el personal
adecuado y alineado con los acuerdos pactados al firmar
contratado
el contrato.
Implementar polticas que permitan identificar como se
debe gestionar el personal, es decir si es necesario
contratar servicios o nuevo personal siguiendo los
parmetros de seguridad de informacin.
Tabla 9.1.36 - Proceso atencin. Actividades de gestin habilitador: Gestionar los recursos
humanos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener dotacin
de personal
R I C R A C C C R C
suficiente y
adecuado
Identificar personal
C I R R R A C R C R C
clave de TI
Mantener habilidad y
competencia del I R C R A R C C R C
personal
Evaluar desempeo
R R R A R R R R R
laboral del empleado
Planificar y realizar
seguimiento del uso
R C A R R C I R R C C R C
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A R C C R C
contratado
Tabla 9.1.37 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Atencin
127
c. Proceso habilitador: Gestionar el riesgo
Por medio de este proceso habilitador se pretende garantizar que, por medio de sus
actividades de gestin, los riesgos de seguridad de informacin del proceso de
atencin se encuentren controlados.
128
al proceso.
Identificar dentro del proceso los servicios esenciales
para sostenerlo y que este alineado con el perfil de
riesgo a tolerar. Analizar dependencias e identificar
debilidades.
Definir un conjunto de indicadores que permitan la
supervisin de los riesgos de seguridad del proceso y
sus tendencias.
Informar los resultados del anlisis de riesgos del
proceso de atencin a los stakeholders en trminos
adecuados y entendibles para decisiones empresariales.
Informar el perfil del riesgo a los stakeholders junto con la
Expresar el riesgo
efectividad del proceso de atencin y los controles
asociados. Identificar oportunidades de TI para mayor
tolerancia al riesgo e incrementar la capacidad de
gestin.
Monitorear peridicamente los riesgos de seguridad de
informacin del proceso de atencin y verificar que el
Definir un portafolio de riesgo este alineado con el apetito y tolerancia al riesgo.
acciones para la gestin Definir propuestas para reducir el riesgo o proyectos para
de riesgos incrementar las oportunidades estratgicas de acuerdo a
la ley de proteccin de datos personales y la norma
tcnica peruana de la historia clnica.
Aplicar las prcticas y controles para la mitigacin de
riesgos de seguridad. Se recomienda aplicar en este
Responder al riesgo
caso la norma ISO/IEC 27002:2013. Se recomienda
incluir controles preventivos y correctivos.
Tabla 9.1.38 - Proceso atencin. Actividades de gestin habilitador: Gestionar el riesgo
129
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
I R I R R R I I A C C C R C
Recopilar datos
I R I C R C I C A C C C R C
Analizar el riesgo
Mantener un perfil
I R I C A C I I R C C C R C
del riesgo
I R I C R C I I A C C C C C
Expresar el riesgo
Definir portafolio de
acciones para I R I C A R I I R I C I C C
gestin del riesgo
I R I R R R I C A R R R R R
Responder al riesgo
Tabla 9.1.39 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Atencin
Similar al proceso de admisin, se considera que este proceso debe tambin formar
parte del alcance de un SGSI y a partir de este establecer las medidas y controles
para tratar los riesgos de seguridad de informacin que puedan impactar de forma
negativo a los procesos crticos de la organizacin.
Dado que este proceso va de la mano con el proceso de admisin, se considera que la
declaracin de aplicabilidad de este ltimo es vlida para ambos. Se presenta tambin
la matriz de responsabilidades.
130
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Definir el alcance del SGSI de acuerdo a las
caractersticas de la organizacin y sus polticas.
Disear un enfoque de gestin de seguridad y alinearlo
Establecer y mantener un al SGSI.
SGSI Comunicar los roles y responsabilidades en la gestin de
la seguridad de informacin y el enfoque del SGSI.
Comprometer a la alta direccin para iniciar las
actividades de implementacin del SGSI.
Disear, mantener y aplicar un plan de tratamiento de
riesgos de seguridad de informacin alineados con los
objetivos estratgicos de la organizacin y fines del
proceso.
Definir y gestionar un plan Desarrollar propuestas de mejora al plan de riesgos
de tratamiento del riesgo basados en casos de negocio de acuerdo a los roles y
de la seguridad de responsabilidades a necesitar para su aplicacin y
informacin acorde a los drivers identificados.
Integrar la planificacin, diseo, implementacin y
supervisin de procedimientos de seguridad y controles
para prevencin y deteccin temprana de eventos dentro
del proceso de atencin y la respuesta a incidentes.
Realizar revisiones peridicas del SGSI incluyendo las
polticas y objetivos definidos en la etapa de concepcin
del SGSI
Supervisar y revisar el Realizar evaluaciones o auditoras al SGSI de forma
SGSI peridica para determinar su cumplimiento e identificar
mejoras en el proceso.
Registrar acciones y eventos que podran tener impacto
en la efectividad o desempeo del SGSI.
Tabla 9.1.40 - Proceso atencin. Actividades de gestin habilitador: Gestionar la seguridad
131
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Establecer y
C C C C C I I C A C I R I I I R C
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C C R C
riesgos de seguridad
informacin
Supervisar y revisar
C R C I R A C R R R R R R
el SGSI
Tabla 9.1.41 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Atencin
132
Desarrollar un plan de seguridad de informacin que
incluya los controles a implementar en el proyecto.
Incluir recursos dentro del proyecto para identificar e
Desarrollar y mantener el
implementar requerimientos de seguridad de informacin.
plan del programa.
Mantener el plan de programa para asegurar su
actualizacin de acuerdo a los proyectos y el proceso de
atencin. Actualizar el caso de negocio que lo justifica y
garantiza el alineamiento estratgico.
Integrar la seguridad de informacin y las tecnologas
con la gestin de proyectos de negocio.
Desarrollar un plan de proyecto con informacin que
permita a la direccin controlar su progreso. Incluir
recursos, responsabilidades e hitos que marcan el cierre
Planificar proyectos de cada una de las etapas.
Mantener los planes de proyectos y sus dependencias,
asegurando la comunicacin entre estos y que al realizar
un cambio en uno de stos se refleje en los dems.
Establecer un marco base para gestin de proyectos, el
cual es revisado, aprobado e incorporado a los planes de
proyecto vigentes.
Gestionar la calidad de Identificar actividades y prcticas para garantizar la
los programas y calidad de los proyectos. Asegurar que las tareas
proyectos. cumplan los requerimientos de seguridad de informacin
Registrar los riesgos de seguridad de informacin del
proyecto y sus acciones correctivas. Revisar y
actualizarlos peridicamente.
Gestionar el riesgo de los Integrar proyectos de seguridad de informacin al
programas y proyectos. programa y proceso de atencin de pacientes. Alinearlos
a los procesos de gestin de proyectos.
Asignar responsabilidades al personal capacitado para la
gestin del riesgo de los proyectos.
Programar evaluaciones a los proyectos para asegurar
Supervisar y controlar que los requerimientos de seguridad de informacin del
proyectos. proceso son implementados efectivamente.
Supervisar los cambios al programa y revisar
requerimientos de desempeo para verificar el avance.
133
Obtener la aprobacin y firma de los entregables
producidos en cada iteracin de los proyectos
asociados.
Tabla 9.1.42 - Proceso atencin. Actividades de gestin habilitador: Gestionar los programas y
proyectos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
C I A R C C C C C R C
Planificar proyectos
Gestionar la calidad
de los programas y C R I A R C R I C I C C C
proyectos
Gestionar el riesgo
de los programas y R R I A R C R I C C C C R C
proyectos
Supervisar y
I R I A R C C C C I C C R C
controlar proyectos
Tabla 9.1.43 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Atencin
134
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Asegurar que los cambios dentro del proceso de atencin
se alinean a las polticas de seguridad de informacin.
Realizar el anlisis de impacto al realizar cambios en
seguridad de informacin y a nivel general dentro del
proceso.
Asegurar que los cambios sean validados por los dueos
Evaluar, priorizar y del proceso de negocio de atencin al paciente. Evaluar
autorizar solicitudes de los tipos de cambios permitidos en l.
cambio Estandarizar las solicitudes de cambio de manera que
todo cambio a nivel del proceso sea a travs de
procedimientos formales.
Considerar el impacto de los cambios en la gestin de
proveedores de acuerdo a la de seguridad de
informacin, procurando que estos no afecten los
acuerdos de servicio.
Desarrollar medidas para atender cambios de
emergencia en el proceso y relacionados a seguridad de
informacin.
Gestionar cambios de Registrar los riesgos de seguridad de informacin a partir
emergencia de cambios de emergencia realizados en el proceso.
Supervisar los cambios de emergencia dentro del
proceso de atencin y realizar las revisiones post-
implantacin involucrando a las partes interesadas.
Mantener y supervisar un sistema de seguimiento e
informe para las solicitudes de cambio del proceso de
Hacer seguimiento e acuerdo a las exigencias de seguridad de informacin.
informar cambios de Elaborar informes respecto a los cambios de seguridad
estado de informacin realizados en el proceso.
Supervisar los cambios de seguridad de informacin que
an no han sido cerrados.
Tabla 9.1.44 - Proceso atencin. Actividades de gestin habilitador: Gestionar el cambio
135
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Evaluar, priorizar y
autorizar solicitudes A R C C R I R C C R R
de cambio
Gestionar cambios
A I C R I I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C C C R
estado
Tabla 9.1.45 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Atencin
136
Identificar si los activos del proceso de atencin estn
sujetos a alguna regulacin adicional a la ley de
proteccin de datos personales y la norma tcnica
peruana de la historia clnica. Verificar los aspectos
contractuales de seguridad de informacin.
Verificar y determinar si los activos se encuentran en
condiciones tiles para soportar dicho proceso y si es
que genera valor al negocio.
Identificar que activos del proceso de atencin pueden
ser considerados como crtico. Supervisar su rendimiento
por medio de evaluaciones o planes en los que se
definan las polticas de reparacin o reemplazo.
Determinar los niveles de criticidad de los activos dentro
del proceso de atencin.
Garantizar que los activos crticos del proceso cumplan
Gestionar activos crticos los niveles de seguridad de informacin establecidos en
el proceso y el negocio.
Determinar el tiempo de inactividad mximo para estos
activos crticos de manera que se garantice la reduccin
de un impacto adverso en el negocio.
Establecer polticas para el cambio de estos activos
crticos de acuerdo a los riesgos de seguridad de
informacin identificados.
Identificar y comunicar los riesgos de seguridad de
informacin de estos activos que soportan el proceso.
Realizar adquisiciones de nuevos activos previamente
autorizadas de acuerdo a procedimientos seguros que
Gestionar el ciclo de vida
verifique un nivel de riesgo aceptable.
de los activos
Establecer polticas para eliminar activos de forma
segura.
Asegurar que las medidas de seguridad de informacin
se apliquen a los activos durante todo su ciclo de vida.
Tabla 9.1.46 - Proceso atencin. Actividades de gestin habilitador: Gestionar los activos
137
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Identificar y registrar
C C C I R A C C
activos actuales
Gestionar activos
C I C C C C R A C C C
crticos
Gestionar el ciclo de
C I C R A C I
vida de los activos
Tabla 9.1.47 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Atencin
138
atencin de acuerdo a los requerimientos de seguridad
de informacin y el impacto en el negocio.
Investigar los incidentes de seguridad y elaborar, en base
a estos, procedimientos de respuesta. Asegurar que las
medidas sean definidas y protejan los pilares de
Registrar, clasificar y
seguridad y que sean difundidas.
priorizar solicitudes e
Registrar incidentes y solicitudes de servicio relacionados
incidentes
a la seguridad de informacin del proceso de atencin.
Priorizar y clasificar incidentes de acuerdo al impacto
dentro del negocio y el proceso de atencin.
Verificar, aprobar y Seguir procedimientos y modelos de solicitud de
resolver solicitudes de seguridad de informacin para elementos frecuentes de
servicio manera que se atiendan en menor tiempo.
Registrar un nuevo problema en caso no exista dentro de
la base de datos y si el incidente de seguridad de
informacin satisface los criterios para registro.
Investigar, diagnosticar y
Identificar soluciones temporales o permanentes para los
localizar incidentes
incidentes de seguridad de informacin, asignar su
tratamiento a los especialistas respectivos dentro del
proceso de atencin.
Definir un plan de respuesta de seguridad de informacin
para los incidentes dentro del proceso de atencin.
Resolver y recuperarse de Ejecutar las acciones de recuperacin para restablecer el
incidentes proceso de atencin completamente.
Documentar la solucin e identificar si es temporal o
permanente para tomarlo en cuenta a futuro.
Verificar con los usuarios del proceso si se ha
Cerrar solicitudes de completado la solicitud del servicio o si el incidente de
servicio e incidentes seguridad fue resuelto. En caso afirmativo cerrar la
solicitud o incidente,
Asegurar que los incidentes de seguridad de informacin,
el anlisis y seguimiento de estos, siguen los
Seguir el estado y emitir
procedimientos de gestin existentes.
informes
Elaborar informes y distribuirlos peridicamente a los
stakeholders como parte de la mejora continua.
Tabla 9.1.48 - Proceso atencin. Actividades de gestin habilitador: Gestionar las solicitudes de
servicio e incidentes
139
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir esquema de
clasificacin de
C I I A I R R R C
incidentes y solicitud
de servicio
Registrar, clasificar y
priorizar solicitudes e I I C A R C
incidentes
Verificar, aprobar y
resolver solicitudes R C C I C R A C
de servicio
Investigar,
diagnosticar y R I C I I R A C
localizar incidentes
Resolver y
recuperarse de I I I I I C R A C
incidentes
Cerrar solicitudes de
C I C I I A C R
servicio e incidentes
Seguir el estado y
I I C I I I I A R I
emitir informes
Tabla 9.1.49 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Atencin
Se seala a continuacin las actividades que aplican para gestionar la continuidad del
proceso de atencin al paciente hospitalizado. Se muestra seguidamente la matriz de
responsabilidades definida.
140
continuidad.
Asegurar que la seguridad de informacin forma parte del
ciclo de vida de continuidad de negocio.
Identificar interesados, roles y responsabilidades dentro
del proceso para alinearlos a los objetivos y polticas del
SGCN
Identificar e incluir escenarios que den pie a eventos de
informacin que afecten la continuidad del proceso.
Realizar el anlisis de impacto de negocio de acuerdo a
los lineamientos del proceso, incluyendo los factores de
Mantener una estrategia
seguridad de informacin y el mximo tolerable de
de continuidad
interrupcin en estos aspectos.
Analizar las amenazas de seguridad que afecten la
continuidad del proceso para mejorar mtodos
preventivos e incrementar la resiliencia.
Definir los procedimientos de recuperacin para reanudar
el proceso de egreso y que cumpla con los
Desarrollar e implementar requerimientos de seguridad de informacin definidos.
una respuesta a la Definir y documentar recursos necesarios para recuperar
continuidad de negocio el proceso. Documentar los planes considerando las
necesidades de seguridad y almacenamiento de la
informacin en otro lugar. Distribuir los planes.
Planificar actividades para probar el plan definido en los
Ejecutar, probar y revisar documentos. Asignar roles y responsabilidades para esta
el plan de continuidad actividad y coordinar que no afecten el proceso.
Realizar el anlisis y revisin para determinar el logro.
Revisar el plan peridicamente tomando en cuenta los
objetivos de negocio, objetivos de TI y los lineamientos
del proceso de atencin. Considerar posibles cambios
producto del entorno.
Revisar, mantener y
Comunicar los cambios del plan de continuidad que
mejorar el plan de
puedan afectar el proceso o los requerimientos de
continuidad
seguridad de informacin
Reconocer qu incidentes de seguridad de informacin
pueden ocasionar la interrupcin del negocio, por ello se
debe incrementar el nivel de gestin de stos.
141
Asegurar que los requerimientos de seguridad se
cumplen en los procesos de backup y restauracin de
informacin.
Realizar las copias de seguridad respectivas y establecer
polticas para su gestin de acuerdo a la ley de
Gestionar acuerdos de proteccin de datos personales y la norma tcnica
respaldo peruana de la historia clnica entre otras exigencias
dentro del proceso de atencin, salvaguardando los
datos del paciente.
Probar y mantener las copias de seguridad recientes, y
aquellas archivadas, de manera peridica para garantizar
la disponibilidad de la informacin y su integridad.
Evaluar la efectividad del plan de acuerdo a los tiempos
definidos en el anlisis de impacto de negocio de
acuerdo al proceso de atencin al paciente.
Ejecutar revisiones post- Identificar debilidades u omisiones como parte de la
reanudacin mejora continua para asegurar que el proceso de
atencin podr llevarse a cabo sin inconvenientes ante
cualquier evento asegurando la informacin de los
involucrados.
Tabla 9.1.50 - Proceso atencin. Actividades de gestin habilitador: Gestionar la continuidad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir la poltica de
continuidad de
A C R C C C R I C C C R
negocio, objetivos y
alcance
142
Mantener una
estrategia de A C R I I C R I C R R
continuidad
Desarrollar e
implementar una
I R C I C R I C R A
respuesta a la
continuidad.
Ejercitar, probar y
revisar el plan de I R I I I R R I C I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C A
post-reanudacin
Tabla 9.1.51 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Atencin
143
proceso de atencin.
Implementar mecanismos de bloqueo en los dispositivos.
Deshacerse de los dispositivos de usuario final de forma
segura.
Segn los requerimientos del proceso, mantener los
derechos de acceso
Gestionar la identidad del Segregar y gestionar cuentas de usuario privilegiadas.
usuario y el acceso lgico Realizar regularmente revisiones de la gestin de
cuentas y privilegios que abarca el proceso de atencin.
Verificar que la identificacin de estas es unequvoca.
Establecer procedimientos de empleo, eliminacin y
destruccin de formularios especiales como las historias
clnicas y actas de conformidad.
Asignar privilegios de acceso a documentacin y a su
Gestionar documentos modificacin durante el proceso de atencin al paciente.
sensibles y dispositivos Realizar un inventario de documentos sensibles o
de salida dispositivos de salida crticos involucrados durante el
proceso de atencin.
Establecer polticas de proteccin fsica apropiadas sobre
formularios o documentos que contienen informacin
sensible.
Tabla 9.1.52 - Proceso atencin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Proteger contra
R C A R C I R I C
software malicioso
144
Gestionar seguridad
I C A C C I R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A I C C I R
usuario final
Gestionar identidad
del usuario y acceso R C A I C C C I R C
lgico
Gestionar
documentos
C I I C I A I C R
sensibles y
dispositivo de salida
Tabla 9.1.53- Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Atencin
Aunque entre sus actores no est el personal de TI, se necesita el apoyo de stos
para definir estrategias, capacidades y funciones, de manera que los usuarios del
proceso puedan llevarlo a cabo de forma exitosa y cumpliendo con la regulacin, entre
estas ley de proteccin de datos personales, norma tcnica peruana de la historia
clnica y en menor grado, debido a que es proceso hospitalario, la ley de emergencia.
Los procesos habilitadores a aplicar para esta modelo de gobierno de TI son las
siguientes:
145
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Entender como la seguridad de informacin debe
respaldar los objetivos de la organizacin y del proceso.
Garantizar con estos el cumplimiento de la ley de
proteccin de datos personales y la norma tcnica
Comprender la direccin peruana de la historia clnica.
de la empresa Desarrollar y entender las estrategias, objetivos de
negocio, entorno y retos operativos actuales dentro del
proceso y la seguridad de informacin.
Determinar prioridades para desarrollar cambios
estratgicos en el proceso.
Establecer la lnea base de seguridad de informacin
dentro del proceso egreso del paciente.
Crear criterios de seguridad de informacin claros y
relevantes de acuerdo con las actividades del proceso de
egreso. Identificar riesgos.
Evaluar entorno,
Identificar diferencias entre el proceso de negocio actual
capacidades y
y las capacidades de TI segn estndares y mejores
rendimientos actuales
prcticas sugeridas por la divisin calidad y procesos.
Identificar debilidades, fortalezas, oportunidades y
amenazas del entorno actual del proceso de egreso
Evaluar dentro de l el desempeo de la funcin de
seguridad de informacin.
Identificar dentro del proceso las brechas a cerrar y los
cambios requeridos para llegar al nivel deseado.
Examinar el nivel de cumplimiento con la ley de
Realizar un anlisis de proteccin de datos personales, norma tcnica peruana
brecha de la historia clnica y la ley de emergencia dentro del
proceso de egreso al paciente.
Definir las metas del proceso y establecer los beneficios
que se obtienen al llegar a estas.
Definir la estrategia de seguridad de informacin y
alinearla a la estrategia de negocio para cumplir los
Definir el plan estratgico
objetivos del proceso.
y la hoja de ruta
Crear la hoja de ruta que incluya la planificacin e
interdependencias de las iniciativas a nivel empresarial
146
de acuerdo al proceso, la cual a su vez seale los
riesgos y costos de los cambios.
Asegurar que el plan estratgico de TI y la hoja de ruta
contengan requerimientos de seguridad de informacin
identificados para el proceso de egreso.
Desarrollar el plan estratgico y el plan de seguridad de
informacin que incluya el proceso de egreso de
pacientes y comunicarlo a los stakeholders.
Comunicar la estrategia y
Tomando como base el plan de comunicacin de otros
la direccin de TI
procesos como el de atencin y el de admisin,
actualizar el plan segn los resultados en el personal que
realiza el proceso de egreso del paciente.
Tabla 9.1.54 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la estrategia.
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Comprender la
direccin de la C C C A C C C R C R C C I R C
empresa
Evaluar entorno,
capacidades y C C C R C C C C C A I C I R C
rendimiento actual
Realizar un anlisis
R R C C C C C A I C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C I C C
ruta
Comunicar
estrategia y I R I I R I A I I I R I I I R I I I I I
direccin de TI
Tabla 9.1.55 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Egreso
147
b. Proceso habilitador: Gestionar los recursos humanos
Se detalla las actividades sugeridas para la gestin de recursos humanos del proceso
de egreso del paciente, lo cual incluye personal mdico, administrativo y parte de
soporte de TI.
Se muestra la respectiva matriz de responsabilidades para gestionar el proceso
habilitador y llevarlo a un nivel de madurez.
148
recursos internos. A partir de estas identificar si se
requieren habilidades adicionales para cubrir el proceso y
ejecutar el plan de accin para desarrollarlas.
Dentro de la evaluacin del desempeo, considerar
criterios con respecto a la funcin de seguridad de
informacin.
Establecer objetivos individuales alineados con los
objetivos del proceso de egreso. Estos deben reflejar
Evaluar el desempeo competencias bsicas, valores empresariales y
laboral de los empleados habilidades para las funciones.
Proporcionar instrucciones para uso y almacenamiento
de informacin personal dentro del proceso de
evaluacin.
Implementar un proceso de reconocimiento a medida el
personal logre sus objetivos dentro del proceso.
Comprender la demanda actual y futura de recursos
humanos involucrados en el proceso de egreso para
apoyar el logro de objetivos de TI y necesidades
Planificar y realizar un operativas del da a da salvaguardando los objetivos de
seguimiento del uso de la funcin de seguridad de informacin.
recursos humanos de TI y Realizar el inventario del personal del proceso e
del negocio identificar sus respectivas funciones.
Mantener informacin adecuada sobre el tiempo
dedicado a diferentes tareas, trabajos, servicios o
proyectos
Obtener un acuerdo formal por parte del personal sobre
las polticas y requisitos de la seguridad de informacin a
aplicarse en el proceso de egreso del paciente.
Llevar a cabo revisiones para asegurarse que el personal
cumple con sus funciones, que el derecho de acceso es
Gestionar el personal
adecuado y alineado a los acuerdos pactados al firmar el
contratado
contrato.
Definir el trabajo a realizar por terceros o por otras reas
de le organizacin a travs de contratos o documentos
formales que carezcan de ambigedades.
Implementar polticas que permitan identificar como se
149
debe gestionar el personal, es decir si es necesario
contratar servicios o nuevo personal siguiendo los
parmetros de seguridad de informacin.
Tabla 9.1.56 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los recursos humanos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener personal
suficiente y R I C R A C C C R C
adecuado
Identificar personal
C I R R R A R R C R C
clave de TI
Mantener habilidad y
competencia del I R C R A R R C R C
personal
Evaluar desempeo
R R R A R R R R R
laboral del empleado
Planificar y realizar
seguimiento del uso
R C A R R C I R R R C R C
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A R R C R C
contratado
Tabla 9.1.57 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Egreso
150
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Identificar y recolectar datos para la identificacin,
anlisis y comunicacin de los riesgos de seguridad de
informacin dentro del proceso de egreso del paciente.
Medir y analizar los riesgos de TI y seguridad de
informacin suscitados dentro del proceso de egreso.
Recopilar datos Verificar prdidas experimentadas por la materializacin
de estos.
Determinar en qu condiciones del proceso se
materializ el riesgo. Identificar el impacto en el negocio.
Ejecutar anlisis del entorno para verificar los factores de
riesgo que se presentan en el proceso.
Identificar, analizar y evaluar los riesgos de informacin
dentro del proceso.
Construir los escenarios de riesgo de TI y seguridad
dentro del proceso. Identificar las amenazar para
detectar medidas de emergencia.
Analizar el riesgo Identificar los riesgos residuales en el proceso e
identificar exposiciones que puedan requerir una
repuesta al riesgo
Validar resultados del anlisis de riesgos del proceso
antes de usarlos para la toma de decisiones. Verificar
alineamiento con requerimientos organizacionales.
Informar los resultados del anlisis de riesgos del
proceso de egreso a los stakeholders en trminos
adecuados y entendibles para decisiones empresariales.
Adoptar un perfil de riesgo de acuerdo al proceso de
Expresar el riesgo
egreso de pacientes y comunicarlo a los stakeholders
junto la efectividad del proceso y los controles asociados.
Identificar oportunidades de TI para aceptar un mayor
riesgo e incrementar la capacidad de gestin.
Definir un portafolio de Monitorear peridicamente los riesgos de seguridad de
acciones para la gestin informacin del proceso de egreso. Verificar que estos
de riesgos riesgos estn alineados con el apetito de riesgo.
151
Definir propuestas para reducir el riesgo o proyectos para
incrementar las oportunidades estratgicas de acuerdo a
la ley de proteccin de datos personales, norma tcnica
peruana de la historia clnica y ley de emergencia.
Aplicar las prcticas y controles para la mitigacin de
riesgos de seguridad. Se recomienda aplicar la norma
Responder al riesgo
ISO/IEC 27002:2013. Incluir controles preventivos y
correctivos.
Tabla 9.1.58 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el riesgo
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
I R I R R R I I A C R C R C
Recopilar datos
I R I C R C I C A C C C R C
Analizar el riesgo
I R I C R C I I A C C C C C
Expresar el riesgo
Definir portafolio de
acciones para I R I C A R I I R I R I C C
gestin del riesgo
I R I R R R I C A R R R R R
Responder al riesgo
Tabla 9.1.59 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso Egreso
152
un SGSI debe priorizar aquellos procesos crticos que forman la base y posteriormente
ampliar el alcance.
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Establecer y
I I I C R R
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C I R C
riesgos de seguridad
informacin
Tabla 9.1.61 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso Egreso
153
e. Proceso habilitador: Gestionar los programas y proyectos
Este proceso habilitador incida que dentro del proceso de egreso se deben gestionar
proyectos que aporten soluciones estratgicas que permitan alcanzar la eficiencia del
proceso y el cumplimiento de requerimientos de seguridad de informacin. Se muestra
tambin la matriz de responsabilidades.
154
responsabilidades e hitos que marcan el cierre de cada
una de las etapas.
Mantener los planes de proyecto y sus dependencias,
asegurando la comunicacin entre estos y que al realizar
cambios en uno se reflejen en los dems.
Registrar los riesgos de seguridad de informacin y las
acciones correctivas. Revisar y actualizarlos
peridicamente.
Integrar proyectos de seguridad de informacin al
Gestionar el riesgo de los
programa y proceso de egreso de pacientes. Alinearlos a
programas y proyectos.
procedimientos y estndares de gestin de proyectos.
Asignar responsabilidades al personal capacitado para
gestionar los riesgos de los proyectos del proceso
egreso.
Programar evaluaciones a los proyectos para asegurar
que los requerimientos de seguridad de informacin del
proceso son implementados de forma efectiva.
Supervisar y controlar
Supervisar los cambios al programa y revisar
proyectos.
requerimientos de desempeo para verificar el avance.
Obtener la aprobacin y firma de los entregables
producidos en cada iteracin de los proyectos
asociados.
Tabla 9.1.62 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los programas y
proyectos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
155
Mantener enfoque
para gestin de
I A C C R R C C C I R C C
programas y
proyectos
Gestionar el
compromiso de las A C C R C C R I I R I I I C I
partes interesadas
Desarrollar y
mantener el plan del C C A C R R C R I C I I I R C
programa
C I A R C C C C C R C
Planificar proyectos
Gestionar el riesgo
de los programas y R R I A R C R I C C R C R C
proyectos
Supervisar y
I R I A R C C C C I R C R C
controlar proyectos
Tabla 9.1.63 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Egreso
El proceso habilitador consiste en cmo se debe gestionar los cambios dentro del
proceso de egreso de acuerdo a los parmetros y requerimientos de seguridad de
informacin. La actividad cierre de cambios y documentacin, no aplica para el
proceso de egreso dado que puede ser gestionada desde el proceso de admisin al
contar con polticas y actores similares.
156
Desarrollar medidas para atender cambios de
emergencia en el proceso de egreso a nivel de la
seguridad de informacin.
Registrar y mantener un registro de riesgos de seguridad
Gestionar cambios de
de informacin a partir de cambios de emergencia
emergencia
realizados en el proceso.
Supervisar los cambios de emergencia dentro del
proceso de egreso y realizar las revisiones post-
implantacin involucrando a las partes interesadas.
Mantener y supervisar un sistema de seguimiento e
Hacer seguimiento e informe para las solicitudes de cambio dentro del proceso
informar cambios de de acuerdo a las exigencias de seguridad de informacin.
estado Elaborar informes respecto a los cambios de seguridad
de informacin realizados en el proceso.
Tabla 9.1.64 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el cambio
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Evaluar, priorizar y
autorizar peticiones A R C C R I R C R C R
de cambio
Gestionar cambios
A I C R I I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C R C R
estado
Tabla 9.1.65 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso Egreso
157
g. Proceso habilitador: Gestionar los activos
A continuacin se presenta las actividades de gestin que aplican para este proceso
habilitador que garantiza que dentro del proceso de egreso se cumplen los
requerimientos de seguridad de informacin para la lista de activos incluidos en las
actividades del proceso. As mismo se detalla la matriz de responsabilidades para
gestionar el proceso habilitador bajo el enfoque de seguridad de informacin.
158
de los activos informacin de los activos que soportan el proceso.
Realizar adquisiciones de nuevos activos previamente
autorizadas de acuerdo a procedimientos seguros que
garanticen un nivel aceptable de riesgo.
Establecer polticas para eliminar activos de forma
segura.
Asegurar que las medidas de seguridad de informacin
se apliquen a los activos durante todo su ciclo de vida.
Tabla 9.1.66 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los activos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Identificar y registrar
C C C I R A C C
activos actuales
Gestionar activos
C I C C C C R A C C C
crticos
Gestionar el ciclo de
C I C I R A C I
vida de los activos
Tabla 9.1.67 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso Egreso
159
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Definir y comunicar las caractersticas de los potenciales
incidentes de seguridad de informacin para su
reconocimiento y entendimiento del impacto en el
proceso de egreso en caso se materialicen.
Definir esquemas de Definir modelos de solicitudes de servicio relacionados a
clasificacin de incidentes la seguridad de informacin para facilitar su atencin y
y solicitudes de servicio respuesta.
Definir la clasificacin y priorizacin de incidentes y
solicitudes de servicio relacionados al proceso de egreso
de acuerdo a los requerimientos de seguridad de
informacin y el impacto en el negocio.
Investigar los incidentes de seguridad y elaborar, en base
a estos, procedimientos de respuesta. Asegurar que las
medidas sean difundidas y protejan los pilares de
Registrar, clasificar y
seguridad de informacin.
priorizar solicitudes e
Registrar incidentes y solicitudes de servicio relacionados
incidentes
a la seguridad de informacin del proceso de egreso.
Priorizar y clasificar los incidentes de acuerdo al impacto
dentro del negocio y el proceso de egreso.
Verificar, aprobar y Seguir procedimientos y modelos de solicitudes e
resolver solicitudes de incidentes para elementos frecuentes de manera que
servicio sean atendidos en menor tiempo.
Registrar un nuevo problema en caso no exista dentro de
la base de datos y si el incidente de seguridad de
informacin satisface los criterios para registro.
Asignar a personal capacitado la gestin de incidentes
Investigar, diagnosticar y del proceso de egreso de pacientes si es estos requieren
localizar incidentes mayor conocimiento para tratarlos y reducir el impacto.
Identificar soluciones temporales o permanentes para los
incidentes de seguridad de informacin, asignar su
tratamiento a los especialistas respectivos dentro del
proceso de egreso.
Resolver y recuperarse de Definir un plan de respuesta de seguridad de informacin
incidentes para los incidentes dentro del proceso de egreso.
160
Ejecutar las acciones de recuperacin para restablecer el
proceso de egreso completamente.
Documentar la solucin e identificar si es temporal o
permanente para tomarlo en cuenta a futuro.
Asegurar que los incidentes de seguridad de informacin,
el anlisis y seguimiento de estos, siguen los
Seguir el estado y emitir
procedimientos de gestin existentes.
informes
Elaborar informes y distribuirlos peridicamente a los
stakeholders como parte de la mejora continua.
Tabla 9.1.68 - Proceso Egreso. Actividades de gestin habilitador: Gestionar las solicitudes de
servicio e incidentes
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir esquema de
clasificacin de
C I I A C R R R C
incidentes y solicitud
de servicio
Registrar, clasificar y
priorizar solicitudes e I I C A R C
incidentes
Verificar, aprobar y
resolver solicitudes R C C I C R A C
de servicio
Investigar,
diagnosticar y R I C I I R A C
localizar incidentes
Resolver y
recuperarse de I I I I I C R A C
incidentes
Seguir el estado y
I I C I I I I A R I
emitir informes
Tabla 9.1.69 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Egreso
161
i. Proceso habilitador: Gestionar la continuidad
162
Planificar actividades para probar el plan definido en los
Ejecutar, probar y revisar documentos. Asignar roles y responsabilidades para esta
el plan de continuidad actividad y coordinar que no afecten al proceso.
Realizar el anlisis y revisin para determinar el logro.
Revisar el plan peridicamente tomando en cuenta los
objetivos de negocio, objetivos de TI y los lineamientos
Revisar, mantener y del proceso de egreso. Considerar posibles cambios
mejorar el plan de producto del entorno.
continuidad Reconocer qu incidentes de seguridad de informacin
pueden ocasionar la interrupcin del negocio, por ello se
debe incrementar el nivel de gestin de stos.
Asegurar que los requerimientos de seguridad se
cumplen en los procesos de backup y restauracin de
informacin.
Realizar las copias de seguridad respectivas y establecer
polticas para su gestin de acuerdo a la ley de
Gestionar acuerdos de
proteccin de datos personales y la norma tcnica
respaldo
peruana de la historia clnica, salvaguardando los datos
del paciente.
Probar y mantener las copias de seguridad recientes y
aquellas archivadas de manera peridica para garantizar
la disponibilidad de la informacin y su integridad.
Evaluar la efectividad del plan de acuerdo a los tiempos
definidos en el anlisis de impacto de negocio de
acuerdo al proceso de egreso del paciente.
Ejecutar revisiones post- Identificar debilidades u omisiones como parte de la
reanudacin mejora continua para asegurar que el proceso de egreso
podr llevarse a cabo sin inconvenientes ante cualquier
evento asegurando la informacin de los involucrados, en
otras palabras, su integridad.
Tabla 9.1.70 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la continuidad
163
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir la poltica de
continuidad de
A C R C C C R C R C C R
negocio, objetivos y
alcance
Mantener una
estrategia de A C R I I C R I R R R
continuidad
Desarrollar e
implementar una
respuesta a la I R C I C R C R R A
continuidad de
negocio
Ejercitar, probar y
revisar el plan de I R C I R R C R I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R I C C R
continuidad
Gestionar acuerdos
I C C C R
de respaldo
Ejecutar revisiones
C R I C R C C I C A
post-reanudacin
Tabla 9.1.71 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Egreso
164
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Instalar y activar herramientas de proteccin frente a
software malicioso en las estaciones o activos que
brindan soporte al proceso de egreso. Concientizar al
Proteger contra software
usuario sobre el empleo de estas.
malicioso
Filtrar el trfico entrante de informacin como correos
electrnicos y descargas para protegerse frente a
informacin no solicitada.
Mantener una poltica para la seguridad de conexiones
de red entre los activos que soportan el proceso egreso.
Gestionar la seguridad de
Cifrar la informacin en trnsito de acuerdo con su
la red y las conexiones
clasificacin verificando el cumplimiento con la ley de
proteccin de datos personales.
Cifrar la informacin almacenada dentro de los activos de
acuerdo a su clasificacin y nivel de criticidad.
Configurar los sistemas operativos de forma correcta y
Gestionar la seguridad de
segura en las estaciones del personal que ejecuta el
los puestos de usuario
proceso de egreso.
final
Implementar mecanismos de bloqueo en los dispositivos.
Deshacerse de los dispositivos de usuario final de forma
segura.
Segregar y gestionar cuentas de usuario privilegiadas.
Gestionar la identidad del Realizar regularmente revisiones de la gestin de
usuario y el acceso lgico cuentas y privilegios que abarca el proceso de egreso.
Verificar que la identificacin de estas es unequvoca.
Establecer procedimientos de empleo, eliminacin y
destruccin de formularios especiales como las historias
clnicas, solicitudes de alta y acta de egreso de paciente.
Asignar privilegios de acceso a documentacin y a su
Gestionar documentos
modificacin durante el proceso de egreso del paciente.
sensibles y dispositivos
Realizar un inventario de documentos sensibles o
de salida
dispositivos de salida crticos involucrados en el proceso.
Establecer polticas de proteccin fsica apropiada sobre
formularios o documentos que contienen informacin
sensible.
Tabla 9.1.72 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
165
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Proteger contra
R C A R C C R I C
software malicioso
Gestionar seguridad
I C A C C C R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A C C C R I R
usuario final
Gestionar identidad
del usuario y acceso R C A I I C C R I R C
lgico
Gestionar
documentos
sensibles y C I I C I A I R R
dispositivos de
salida
Tabla 9.1.73 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Egreso
Este proceso es transversal a los tres (3) anteriores, es decir, puede ser empleado en
dichos procesos en un instante determinado y debe estar alineado con la ley de
proteccin de datos personales, ley de emergencia y norma tcnica peruana de la
historia clnica.
Los procesos habilitadores tienen una aplicacin menos tcnica respecto a los
procesos anteriores, pero de acuerdo al enfoque de seguridad de informacin, se
pretende cumplir con los requerimientos definidos y alinear al marco regulatorio
expuesto.
166
a. Gestionar la estrategia
167
Desarrollar el plan estratgico y el plan de seguridad de
informacin que abarque el proceso y comunicarlo a los
stakeholders
Desarrollar el plan de comunicacin de acuerdo a pblico
Comunicar la estrategia y objetivo identificando los canales de comunicacin y
la direccin de TI horarios disponibles.
Obtener realimentacin y actualizar el plan de
comunicaciones y la estrategia de seguridad de
informacin segn sea necesario para mantener el
impulso.
Tabla 9.1.74 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la estrategia
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Comprender la
direccin de la C C C A C C C R C R I I I R I
empresa
Realizar un anlisis
R R C C C C C A I C I R I
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A I C I C I
ruta
Comunicar
estrategia y I R I I R I A I I I R I I I R I I I I I
direccin de TI
Tabla 9.1.75 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso
Identificacin
168
Se presenta las actividades y sub-actividades de gestin a aplicar para este proceso
habilitador gestin de recursos humanos y cmo es que ayudan al proceso de
identificacin a alinearse con requerimientos externos.
169
Planificar y realizar un Comprender la demanda actual y futura de recursos
seguimiento del uso de humanos involucrados dentro del proceso de
recursos humanos de TI y identificacin para apoyar el logro de objetivos de TI y
del negocio necesidades operativas del da a da.
Obtener un acuerdo formal por parte del personal sobre
las polticas y requisitos de la seguridad de informacin a
aplicarse en el proceso.
Gestionar el personal
Implementar polticas o procedimientos que describan
contratado
como gestionar al personal que ejecuta el proceso
Asegurar que el personal cumple con sus funciones y
desempeo esperado en la ejecucin del proceso.
Tabla 9.1.76 -Proceso Identificacin. Actividades de gestin habilitador: Gestionar los recursos
humanos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener personal
suficiente y R I C R A C C I R I
adecuado
Identificar personal
C I R C R A C C I R I
clave de TI
Mantener habilidad y
competencia del I R C R A C C C R I
personal
Evaluar desempeo
R C R A C C C R C
laboral del empleado
Planificar y realizar
seguimiento del uso
R C A C R C I R C C C R R
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A C C C R C
contratado
Tabla 9.1.77 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso
Identificacin
170
c. Proceso habilitador: Gestionar el riesgo
Se muestra la aplicacin del habilitador dentro del proceso identificacin del paciente.
Se prioriza los riesgos de seguridad de informacin y aquellos que generen el
incumplimiento de la ley de proteccin de datos personales. Se presenta la matriz de
responsabilidades respectiva.
171
Definir conjunto de propuestas para reducir el riesgo o
proyectos para incrementar las oportunidades
estratgicas y retorno de beneficios.
Aplicar las prcticas y controles para la mitigacin de
Responder al riesgo riesgos de seguridad. Se recomienda aplicar en este
caso la norma ISO/IEC 27002:2013.
Tabla 9.1.78 Proceso Identificacin. Actividades de gestin habilitador: Gestionar el riesgo
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
I R R R R I I A C C C R C
Recopilar datos
I R C R C I C A C C C R C
Analizar el riesgo
I R C R C I I A I C I C I
Expresar el riesgo
Definir portafolio de
acciones para I R C A C I I R I I I C C
gestin del riesgo
I R R R R I C A C R C R C
Responder al riesgo
Tabla 9.1.79 - Matriz de responsabilidades para el proceso habilitador APO12 - Proceso
Identificacin
172
Actividades de gestin Sub-actividades para el cumplimiento de actividad.
Realizar la declaracin de la aplicabilidad del SGSI. En
Establecer y mantener un
este caso determinar cmo alinea el proceso de
SGSI
identificacin con los que soportan el SGSI.
Disear, mantener y aplicar un plan de tratamiento de
riesgos de seguridad de informacin alineados con los
objetivos estratgicos de la organizacin y fines del
proceso.
Desarrollar propuestas de mejora al plan de riesgos
basados en casos de negocio de acuerdo a los roles y
Definir y gestionar un plan
responsabilidades a necesitar para su aplicacin y
de tratamiento del riesgo
acorde a los drivers identificados.
de la seguridad de
Definir la medicin de la efectividad de las prcticas de
informacin
gestin seleccionadas y especificar la forma de utilizarlas
para producir resultados reproducibles y comparables.
Integrar la planificacin, diseo, implementacin y
supervisin de procedimientos se seguridad y controles
para prevencin y deteccin temprana de eventos dentro
del proceso de egreso y la respuesta a incidentes.
Tabla 9.1.80 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la seguridad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Establecer y
I I I C R R
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R I C I R I
riesgos de seguridad
informacin
Tabla 9.1.81 - Matriz de responsabilidades para el proceso habilitador APO13 - Proceso
Identificacin
173
e. Proceso habilitador: Gestionar los programas y proyectos
174
dems.
Registrar los riesgos de seguridad de informacin y las
acciones correctivas. Revisar y actualizarlos
Gestionar el riesgo de los peridicamente.
programas y proyectos. Integrar proyectos de seguridad de informacin al
programa y proceso de identificacin. Alinearlos a
procedimientos y estndares de gestin de proyectos.
Programar evaluaciones a los proyectos para asegurar
Supervisar y controlar que los requerimientos de seguridad de informacin del
proyectos. proceso son implementados de forma efectiva.
Supervisar los cambios al programa y revisar
requerimientos de desempeo para verificar el avance.
Tabla 9.1.82 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los programas
y proyectos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener enfoque
para gestin de
I A C C R R C C C R C
programas y
proyectos
Desarrollar y
mantener el plan del C C A C C R C R I C I I I C I
programa
C I A R C C C C I C C
Planificar proyectos
Gestionar el riesgo
de los programas y R R I A R C R C C C C C
proyectos
Supervisar y
I R I A R C C C I C I R I
controlar proyectos
Tabla 9.1.83 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso
Identificacin
175
f. Proceso habilitador: Gestionar el cambio
176
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Evaluar, priorizar y
autorizar peticiones A R C C R R I C I R
de cambio
Gestionar cambios
A I C R I I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A I C R
estado
Tabla 9.1.85 - Matriz de responsabilidades para el proceso habilitador BAI06 - Proceso
Identificacin
177
de evaluaciones o planes en los que se definan las
polticas de reparacin o reemplazo.
Garantizar que los activos crticos del proceso cumplan
los niveles de seguridad de informacin establecidos
para el proceso.
Establecer las polticas para el cambio de estos activos
crticos de acuerdo a los riesgos de seguridad de
informacin previamente identificados.
Identificar y comunicar los riesgos de seguridad de
informacin relacionados a los activos que soportan el
proceso de identificacin del paciente hospitalizado.
Gestionar activos desde su adquisicin hasta su
Gestionar el ciclo de vida
eliminacin de forma segura y con la aprobacin de los
de los activos
interesados, siguiendo los lineamientos de seguridad de
informacin.
Asegurar que las medidas de seguridad de informacin
se apliquen a los activos durante todo su ciclo de vida.
Tabla 9.1.86 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los activos
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Identificar y registrar
C C C I R A C
activos actuales
Gestionar activos
C I C C C C R A C I
crticos
Gestionar el ciclo de
C I C R A I
vida de los activos
Tabla 9.1.87 - Matriz de responsabilidades para el proceso habilitador BAI09 - Proceso
Identificacin
178
h. Proceso habilitador: Gestionar las solicitudes de servicio e incidentes
179
Matriz de responsabilidades (RACI)
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Definir esquema de
clasificacin de
C I I A C C I C I
incidentes y solicitud
de servicio
Registrar, clasificar y
priorizar solicitudes e I I C A C R
incidentes
Verificar, aprobar y
resolver solicitudes R C C I C R A C
de servicio
Investigar,
diagnosticar y R I C I C C A C
localizar incidentes
Resolver y
recuperarse de I I C C I C R A R
incidentes
Seguir el estado y
I I C I I I A R I
emitir informes
Tabla 9.1.89 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso
Identificacin
180
continuidad del proceso para mejorar mtodos
preventivos e incrementar la resiliencia.
Desarrollar e implementar Definir los procedimientos de recuperacin para reanudar
una respuesta a la el proceso de identificacin y que cumpla con los
continuidad de negocio requerimientos de seguridad de informacin definidos.
Revisar, mantener y Reconocer qu incidentes de seguridad de informacin
mejorar el plan de pueden ocasionar la interrupcin del negocio, por ello se
continuidad debe incrementar el nivel de gestin de stos.
Asegurar que los requerimientos de seguridad se
cumplen en los procesos de backup y restauracin de
informacin.
Realizar las copias de seguridad respectivas y establecer
Gestionar acuerdos de
polticas para su gestin de acuerdo a la ley de
respaldo
proteccin de datos personales.
Probar y mantener las copias de seguridad recientes, y
aquellas archivadas, de manera peridica para garantizar
la disponibilidad de la informacin y su integridad.
Evaluar la efectividad de las estrategias de acuerdo a los
tiempos definidos en el anlisis de impacto de negocio.
Ejecutar revisiones post-
Identificar debilidades u omisiones como parte de la
reanudacin
mejora continua para asegurar que el proceso podr
llevarse a cabo sin inconvenientes ante cualquier evento.
Tabla 9.1.90 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la continuidad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Mantener una
estrategia de A C R I C R C C R R
continuidad
181
Desarrollar e
implementar una
respuesta a la I R C I C R I C R A
continuidad de
negocio
Revisar, mantener y
mejorar el plan de A I R I C R C C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C C A
post-reanudacin
Tabla 9.1.91 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso
Identificacin
182
Establecer procedimientos de empleo, eliminacin y
destruccin de los brazaletes de identificacin.
Asignar privilegios de acceso a documentacin y a su
modificacin durante el proceso de identificacin.
Gestionar documentos
Realizar un inventario de documentos sensibles o
sensibles y dispositivos
dispositivos de salida crticos involucrados durante el
de salida
proceso.
Establecer polticas de proteccin fsica apropiadas sobre
documentos y activos sensibles empleados para
identificar pacientes.
Tabla 9.1.92 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
Jefe de operaciones de TI
Gerente de operaciones
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Gestor de servicio
Gerente Ejecutivo
Auditora
Proteger contra
R C A R C I C R
software malicioso
Gestionar seguridad
de puestos de I C A I C C R
usuario final
Gestionar identidad
del usuario y acceso R C A I I C C C R
lgico
Gestionar
documentos
sensibles y C I C I A I C R
dispositivos de
salida
Tabla 9.1.93 - Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso
Identificacin
183
ANEXO J: Aplicacin norma ISO/IEC 27002:2013
Roles y responsabilidades
Organizacin interna:
de informacin
de seguridad de
Establecer un framework para la gestin y
informacin
control de la seguridad de la informacin
Segregacin de funciones
dentro de la organizacin.
Seguridad de informacin
en la gestin de proyectos
Antes del empleo: Trminos y condiciones
Asegurar que los trabajadores, contratistas y de empleo
los usuarios externos entiendan sus
responsabilidades y sean los adecuados para Revisin
ocupar ese rol
Seguridad en Recursos humanos
Gestin de
responsabilidades
Durante el empleo:
Educacin y
Asegurar que los trabajadores y contratistas
entrenamiento sobre los
conozcan y cumplan sus responsabilidades de
requerimientos y
seguridad de informacin.
funciones de seguridad de
informacin
Trmino de empleo:
Finalizacin o cambio de
Proteger los intereses de la organizacin como
las responsabilidades del
parte de los procesos de cambio o trmino del
trabajador.
empleo.
184
Responsabilidad de activos: Inventario de activos
Identificar los activos de la organizacin y
definir las responsabilidades de proteccin
Uso aceptable de activos
adecuadas
Gestin de activos
Clasificacin de la informacin:
Asegurar que la informacin recibe un nivel
Clasificar la informacin
apropiado de proteccin de acuerdo a su
importancia en la organizacin.
Gestin de medios: Gestin de medios
asegurar que la informacin reciba un nivel extrables
adecuado de proteccin de acuerdo con su Medios fsicos de
importancia para la organizacin transferencia
Requisitos de negocio de control de Polticas de control de
accesos: accesos
limitar el acceso a la informacin y a las Acceso a redes y
instalaciones de procesamiento de informacin servicios de red
Registro de usuarios y
cancelacin de registros
Brindar accesos a
usuarios
Gestin de acceso del usuario: Gestin de derechos de
Garantizar el acceso de usuarios autorizados y acceso privilegiados
Control de accesos
185
Procedimientos de
accesos seguros
Asegurar habitaciones e
reas seguras:
instalaciones
impedir el acceso fsico no autorizado, dao e
Proteccin contra
interferencia a la informacin de la
amenazas externas y
organizacin y las instalaciones de
ambientales
Seguridad fsica y ambiental
procesamiento de informacin
Trabajo en reas seguras
Desplazamiento de
equipos y proteccin
Mantenimiento de equipos
Equipos:
Eliminacin de activos
Evitar la prdida, dao, robo o el compromiso
Eliminacin segura o
de los activos y la interrupcin de las
reutilizacin de equipo
operaciones de la organizacin
Limpieza de escritorios y
polticas de pantalla
transparente.
Procedimientos y responsabilidades Procedimientos
operacionales: operativos documentados
Garantizar el funcionamiento correcto y seguro
de las instalaciones de procesamiento de
Gestin de cambios
informacin
186
tcnicas
Consideraciones de auditora de sistemas
Consideraciones de
de informacin:
auditora de sistemas de
minimizar el impacto de las actividades de
informacin
auditora en los sistemas operativos
Polticas y procedimientos
Seguridad de comunicaciones
de transferencia de
Transferencia de informacin:
informacin
mantener la seguridad de informacin que se
Mensajera electrnica
transfiere dentro de una organizacin y con
Acuerdos de
cualquier entidad externa
confidencialidad o no
divulgacin
Seguimiento y revisin de
Gestin de proveedores de servicios de
Relaciones con los
los servicios de
entrega:
proveedores
proveedores
Mantener un nivel adecuado de la seguridad y
Gestin de cambios en
la prestacin de servicios de informacin en
los servicios de
lnea con acuerdos con proveedores
proveedores
Reportes de eventos de
seguridad de informacin
Gestin de incidentes de seguridad de
Vulnerabilidades de
Gestin de incidentes de seguridad de
seguridad de informacin
informacin y mejoras:
Evaluacin y decisin
informacin
Continuidad de la seguridad de
Aspectos de seguridad de
continuidad de negocio
continuidad de seguridad
informacin:
de informacin
garantizar un enfoque coherente y eficaz para
Implementacin de la
la gestin de incidentes de seguridad de
continuidad de seguridad
informacin, incluida la comunicacin de
de informacin
eventos de seguridad y vulnerabilidades
Verificar, revisar y evaluar
187
la continuidad de la
seguridad de informacin
Disponibilidad de
Redundancias:
instalaciones de
asegurar la disponibilidad de instalaciones de
procesamiento de
procesamiento de informacin
informacin
Cumplimiento de los requisitos legales y Identificacin de los
contractuales: requerimientos aplicables
evitar el incumplimiento de las obligaciones legales y contractuales
legales, estatutarias, reglamentarias o
Cumplimiento
Privacidad y proteccin de
contractuales relacionadas con la seguridad de
datos personales
informacin y con los requisitos de seguridad
Revisiones de la seguridad de informacin:
Cumplimiento de las
Asegurar que la seguridad de informacin es
polticas y normas de
implementado y operado de acuerdo con las
seguridad
polticas y procedimientos de la organizacin
Tabla 10.1.1 - Aplicacin de la norma ISO/IEC 27002:2013 a las actividades sugeridas por COBIT
188
ANEXO K: Polticas de seguridad de Informacin
11.1 Estructura
Responsable
Poltica de seguridad de inormacin
Propsito
Alcance
Detalle de polticas
Segn el mapeo con la norma para identificar aspectos que debe tomar en cuenta las
polticas de seguridad de informacin, se procede a la redaccin de acuerdo a la
estructura propuesta.
189
Poltica de seguridad de informacin
Propsito
Encaminar y dirigir la seguridad de informacin de acuerdo al enfoque de gobierno de
TI y que estas estn alineadas a los requerimientos de negocio y a la ley de proteccin
de datos personales, norma tcnica peruana de la historia clnica y la ley de
emergencia.
Propsito
Establecer los roles y responsabilidades para la gestin y difusin de la seguridad de
informacin en la organizacin y garantizar el alineamiento con las estrategias y
objetivos de negocio.
1. Organizacin Interna
191
Entre sus funciones principales se tiene:
192
Confidencialidad de informacin: Verificar que la informacin puede ser accedida
solo por personas autorizadas. Proteger datos crticos de la organizacin.
Integridad de Informacin: Verificar que los datos almacenados sean ntegros y
que no exista una prdida que genere vacos dentro de un histrico de datos de la
empresa.
Disponibilidad de informacin: Garantizar que todo tipo de informacin crtica se
encuentre disponible o que pueda ser recuperada dentro de perodos de tiempo
adecuados para minimizar el impacto en el negocio.
3. Segregacin de funciones
Evitar redundancia de las actividades dentro de los procesos, es decir que dos
personas no ejerzan un mismo rol
Los roles y requerimientos de seguridad son ejercidos por distintas personas de
acuerdo a sus capacidades, funciones y competencias, as como sus permisos y
accesos en los sistemas y a la documentacin fsica.
193
Gestin de riesgos de seguridad de informacin dentro del ciclo de vida del
proyecto.
Propsito
Establecer mecanismos de seguridad en la gestin de personal antes, durante y al
trmino de su contrato garantizando la preservacin de la informacin y brindndoles
responsabilidades y roles de acuerdo a sus funciones y capacidades
194
Al momento de realizar la contratacin, se debe verificar y firmar los trminos de
contrato de acuerdo a los requerimientos de seguridad de informacin definidos. Se
toma en cuenta lo siguiente:
2. Durante el empleo
195
Programas y planes de capacitacin sobre seguridad de informacin y desempeo
de capacidades actualizado y validado.
Actividades desarrolladas de acuerdo a las normas y requerimientos externos que
puedan afectar la seguridad de informacin.
Propsito
Establecer mecanismos y polticas que garanticen los niveles de seguridad en los
activos de acuerdo al tipo de informacin que contienen o gestionan.
196
Alcance: Proceso de admisin, atencin, egreso e identificacin de pacientes
1. Responsabilidad de activos
Informacin Confidencial
Informacin Reservada o Informacin interna
2. Clasificacin de la informacin
La informacin puede ser clasificada bajo ciertos criterios de acuerdo a los parmetros
de seguridad de informacin. Estos son:
Confidencialidad:
Informacin que al ser divulgada puede impactar gravemente la economa y
deteriorar la imagen pblica y el derecho de privacidad de las personas
incumpliendo la ley de proteccin de datos personales, ley de emergencia, norma
tcnica peruana de la historia clnica. La divulgacin de esta informacin solo se
permite a travs de una autorizacin formal por parte de la directiva
197
Tratamiento de informacin Interna
Informacin necesaria para desempear las funciones de negocio. Su divulgacin
puede afectar econmicamente a la empresa pero sin mayor impacto ni afectar su
imagen frente al pblico. Esta informacin ser accesible para el personal interno
o aquellos que interacten con la organizacin y sus procesos.
Integridad
De acuerdo a los requerimientos de seguridad de informacin, se evala los
riesgos de preservar informacin no integra y su impacto monetario, legal y a nivel
de reputacin. Se debe de identificar cules de stos datos genera un impacto
mayor y se debe de priorizar y probar su integridad bajo diversos escenarios como
cambios a travs de sistema o procesos fsicos de almacenamiento de acuerdo a
su sensibilidad y el nivel de exposicin.
Disponibilidad
La informacin crtica que ha sido identificada por las reas de negocio como
crticas, debe estar siempre disponible y para esto se emplear estrategias de
198
contingencia correspondiente. Estas deben de estar documentadas y asegurar
correctas polticas de respaldo de acuerdo a procedimientos y estableciendo
responsabilidades claras y niveles de acceso a estos backups.
3. Gestin de medios
199
Sobre el control de accesos
Propsito
Velar por la seguridad de informacin por medio de mecanismos y polticas de
accesos a los sistemas y a la informacin clasificada que gestionan los procesos de
negocio.
Otras consideraciones:
200
Segregacin de funciones en los sistemas, procesos de negocio y la
administracin de la seguridad de los mismos.
Legislaciones aplicables a la realidad de la empresa.
Niveles y criterios de acceso de acuerdo a la seguridad de informacin y el acceso
a los datos.
La empresa junto con el oficial de seguridad y comit de riesgos estn en
obligacin a controlar los riesgos de acuerdo a los permisos otorgados a los
usuarios.
As mismo, se debe de controlar en particular los accesos a los servicios de red por
parte de personal interno y externo asegurando:
201
En caso la eliminacin de usuario genere situaciones conflictivas se debe de
comunicar al propietario.
En caso de los contratos temporales, la eliminacin de registros de usuario debe
coincidir con el tiempo de contrato para programar su expiracin de autenticacin.
Antes de eliminar un usuario, se debe de verificar la existencia de un
administrador general del sistema que pueda proveer permisos y gestionar los
cambios.
Los permisos deben ser de acuerdo a las funciones que realiza dentro de su
actividad laboral y a los requerimientos de consulta de informacin:
202
Sobre la gestin de informacin secreta de autentificacin:
3. Responsabilidades de usuario
Los usuarios son los responsables de las actividades y operaciones realizadas bajo su
identificador en los sistemas, por lo cual se deben emplear de forma adecuada y
custodiar el uso de contraseas, claves u otro tipo de credenciales personales para su
autenticacin.
203
Por lo tanto, se debe tomar en cuenta las siguientes consideraciones para el uso de
contraseas:
Perfiles de acceso
204
Tiempo de expiracin de una conexin
Por otro lado, para el sistema de gestin de contraseas se debe tomar en cuenta lo
siguiente:
Composicin
La longitud de la contrasea debe ser mayor o igual a diez (10) caracteres, la cual
debe incluir nmeros, letras y smbolos especiales.
Verificar reglas de sintaxis bsicas que impidan que las contraseas coincidan con
el identificador de usuario
Cambio de contrasea
205
Sobre la seguridad fsica y ambiental
Propsito
Brindar direccin y garantizar ambientes seguros para los recursos humanos y para
los equipos o activos de informacin de acuerdo a los requerimientos legales.
1. reas seguras
Dentro del entorno en el cual se desarrollan las actividades del proceso de negocio y
de acuerdo a la ubicacin de las estaciones o puestos de los usuarios que la ejecutan
se debe tener en cuenta lo siguiente:
206
2. Equipos
207
Identificar quienes son los responsables y tienen autoridad para permitir el retiro o
eliminacin de un archivo fuera de las instalaciones.
Establecer y verificar los plazos del retiro de activo. Estos plazos podran ser
modificados de acuerdo a los resultados de las evaluaciones peridicas.
Verificar, de acuerdo a la informacin gestionada, si un equipo debe ser eliminado
en forma segura o si se puede volver a utilizar bajo ciertas medidas y criterios de
seguridad.
En el caso de los equipos daados y que no puedan repararse para volver a
utilizados, se realiza el procedimiento de eliminacin segura el cual consiste
primero en destruir la informacin contenida en dicho archivo bajo ciertas medidas
que garanticen que esta informacin es irrecuperable. Posteriormente se procede
a eliminar el activo daado y su retiro de la organizacin.
En caso se tenga informacin crtica almacenada, esta debe ser bloqueada para
que no todos los usuarios puedan acceder a ella y difundirla.
Las computadoras y terminales deben tener implementados mecanismos
protectores de pantalla en caso cumpla un tiempo de inactividad prudente. Para
volver a la pantalla en la cual se encuentran desarrollando sus actividades, se
exige el ingreso de la contrasea para su autenticacin.
Propsito
Brindar mecanismos que garanticen la seguridad de informacin dentro de las
operaciones del da a da para evitar algn incidente que afecte a la continuidad o
disponibilidad de los datos.
208
Fecha Inicio Vigencia: Enero 2014
209
2. Proteccin contra malware
Se debe garantizar que todo dispositivo de usuario final est libre de virus. Con estos
fines, se debe de establecer una serie de controles para evitar contaminacin y
materializacin de impacto negativo. Se presenta a continuacin las acciones a tomar:
Proteccin de puestos de trabajo: Todos los dispositivos de usuario final con riesgo de
propagar o verse afectados por virus, deben contar con un antivirus instalado y
actualizado. Se toma medidas para minimizar el impacto de existencia de virus, as
como el desarrollo de procedimientos de instalacin, actualizacin, configuracin y
monitoreo.
Proteccin de la navegacin web: El acceso a internet debe ser controlado por medio
de un antivirus que restrinjan el acceso a sitios web maliciosos que acceden a
descarga de malware.
210
Sobre el antivirus, se debe tener en cuenta las siguientes consideraciones:
3. Backup
211
El backup de los sistemas deber estar alineado a las estrategias y planes de
continuidad de negocio definidos. En caso incidentes pequeos, no se necesitar
la activacin del plan.
Las cintas de backup deben de gestionarse y ser protegidas tomando en cuenta el
entorno de almacenamiento para evitar que stos tengan daos fsicos.
Los incidentes que requieran recuperacin de datos se archivarn en el registro
de incidencias bajo el siguiente formato: nombre del sistema afectado, fecha del
incidente, fecha y hora de recuperacin, medios o archivos usados para la
recuperacin y la fecha y hora en la que fue realizada la copia.
El alcance de la recuperacin de datos efectuada debe ser informado a las reas
de negocio y partes interesadas. En el caso de los usuarios afectados, ellos
debern evaluar el impacto operacional y a nivel de proceso al momento del
incidente y verificar el restablecimiento total del incidente.
4. Registro de eventos
Se deben registrar los eventos y los datos significativos para identificar el origen del
evento, la fecha y hora en la cual se ha generado, los datos asociados al evento. No
deben almacenarse datos secretos.
212
5. Control de software operativo:
Los sistemas y software antes de ser actualizados, deben ser sometidos al control
de cambios para autorizar si estos puedan ser aplicados o no.
Las aplicaciones y sistemas o software operacionales solo sern implementados
si se realizan pruebas excesivas sobre l y que todas estas hayan resultado
satisfactorias. Se debe verificar que todos sus componentes estn actualizados.
Se debe tener una estrategia de rollback antes de que los cambios sean
implementados para que ante cualquier eventualidad se pueda regresar a un
estado anterior.
Se debe conservar las versiones anteriores al sistema como medida de
contingencia en caso la nueva aplicacin falle.
Se debe guardar un log de auditora con todas las actualizaciones operacionales,
nuevas instalaciones y nuevas libreras.
La organizacin debe definir cules son las aplicaciones seguras y que tipos de
usuarios pueden tener privilegios para la instalacin de software, teniendo en cuenta
los roles y funciones.
Se debe realizar una lista de software seguro como las actualizaciones y parches de
seguridad en algn software existente y tambin la lista de software potencialmente
daino o empleados para fines personales fuera de las actividades realizadas en la
organizacin.
213
7. Consideraciones de auditora de sistemas de informacin:
Propsito
Garantizar que la transferencia de datos a travs de la red tenga implementado los
mecanismos de seguridad de informacin para garantizar el cumplimiento de la
proteccin de datos de acuerdo a su clasificacin.
1. Transferencia de la informacin
214
Procedimientos para proteger la informacin electrnica sensible, incluyendo la
proteccin contra malware que pueda ser transmitida por comunicaciones
electrnicas.
Garantizar que el personal interno y externo no pongan en peligro la organizacin
por medio de difamacin o reenvo de mensajes encadena a travs de la red de
comunicaciones.
Emplear recursos de cifrado para proteger la confidencialidad, integridad y
autenticidad de la informacin.
Controles y restricciones asociadas con el uso de los medios de comunicacin,
como el correo electrnico.
Evitar que los mensajes que contienen informacin confidencial sean divulgados
por contestadoras automticas para evitar su reproduccin por personal no
autorizado.
Asesorar al personal sobre los problemas en empleo de mquinas o servicios de
comunicacin relacionados a la seguridad de informacin y accesos no
autorizados.
Los servicios de transferencia de informacin deben cumplir todos los
requerimientos legales sujetos a la realidad del negocio.
Por ltimo se debe tomar en cuenta los aspectos relacionados a los acuerdos de no
divulgacin que han sido firmados:
215
Establecer la duracin del acuerdo de confidencialidad durante el contrato y al
final de este. Se podra definir acuerdos de confidencialidad indefinidos de
acuerdo al nivel de criticidad de la informacin
Determinar las acciones requeridas cuando finalizan los acuerdos de
confidencialidad.
Verificar que se debe hacer con la informacin habiendo terminado los acuerdos
de confidencialidad, en este caso al ser destruidos, se deben seguir los
procedimientos en base a los requerimientos de seguridad de informacin.
Propsito
Garantizar que se gestione las relaciones con los proveedores para asegurar el
cumplimiento con los requerimientos de seguridad de informacin y lo establecido en
los acuerdos de servicio firmados
216
Brindar informacin de los incidentes de seguridad suscitados dentro de la entrega
de los servicios frente a las exigencias de los acuerdos firmados y los
procedimientos realizados por el proveedor para restablecer la operacin normal
Asegurar que los proveedores tengan capacidad suficiente para trabajar de
acuerdo a planes diseados que garanticen la continuidad de los servicios de
acuerdo al nivel de incidente o desastre que haya afectado la entrega de estos.
Se debe asignar un responsable para la gestin de proveedores o un equipo
capacitado para el monitoreo de las consideraciones que fueron detalladas para
cumplir requerimientos de seguridad de informacin y la calidad de los servicios
entregados por medio de los procesos de negocio.
Los cambios en los proveedores debern ser revisados y las acciones correctivas
que suplan el servicio debern ser implementados por la organizacin, lo cual
podra implicar el desarrollo de sistema, modificaciones en las polticas y
procedimientos o cambios sobre los controles para mitigar incidentes de seguridad
de informacin
Propsito
217
Garantizar y establecer mecanismos para una adecuada gestin de incidentes de
seguridad de informacin que asegure la disponibilidad, confidencialidad e integridad
de datos.
Respecto a los reportes de eventos o incidentes ser debe tener las siguientes
consideraciones:
Colectar la evidencia tan rpido como sea posible luego del incidente.
Determinar en qu momento es pertinente escalar incidencias de seguridad de
informacin de acuerdo a un procedimiento establecido de acuerdo a la criticidad
el incidente y el impacto en el negocio, as como establecer los tiempos mximos
de solucin y confirmar cual ser el siguiente nivel de resolucin de incidencias.
Comunicar la existencia de incidentes de seguridad de informacin. Brindar los
detalles de acuerdo a la necesidad de informacin al personal interno y externo.
Realizar anlisis forense de ser necesario o requerido.
En caso el incidente produzca eliminacin de datos, brindar la autorizacin para
iniciar la recuperacin de datos.
219
Sobre la continuidad del negocio
Propsito
Garantizar que las estrategias de continuidad de negocio estn alineadas a los
requerimientos de seguridad de informacin para asegurar que en medio de desastres
o incidentes que interrumpen la entrega de servicios, se preserva la confidencialidad e
integridad de los datos.
220
Asegurar una estructura de roles que est preparada para actuar frente a los
incidentes que causen una interrupcin en el negocio y puedan mitigar y brindar
una respuesta de acuerdo a su experiencia y competencias bajo la autorizacin de
un superior.
La seguridad debe estar controlada dentro de la continuidad de negocios, por lo
cual debe existir un personal responsable de responder frente a estos incidentes y
garantizar el alineamiento con los requerimientos de seguridad de informacin.
Los procedimientos y planes de accin y respuesta deben estar documentados y
detallarn como la organizacin hace frente a eventos que afecten la seguridad de
informacin y la continuidad de negocio. Estos planes deben estar alineados a las
estrategias definidas en la continuidad de negocio de la organizacin.
Verificar que los procesos para los cuales se establecen las estrategias de
continuidad, sean los procesos de los cuales se desprenden los requerimientos de
seguridad de informacin, de esta manera se logra que ambas estrategias estn
alineadas hacia un mismo fin.
2. Redundancia
221
Este tipo de arquitectura presenta riesgos los cuales deben ser evaluados dentro de
una gestin integral de riesgos organizacionales y a nivel de proyecto.
Sobre el cumplimiento
Propsito
Garantizar el cumplimiento de leyes en los procesos de negocio y los requerimientos
externos relacionados a la seguridad de informacin: La ley de proteccin de datos
personales.
Si la actividad de la empresa tiene contacto con otros pases, los gerentes debern
garantizar el cumplimiento con los requisitos regulatorios aquellos para evitar multas o
dao a la reputacin debido al incumplimiento.
222
La clasificacin de la informacin debe formar parte de las polticas de datos
personales para verificar las medidas y tcnicas de proteccin a aplicar e
implementar sobre cada nivel.
Revisar las acciones correctivas que han sido aplicadas ante algn incumplimiento
para determinar su eficacia o sus debilidades.
223
ANEXO L: Evaluacin
Leyenda Descripcin
No existe evidencia de la entrega o gestin del proceso
N : Not
habilitador. El cumplimiento de las actividades est entre cero
achieved
(0) y quince (15) por ciento.
Existe evidencia de la entrega de las actividades definidas para
P: Partially el proceso. Algunos aspectos deben ser no predecibles. El
achieved cumplimiento de las sub actividades de gestin est entre
quince (15) y cincuenta (50) por ciento.
Existe evidencia sistemtica y significativa sobre la entrega de y
L: Largely
cumplimiento de actividades dentro del proceso. El cumplimiento
achieved
est entre cincuenta (50) y ochenta y cinco (85) por ciento.
Existe evidencia total y sistemtica sobre el cumplimiento de las
F: Fully
actividades de gestin definidas el proceso. El cumplimiento
achieved
est entre ochenta y cinco (85) y cien (100) por ciento.
Tabla 10.1.1 - Leyenda para especificar el nivel de madurez de un proceso habilitador
224
10.1.1 Procesos habilitadores comunes para los procesos de negocio
225
Exigir la funcin de seguridad de informacin
Cumple, pero todava no se
para toda la empresa y como esta se aplicar
ha creado esta funcin.
a los procesos.
Contar con un comit estratgico que est
No cumple
Dirigir el sistema de gobierno
226
No obstante al verificar que existe evidencia parcial del cumplimiento de algunas
de las sub-actividades y de acuerdo a lo que define la norma, se considera que el
nivel interno de madurez es Partially Achieved (P).
227
alineamiento de las estrategias de TI y funcin de seguridad de
seguridad de informacin en la empresa con informacin.
los objetivos para aportar valor, as como la
alineacin de estos ltimos con el portafolio de
inversiones
Asegurar que se empleen medidas financieras
y no financieras para describir el valor aadido
No cumple
de las iniciativas de seguridad de informacin
en los procesos base.
Establecer un mtodo para demostrar el valor
de la seguridad de informacin para garantizar
el uso eficiente (considerando los niveles de No cumple
Dirigir la optimizacin del valor
228
Nivel de madurez actual: Proceso Incompleto (0) P
Para llegar a la meta se debe completar la escala interna del nivel de madurez
anterior, lo cual implica la definicin y formalizacin de la seccin y funcin de
seguridad de informacin y los roles respectivos para asignar sobre ellos la
responsabilidad de acuerdo a sus capacidades. Verificar este cumplimiento en la
siguiente iteracin de gobierno.
229
de riesgos adecuada segn lo descrito en futuro.
estndares relevantes que pueda adoptar la
organizacin.
Integrar la gestin de riesgos de seguridad de
informacin dentro del modelo general de No cumple
riesgos.
Dirigir la elaboracin de planes de
comunicacin y accin de riesgos promoviendo
Cumple
una cultura consciente sobre estos y su
Dirigir la gestin de riesgos
230
Nivel de madurez actual: Proceso incompleto (0) N
No cumple
enfoque de seguridad de informacin
Se identifica la necesidad
Definir la funcin de la seguridad de
de seguridad de
informacin, capacidades y decisiones
informacin pero no se
necesarias
encuentra formalizada.
Identificar las decisiones necesarias para Se tiene modelos de
alcanzar los resultados corporativos y estrategia decisiones, pero no est
de TI y seguridad de informacin para la gestin formalizado dentro del
y ejecucin de servicios de TI. rea de TI.
231
Establecer un comit estratgico de TI a nivel
de consejo administrativo, el cual se asegure
que el gobierno de TI est contemplado de
Cumple
forma adecuada y que priorice programas de
inversin segn la estrategia y objetivos de
negocio.
Establecer y mantener una estructura ptima de
enlace, comunicacin y coordinacin entre el
Cumple
negocio y las funciones de TI dentro de la
empresa y terceros.
Verificar la adecuacin y eficacia de la
Cumple
estructura organizativa.
Establecer, acordar y comunicar los roles de
No cumple
CISO e ISM13
Determinar las funciones de la organizacin que
tienen la obligacin de seguridad de informacin No cumple
y aadirlas a la descripcin de puestos.
Establecer roles y responsabilidades
13
ISM: Information Security Manager
232
que sean viables. Evaluar buenas prcticas de
seguridad de informacin.
Desarrollar las polticas de seguridad de
informacin de acuerdo al negocio, procesos y
No cumple
requisitos legales o regulatorio dentro del
ambiente interno de la empresa.
Evaluar y actualizar las polticas como mnimo
una vez al ao, para ajustarlas de acuerdo a los No cumple
cambios operativos o a nivel de negocio
Implantar las polticas de TI y seguridad de No cumple, existen
informacin a todo el personal relevante y polticas pero no
establecer los mtodos y procedimientos de alineadas a seguridad de
medicin de su cumplimiento. informacin.
Desarrollar un programa de sensibilizacin
Cumple
Comunicar los objetivos y la direccin de gestin
No cumple
de seguridad de informacin que involucran
procesos base.
Proveer polticas y directrices para asegurar la
adecuacin y consistencia de la clasificacin de Cumple
la informacin (datos) en toda la empresa.
Crear y mantener un inventario de la
informacin (sistemas y datos) que incluya un
listado de los propietarios, custodios y Cumple
clasificaciones. Incluir sistemas tercerizados y
aquellos cuya propiedad debe permanecer
233
dentro de la empresa.
Definir e implementar procedimientos para
asegurar la integridad y consistencia de la No cumple
informacin almacenada en formato electrnico.
Examinar informes que detallan el control de la
seguridad de informacin y las debilidades del No cumple
proceso.
Gestionar la mejora continua de los procesos
de ser necesario.
Integrar el rendimiento y el cumplimiento dentro Cumple en base al marco
de los objetivos individuales del personal. COBIT 4.1
Evaluar el desempeo de los procesos La evaluacin se realiza
habilitadores del marco de referencia y adoptar en base a la aplicacin de
las acciones necesarias COBIT 4.1
Tabla 10.1.5 - Evaluacin de cumplimiento para proceso habilitador APO01
234
enfoque de seguridad de informacin y se omite la aplicacin de leyes que puede
afectar directamente a los procesos de negocio.
235
Definir y revisar los objetivos y mtricas con
los stakeholders respecto a la seguridad de
Establecer los objetivos de cumplimiento y rendimiento informacin de acuerdo con los procesos para No cumple
identificar omisiones y establecer la validez de
mtricas o tolerancias.
Comunicar los cambios relacionados con la
seguridad de informacin, su desempeo y el
cumplimiento con los stakeholders tomando No cumple
como base el conjunto de procesos que
forman parte del gobierno de TI.
Evaluar si los objetivos de seguridad de
informacin y las mtricas son adecuados para
la verificacin y medir la performance de los
No cumple
procesos de acuerdo a la ley de proteccin de
datos personales, norma tcnica peruana de la
historia clnica y la ley de emergencia.
Coleccionar datos y analizar la performance y
Recopilar y procesar los datos de
cumplimiento y rendimiento
correctivas
236
dentro de las acciones correctivas y emitir los
informes respectivos.
Tabla 10.1.6 - Evaluacin de cumplimiento para proceso habilitador MEA01
Para la siguiente iteracin el nivel al cual la organizacin quiere llegar es uno (1):
proceso ejecutado. Se debe tomar en cuenta las brechas cerrar para alcanzar el
enfoque de seguridad de informacin e iniciar las actividades de monitoreo y
evaluacin de la conformidad interna y externa.
237
requerimientos y exigencias a nivel de verifica exigencias o
seguridad de informacin. requerimientos de
seguridad de informacin.
Mantener un inventario sobre normas, leyes o
requerimientos que debe de cumplir la Cumple
organizacin.
Revisar y comunicar los requerimientos
externos y regulaciones a todos los No cumple
Optimizar la respuesta a
requisitos externos
stakeholders.
Revisar peridicamente las polticas y
estndares relacionados al proceso para
No cumple
mantener la eficacia y asegurar el cumplimiento
y gestin de riesgos.
Colectar y analizar datos para garantizar el
Confirmar el cumplimiento
de requisitos externos
el nivel de satisfaccin, no
requerimientos externos. Determinar el nivel de
sobre las polticas
satisfaccin.
Garantizar que los proveedores de TI cumplan Existen medidas para
con los requerimientos de seguridad de verificar el cumplimiento
informacin. pero no se alinean con
indicadores para medir la
seguridad de informacin.
Consolidar a nivel empresarial los informes
Cumple, pero estos
sobre requerimientos externos e internos y
informes solo se manejan
difundirlos a todas las unidades de negocio que
a nivel de gerencia.
abarcan el proceso.
Tabla 10.1.7 - Evaluacin de cumplimiento para proceso habilitador MEA03
238
Nivel de madurez actual: Proceso incompleto (0) P
239
personales, norma tcnica peruana de la datos personales.
historia clnica y ley de emergencia.
Entender la arquitectura de negocio y de
sistemas de la empresa empleada para dar
No cumple
soporte al proceso e identificar posibles brechas
de seguridad de informacin.
Identificar los interesados del dentro del proceso Cumple, pero no est
y sus requerimientos. formalizado.
Determinar las prioridades para desarrollar los
Cumple
cambios estratgicos a nivel de proceso.
Asegurar que los requerimientos de seguridad
de informacin estn incluidos dentro de las No cumple
capacidades de TI.
Definir el objetivo de las capacidades de TI
240
Definir la estrategia de seguridad de informacin
y alinearla con la de TI y las estrategias de
No cumple
negocio para el cumplimiento de objetivos
Definir el plan estratgico y la hoja de ruta
241
Nivel de madurez objetivo: Proceso ejecutado (1)
Cumple
crticos del proceso.
Minimizar dependencia de una persona en la No se encuentra
TI
242
Identificar y ejecutar acciones segn cambios
Cumple. Falta afianzar la
laborales relacionados a los actores del proceso
gestin de proveedores.
de admisin.
Definir habilidades y competencias necesarias
de los recursos para lograr los objetivos dentro
Cumple
del proceso y poder escalar hacia los objetivos
de alto nivel.
Brindar capacitaciones y programas de No cumple, se brindan
Mantener las habilidades y competencias del personal
de informacin.
Establecer objetivos individuales alineados con
los objetivos del proceso de admisin. Deben
Cumple
reflejar competencias bsicas, valores
empresariales y habilidades para las funciones.
Proporcionar instrucciones para uso y
almacenamiento de informacin personal dentro Cumple.
del proceso de evaluacin.
Implementar un proceso de reconocimiento a
medida que el personal alcance el compromiso, Cumple.
desarrollo de competencias y logro de objetivos.
243
Gestionar la ubicacin del personal de
Planificar y realizar un seguimiento del uso de recursos seguridad de informacin de acuerdo a los No cumple
requerimientos de negocio.
humanos de TI y del negocio
proceso de admisin.
Implementar polticas o procedimientos que
Los procedimientos y
describan como gestionar el personal para
polticas existentes no son
identificar necesidad de tercerizar algn servicio
suficiente
de TI.
Llevar a cabo revisiones para asegurar que el
personal cumple con sus funciones, que el
Cumple
derecho de acceso son adecuados y alineados
con los acuerdos pactados al firmar el contrato.
Tabla 10.1.9 Admisin. Evaluacin de cumplimiento para proceso habilitador APO07
244
Nivel de madurez objetivo Proceso Gestionado (2)
245
requerir una repuesta al riesgo
Validar resultados del anlisis de riesgos del
proceso antes de usarlos para la toma de
No cumple
decisiones. Verificar alineamiento con
requerimientos organizacionales.
Crear e informar el nivel aceptable y exposicin
al riesgo que incluya los aspectos de seguridad No cumple
de acuerdo al proceso.
Mantener un perfil del riesgo
No cumple
en trminos adecuados y entendibles para
soportar decisiones empresariales.
Informar el perfil del riesgo a los stakeholders
junto con la efectividad del proceso de admisin
y los controles asociados y a la vez identificar No cumple
oportunidades de TI para aceptar un mayor
riesgo e incrementar la capacidad de gestin.
Monitorear continuamente los riesgos de
Definir un portafolio de acciones para la
246
Aplicar las prcticas y controles para la
Responder al riesgo
mitigacin de riesgos de seguridad. Se
recomienda aplicar en este caso la norma No cumple
ISO/IEC 27002:2013. Incluir controles
preventivos y correctivos.
Catalogar los incidentes y comunicar los
Cumple.
impactos de negocio a los responsables.
Tabla 10.1.10 Admisin. Evaluacin de cumplimiento para proceso habilitador APO12
247
Realizar la declaracin de la aplicabilidad del
No cumple
SGSI.
Comunicar los roles y responsabilidades en la
gestin de la seguridad de informacin y el No cumple
enfoque del SGSI.
Comprometer a la alta direccin para iniciar las
No cumple
actividades de implementacin del SGSI.
Disear, mantener y aplicar un plan de
tratamiento de riesgos de seguridad de
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de informacin
248
Nivel de madurez actual Proceso Incompleto (0) N
Esto se debe a que el proceso de la implementacin del SGSI debe ser realizado
posterior a un anlisis de riesgos, lo cual puede durar ms del tiempo definido
para volver a revisar el gobierno bajo el enfoque de seguridad de informacin.
249
Gestionar el compromiso de las Identificar como las partes interesadas se
partes interesadas.
asocian a los proyectos relacionados con el
proceso y comprometerlos para que se Cumple
involucren y tomen medidas respecto a estos
programas o proyectos.
250
planes de proyecto vigentes.
Gestionar la calidad de los Identificar las actividades y prcticas para
garantizar la calidad de los proyectos. Asegurar Cumple, pero sigue en
programas y proyectos.
251
acuerdo a un requerimiento de seguridad de informacin, por lo tanto el nivel de
madurez actual es cero (0).
de informacin
Garantizar la aprobacin del cambio por parte
de los dueos del proceso de admisin,
gestores de servicio y los respectivos Cumple
stakeholders. Considerar los tipos de cambio
para su aprobacin.
Formalizar las solicitudes de cambio y
estandarizarlas de manera que todo cambio a
nivel del proceso sea a travs de un
Cumple
procedimiento definido. Realizar la respectiva
clasificacin para identificar y mejorar la
gestin.
Evaluar las solicitudes de manera estructurada Cumple
252
en base a su priorizacin y de acuerdo a las
funciones del proceso. Realizar el anlisis de
impacto dentro de los planes y servicios que
involucra este proceso considerando a los
proveedores y los acuerdos de servicio.
Desarrollar medidas para atender cambios de Existen medidas para
emergencia en el proceso de admisin a nivel cambios de emergencia
de la seguridad de informacin. pero no alineados a la
Gestionar cambios de emergencia
seguridad de informacin.
Mantener un registro de los riesgos de
seguridad de informacin a partir de cambios No cumple
de emergencia realizados en el proceso.
Supervisar los cambios de emergencia dentro
del proceso de admisin y realizar las
Cumple
revisiones post-implantacin involucrando a las
partes interesadas.
Mantener un sistema de seguimiento e informe
Hacer seguimiento e informar cambios de estado
253
Segn los requerimientos de la norma ISO/IEC 15504 y la evaluacin sobre las
sub-actividades de gestin para este proceso habilitador, se seala que alcanza
un nivel de madurez igual a cero (0), debido a las falta del enfoque de seguridad
que ocasiona inconsistencias en el proceso.
informacin.
Identificar requerimientos de seguridad de
informacin de acuerdo a los activos del
No cumple
proceso de admisin. Tener en cuenta sus
dependencias entre ellos.
Identificar requerimientos legales o
reglamentarios sobre seguridad de informacin
No cumple
que deban de considerarse dentro de la gestin
de activos del proceso.
Determinar si el activo proporciona valor dentro Cumple, pero solo se
del proceso y si contina en condiciones tiles gestiona a nivel contable
254
para soportar dicho proceso.
Garantizar el cumplimiento de requisitos de
seguridad de informacin en los activos que No cumple
comprenden el proceso.
Definir niveles de criticidad. De acuerdo a esto, Se identifican los niveles
identificar activos crticos y registrarlos. Esta de seguridad pero no se
evaluacin deber realizarse en torno a los alinea a requerimientos de
Gestionar activos crticos
255
Mantener un registro de todas las licencias de
software adquiridas para los activos que Cumple
soportan el proceso base.
Realizar auditoras para identificar si existe
software no autorizado o si se cumplen los
Cumple
mecanismos de control evidenciados en el
inventario y registro de activos.
Tabla 10.1.14 - Admisin. Evaluacin de cumplimiento para proceso habilitador BAI09
256
relacionados a la seguridad de informacin
para facilitar la su atencin y respuesta dentro
del proceso de admisin.
Definir la clasificacin y priorizacin de
incidentes y solicitudes de servicio relacionados
No cumple
al proceso de admisin tomando en cuenta los
requerimientos de seguridad de informacin.
Investigar los incidentes de seguridad y
Registrar, clasificar y priorizar solicitudes e incidentes
257
Definir un plan de respuesta para los incidentes No cumple, no se
258
Nivel de madurez objetivo: Proceso Ejecutado (1)
de informacin.
Realizar el anlisis de impacto de negocio para
Cumple, pero solo a nivel
el proceso de admisin, incluyendo los factores
de negocio y no de TI y
de seguridad de informacin y el mximo
seguridad de informacin.
tolerable de interrupcin en estos aspectos.
Analizar las amenazas que afecten la
continuidad del proceso bajo el enfoque de la
No cumple
seguridad de informacin para mejorar mtodos
preventivos e incrementar la resiliencia.
259
Obtener la aprobacin de los ejecutivos y dar
No cumple, no est
pie a las estrategias seleccionadas que cubran
alineado a los enfoques
los requerimientos definidos para el SGCN bajo
de seguridad.
el enfoque de seguridad de informacin.
Alinear los aspectos de seguridad de
informacin del proceso de admisin a las
No cumple
estrategias de continuidad y el SGCN. Incluirlas
Desarrollar e implementar una respuesta a la continuidad de negocio
260
Considerar posibles cambios producto del
entorno.
Comunicar los cambios en torno al plan de
continuidad que puedan afectar los procesos o No cumple
los requerimientos de seguridad de informacin
Asegurar que los requerimientos de seguridad
se cumplen en los procesos de backup y
No cumple
restauracin de la informacin dentro del
proceso de admisin de pacientes.
Gestionar acuerdos de respaldo
261
seguridad de informacin y no se cuenta con un plan de continuidad de negocio
que abarque las tecnologas de informacin.
262
Establecer mecanismos para recepcin segura
Cumple
de la informacin.
Realizar pruebas sobre la seguridad del
sistema para determinar la proteccin sobre los
No cumple
datos intercambiados dentro del proceso de
admisin de pacientes.
Configurar los sistemas operativos de forma
Gestionar la seguridad de los puestos de usuario final
proceso de admisin.
Autenticar los accesos a los activos de No cumple, se tiene
informacin de acuerdo al nivel de seguridad y acceso pero se restringe
segn los lineamientos de los procesos de las carpetas disponibles
negocio. por usuario.
Segregar y gestionar cuentas de usuario
Cumple
privilegiadas.
Realizar revisiones peridicas de la gestin de
cuentas y privilegios dentro del proceso de
Cumple
admisin. Verificar que la identificacin de
estas es unequvoca.
Establecer procedimientos de empleo,
sensibles y dispositivos
Gestionar documentos
263
garanta.
Realizar un inventario de documentos sensibles
y dispositivos de salida crticos para llevar a No cumple
cabo el proceso de admisin de pacientes.
Establecer polticas de proteccin fsica
apropiadas sobre formularios o documentos No cumple
que contienen informacin sensible.
Tabla 10.1.17 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS05
264
a. Proceso habilitador: Gestionar la estrategia
paciente.
Crear criterios de seguridad de informacin
claros y relevantes dentro del proceso de No cumple
atencin de pacientes. Identificar los riesgos.
Identificar diferencias entre el proceso de
Cumple, pero no est
negocio actual y las capacidades de TI segn
documentado
estndares de calidad y mejores prcticas.
Identificar debilidades, fortalezas, oportunidades
y amenazas del proceso de atencin y las
capacidades y servicios para evaluar el No cumple
desempeo actual de las funciones de
seguridad de informacin.
Identificar dentro del proceso las brechas a
Realizar un
anlisis de
brecha
265
Examinar el nivel de cumplimiento con la ley de Cumple, pero no se
proteccin de datos personales, norma tcnica adeca a la ley de
peruana de la historia clnica dentro del proceso proteccin de datos
de atencin al paciente. personales
Definir las metas deseadas del proceso y Cumple, los responsables
establecer los beneficios que se obtienen al son la divisin de calidad
llegar a estas. y procesos
Definir la estrategia de seguridad de informacin
y alinearla a la estrategia de negocio para No cumple
Definir el plan estratgico y la hoja de ruta
266
negocio, se determina que el nivel de madurez es cero (0), faltando aplicar las
estrategias alineadas a la funcin de seguridad.
Cumple
Identificar
267
atencin al paciente a travs de captura e como compartir el
intercambio de conocimiento. conocimiento.
Definir habilidades y competencias necesarias
que deben tener los recursos para lograr los
Cumple
objetivos del proceso y poder escalar hacia los
objetivos de alto nivel.
Mantener las habilidades y competencias del personal
268
Comprender la demanda actual y futura de
Planificar y realizar un seguimiento del uso de recursos recursos humanos involucrados dentro del
proceso de atencin para apoyar el logro de
Cumple
humanos de TI y del negocio
269
Nivel de madurez objetivo: Proceso Gestionado (2)
de emergencia
emergencia.
Identificar los riesgos residuales dentro del
proceso y las exposiciones que puedan requerir No cumple
una respuesta al riesgo.
Especificar controles apropiados para la
mitigacin de riesgos de seguridad de No cumple
informacin que garanticen que el proceso se
270
vea afectado lo mnimo posible.
Validar los resultados del anlisis de riesgos del
proceso antes de usarlos para la toma de
No cumple
decisiones. Verificar alineamiento con
requerimientos organizacionales.
Crear e informar el nivel aceptable de
exposicin al riesgo que incluya los aspectos de No cumple
seguridad de acuerdo al proceso.
Mantener un perfil del riesgo
decisiones empresariales.
Informar el perfil del riesgo a los stakeholders
junto con la efectividad del proceso de atencin
y los controles asociados. Identificar No cumple
oportunidades de TI para mayor tolerancia al
riesgo e incrementar la capacidad de gestin.
Monitorear peridicamente los riesgos de
Definir un portafolio de acciones para la
271
Aplicar las prcticas y controles para la
Responder al riesgo
mitigacin de riesgos de seguridad. Se
recomienda aplicar en este caso la norma No cumple
ISO/IEC 27002:2013. Se recomienda incluir
controles preventivos y correctivos.
Tabla 10.1.20 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO12
272
Comprometer a la alta direccin para iniciar las
No cumple
actividades de implementacin del SGSI.
Disear, mantener y aplicar un plan de
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de
273
De acuerdo al nivel interno de madurez, ninguna de las sub-actividades son
realizadas, por ello le corresponde la calificacin Not Achieved.
proyecto.
Incluir recursos dentro del proyecto para
identificar e implementar requerimientos de No cumple
seguridad de informacin.
Mantener el plan de programa para asegurar su
actualizacin de acuerdo a los proyectos y el
Cumple, pero no actualiza
proceso de atencin. Actualizar el caso de
el business case
negocio que lo justifica y garantiza el
alineamiento estratgico.
274
Integrar la seguridad de informacin y las
tecnologas con la gestin de proyectos de No cumple
negocio.
Desarrollar un plan de proyecto con informacin
que permita a la direccin controlar su progreso.
Cumple
Incluir recursos, responsabilidades e hitos que
Planificar proyectos
Cumple, pendiente de
los programas y
desarrollo y alineamiento
que las tareas cumplan los requerimientos de
con seguridad de
seguridad de informacin
informacin.
275
avance.
Obtener la aprobacin y firma de los
entregables producidos en cada iteracin de Cumple
los proyectos asociados.
Tabla 10.1.22 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI01
276
al paciente. Evaluar los tipos de cambios
permitidos en l.
Estandarizar las solicitudes de cambio de
manera que todo cambio a nivel del proceso Cumple
sea a travs de procedimientos formales.
Considerar el impacto de los cambios en la
gestin de proveedores de acuerdo a la de
No cumple
seguridad de informacin, procurando que
estos no afecten los acuerdos de servicio.
Desarrollar medidas para atender cambios de Existen medidas para
emergencia en el proceso y relacionados a atender los cambios de
seguridad de informacin. emergencia, pero no se
Gestionar cambios de emergencia
relacionan o alinean a la
seguridad de informacin
Registrar los riesgos de seguridad de
informacin a partir de cambios de emergencia No cumple
realizados en el proceso.
Supervisar los cambios de emergencia dentro
del proceso de atencin y realizar las
Cumple
revisiones post-implantacin involucrando a las
partes interesadas.
Mantener y supervisar un sistema de
Hacer seguimiento e informar cambios de
277
un nivel de madurez igual a cero (0), debido a las falta del enfoque de seguridad
que ocasiona inconsistencias en el proceso.
Cumple
su nivel de criticidad dentro del proceso.
Identificar si los activos del proceso de atencin
estn sujetos a alguna regulacin adicional a la
ley de proteccin de datos personales y la
No cumple
norma tcnica peruana de la historia clnica.
Verificar los aspectos contractuales de
seguridad de informacin.
Verificar y determinar si los activos se
encuentran en condiciones tiles para soportar Cumple, pero el valor solo
dicho proceso y si es que genera valor al es a nivel contable
negocio.
Identificar que activos del proceso de atencin
Gestionar activos
278
Determinar los niveles de criticidad de los
Cumple
activos dentro del proceso de atencin.
Garantizar que los activos crticos del proceso
cumplan los niveles de seguridad de
No cumple
informacin establecidos en el proceso y el
negocio.
Determinar el tiempo de inactividad mximo
Cumple, pero no se
para estos activos crticos de manera que se
prueba que el tiempo
garantice la reduccin de un impacto adverso
definido sea el adecuado
en el negocio.
Establecer polticas para el cambio de estos
activos crticos de acuerdo a los riesgos de No cumple
seguridad de informacin identificados.
Identificar y comunicar los riesgos de seguridad
de informacin de estos activos que soportan el No cumple
proceso.
Gestionar el ciclo de vida de los activos
279
Evaluando el cumplimiento interno en el nivel de madurez, se determina la
clasificacin interna Partially Achieved por la evidencia mostrada en la entrega y
desarrollo de este proceso habilitador.
280
proceso de atencin.
Priorizar y clasificar incidentes de acuerdo al
impacto dentro del negocio y el proceso de Cumple
atencin.
Verificar, aprobar y resolver
informes
estado y
emitir
281
existentes.
Elaborar informes y distribuirlos peridicamente
Cumple, pero solo se
a los stakeholders como parte de la mejora
comunica a la gerencia
continua.
Tabla 10.1.25 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS02
282
Identificar interesados, roles y
responsabilidades dentro del proceso para No cumple
alinearlos a los objetivos y polticas del SGCN
Identificar e incluir escenarios que den pie a
eventos de informacin que afecten la Cumple
continuidad del proceso.
Mantener una estrategia de continuidad
informacin definidos.
Definir y documentar recursos necesarios para
recuperar el proceso. Documentar los planes
considerando las necesidades de seguridad y No cumple
almacenamiento de la informacin en otro lugar.
Distribuir los planes.
Planificar actividades para probar el plan
Ejecutar, probar y revisar el
No cumple
responsabilidades para esta actividad y
coordinar que no afecten el proceso.
Realizar el anlisis y revisin para determinar el
No cumple
logro.
Revisar el plan peridicamente tomando en
Revisar, mantener y mejorar
el plan de continuidad
283
que puedan afectar el proceso o los
requerimientos de seguridad de informacin
Reconocer qu incidentes de seguridad de
informacin pueden ocasionar la interrupcin
No cumple
del negocio, por ello se debe incrementar el
nivel de gestin de stos.
Asegurar que los requerimientos de seguridad
se cumplen en los procesos de backup y No cumple
restauracin de informacin.
Realizar las copias de seguridad respectivas y
Gestionar acuerdos de respaldo
284
Dentro de la escala interna de madurez, el habilitador obtiene la calificacin de
Not Achieved, pues no muestra mayor evidencia sobre su cumplimiento.
El objetivo trazado, es un nivel de madurez igual a uno (1) debido a que se debe
de cumplir la regulacin respectiva y alineamiento a la seguridad de informacin.
El plan de continuidad de TI se encuentra en proyecto para complementar los
proyectos existentes en la organizacin.
criticidad.
Configurar los sistemas operativos de forma
correcta y segura en las estaciones del Cumple
personal que ejecuta el proceso de atencin.
Implementar mecanismos de bloqueo en los Cumple
285
dispositivos.
Deshacerse de los dispositivos de usuario final
Cumple
de forma segura.
Segn los requerimientos del proceso,
Gestionar la identidad del usuario y el
Cumple
mantener los derechos de acceso
Segregar y gestionar cuentas de usuario
Cumple
acceso lgico
privilegiadas.
Realizar regularmente revisiones de la gestin
de cuentas y privilegios que abarca el proceso
Cumple
de atencin. Verificar que la identificacin de
estas es unequvoca.
Establecer procedimientos de empleo,
eliminacin y destruccin de formularios
Gestionar documentos sensibles y dispositivos de salida
No cumple
especiales como las historias clnicas y actas
de conformidad.
Asignar privilegios de acceso a documentacin
y a su modificacin durante el proceso de No cumple
atencin al paciente.
Realizar un inventario de documentos
sensibles o dispositivos de salida crticos No cumple
involucrados durante el proceso de atencin.
Establecer polticas de proteccin fsica
apropiadas sobre formularios o documentos No cumple
que contienen informacin sensible.
Tabla 10.1.27 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS05
286
Nivel de madurez objetivo: Proceso Ejecutado (1)
formalizado ni alineado
cumplimiento de la ley de proteccin de datos
con ley de proteccin de
personales y la norma tcnica peruana de la
datos personales.
historia clnica.
Desarrollar y entender las estrategias, objetivos
No cumple, no
de negocio, entorno y retos operativos actuales
alineamiento a seguridad
dentro del proceso y la seguridad de
de informacin
informacin.
Determinar prioridades para desarrollar cambios
Cumple
estratgicos en el proceso.
Establecer la lnea base de seguridad de
capacidades y rendimientos
paciente.
actuales
287
riesgos.
Identificar diferencias entre el proceso de
negocio actual y las capacidades de TI segn Cumple, pero no lo
estndares y mejores prcticas sugeridas por la documenta
divisin calidad y procesos.
Identificar debilidades, fortalezas, oportunidades
y amenazas del entorno actual del proceso de
No cumple
egreso Evaluar dentro de l el desempeo de la
funcin de seguridad de informacin.
Identificar dentro del proceso las brechas a
cerrar y los cambios requeridos para llegar al Cumple
nivel deseado.
Realizar un anlisis de brecha
288
admisin, actualizar el plan segn los resultados seguridad de informacin.
en el personal que realiza el proceso de egreso
del paciente.
Tabla 10.1.28 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO02
289
seguridad de informacin
Asegurar que existe personal capaz de cubrir
funciones crticas de otro para reducir la Cumple
dependencia en el proceso de egreso.
Asegurar la segregacin de funciones en roles
Cumple
crticos del proceso.
Identificar personal clave de TI
Cumple
del proceso y poder escalar hacia los objetivos
de alto nivel.
Brindar capacitaciones y programas de
No cumple, solo se brinda
seguridad de informacin al personal que
capacitaciones.
ejecuta los procesos.
Llevar a cabo revisiones peridicas para
evaluar la evolucin de las habilidades y
competencias de los recursos internos. A partir
Cumple
de estas identificar si se requieren habilidades
adicionales para cubrir el proceso y ejecutar el
plan de accin para desarrollarlas.
Dentro de la evaluacin del desempeo,
Evaluar el desempeo laboral de los empleados
290
Implementar un proceso de reconocimiento a
medida el personal logre sus objetivos dentro Cumple
del proceso.
Comprender la demanda actual y futura de
Planificar y realizar un seguimiento del uso de recursos
Cumple
derecho de acceso es adecuado y alineado a
los acuerdos pactados al firmar el contrato.
Definir el trabajo a realizar por terceros o por Cumple, pero falta
otras reas de le organizacin a travs de formalizar la interaccin
contratos o documentos formales que carezcan con terceros u otras reas
de ambigedades. de negocio
Implementar polticas que permitan identificar No cumple, las polticas
como se debe gestionar el personal, es decir si actuales no son
es necesario contratar servicios o nuevo suficientes ni alineadas a
personal siguiendo los parmetros de seguridad la seguridad de
de informacin. informacin.
Tabla 10.1.29 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO07
291
Nivel de madurez actual Proceso Incompleto (0) L
No cumple
de egreso. Verificar prdidas experimentadas
por la materializacin de estos.
Determinar en qu condiciones del proceso se
materializ el riesgo. Identificar el impacto en el No cumple
negocio.
Ejecutar anlisis del entorno para verificar los
factores de riesgo que se presentan en el Cumple
proceso.
292
Identificar, analizar y evaluar los riesgos de
No cumple
informacin dentro del proceso.
Construir los escenarios de riesgo de TI y
No cumple, pero tiene
seguridad dentro del proceso. Identificar las
medidas de emergencia
amenazar para detectar medidas de
identificadas
Analizar el riesgo
emergencia.
Identificar los riesgos residuales en el proceso e
identificar exposiciones que puedan requerir No cumple
una repuesta al riesgo
Validar resultados del anlisis de riesgos del
proceso antes de usarlos para la toma de
No cumple
decisiones. Verificar alineamiento con
requerimientos organizacionales.
Informar los resultados del anlisis de riesgos
del proceso de egreso a los stakeholders en
No cumple
trminos adecuados y entendibles para
decisiones empresariales.
Expresar el riesgo
No cumple
recomienda aplicar la norma ISO/IEC
27002:2013.
Tabla 10.1.30 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO12
293
Nivel de madurez actual Proceso Incompleto (0) N
SGSI
SGSI. No cumple
294
Integrar la planificacin, diseo, implementacin
No cumple. Solo define
y supervisin de procedimientos se seguridad y
respuestas ante
controles para prevencin y deteccin temprana
incidentes
de eventos dentro del proceso de egreso y la
respuesta a incidentes.
Tabla 10.1.31 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO13
295
proyectos. Aplicar las mejoras que se
desprenden del uso de estrategias dentro del
proceso de egreso.
Identificar y comprometer a las partes
Gestionar el compromiso de
las partes interesadas
Cumple
Incluir recursos, responsabilidades e hitos que
marcan el cierre de cada una de las etapas.
Mantener los planes de proyecto y sus
dependencias, asegurando la comunicacin
Cumple
entre estos y que al realizar cambios en uno se
reflejen en los dems.
Registrar los riesgos de seguridad de Cumple, a travs de
informacin y las acciones correctivas. Revisar gestin de matriz bsica
Gestionar el riesgo de los
programas y proyectos.
296
Asignar responsabilidades al personal
capacitado para gestionar los riesgos de los Cumple
proyectos del proceso egreso.
Programar evaluaciones a los proyectos para
asegurar que los requerimientos de seguridad
No cumple
Supervisar y controlar proyectos.
Segn la norma ISO/IEC 15504 se determina un nivel de madurez igual a cero (0)
producto de la falta de un enfoque de seguridad de informacin que abre una
brecha respecto de cmo gestionar los proyectos de acuerdo a un requerimiento
de seguridad de informacin. Se evidencia la aplicacin de sub-actividades de
gestin y mejoras en el proceso. Por ello su calificacin es, aunque est sobre los
lmites, Largely Achieved.
297
f. Proceso habilitador: Gestionar el cambio
seguridad de informacin.
Realizar el anlisis de impacto al realizar
cambios en seguridad de informacin y a nivel No cumple
general dentro del proceso.
Asegurar que los cambios sean validados por
los dueos del proceso de negocio de egreso
Cumple
del paciente. Evaluar los tipos de cambios
permitidos en l.
Considerar el impacto de los cambios en la
gestin de proveedores de acuerdo a la
No cumple
seguridad de informacin, procurando que
estos no afecten los acuerdos de servicio.
Desarrollar medidas para atender cambios de No cumple. Tienen
emergencia en el proceso de egreso a nivel de algunas medidas para
Gestionar cambios de emergencia
No cumple
cambio dentro del proceso de acuerdo a las
exigencias de seguridad de informacin.
Elaborar informes respecto a los cambios de
seguridad de informacin realizados en el No cumple
proceso.
Tabla 10.1.33 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI06
298
Nivel de madurez actual: Proceso incompleto (0) P
Cumple
el nivel de criticidad dentro del proceso.
Identificar si los activos del proceso de egreso
estn sujetos a alguna regulacin adicional a la
ley de proteccin de datos personales y la
No cumple
norma tcnica peruana de la historia clnica.
Verificar los aspectos contractuales de
seguridad de informacin.
Verificar y determinar si los activos se
encuentran en condiciones tiles para soportar
No cumple
dicho proceso y si es que genera valor al
negocio.
299
Identificar que activos del proceso egreso de
pacientes pueden ser considerados crticos
para su cumplimiento. Supervisar el
Cumple
rendimiento a travs de evaluaciones o planes
que definan polticas de reparacin o
reemplazo
Gestionar activos crticos
300
informacin sensible, adems de la falta de aplicacin a la ley de proteccin de
datos personales.
301
relacionados a la seguridad de informacin del
proceso de egreso.
Priorizar y clasificar los incidentes de acuerdo
al impacto dentro del negocio y el proceso de Cumple
egreso.
Seguir procedimientos y modelos de solicitudes
resolver solicitudes de
Verificar, aprobar y
para registro.
Asignar a personal capacitado la gestin de
incidentes del proceso de egreso de pacientes
Cumple
si es estos requieren mayor conocimiento para
tratarlos y reducir el impacto.
Identificar soluciones temporales o
permanentes para los incidentes de seguridad
de informacin, asignar su tratamiento a los No cumple
especialistas respectivos dentro del proceso de
egreso.
Definir un plan de respuesta de seguridad de
Resolver y recuperarse de incidentes
302
Elaborar informes y distribuirlos peridicamente
Cumple, solo se informa a
a los stakeholders como parte de la mejora
la gerencia
continua
Tabla 10.1.35 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS02
303
alinearlos a los objetivos y polticas del SGCN.
Identificar e incluir escenarios que den pie a
eventos de informacin que afecten la No cumple
continuidad del proceso egreso del paciente.
Mantener una estrategia de continuidad
No cumple
responsabilidades para esta actividad y
coordinar que no afecten al proceso.
Realizar el anlisis y revisin para determinar el
No cumple
logro.
Revisar el plan peridicamente tomando en
Revisar, mantener y mejorar el plan de
entorno.
Reconocer qu incidentes de seguridad de
informacin pueden ocasionar la interrupcin
No cumple
del negocio, por ello se debe incrementar el
nivel de gestin de stos.
304
Asegurar que los requerimientos de seguridad
se cumplen en los procesos de backup y No cumple
restauracin de informacin.
Gestionar acuerdos de respaldo
No cumple
negocio de acuerdo al proceso de egreso del
paciente.
Identificar debilidades u omisiones como parte
de la mejora continua para asegurar que el
proceso de egreso podr llevarse a cabo sin
No cumple
inconvenientes ante cualquier evento
asegurando la informacin de los involucrados,
en otras palabras, su integridad.
Tabla 10.1.36 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS04
305
Nivel de madurez objetivo: Proceso Ejecutado (1)
306
Segregar y gestionar cuentas de usuario
307
Nivel de madurez objetivo: Proceso Ejecutado (1)
a. Gestionar la estrategia
nivel deseado.
Examinar el nivel de cumplimiento del proceso No se alinea a la ley de
respecto a la ley de proteccin de datos proteccin de datos
personales, ley de emergencia y norma tcnica personales. Sobre las
peruana de la historia clnica. otras dos cumple.
Mejorar la definicin del estado deseado en el Cumple
308
proceso y sus objetivos. Sustentarlos
demostrando los beneficios a partir de este
estado frente al impacto en caso no se llegara
a esta meta.
Definir la estrategia de seguridad de
Definir el plan estratgico y la hoja de
309
Nivel de madurez objetivo: Proceso ejecutado (1)
seguridad
Asegurar la existencia de capacitaciones y que
existe personal capaz de cubrir funciones
Cumple
crticas de otro para reducir la dependencia.
empleados
Evaluar el
310
almacenamiento de informacin personal dentro
del proceso de evaluacin.
Implementar un proceso de reconocimiento a
medida el personal alcance el compromiso y Cumple
logre sus objetivos.
Comprender la demanda actual y futura de
Planificar y realizar un seguimiento del
uso de recursos humanos de TI y del
Cumple
da a da.
311
Nivel de madurez objetivo: Proceso Ejecutado (1)
312
junto con la efectividad del proceso de
identificacin y los controles asociados.
Identificar oportunidades de TI para aceptar un
mayor riesgo e incrementar la capacidad de
gestin.
Monitorear continuamente los riesgos de
Definir un portafolio de acciones para la
tolerancia al riesgo.
Definir conjunto de propuestas para reducir el
riesgo o proyectos para incrementar las
No cumple
oportunidades estratgicas y retorno de
beneficios.
Aplicar las prcticas y controles para la
Responder al
No cumple
recomienda aplicar en este caso la norma
ISO/IEC 27002:2013.
Tabla 10.1.40 Identificacin. Evaluacin de cumplimiento para proceso habilitador APO12
313
d. Proceso habilitador: Gestionar la seguridad
No cumple
proceso de identificacin con los que soportan
el SGSI.
Disear, mantener y aplicar un plan de
tratamiento de riesgos de seguridad de
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de informacin
314
De acuerdo al nivel interno de madurez, ninguna de las sub-actividades son
realizadas, por ello le corresponde la calificacin Not Achieved.
315
Desarrollar plan de proyecto con informacin
que permita a la direccin controlar su progreso.
Cumple
Incluir recursos, responsabilidades e hitos que
marcan el cierre de cada una de las etapas.
Mantener los planes de proyecto y sus
dependencias, asegurando que los cambios en Cumple
uno se reflejen en los dems.
Registrar los riesgos de seguridad de Cumple, se gestionan con
informacin y las acciones correctivas. Revisar una matriz de riesgo para
Gestionar el riesgo de los
programas y proyectos.
Segn la norma ISO/IEC 15504 se determina un nivel de madurez igual a cero (0)
producto de la falta de un enfoque de seguridad de informacin que abre una
brecha respecto de cmo gestionar los proyectos de acuerdo a un requerimiento
de seguridad de informacin. Se evidencia la aplicacin de sub-actividades de
gestin y mejoras en el proceso. Por ello su calificacin es Partially Achieved.
316
f. Proceso habilitador: Gestionar el cambio
317
Nivel de madurez actual: Proceso Incompleto (0) N
El nivel de madurez objetivo para este proceso habilitador es de uno (1), el cual
ser revisado en la siguiente iteracin de gobierno de TI, esperando formalizar las
prioridades y autorizaciones de cambio de acuerdo a la seguridad de informacin.
crticos
activos
318
planes en los que se definan las polticas de
reparacin o reemplazo.
Garantizar que los activos crticos del proceso
cumplan los niveles de seguridad de No cumple
informacin establecidos para el proceso.
Establecer las polticas para el cambio de estos
activos crticos de acuerdo a los riesgos de
No cumple
seguridad de informacin previamente
identificados.
Identificar y comunicar los riesgos de seguridad
de informacin relacionados a los activos que
No cumple
Gestionar el ciclo de vida de los activos
319
Nivel de madurez objetivo: Proceso ejecutado (1)
proceso de identificacin.
No cumple
incidentes
320
Definir un plan de respuesta de seguridad de
321
i. Proceso habilitador: Gestionar la continuidad
restauracin de informacin.
Realizar las copias de seguridad respectivas y
establecer polticas para su gestin de acuerdo No cumple
a la ley de proteccin de datos personales.
Probar y mantener las copias de seguridad
recientes, y aquellas archivadas, de manera
No cumple
peridica para garantizar la disponibilidad de la
informacin y su integridad.
Evaluar la efectividad de las estrategias de
reanudacin
revisiones
Ejecutar
post-
322
Identificar debilidades u omisiones como parte
de la mejora continua para asegurar que el
No cumple
proceso podr llevarse a cabo sin
inconvenientes ante cualquier evento.
Tabla 10.1.46 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS04
323
correos electrnicos y descargas para
protegerse frente a informacin no solicitada.
Cifrar la informacin almacenada dentro de los
Gestionar la seguridad de los puestos de usuario final
324
entregados no se alinean ni responden de acuerdo a necesidades formalizadas y
establecidas de seguridad de informacin y la ley de proteccin de datos
personales.
325