Lepage Diana Modelo Gobierno Ti Seguridad Informacion Empresas Prestadoras Servicios Salud Cobit 5.0 Anexos PDF

PONTIFICIA UNIVERSIDAD CATLICA DEL PER
FACULTAD DE CIENCIAS E INGENIERA
DISEO DE UN MODELO DE GOBIERNO DE TI CON

ENFOQUE DE SEGURIDAD DE INFORMACIN PARA
EMPRESAS PRESTADORAS DE SERVICIOS DE SALUD BAJO
LA PTICA DE COBIT 5.0
ANEXOS
Tesis para optar el Ttulo de Ingeniera Informtica que presenta el bachiller:
Diana Estefana Lepage Hoces
ASESOR: Moiss Antonio Villena Aguilar
Lima, Abril del 2014

Contenido
ANEXO A: CARTA DE CONFORMIDAD DE LA EMPRESA ...................................................... 1
1.1 CARTA ............................................................................................................................... 1

ANEXO B: MARCO TERICO Y ESTADO DEL ARTE .............................................................. 2
2.1 COBIT 5.0: DESCRIPCIN DE FASES DE GOBIERNO DE TI .................................................... 2

2.2 COBIT 5.0: DESCRIPCIN DE PROCESOS HABILITADORES .................................................... 3
2.3 COBIT 5.0: DESCRIPCIN DE NIVELES DE MADUREZ ............................................................ 5
ANEXO C: IDENTIFICACIN DE OBJETIVOS E INDICADORES ........................................... 25
3.1 MAPEO DE OBJETIVOS ORGANIZACIONALES CON OBJETIVOS DE TI ....................................... 25

3.2 IDENTIFICACIN DE MTRICAS PARA OBJETIVOS DE NEGOCIO Y DE TI ................................... 32
ANEXO D: ANLISIS DE PROCESOS DE COBIT 5.0 A APLICAR A LA ORGANIZACIN . 38
4.1 MAPEO DE OBJETIVOS DE TI Y SUS PROCESOS HABILITADORES ........................................... 38

4.1.1 Justificacin de procesos habilitadores ................................................................. 51
4.2 OBJETIVOS DE SEGURIDAD DE INFORMACIN Y REGULACIONES IDENTIFICADOS. .................. 54
ANEXO E: IDENTIFICACIN Y DISEO DE PROCESOS AS - IS .......................................... 59
5.1 PROCESO: ADMISIN DE PACIENTES .................................................................................. 59

5.2 PROCESO: ATENCIN AL PACIENTE HOSPITALIZADO ............................................................ 64
5.3 PROCESO: EGRESO DEL PACIENTE .................................................................................... 66
ANEXO F: PROCESOS FIRMADOS Y APROBADOS POR LA EMPRESA ............................ 67
6.1 DOCUMENTOS APROBADOS ............................................................................................... 67

ANEXO G: IDENTIFICACIN ACTIVIDADES, ROLES Y RESPONSABILIDADES PARA LOS
HABILITADORES ....................................................................................................................... 82
7.1 ACTIVIDADES DE GESTIN COBIT 5.0 BAJO EL ENFOQUE DE SEGURIDAD DE INFORMACIN .. 82

1.1.1 Procesos habilitadores en comn para los procesos de la empresa .................... 82
1.1.2 Proceso de admisin de pacientes ........................................................................ 97
1.1.3 Proceso Atencin del paciente ............................................................................ 122
1.1.4 Proceso Egreso del paciente ............................................................................... 145
1.1.5 Proceso Identificacin del paciente hospitalizado ............................................... 166
ANEXO H: APLICACIN NORMA ISO/IEC 27002:2013 ........................................................ 184
8.1 MAPEO ACTIVIDADES DE GESTIN A NORMA ISO/IEC 27002:2013 ................................... 184

ANEXO I: POLTICAS DE SEGURIDAD DE INFORMACIN ................................................ 189
9.1 ESTRUCTURA ................................................................................................................. 189

9.2 POLTICAS DE SEGURIDAD DE INFORMACIN ..................................................................... 189
ANEXO J: EVALUACIN......................................................................................................... 224
10.1 EVALUACIN DE NIVEL DE MADUREZ DE LOS PROCESOS HABILITADORES ....................... 224

10.1.1 Procesos habilitadores comunes para los procesos de negocio ........................ 225
10.1.2 Proceso de admisin de pacientes ...................................................................... 239
10.1.3 Proceso Atencin del paciente ............................................................................ 264
10.1.4 Proceso Egreso del paciente ............................................................................... 287
10.1.5 Proceso Identificacin del paciente hospitalizado ............................................... 308
II
ndice de Tablas
Tabla 3.1.1 - Objetivos de TI identificados para objetivo organizacional 2 ................................................. 27

Tabla 3.1.4 - Objetivos de TI identificados para objetivo organizacional 11 ............................................... 29
Tabla 3.2.1 - Mtricas para los objetivos organizacionales ......................................................................... 34
Tabla 3.2.2 - Mtricas para objetivos de TI ................................................................................................. 37
Tabla 4.1.1 - Procesos habilitadores segn Objetivo de TI 1 ...................................................................... 39
Tabla 4.1.6 -Procesos habilitadores segn Objetivo de TI 6 ....................................................................... 44
Tabla 4.1.9 -Procesos habilitadores segn Objetivo de TI 9 ....................................................................... 47
Tabla 4.1.10 - Procesos habilitadores segn Objetivo de TI 10 .................................................................. 49
Tabla 4.1.13 - Aplicacin de procesos habilitadores segn la organizacin ............................................... 52
Tabla 4.2.1 - Procesos habilitadores Objetivo de TI 7. Resumen ............................................................... 54
Tabla 4.2.2 - Procesos habilitadores Objetivo de TI 3. Resumen ............................................................... 55
Tabla 4.2.3 - Procesos habilitadores Objetivo de TI 10. Resumen ............................................................. 55
Tabla 7.1.1 - Leyenda para lectura de matriz RACI .................................................................................... 82
Tabla 7.1.2 - Actividades de gestin habilitador: Garantizar el mantenimiento y configuracin del marco de
control de gobierno ..................................................................................................................................... 84
Tabla 7.1.3 - Matriz de responsabilidades para el proceso habilitador EDM01 .......................................... 84
Tabla 7.1.4 - Actividades de gestin habilitador: Garantizar la entrega de beneficios ................................ 86
Tabla 7.1.6 - Actividades de gestin habilitador: Garantizar la optimizacin de riesgos ............................. 88
Tabla 7.1.8 - Actividades de gestin habilitador: Gestionar el marco de TI ................................................ 91
Tabla 7.1.9 - Matriz de responsabilidades para el proceso habilitador APO01 ........................................... 92
Tabla 7.1.10 - Actividades de gestin habilitador: Monitorear, evaluar y medir el rendimiento y la
conformidad ................................................................................................................................................ 94
Tabla 7.1.11 - Matriz de responsabilidades para el proceso habilitador MEA01 ........................................ 95
Tabla 7.1.12 - Actividades de gestin habilitador: Monitorear, evaluar y medir el cumplimiento de
requerimientos externos ............................................................................................................................. 96
Tabla 7.1.13- Matriz de responsabilidades para el proceso habilitador MEA03.......................................... 96
Tabla 7.1.14 - Proceso admisin. Actividades de gestin habilitador: Gestionar la estrategia ................... 98
Tabla 7.1.15 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Admisin ......... 99
III
Tabla 7.1.16 - Proceso admisin. Actividades de gestin habilitador: Gestionar los recursos humanos .. 101
Tabla 7.1.17 - Matriz de responsabilidades para el proceso habilitador APO07 - Proceso Admisin ....... 102
Tabla 7.1.18 - Proceso admisin. Actividades de gestin habilitador: Gestionar el riesgo ....................... 104
Tabla 7.1.20 - Proceso admisin. Actividades de gestin habilitador: Gestionar la seguridad ................. 106
Tabla 7.1.22 - Proceso admisin. Actividades de gestin habilitador: Gestionar programas y proyectos 109
Tabla 7.1.23 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Admisin ........ 109
Tabla 7.1.24 - Proceso admisin. Actividades de gestin habilitador: Gestionar el cambio ..................... 111
Tabla 7.1.26 - Proceso admisin. Actividades de gestin habilitador: Gestionar los activos .................... 113
Tabla 7.1.28 - Proceso admisin. Actividades de gestin habilitador: Gestionar las solicitudes e incidentes
de servicio ................................................................................................................................................. 115
Tabla 7.1.29 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Admisin ....... 116
Tabla 7.1.30 - Proceso admisin. Actividades de gestin habilitador: Gestionar la continuidad ............... 119
Tabla 7.1.32 - Proceso admisin. Actividades de gestin habilitador: Gestionar servicios de seguridad . 121
Tabla 7.1.34 - Proceso atencin. Actividades de gestin habilitador: Gestionar la estrategia .................. 124
Tabla 7.1.35 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Atencin ....... 125
Tabla 7.1.36 - Proceso atencin. Actividades de gestin habilitador: Gestionar los recursos humanos... 127
Tabla 7.1.38 - Proceso atencin. Actividades de gestin habilitador: Gestionar el riesgo ........................ 129
Tabla 7.1.40 - Proceso atencin. Actividades de gestin habilitador: Gestionar la seguridad .................. 131
Tabla 7.1.42 - Proceso atencin. Actividades de gestin habilitador: Gestionar programas y proyectos . 134
Tabla 7.1.43 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Atencin ......... 134
Tabla 7.1.44 - Proceso atencin. Actividades de gestin habilitador: Gestionar el cambio ...................... 135
Tabla 7.1.46 - Proceso atencin. Actividades de gestin habilitador: Gestionar los activos ..................... 137
Tabla 7.1.48 - Proceso atencin. Actividades de gestin habilitador: Gestionar las solicitudes de servicio e
incidentes .................................................................................................................................................. 139
Tabla 7.1.49 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Atencin ........ 140
Tabla 7.1.50 - Proceso atencin. Actividades de gestin habilitador: Gestionar la continuidad ............... 142
Tabla 7.1.51 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Atencin ........ 143
Tabla 7.1.52 - Proceso atencin. Actividades de gestin habilitador: Gestionar servicios de seguridad .. 144
Tabla 7.1.53- Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Atencin ......... 145
Tabla 7.1.54 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la estrategia. ................... 147
Tabla 7.1.55 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Egreso .......... 147
Tabla 7.1.56 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los recursos humanos ..... 150
Tabla 7.1.58 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el riesgo .......................... 152
IV
Tabla 7.1.60 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la seguridad .................... 153
Tabla 7.1.62 - Proceso Egreso. Actividades de gestin habilitador: Gestionar programas y proyectos ... 155
Tabla 7.1.63 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Egreso ............ 156
Tabla 7.1.64 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el cambio ........................ 157
Tabla 7.1.66 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los activos ....................... 159
Tabla 7.1.68 - Proceso Egreso. Actividades de gestin habilitador: Gestionar las solicitudes de servicio e
incidentes .................................................................................................................................................. 161
Tabla 7.1.69 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Egreso .......... 161
Tabla 7.1.70 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la continuidad .................. 163
Tabla 7.1.72 - Proceso Egreso. Actividades de gestin habilitador: Gestionar servicios de seguridad .... 165
Tabla 7.1.74 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la estrategia ........... 168
Tabla 7.1.75 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Identificacin. 168
Tabla 7.1.76 -Proceso Identificacin. Actividades de gestin habilitador: Gestionar recursos humanos .. 170
Tabla 7.1.78 Proceso Identificacin. Actividades de gestin habilitador: Gestionar el riesgo .................. 172
Tabla 7.1.80 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la seguridad ........... 173
Tabla 7.1.82 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los programas y
proyectos .................................................................................................................................................. 175
Tabla 7.1.83 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Identificacin .. 175
Tabla 7.1.84 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar el cambio ............... 176
Tabla 7.1.86 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los activos ............. 178
Tabla 7.1.88 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar las solicitudes de
servicio e incidentes.................................................................................................................................. 179
Tabla 7.1.89 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Identificacin . 180
Tabla 7.1.90 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la continuidad ........ 181
Tabla 7.1.92 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad .................................................................................................................................................. 183
Tabla 8.1.1 - Aplicacin de la norma ISO/IEC 27002:2013 a las actividades sugeridas por COBIT ......... 188
Tabla 10.1.1 - Leyenda para especificar el nivel de madurez de un proceso habilitador .......................... 224
Tabla 10.1.2 Evaluacin de cumplimiento para proceso habilitador EDM01 ......................................... 226
Tabla 10.1.3 - Evaluacin de cumplimiento para proceso habilitador EDM02 .......................................... 228
Tabla 10.1.4 - Evaluacin de cumplimiento para proceso habilitador EDM03 .......................................... 230
Tabla 10.1.5 - Evaluacin de cumplimiento para proceso habilitador APO01 .......................................... 234
V
Tabla 10.1.6 - Evaluacin de cumplimiento para proceso habilitador MEA01 .......................................... 237
Tabla 10.1.7 - Evaluacin de cumplimiento para proceso habilitador MEA03 .......................................... 238
Tabla 10.1.8 Admisin. Evaluacin de cumplimiento para proceso habilitador APO02 ......................... 241
Tabla 10.1.9 Admisin. Evaluacin de cumplimiento para proceso habilitador APO07 ......................... 244
Tabla 10.1.10 Admisin. Evaluacin de cumplimiento para proceso habilitador APO12 ....................... 247
Tabla 10.1.11 Admisin. Evaluacin de cumplimiento para proceso habilitador APO13 ....................... 248
Tabla 10.1.12 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI01 ......................... 251
Tabla 10.1.13 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI06 ......................... 253
Tabla 10.1.14 - Admisin. Evaluacin de cumplimiento para proceso habilitador BAI09 ......................... 256
Tabla 10.1.15 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS02 ....................... 258
Tabla 10.1.18 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO02......................... 266
Tabla 10.1.22 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI01 .......................... 276
Tabla 10.1.25 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS02 ......................... 282
Tabla 10.1.26 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS04 ......................... 284
Tabla 10.1.27 - Atencin. Evaluacin de cumplimiento para proceso....................................................... 286
Tabla 10.1.28 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO02 ........................... 289
Tabla 10.1.32 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI01 ............................. 297
Tabla 10.1.35 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS02 ........................... 303
Tabla 10.1.38 - Identificacin. Evaluacin de cumplimiento para proceso habilitador APO02 .................. 309
Tabla 10.1.40 Identificacin. Evaluacin de cumplimiento para proceso habilitador APO12 ................... 313
Tabla 10.1.42 - Identificacin. Evaluacin de cumplimiento para proceso habilitador BAI01 ................... 316
Tabla 10.1.45 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS02 .................. 321
VI
ndice de Ilustraciones
Figura 1.1.1 - Copia de carta de conformidad y evidencia de trabajo de campo .......................................... 1

Figura 2.1.1 - Siete fases del ciclo de vida de COBIT 5.0 ............................................................................. 2
Figura 2.2.1 COBIT 5.0. Procesos habilitadores ........................................................................................ 3
Figura 2.3.1 - Modelos de Madurez segn ISO/IEC 15504 .......................................................................... 6
Figura 5.1.1 - Diagrama sub-proceso referenciar a otro centro .................................................................. 59
Figura 5.1.2 - Diagrama del sub-proceso asignar camas en caso de no disponibilidad ............................. 60
Figura 5.1.3 - Diagrama del sub-proceso gestionar cobertura y presupuesto ............................................ 61
Figura 5.1.4 - Diagrama del sub-proceso realizar anlisis bsicos ............................................................. 62
Figura 5.1.5 - Diagrama del sub-proceso gestionar la hospitalizacin ........................................................ 63
Figura 5.2.1 - Diagrama del sub-proceso atender diariamente al paciente................................................. 64
Figura 5.2.2 - Diagrama del sub-proceso gestionar equipo mdico ............................................................ 65
Figura 5.3.1 - Diagrama del sub-proceso realizar la liquidacin de la cuenta ............................................. 66
Figura 6.1.1 - Documentos firmados (1) ..................................................................................................... 67
Figura 6.1.9 -Documentos firmados (9) ...................................................................................................... 75
Figura 6.1.10 - Documentos firmados (10) ................................................................................................. 76
Figura 6.1.1 - Estructura para las polticas de la organizacin ................................................................. 189
VII
ANEXO A: Carta de conformidad de la empresa
1.1 Carta
Figura 1.1.1 - Copia de carta de conformidad y evidencia de trabajo de campo
1
ANEXO B: Marco Terico y Estado del arte
2.1 COBIT 5.0: Descripcin de fases de Gobierno de TI
El ciclo de vida propuesto por COBIT 5.0 comprende de siete fases. El programa de
implantacin y mejora suele ser continuo e iterativo. Durante la ltima fase, los nuevos
objetivos y requisitos sern identificados y comenzar un nuevo ciclo. [ISACA, 2012c].
Figura 2.1.1 - Siete fases del ciclo de vida de COBIT 5.0. [ISACA, 2012c].
Estas siete fases se describen a continuacin [ISACA, 2012c]:
Fase 1 - Cules son los drivers?: Identifica los controles del cambio y crea en
el comit estratgico o directivos el deseo del cambio, el cual se expresa en un
business case. Los drivers pueden ser eventos, tendencias, dficits de
rendimiento, implementaciones de software e incluso objetivos estratgicos de la
empresa. Estos pueden actuar como impulsadores del cambio.
Fase 2 - Dnde nos encontramos ahora?: Alinea los objetivos relacionados

con las estrategias de la empresa y el riesgo, dando prioridad a los objetivos
empresariales ms importantes relacionados con las TI, metas y procesos.
Fase 3 - Dnde queremos estar?: Establece un objetivo de mejora seguido de

un anlisis de brecha para identificar posibles soluciones. Se debe dar prioridad a
los proyectos que son ms fciles de lograr y la probabilidad de beneficio es
mayor.
2
Fase 4 - Qu necesitamos hacer?: Planes de soluciones viables y prcticas
mediante la definicin de los proyectos apoyados por business cases justificables
y el desarrollo de un plan de cambios para su implementacin.
Fase 5 - Qu hacer para llegar ah?: En esta fase se prev la implementacin

de las soluciones propuestas en la prctica diaria y el establecimiento de medidas
y sistemas de control para asegurar el alineamiento con el negocio y que el
performance puede ser medido.
Fase 6 - Llegamos ah?: Esta fase se centra en la transicin sostenible de la

mejora del gobierno y las prcticas de gestin en las operaciones comunes de
negocio y que se logre el monitoreo de las mejoras con las mtricas de
rendimiento y los beneficios esperados.
Fase 7 - Cmo podemos mantener el impulso?: Comprende la revisin sobre

el xito de la iniciativa, considera la gobernanza adicional o requisitos de gestin y
refuerza la necesidad de la mejora continua. Da prioridad a las oportunidades
adicionales para mejorar el gobierno de TI.
2.2 COBIT 5.0: Descripcin de procesos habilitadores
A continuacin se muestra el listado de los procesos habilitadores por cada uno de los
dominios que considera el marco.
Figura 2.2.1 COBIT 5.0. Procesos habilitadores. [ISACA, 2012b]
3
Evaluar, Dirigir y Monitorear (EDM)
Este dominio en particular est alineado con la norma ISO 38500, la cual se
detallar ms adelante, pues toma como referencia las tres tareas que
recomienda est norma para un buen gobierno de TI.
Contiene los siguientes procesos habilitadores:
- Garantizar el mantenimiento y configuracin del marco de control de gobierno.
- Garantizar la entrega de beneficios.
- Garantizar la optimizacin de riesgos.
- Garantizar la optimizacin de recursos.
- Garantizar la transparencia de los stakeholders.
Alinear, Planear y Organizar (APO)

Este dominio se encarga de la administracin del planeamiento y organizacin
necesaria para el alineamiento de los objetivos de la empresa y las TI.
Contiene los siguientes procesos:
- Gestionar el marco de control de TI.
- Gestionar la estrategia.
- Gestionar la arquitectura empresarial.
- Gestionar la innovacin.
- Gestionar el portafolio.
- Gestionar el costo y el presupuesto.
- Gestionar los recursos humanos.
- Gestionar las relaciones.
- Gestionar los acuerdos de servicio.
- Gestionar proveedores.
- Gestionar la calidad.
- Gestionar el riesgo.
- Gestionar la seguridad.
Construir, Adquirir e Implementar (BAI)

Este dominio abarca el rea de construccin de una solucin para alinear las TI
con la empresa.
Contiene los siguienteS habilitadores:
- Gestionar programas y proyectos.
- Gestionar la definicin de requisitos.
4
- Gestionar la identificacin y construccin de soluciones.
- Gestionar la disponibilidad y capacidad.
- Gestionar la habilitacin de cambios organizacionales.
- Gestionar los cambios.
- Gestionar la aceptacin de cambio y la transicin.
- Gestionar el conocimiento.
- Gestionar los activos.
- Gestionar la configuracin.
Entrega, Servicio y Soporte (DSS)

El dominio abarca la operacin o ejecucin de los planes estratgicos de la
empresa y los controles de incidentes a seguir.
Contiene los siguientes procesos:
- Gestionar operaciones.
- Gestionar solicitudes de servicios e incidentes.
- Gestionar problemas.
- Gestionar la continuidad.
- Gestionar los servicios de seguridad.
- Gestionar los controles de los procesos de negocio.
Monitorear, Evaluar y Medir

Este dominio abarca lo relacionado al monitoreo de las actividades que
garantizarn un buen gobierno de TI y el xito de esta solucin.
Contiene los siguientes procesos habilitadores:
- Monitorear, evaluar y medir el rendimiento y la conformidad.
- Monitorear, evaluar y medir el sistema de control interno.
- Monitorear, evaluar y medir el cumplimiento de los requerimientos externos.
2.3 COBIT 5.0: Descripcin de niveles de madurez
COBIT 5.0 define nuevos modelos de madurez, los cuales se encuentran basados en
una norma exigente como lo es la ISO/IEC 15504. Estos son los siguientes [ISACA
2012a]:
5
Figura 2.3.1 - Modelos de Madurez segn ISO/IEC 15504. [ISACA, 2012a].
Tal como se aprecia en la figura, hay 6 niveles de capacidades para cada proceso.
Estos son:
Proceso incompleto: Este proceso no est implementado o presenta fallas en su
propsito.
Proceso ejecutado: Este proceso implementado logra su propsito.
Proceso controlado: El proceso ejecutado, previamente descrito es implementado
en un modo controlado (planeado, monitoreado y ajustado).
Proceso estable: El proceso controlado es ahora implementado usando una
definicin de procesos capaz de lograr los resultados esperados.
Proceso predecible: El proceso estable descrito ahora opera teniendo en cuenta
los lmites definidos para lograr los resultados esperados.
Proceso optimizado: El proceso predecible descrito es continuamente mejorado
hasta lograr los objetivos de negocio relevantes actualmente y proyectados.
6
ANEXO C: Mapeo de Fases de Gobierno de TI
3.1 Caso de Negocio
Contexto Estratgico
Las empresas prestadoras de servicio de salud, en particular con la cual se desarrolla

el modelo de gobierno de TI, tiene como meta la ampliacin de sus servicios hacia
toda la comunidad a travs de sus distintas modalidades o canales de atencin.
La organizacin desea llegar a toda la poblacin objetivo y brindar una mejor atencin
a travs de nuevos recursos junto con el apoyo de una buena gestin y manejo de
tecnologa de vanguardia para satisfacer las necesidades de sus clientes.
La necesidad del negocio es encontrar los recursos y capacidades necesarias para

abastecer sus sucursales y poblarlos de la infraestructura tecnolgica necesaria para
brindar atencin y a su vez para soportar sus sistemas organizacionales y cumplir con
las regulaciones a las cuales se encuentran sujetas.
Los drivers1 del cambio identificados son:

Recursos: Necesidad de integrar servicios que cubran las necesidades y de
acuerdo a la expansin deseada y planificada (incremento de sucursales) y que se
estn alineados a los objetivos de negocio.
Regulaciones: Se incorpora la ley 29733 para la proteccin de datos personales
en nuestro pas. No se debe dejar de lado las normas previas.
Tecnologa: Contar con tecnologa de vanguardia para mejorar su servicio.
(Asegurar el retorno del valor).
Entre las necesidades de negocio y entregables deseados se tienen:

Requerimientos clave
Core Deseable Opcional
Alinear objetivos estratgicos de la
X
organizacin junto con sus objetivos de TI.
Lograr el crecimiento de sucursales de modo
X
de llevar tecnologa que beneficien la salud.
1
Drivers: Impulsadores del cambio
7
Lograr que las tecnologas empleadas sean
las mejores del mercado de acuerdo a las X
necesidades de la empresa.
Reducir los costos en tecnologa y procesos
X
de informacin asegurando la calidad
Velar por la informacin confidencial de todos
X
los pacientes y asegurar su disponibilidad
Tabla 3.1.1- Descripcin de Requerimientos.
La inversin deseada para implementar una nueva solucin tiene como base lo
siguiente:
Cumplir con la regulacin actual y vigente dentro del pas: Ley de proteccin de
datos personales, norma tcnica peruana de historia clnica y ley de emergencia.
Brindar responsabilidad a la gerencia y dar una direccin correcta a los recursos
tcnicos y financieros para logar el cumplimiento de objetivos.
Para llevar a cabo la nueva solucin, se requiere segn el contexto, desarrollar el

proyecto por etapas considerando los cambios que se van a implementar y evaluarlos
en el espacio de tiempo necesario utilizando mtricas de acuerdo a los drivers del
cambio y objetivos deseados.
Anlisis y Recomendaciones
Opciones preliminares
Para cubrir las necesidades y segn el contexto sealado y colmar las expectativas de
la alta direccin y otros stakeholders se listan las siguientes sugerencias que puedan
corresponder los requerimientos clave:
Opciones Descripcin
Adquisicin de Equipos de Contar con equipos para deteccin de enfermedades
vanguardia. y tecnologas de informacin y sistemas que apoyen a
la mejora de la experiencia del cliente.
Implementacin de sistemas Se desea gestionar los recursos de forma adecuada y
para gestin. medir su desempeo.
8
Implementar un SGSI2 Emplear dicha solucin para cumplir con las
regulaciones y polticas de seguridad establecidas
para velar por la integridad de la informacin.
Adoptar buenas prcticas de Esta opcin se recomienda para mejorar la entrega de
ITIL servicios a los clientes, gestin de proveedores y
relaciones de negocio que sean el soporte para
cumplir otros objetivos de negocio.
Implementar un SGCN3 Se plantea esta solucin para evitar la interrupcin de
los servicios y elaborar su plan de recuperacin de
servicios de TI.
Implementar un Sistema de Se plantea esta solucin para lograr la direccin
Gobierno de TI estratgica y alcance de objetivos, basado en los
enfoques y procesos ms relevantes, sin dejar de lado
los drivers y resultados esperados.
Implementar la mejora Esta opcin se toma en cuenta como parte de un
continua trabajo de reingeniera de los procesos y lograr
incrementar su eficiencia.
Tabla 3.1.2 - Descripcin de Opciones a considerar
Criterios para la
1 2 3 4 5 6 7
eleccin
Cumplir con la No No S - S S No
regulacin
Cubrir las S No S S S S No
necesidades de
negocio
Potenciar y mejorar el S S - S No S S
servicio entregado
Entrega de valor para No No S S No S S
las partes interesadas
Resultados Inviable Inviable Viable Viable Aplica4 Viable Inviable
Tabla 3.1.3 - Evaluacin de criterios por propuesta
2
SGSI: Sistema de Gestin de seguridad de Informacin
3
SGCN: Sistema de Gestin de Continuidad de negocios
4
En este caso particular un SGCN aporta a la solucin del problema pero existen mejores opciones.
9
Opciones viables
Tras la evaluacin de los criterios, realizada en base al alcance y definicin de este
tipo de proyectos, se tiene como opciones viables las siguientes:
Opcin 1: Emplear principios de ITIL para la entrega de servicio.
Opcin 2: Implementar un gobierno de TI.
Opcin 3: Implementar un SGSI.
Anlisis de costos e inversin: Resumen

Consideraciones generales:
Enfoques para gobierno de TI: Seguridad de Informacin como base
proyectndose posteriormente a la gestin de operaciones de TI.
Costos expresados en dlares.
Horas laborales: 8 horas.
Se asume un personal que cuenta con la respectiva certificacin en dichos rubros.
Beneficios Criterios: Preservar vida humana, calidad en procesos, integracin con
otras soluciones, trabajos futuros y tiempo de vida del proyecto.
5
Costo Beneficios Costo Costo Costo
6
total efectivo Beneficio beneficio Neto
Opcin 1: ITIL 90000 40 80000 4000 10000
Opcin 2: 200000 25 192000 2500 5000
Gobierno
Opcin 3: SGSI 121000 35 115000 3500 6000
Tabla 3.1.4 - Resumen de costos de proyectos
Consideraciones y otros datos a asumir:

ITIL Gobierno de TI SGSI
Hora de consultora 80 100 90

Tiempo de duracin 7 6 meses 10 meses 8 meses
Tiempo destinado a Incluye 2 meses Incluye
la documentacin. documentacin. documentacin.
Tabla 3.1.5 - Consideraciones y datos
5
El beneficio se considera como un factor. A mayor beneficio por ahorro de recursos, el factor es menor,
por ello el costo total se incrementa a razn.
6
Costo relacionado al trabajo neto en la consultora.
7
En el caso de los tiempos de duracin de los proyectos se considera la fase anlisis, diseo e
implementacin con sus respectivas iteraciones. Se toma con base proceso core y un enfoque en
particular.
10
Si bien es cierto, Gobierno de TI es un proyecto de costo ms elevado permite trabajos
futuros que empleen la propuesta conjunta de implementacin de un SGSI y buenas
prcticas de ITIL segn sea el enfoque.
Justificacin y recomendaciones
Se sugieren estas tres opciones viables, pues a nivel general, la organizacin requiere
acciones basadas en procesos clave para poder cumplir con las regulaciones y
objetivos estratgicos planteados, lo cual implica realizar un anlisis a fondo de los
beneficios y cumplimiento con criterios como el alineamiento estratgico, entrega de
valor, gestin del riesgo, entre otros que garanticen contrarrestar los efectos de la
problemtica y adaptarse al contexto descrito.
Criterios Opcin 1 Opcin 2 Opcin 3

Alineamiento estratgico No S No
Entrega de valor S S No
Gestin de riesgos No S S
Requerimientos definidos Deseable Core Core/Deseable
Cumplir con la regulacin No S S
Cubrir las necesidades de
S S S
negocio
Potenciar y mejorar el
S S No
servicio entregado
Gestin ptima de
S S No
recursos
Costos de
Costo menor Costo elevado Costo medio
implementacin
Costos de retorno (ROI) Vlido Vlido/mayor Vlido
Otros criterios de eleccin S S S
Resultado Seleccionado
Tabla 3.1.6 - Anlisis de criterios y justificacin
Se recomienda que se realice una evaluacin exhaustiva a travs de cuadros de

mando tales como el balance scorecard para la medicin de objetivos, con lo cual se
podr tener una situacin real.
Considerando la necesidad de llevar a cabo planes estratgicos y se busca una

solucin integral se plantea optar por un Gobierno de Tecnologas de Informacin,
11
pues por medio de esta solucin se puede emplear principios para disear un SGSI e
incluso adoptar buenas prcticas de ITIL por medio de sus procesos habilitadores.
Gestin y Capacidad
Tras la eleccin de implementar un sistema de gobierno de tecnologas de
informacin, se elabora el plan de supervisin de la inversin. Al ser esta una solucin
que compromete a la alta direccin, se debe definir el asignar un rol de supervisor y
establecer mecanismos de control para velar por la inversin realizada, y a travs de
mtricas e indicadores verificar los resultados. Es posible emplear el balanced
scorecard propuesto en COBIT 5.0 y evaluar la perspectiva financiera.
El proyecto debe gestionarse a lo largo de su duracin. Se estima que la

implementacin de gobierno cumple un ciclo de 2 aos para lograr resultados visibles,
en otras palabras alcanzar un nivel de madurez aceptable en sus procesos. En este
caso, se puede emplear el mapeo de fases de un proyecto de gobierno propuesto en
COBIT 5.0 en el cual a travs de sus ciclos mide los resultados y necesidades
incluyendo la inversin.
Para visualizar los resultados, se recomienda la medicin de los procesos. COBIT 5.0
brinda los mecanismos e indicadores para identificar el nivel de madurez de estos
empleando la norma ISO 15504 como base.
Los riesgos son gestionados dentro de un sistema de gobierno de TI cumpliendo con

uno de sus pilares, la gestin del riesgo, lo cual involucra al riesgo tcnico, riesgo de
inversiones, riesgo operacional, entre otros. COBIT 5.0 propone la gestin de riesgos,
al integrarse con el marco de control RISK IT. No obstante se pueden emplear otras
normas complementarias como la ISO 31000.
Para la gestin del cambio, se puede gestionar por medio de procesos habilitadores de
COBIT o incluso adoptar procesos de la fase de transicin de ITIL para aplicar sus
buenas prcticas a la gestin y cambios dentro del proyecto y su inversin.
Finalmente, para medir el rendimiento de la inversin realizada y del proyecto en

general, se puede complementar la parte de la visualizacin de resultados junto con el
mapeo de fases propuesto por COBIT 5.0 y aplicar mtricas e indicadores para la
medicin y desempeo de los procesos. Se puede optar tambin por emplear el
cuadro de mando (balanced scorecard).
12
ANEXO D: Mapeo de Fases de Gobierno de TI
4.1 Mapeo de fases de Gobierno de TI
Se realiza la identificacin del estado organizacional dentro de cada una de las fases
propuestas en COBIT 5.0 durante la iniciativa, ejecucin y posterior al programa de
gobierno de TI. Junto con el comit estratgico, del cual depende esta iniciativa, se
realiza este anlisis. Se propone para este fin la siguiente estructura.
4.1.1 Fase 1: Cules son los drivers?
Gestin del Programa de gobierno: Inicio
Se establece el comit estratgico responsables de esta iniciativa as como se

asignan sus roles y responsabilidades dentro del proyecto. Como se desarrollar un
enfoque de seguridad de informacin se reconoce inicialmente la necesidad del oficial
de seguridad de informacin.
Se establecen los objetivos de alto nivel y se prioriza aquellos que van a ser cubiertos
por esta iniciativa. Para esto se toma como referencia el plan estratgico de la
empresa y el plan de TI vigente (2012 2016).
El business case antes presentado sustenta la eleccin del proyecto bajo y sus
principales beneficios, de acuerdo a los drivers que han sido identificado y al retorno
de la inversin realizada.
Habilitar el cambio: Establecer el deseo de cambio
Entre los principales stakeholders, se reconoce la necesidad de establecer un comit

estratgico que se responsabilice de las acciones y dirija de forma idnea la divisin
de TI.
Por esta razn y segn los drivers identificados, este comit y los involucrados deben
comunicar esta iniciativa para motivar al personal para colaborar en esta etapa de
cambio producto de los drivers e intenciones para lograr los objetivos estratgicos
planteados a corto y largo plazo.
13
Como organizacin, se establecen los planes iniciales para lograr este cambio y
evaluar el impacto de esta solucin frente a los beneficios y resultados esperados.
Mejora continua del ciclo de vida: Reconocer la necesidad de actuar
El comit reconoce que es necesario aplicar medidas y nuevas polticas para la

mejora de sus procesos que conlleve a alcanzar los objetivos estratgicos producto
de los nuevos impulsos.
Recabando la informacin sobre los las necesidades de los stakeholders, documentos

y otros activos que reflejen el estado actual de la organizacin, se identifican los
siguientes drivers y se alinean a guas o principios de organizaciones internacionales:
Recursos: Necesidad de integrar servicios que cubran las necesidades y de

acuerdo a la expansin deseada y planificada (incremento de sucursales) y que
se estn alineados a los objetivos de negocio.
Regulaciones: Se incorpora la ley 29733 para la proteccin de datos personales
en nuestro pas. Se debe mantener lo estipulado por la norma tcnica de la
historia clnica [Minsa, 2005].
Tecnologa: Contar con tecnologa de vanguardia para mejorar su servicio para
beneficio de sus clientes. Adems de asegurar el retorno de stas inversiones.
Tabla 4.1.1 - Mapeo Fase 1 del ciclo de vida de gobierno
4.1.2 Fase 2: Dnde estamos?
Gestin del Programa de gobierno: Describir los problemas y oportunidades
Actualmente la empresa atraviesa un proceso de cambio dentro de la alta direccin,

por ende existe una nueva visin dentro de la gerencia tanto como de la gerencia de
informtica. A esto se suma, las regulaciones vigentes dentro de la organizacin que
les exige velar por la seguridad del paciente y mejorar su experiencia empleando sus
servicios.
14
As mismo, se debe corresponder a las exigencias de sus stakeholders y
proveedores, especialmente a los actores y canales a travs de los cuales se brindan
los servicios, tales como las aseguradoras, institutos con los cuales se trabajan en
conjunto y otros programas de salud.
Entre sus oportunidades se identifica la mejora a nivel estratgico de sus tecnologas

de informacin para cumplir con las regulaciones existentes y la oportunidad de
crecimiento y acceso a nuevas tecnologas para acceder a la especializacin en
lneas de negocio que conlleven a competir a nivel local y tener un reconocimiento
fuera del pas.
Habilitar el cambio: Establecer el equipo de implementacin
Para conseguir la implementacin del gobierno de TI, se debe de contar con personas
con experiencia y conocimiento necesario sobre estos principios y el marco elegido,
en este caso COBIT 5.0.
Inicialmente se parte de la iniciativa de comprometer en esta implementacin al Jefe

de proyectos de la organizacin y al encargado de establecer gobierno bajo COBIT
4.1.
No obstante, se deber optar por una capacitacin o contar con el apoyo de una
consultora externa, propuesta en el business case, debido a que en el contexto
actual, son pocos los certificados en COBIT 5.0 y se va a requerir de una gua o
acompaamiento para la implementacin y definir la estrategia a seguir.
Adicionalmente a lo largo de la implementacin y la asignacin de roles se ir

incorporando nuevo personal al equipo, sobretodo a un representante de la alta
direccin para que se comprometa con esta iniciativa y los cambios que surgirn.
Mejora continua del ciclo de vida: Evaluar el estado actual
Identificados los drivers del cambio, se debe documentar las iniciativas y alinear con
los propsitos de COBIT 5.0 e ISACA internacional, reforzando entonces los objetivos
de la organizacin y desarrollando las mtricas para su medicin.
15
Se evala la situacin actual de la organizacin y se identifica un proceso core de
negocio para su mejora bajo el enfoque de seguridad de informacin.
Bajo el anlisis realizado, se refuerzan los objetivos, las estratgicas y mtricas a

seguir para la medicin del proceso a futuro y verificar si se ha alcanzado parte de los
objetivos estratgicos y como se refleja dentro de la organizacin.
4.1.3 Fase 3: Dnde Queremos Estar?
Gestin del programa de gobierno: Definir la hoja de ruta
Al tener los objetivos de alto nivel definidos, se debe de establecer y formalizar los
mecanismos para alcanzarlos. Para esto, el comit estratgico8 disea a nivel
preliminar un conjunto de pasos a seguir para alcanzar el estado ideal, para que a
nivel posterior se materialice o se corrija tomando en cuenta los riesgos producto del
cambio y estructura de roles planteada inicialmente.
Bajo el business case elaborado, se deber aterrizar los presupuestos, no obstante

dentro de este proyecto acadmico se deber asumir de todas formas los gastos
reales para formalizar, tal vez a futuro un trabajo de consultora junto con plazos
establecidos y entregables para mostrarlos a la alta gerencia y hacerlos partcipes de
la iniciativa de forma escalar.
Se asume por tanto, los costos como vlidos y que la organizacin brinda el
presupuesto inicial y lo ajusta a los plazos de este proyecto.
Habilitar el cambio: Describir y comunicar los resultados deseados
El comit estratgico debe identificar el rol de comunicador o de lo contrario ser ellos,

como dueos de la iniciativa, de comunicar de forma transversal el cambio y lo que se
espera a raz de ello, alinendose siempre al enfoque escogido de seguridad de
informacin.
8
El comit estratgico forma parte de la organizacin y la informacin es confidencial, se propone la
estructura para formalizarlo.
16
Para esto se elabora un plan inicial que debe ser documentado en el cual se
muestran todos los beneficios de la iniciativa y a su vez demostrarlos, basndose en
todo caso en casos de estudio o en su experiencia empleando COBIT 4.1 como
marco de gobierno.
No obstante, se insiste en comunicar tambin las acciones principales a realizar, tales

como la identificacin del mapa de procesos y la evaluacin a detalle del proceso
seleccionado.
Mejora continua del ciclo de vida: Definir el estado ideal y realizar el anlisis de
brecha
Se evala bajo los conceptos de COBIT 5.0 e ISACA y los objetivos de alto nivel.
Entre ellos:
Llegar a ser una de las organizaciones de salud importantes debido a que se

trabaja con lneas de negocio innovadoras tales como: Unidad de trax,
oncolgica, columna y Stroke9.
As mismo, ser reconocidos como una organizacin lder en brindar seguridad a

todo nivel a nuestros pacientes, como tambin una excelente experiencia de
nuestro servicio. Optando por el alineamiento con estndares no solo a nivel local
sino tambin internacional.
Ser lderes en tecnologa de manera estratgica, continuando con las buenas

prcticas a raz de la implantacin de COBIT 4.1.
Se realiza el anlisis de brecha para determinar cunto falta dentro de la organizacin

para llegar a ese estado, empleando estadsticas y grficos que permita a su vez
identificar las oportunidades de mejora dentro de la situacin actual.
9
Stroke: Accidente cerebrovascular
17
4.1.4 Fase 4: Qu necesita hacerse?
Gestin del programa de gobierno: Desarrollar un plan de iniciativa
Se desarrolla el plan teniendo como base proyectos para garantizar el xito del
gobierno de TI. Entre ellos:
Dar soporte al repositorio de documentacin de la organizacin y actualizar

constantemente as como estandarizar los procesos core de negocio.
Establecer las polticas de seguridad y de TI a nivel macro en conjunto con la
propuesta de COBIT 5.0.
Se realiza la priorizacin de los activos y recursos dentro de la organizacin de

acuerdo a la informacin que gestiona y los procesos seleccionados como base del
gobierno. Se tiene los siguientes:
Historias clnicas
Centro de datos dentro del cual estn los servidores que almacenan la
informacin de los pacientes y los sistemas core de la organizacin.
Personal clave y estratgico para dar la continuidad al servicio.
Finalmente se establece un plan de proyecto inicial para llevar a cabo la solucin y

sus entregables, lo cual formaliza la participacin de un externo que realizar un
trabajo de campo para justificar la iniciativa y desarrollar los planes de mejora y
polticas futuras.
Habilitar el cambio: Reforzar el esquema de roles e identificar logros a corto

plazo
Dentro de los roles identificados el comit estratgico debe de identificar segn el

enfoque seleccionado la lista de personas que sern afectadas por dicho cambio, de
manera que se hagan responsables de aceptar la calidad del resultado posterior. En
este caso, la divisin o responsables de los proyectos de seguridad de informacin.
As mismo, dentro de los logros a corto plazo se establecen identificar los siguientes:
18
Se identifican las mtricas para la evaluacin del proceso y los objetivos
alcanzados.
El proceso seleccionado se disea nuevamente y se establecen las primeras
mejoras para lograr un nivel de madurez uno (1).
Se desprenden las polticas iniciales segn los procesos habilitadores que han
sido identificados en COBIT 5.0.
Se formaliza la iniciativa de gobierno contrarrestando los efectos de la resistencia
al cambio a nivel organizacional.
No obstante, tambin se deber identificar las fortalezas del proceso AS-IS, el cual
segn la evaluacin preliminar bajo la norma ISO 15504 integrada en COBIT 5.0 su
nivel de madurez es cero (0), debido a la falta de esquemas y comunicacin del
proceso de manera transversal a la organizacin. Entre sus fortalezas se tiene:
Aceptacin de la junta directiva de la organizacin y revisin de las actividades

core.
Mapeo y asociaciones del proceso a gran nivel permitiendo una futura interaccin
o integracin con otros similares o de soporte.
Mejora continua del ciclo de vida: Disear y construir mejoras
Se disea un mapa con el cual se identifica los principales beneficios de la iniciativa y

la viabilidad de su ejecucin en conjunto con el comit estratgico. Se reafirma por
ende lo siguiente:
Enfocar el proceso escogido hacia la seguridad de informacin, bajo los

lineamientos de la norma ISO 27001 y respetando la ley de proteccin de datos
personales.
Validar los lineamientos de Hipaa que es una norma americana que rige la
seguridad a nivel del sector salud.
Por esta razn se insiste en identificar a un oficial de seguridad de informacin dentro

de este proceso de mejora para que implemente y haga respetar las polticas que se
desprendan a futuro, es decir una vez iniciado el plan de ejecucin.
19
4.1.5 Fase 5: Cmo llegamos ah?
Gestin del programa de gobierno: Ejecutar el plan
En esta etapa, se verifican ciertos detalles para la ejecucin de todos los planes
definidos as como se muestra en el caso de la implementacin de los planes d
cambio. Dentro de esta, que an sigue en marcha, se han tomado ciertas
consideraciones:
- Verificar que la ejecucin del proyecto se encuentre alineada o que tenga como
base los planes iniciales, respetando por lo tanto los tiempos establecidos.
- Aprobar junto con el comit estratgico el inicio de cada iteracin o etapa

importante de los planes. Esto se evidencia con los primeros resultados a corto
plazo que han sido obtenidos.
- Brindar informes actualizados a los stakeholders, en este caso, al comit

estratgico para garantizar el progreso y realizar la supervisin conjunta. Lo cual,
se da a notar con la validacin de los entregables y primeros resultados.
- Monitoreo constante del riesgo del proyecto para poder tomar acciones
correctivas y, segn amerite, aprobar los cambios pertinentes. Este ltimo no se
ha presentado hasta el momento, salvo por el ajuste en el alcance y la validacin
de los plazos de entrega.
Habilitar el cambio: Habilitar el funcionamiento y uso
En esta etapa, se inicia la implementacin de los planes de resistencia al cambio que

han sido diseados y formalizados por el comit estratgico lo cual incluye:
- Identificacin y reconocimiento del comit estratgico para iniciar las actividades

respectivas considerando la aceptacin y el compromiso con el cambio. Para esto
se puede tomar como ejemplo el cambio que implica la formalizacin y
adaptacin de todos los procesos organizacionales a la notacin BPMN 2.0.
As mismo, se inicia la comunicacin de funciones y responsabilidades del plan de
20
cambio, teniendo como fuente, el requerimiento del cambio en la estructura
organizacional para permitir nuevos roles o puestos para el mantenimiento del
gobierno de TI bajo el enfoque de seguridad de informacin.
Mejora continua del ciclo de vida: Implementar mejoras
Teniendo como base el input de la fase anterior, en la cual se definen los logros a
corto plazo y se disean los planes iniciales para la implantacin del gobierno de TI,
se inicia la implementacin de estos planes bajo lo siguiente:
- Formalizacin de los planes de iniciativa ajustndolos a los tiempos pertinentes

segn la viabilidad y recursos disponibles. En este caso tentativos para la
implementacin. Para el caso del diseo, se sigue el plan de proyecto inicial.
- Elaboracin del diseo de la solucin y sus documentos complementarios entre

los cuales se tiene lo siguiente:
Identificacin de mtricas para los objetivos organizacionales.

Elaboracin de los cuadros de mando para medicin de objetivos
Identificacin de los procesos habilitadores bajo el enfoque de seguridad de
informacin.
Diseo del mapa de procesos que soporta esta iniciativa
4.1.6 Fase 6: Hemos llegado?
Gestin del programa de gobierno: Darse cuenta de los beneficios
Para la supervisin e identificacin de beneficios del programa de gobierno::
Teniendo el mapeo de actividades y sub-actividades de gestin para cada

habilitador, se realiza la evaluacin con el personal indicado de acuerdo a su rol y
funcin para determinar el nivel del logro alcanzado hasta la fecha.
Se compara si lo resultados obtenidos estn alineados a los objetivos del proceso
21
y en consecuencia a los objetivos de negocio de manera que se pueda identificar
si la iniciativa y solucin es satisfactoria o si falta conciencia para poder aplicar
este tipo de proyectos, por lo cual se debe ir ms lento y asegurando la
materializacin de logros positivos y efectivos para cada una de las etapas.
Frente a los resultados, resaltar las oportunidades de mejora y detallarlas como

lecciones aprendidas. En este caso particular, los beneficios del gobierno de TI
son evidentes y estratgicos para la organizacin, pero dentro del diseo no se
muestra un alcance total de estos beneficios.
Habilitar el cambio: Insertar nuevos enfoques
Dentro de esta capa media se verifica que dentro de la organizacin no se han

formalizado los roles sugeridos para dirigir la iniciativa de gobierno de TI ni de la
funcin de seguridad de informacin. No obstante se trabajan en proyectos que
puedan justificar los cambios en la estructura organizacional, pero se sugiere
justificarlos por casos de negocio.
Como una de las metas a largo plazo es ampliar el alcance del programa de gobierno
y fortalecer la toma de decisiones, por medio de planes de cambio se define tiempos
clave para poder gobernarse de acuerdo a los nuevos roles y responsabilidades
identificada para el enfoque de seguridad de informacin, es decir velar e insistir para
llegar a un acuerdo y reconocimiento formal del comit estratgico y el oficial y gestor
Mejora continua del ciclo de vida: Operar y Medir
Junto con la empresa se trazan los periodos para la revisin de cada iteracin de
gobierno. En principio, como actualmente estn todava bajo el enfoque de COBIT
4.1, se seal una revisin cada cuatro (4) meses, sin embargo, tomando en cuenta
el alcance actual del programa y las brechas del negocio se recomienda la evaluacin
cada seis (6) meses.
Se identifican las metas y actividades de gestin a aplicar para cada proceso

habilitador. stas son las mtricas base para identificar los beneficios y la realidad de
la organizacin frente a lo que pretende llegar, por esta razn, el escenario base a
22
analizar es como se encuentran los procesos de negocio a la fecha.
Finalmente se traza como objetivo a largo plazo, revisar el modelo de gobierno de TI y

ampliar el alcance de procesos para el mismo enfoque. Sin embargo, otra de las
metas es poder optar por otro enfoque adicional, para que, a partir de este programa,
se tenga una misma cadena de responsabilidades y decisiones de alto nivel que
garantice alcanzar los objetivos de negocio.
4.1.7 Fase 7: Cmo se mantiene la iniciativa?
Gestin del programa de gobierno: Revisar la efectividad
Se verifica en esta fase que se lleve a cabo la iniciativa, es decir que algunas
actividades sean consideradas para el entorno real de la organizacin. En este caso,
la empresa referencia, por medio del marco de gobierno bajo el cual gobiernan, deben
de identificar la brecha entre ambos marcos y el enfoque de seguridad, para aplicarlo
dentro de los objetivos que tienen definidos.
Respecto al modelo de gobierno que ha sido diseado, se verifica que en efecto, est
realizado bajo el entorno de la organizacin y empleando informacin real, lo cual se
evidencia en el anexo A.
Finalmente de acuerdo a la efectividad, como la organizacin no tiene en la actualidad

todas las medidas para garantizar la seguridad de informacin y alineamiento con el
marco regulatorio, aunque las actividades identificadas para cada habilitador son
adecuadas y aceptadas por la empresa, porque en efecto representan la mejora que
desean, los objetivos del programa sern ms visibles dentro de las prximas dos (2)
iteraciones para poder adecuarse a los cambios y resaltar solo logros y fortalezas a
nivel organizacional.
Habilitar el cambio: Sostener
Dentro de las metas futuras se considera que la organizacin est en el deber de
23
capacitar y concientizar al personal respecto a estas iniciativas de gobierno, sobre
todo orientarlos para adecuarse a cambios organizacionales como el nuevo esquema
de roles y responsabilidades propuesto tras la adecuacin al marco de gobierno.
No obstante, basndose en los resultados de la evaluacin realizada, se debe validar

y volver a identificar y definir actividades de los procesos habilitadores de acuerdo a
los cambios en el entorno y el nivel de madurez que se pretenda alcanzar.
El comit estratgico tiene la responsabilidad de comunicar los resultados de la

evaluacin, para que todo el personal este enterado de las debilidades del modelo de
gobierno y en conjunto trabajen para alcanzar una meta ideal para beneficio de la
organizacin y logro de objetivos estratgicos
Mejora continua del ciclo de vida: Monitorear y evaluar

Teniendo los resultados de la evaluacin de los procesos habilitadores, se debe
identificar cules son las necesidades de mejora para encaminar esta iniciativa para
la siguiente iteracin del ciclo de vida. Se considera entonces lo siguiente:
Formalizar estrategias para la gestin e identificacin de riesgos en la

organizacin.
Establecer una funcin y estrategias de seguridad de informacin.
Lograr un nivel de madurez mayor dentro de los procesos habilitadores para
que el este programa de gobierno se encamine y se vuelva slido en la
organizacin.
Por ello, los nuevos objetivos para el gobierno de TI son:
Formalizar el programa y el enfoque de seguridad de informacin.

Incrementar el nivel de madurez para cada proceso habilitador hacia el nivel
superior.
Complementarse con otros proyectos y regulaciones actuales, considerando
incluso incrementar el alcance de este proyecto.
24
ANEXO E: Identificacin de objetivos e indicadores
5.1 Identificacin de objetivos organizacionales y justificacin
5.1.1 Resumen de objetivos mapeados
Objetivos Empresa Objetivos de COBIT 5.0

Ofrecer a los pacientes seguridad Operaciones y personal productivo
y una mejor experiencia dentro
de su estancia en la clnica.
Lograr la expansin estratgica Portafolio de productos y servicios competitivos.
de la organizacin
Lograr ser reconocidos por la Cultura de servicio orientada al cliente.
excelencia en la atencin
Lograr la eficiencia en los Optimizacin de las funcionalidades de los
procesos garantizando la procesos de negocio.
seguridad al paciente.
Contar con un equipo de calidad Personal motivado y capacitado
y altamente capacitado
Cumplir con las regulaciones Cumplimiento con leyes y regulaciones externas.
existentes
Tabla 5.1.1 Mapeo de objetivos organizacionales de la empresa con los objetivos de COBIT 5.0
5.1.2 Justificacin del mapeo
Los objetivos son mapeados a los objetivos corporativos de COBIT por lo siguiente:
Objetivo A a Objetivo 14
La relacin es directa debido a que el primer objetivo parte de brindar mejor
seguridad y experiencia al paciente por ello se requiere operaciones y personal
productivo en capacidad de brindar un servicio de acuerdo a las expectativas.
Objetivo B a Objetivo 2
Parte de la expansin estratgica no solo consiste en crecimiento a nivel de
sucursales sino por medio de programas o nuevos servicios para beneficio del
cliente. Por esta razn se mapea con dicho objetivo, pues se deber mantener un
portafolio de servicios competitivo capaz mantener un alto nivel estratgico.
25
Objetivo C a Objetivo 6
Se plantea ser reconocidos por la excelencia de atencin brindada a los clientes,
por ello se puede entender que su cultura organizacional busca orientarse a los
pacientes y la entrega de mejores servicios. Es as que se realiza el mapeo con el
objetivo corporativo 6 de COBIT 5.0.
Objetivo D a Objetivo 11
Uno de los objetivos crticos es lograr contar con procesos eficientes a nivel
financiero y optimizacin de recursos para satisfaccin de los clientes y beneficio
de la organizacin, por ello se justifica el mapeo con el objetivo 11.
Objetivo E a Objetivo 16
Este objetivo est relacionado directamente al equipo que compone la
organizacin y sus divisiones. Se reconoce la necesidad de contar con personal
capacitado para poder cumplir con las necesidades de negocio y brindar una
mejor atencin al cliente a nivel general. Por esta razn se mapea con el objetivo
16 de COBIT 5.0.
Objetivo F a Objetivo 4
Finalmente se tiene el objetivo de cumplimiento regulatorio cuyo mapeo es directo
al considerar normas como la NTP de historia clnica de los establecimientos del
sector salud, Ley de emergencia y la ley de proteccin de datos personales.
5.2 Mapeo de objetivos organizacionales con objetivos de TI
Se detallan los objetivos y su relacin principal (P) o secundaria (S) con los objetivos
organizacionales. El resumen de los objetivos de TI a aplicar se encuentra en el
documento principal junto con la justificacin de su eleccin.
Objetivo organizacional 2
Relacin
Perspectiva Objetivo de TI Objetivo
Organizacional
Alineamiento de las tecnologas y estrategia de
P
negocio
Financiera Compromiso de la direccin ejecutiva para tomar
S
decisiones relacionadas con TI
Materializar beneficios de TI habilitando la inversin P
26
y portafolios de servicio
Entregar servicios de TI alineados con los
P
requerimientos de negocio
Cliente
Uso adecuado de aplicaciones, informacin y
S
soluciones tecnolgicas
Agilidad de TI P
Optimizacin de activos, recursos y capacidades de
S
las TI
Capacitacin y soporte de procesos de negocio a
travs de la integracin de aplicaciones y tecnologa P
Proceso
en los procesos empresariales
Interno
Entrega de Programas que proporcionen beneficios
a tiempo, dentro del presupuesto y satisfaciendo los S
requisitos y normas de calidad
Disponibilidad de informacin til y relevante para la
S
toma de decisiones
Aprendizaje Personal de Negocio y TI competente y motivado S
y Conocimiento, experiencia e iniciativa para la
P
Crecimiento innovacin empresarial
Tabla 5.2.1 - Objetivos de TI identificados para objetivo organizacional 2
Relacin
Organizacional
Cumplimiento de TI y soporte para el cumplimiento
P
empresarial de las leyes y regulaciones externas
Financiera
Riesgos de negocio relacionados con las
S
tecnologas de informacin gestionadas
Cliente S
Seguridad de Informacin, infraestructura de
P
Proceso procesamiento y aplicaciones
Interno Disponibilidad de informacin til y relevante para
S
la toma de decisiones
27
Cumplimiento de las polticas internas por parte de
S
las TI
Relacin
Organizacional
P
negocio
Financiera
Materializar beneficios de TI habilitando la
S
inversin y portafolios de servicio
P
Cliente
S
Agilidad de TI S
travs de la integracin de aplicaciones y S
Proceso
tecnologa en los procesos empresariales
Interno
Entrega de Programas que proporcionen
beneficios a tiempo, dentro del presupuesto y S
satisfaciendo los requisitos y normas de calidad
Aprendizaje Personal de Negocio y TI competente y motivado S
S
Relacin
Organizacional
Financiera P
negocio
28
Compromiso de la direccin ejecutiva para tomar
S
S
P
Cliente
P
Agilidad de TI P
Optimizacin de activos, recursos y capacidades
S
de las TI
Proceso travs de la integracin de aplicaciones y P
Interno tecnologa en los procesos empresariales
Disponibilidad de informacin til y relevante para
S
la toma de decisiones
Conocimiento, experiencia e iniciativa para la
S
innovacin empresarial
Relacin
Organizacional
Financiera S
Cliente P
Agilidad de TI S
Optimizacin de activos, recursos y capacidades
S
Proceso de las TI
Interno Capacitacin y soporte de procesos de negocio a
travs de la integracin de aplicaciones y S
tecnologa en los procesos empresariales
29
Aprendizaje
y Personal de Negocio y TI competente y motivado P
Crecimiento
Relacin
Organizacional
S
negocio
Compromiso de la direccin ejecutiva para tomar
Financiera S
Riesgos de negocio relacionados con las
S
tecnologas de informacin gestionadas
S
Cliente
S
Proceso Agilidad de TI
S
Interno
Aprendizaje Personal de Negocio y TI competente y motivado P
S
5.2.1 Justificacin de Objetivos de TI identificados
Para el cumplimiento de los objetivos organizacionales planteados y alineados al

marco de gobierno COBIT 5.0 se identifican los siguientes objetivos de TI de acuerdo
a las necesidades reales de la empresa para posteriormente identificar las mtricas y
procesos habilitadores segn el enfoque de seguridad de informacin.
Alineamiento de las tecnologas y estrategia de negocio
30
Se considera este objetivo porque al plantear este proyecto se desea alcanzar el
alineamiento estratgico entre objetivos de negocio y tecnologas de informacin,
por ello se debe de realizar la evaluacin respectiva en la organizacin para
garantizar su cumplimiento.
Compromiso de la direccin ejecutiva para tomar decisiones relacionadas con TI

Otra razn para establecer gobierno de TI es la iniciativa de involucrar a la alta
direccin con las decisiones a nivel de tecnologas. Por ello forma parte de los
objetivos planteados para la organizacin.
Cumplimiento de TI y soporte para el cumplimiento empresarial de las leyes y

regulaciones externas
Se debe garantizar el cumplimiento regulatorio a todo nivel incluyendo normas que
competen a las tecnologas o que sean responsabilidad de la divisin de TI.
Materializar beneficios de TI habilitando la inversin y portafolios de servicio

Continuando con las metas e iniciativas del gobierno de TI se debe garantizar el
retorno de las inversiones realizando un seguimiento a los beneficios obtenidos
por el uso de tecnologas de informacin.
Entregar servicios de TI alineados con los requerimientos de negocio

Segn la perspectiva del cliente, se considera como objetivo la entrega de
servicios que tengan como base los requerimientos de negocio como parte de los
principios de alineamiento estratgico garantizando la satisfaccin de los clientes
y otros stakeholders.
Uso adecuado de aplicaciones, informacin y soluciones tecnolgicas

Se considera el objetivo pues segn las normas de la clnica se debe usar
adecuadamente la informacin de los pacientes, datos internos y garantizar la
gestin de aplicaciones y soluciones que soporten procesos organizacionales.
Seguridad de Informacin, infraestructura de procesamiento y aplicaciones

Relacionado con el objetivo anterior, se hace hincapi en garantizar la seguridad
de informacin a nivel organizacional y de la infraestructura de procesamiento
debido a las regulaciones y la lnea de negocio a seguir. La importancia de este
objetivo se ve reforzada por la ley de proteccin de datos personales.
31
Optimizacin de activos, recursos y capacidades de las TI
Como parte de los objetivos de negocio que sealan apuntar a la excelencia
organizacional por medio de la eficiencia, se requiere por lo tanto la optimizacin a
nivel de tecnologa en forma estratgica.
Capacitacin y soporte de procesos de negocio a travs de la integracin de

aplicaciones y tecnologa en los procesos empresariales
Se considera este objetivo debido a la importancia de que las tecnologas de
informacin soporten procesos de negocio de forma estratgica contribuyendo a
los principios de alineamiento de gobierno de TI.
Cumplimiento de las polticas internas por parte de las TI

Se debe garantizar el cumplimiento de las polticas de TI establecidas en la
organizacin y las que se propondrn luego de la aplicacin de polticas de
gobierno de TI de acuerdo al enfoque de seguridad de informacin.
Personal de Negocio y TI competente y motivado

Se considera parte de los objetivos de Tecnologa de informacin debido a la
importancia del personal o equipo dentro de la organizacin, lo cual se ve
reflejado en los objetivos de negocio. Es fundamental por lo tanto garantizar su
motivacin y contribuir con el crecimiento de sus competencias.
Conocimiento, experiencia e iniciativa para la innovacin empresarial

Dado que los objetivos organizacionales reflejan la iniciativa de alcanzar la
excelencia a travs de un crecimiento estratgico, se considera este objetivo que
apunta a la innovacin por medio de tecnologas y segn la experiencia e
iniciativas del personal.
5.3 Identificacin de mtricas para objetivos de negocio y de TI
A continuacin se muestran las mtricas sugeridas para los objetivos de negocio.

stas son referenciales y debern ser ajustadas para cada escenario real de las
empresas prestadoras de servicios de salud.
32
Objetivos organizacionales
En el documento principal se muestran los respectivos cuadros de mando a emplearse

dentro de la organizacin para la medicin de las mtricas identificadas.
Perspectiva Objetivo de Negocio Mtricas

Porcentaje de productos y servicios que
alcanzan o exceden los objetivos de
ingreso y/o cuota de mercado.
Portafolio de
productos y servicios
alcanzan o exceden los objetivos de
competitivos.
satisfaccin al cliente.
proporcionan ventajas competitivas
Financiera
Costo de incumplimientos regulatorios
incluyendo acuerdos y sanciones
Nmero de incumplimientos regulatorios
Cumplimiento con
causantes de comentarios pblicos o
leyes y regulaciones
publicidad negativa
externas.
Nmero de incumplimientos regulatorios
en relacin con acuerdos contractuales
con socios de negocios
Nmero de interrupciones del servicio al
cliente debidos a incidentes relacionados
con el servicio TI (fiabilidad)
Cultura de servicio Porcentaje de stakeholders que se
Cliente
orientada al cliente. encuentran satisfechos con que la entrega
del servicio de cliente cumpla con los
niveles acordados
Nmero de quejas de clientes
Frecuencia de las evaluaciones de
Optimizacin de las madurez de la capacidad de los procesos
Proceso
funcionalidades de los de negocio
Interno
procesos de negocio. Niveles de satisfaccin del Consejo de
Administracin y la alta direccin con las
33
capacidades de los procesos de negocio
Nmero de programas/proyectos en
Operaciones y tiempo y presupuesto
personal productivo Niveles de costo y de personal
comparados al benchmarking
Nivel de satisfaccin de los stakeholders
con la experiencia y capacidades del
Aprendizaje personal
Personal motivado y
y Porcentaje de personal cuya capacidad es
capacitado
crecimiento insuficiente para la competencia requerida
por su rol
Porcentaje de personal satisfecho
Tabla 5.3.1 - Mtricas para los objetivos organizacionales
Objetivos de TI
Perspectiva Objetivo de TI Mtricas

Porcentaje de metas estratgicas y
requerimientos corporativos apoyados por
metas estratgicas de TI
Alineamiento de las
Nivel de satisfaccin de los stakeholders
tecnologas y
con el alcance del portafolio de programas
estrategia de negocio
y servicios planificados
Porcentaje de factores de valor de TI
mapeados a factores de valor del negocio
Financiera Porcentaje de roles de la direccin
ejecutiva con responsabilidad definida en
Compromiso de la
decisiones TI
direccin ejecutiva
Frecuencia de reuniones del comit
para tomar decisiones
ejecutivo de estrategia de TI
relacionadas con TI
Tasa de ejecucin de decisiones TI por
parte de la alta direccin.
Cumplimiento de TI y Costo de incumplimiento de TI, incluyendo
soporte para el acuerdos, sanciones e impacto en prdida
34
cumplimiento de reputacin
empresarial de las Nmero de incumplimientos de TI
leyes y regulaciones reportados al Consejo de Administracin o
externas causantes de comentarios o vergenza
pblica
Nmero de incumplimientos relacionados
con proveedores de servicios de TI
Porcentaje de servicios de TI donde se
Materializar beneficios
obtienen los beneficios esperados
de TI habilitando la
Porcentaje de inversiones de TI donde se
inversin y portafolios
cumplen o exceden los beneficios
de servicio
esperados
Nmero de interrupciones de negocio
debidas a incidentes de servicios de TI
Entregar servicios de
Porcentaje de stakeholders satisfechos de
TI alineados con los
que la entrega de servicios de TI cumpla
requerimientos de
los niveles de servicio acordados
negocio
Porcentaje de usuarios satisfechos con la
calidad de la entrega de servicios de TI
Porcentaje de propietarios de procesos de
Cliente negocio satisfechos con el apoyo de
productos y servicios de TI
Uso adecuado de
Nivel de entendimiento de los usuarios del
aplicaciones,
negocio sobre cmo las soluciones
informacin y
tecnolgicas apoyan sus procesos
soluciones
Valor presente neto (VPN) mostrando el
tecnolgicas
nivel de satisfaccin del negocio con la
calidad y utilidad de las soluciones
tecnolgicas
Nmero de incidentes de seguridad
Seguridad de causantes de prdidas financieras,
Informacin, interrupcin del negocio o vergenza
Proceso
infraestructura de pblica
Interno
procesamiento y Tiempo de concesin, cambio y
aplicaciones eliminacin de privilegios de acceso
comparado con los niveles de servicio
35
acordados
Frecuencia de las evaluaciones de
seguridad en relacin a los ltimos
estndares y guas
Frecuencia de evaluaciones de la
madurez de la capacidad y de la
Optimizacin de
optimizacin de costos
activos, recursos y
Niveles de satisfaccin de la alta direccin
capacidades de las TI
y de la divisin de TI con los costos y
capacidades TI
Nmero de incidentes del procesamiento
Capacitacin y de negocio causados por errores de
soporte de procesos integracin de la tecnologa
de negocio a travs Nmero de programas de negocio
de la integracin de facilitados por TI retrasados o incurriendo
aplicaciones y en costos adicionales debido a problemas
tecnologa en los de integracin de la tecnologa
procesos Nmero de aplicaciones o infraestructuras
empresariales crticas operando aisladamente y no
integradas
Nmero de incidentes relacionados con el
incumplimiento de polticas
Cumplimiento de las
Porcentaje de polticas apoyadas por
polticas internas por
estndares y prcticas de trabajo efectivas
parte de las TI
Frecuencia de revisin y actualizacin de
polticas
Porcentaje de personal cuyas habilidades
de TI son suficientes para la competencia
requerida por sus roles
Personal de Negocio
Porcentaje de personal satisfecho con sus
Aprendizaje y TI competente y
roles en TI
y motivado
Nmero de horas de
crecimiento
aprendizaje/formacin por miembro del
personal
Conocimiento, Nivel de concienciacin y comprensin de
experiencia e la alta direccin del negocio sobre las
36
iniciativa para la posibilidades de Innovacin de TI
innovacin Nivel de satisfaccin de los stakeholders
empresarial con los niveles de experiencia e ideas de
innovacin de TI
Nmero de iniciativas aprobadas
resultantes de ideas de TI innovadoras
Tabla 5.3.2 - Mtricas para objetivos de TI
37
ANEXO F: Anlisis de procesos de COBIT 5.0 a aplicar a la organizacin
6.1 Mapeo de objetivos de TI y sus procesos habilitadores
A continuacin se presentan los objetivos de TI identificados y su relacin con los

procesos habilitadores propuestos por COBIT.
Objetivo de TI: Alineamiento de las tecnologas y estrategia de negocio
Dominio Proceso Relacin

Garantizar el mantenimiento y P
configuracin del marco de control de
gobierno
Evaluar, Dirigir y Garantizar la entrega de beneficios P
Monitorear Garantizar la optimizacin de riesgos S
Garantizar la optimizacin de recursos S
Garantizar la transparencia de los S
stakeholders
Gestionar el marco de control de TI P
Gestionar la estrategia P
Gestionar la arquitectura empresarial P
Gestionar el portafolio P
Alinear, Planear y Gestionar los recursos humanos P
Organizar Gestionar las relaciones P
Gestionar la innovacin S
Gestionar el costo y el presupuesto S
Gestionar los acuerdos de servicio S
Gestionar la calidad S
Gestionar programas y proyectos P
Gestionar la definicin de requisitos P
Gestionar la identificacin y construccin S
Construir, adquirir e
de soluciones
implementar
Gestionar la habilitacin de cambios S
organizacionales
Gestionar el conocimiento S
38
Entregar, dar servicio Gestionar la continuidad S
y soporte Gestionar los servicios de seguridad S
Monitorear, evaluar y Monitorear, evaluar y medir el S
asegurar rendimiento y la conformidad
Tabla 6.1.1 - Procesos habilitadores segn Objetivo de TI 1
Objetivo de TI: Compromiso de la direccin ejecutiva para tomar decisiones

relacionadas con TI

gobierno
Evaluar, Dirigir y Garantizar la entrega de beneficios S
Garantizar la transparencia de los P
stakeholders
Gestionar el marco de control de TI S
Gestionar la estrategia S
Gestionar la arquitectura empresarial S
Alinear, Planear y
Gestionar el portafolio S
Organizar
Gestionar los recursos humanos S
Gestionar las relaciones S
Gestionar programas y proyectos S
Gestionar la definicin de requisitos S
implementar
organizacionales
Gestionar el cambio S
39
Objetivo de TI: Cumplimiento de TI y soporte para el cumplimiento empresarial
de las leyes y regulaciones externas

Garantizar el mantenimiento y S
Evaluar, Dirigir y gobierno
stakeholders
Gestionar proveedores S
Alinear, Planear y
Organizar
Gestionar el riesgo P
Gestionar la seguridad P
Gestionar los activos S
implementar
Gestionar la configuracin P
Gestionar las operaciones S
Gestionar los problemas S
y soporte Gestionar los servicios de seguridad P
Gestionar los controles de los procesos S
de negocio
Monitorear, evaluar y medir el S
rendimiento y la conformidad
Monitorear, evaluar y medir el sistema de P
Monitorear, evaluar y
control interno
asegurar
Monitorear, evaluar y medir el P
cumplimiento de los requerimientos
externos
40
Objetivo de TI: Materializar beneficios de TI habilitando la inversin y portafolios
de servicio

Evaluar, Dirigir y
gobierno
Monitorear
Garantizar la entrega de beneficios P
Gestionar la innovacin P
Gestionar el portafolio P
Alinear, Planear y
Gestionar el costo y el presupuesto P
Organizar
Gestionar la calidad P
Gestionar programas y proyectos P
de soluciones
Gestionar la disponibilidad y capacidad S
implementar
organizacionales
Gestionar la aceptacin de cambio y la S
transicin
Entregar, dar servicio
y soporte
Gestionar la continuidad S
41
externos
Objetivo de TI: Entregar servicios de TI alineados con los requerimientos de

negocio

gobierno
Garantizar la transparencia de los P
stakeholders
Alinear, Planear y Gestionar los recursos humanos S
Organizar Gestionar las relaciones P
Gestionar los acuerdos de servicio P
Gestionar proveedores P
Gestionar la calidad P
Gestionar el riesgo S
Gestionar la seguridad S
Gestionar la identificacin y construccin P
de soluciones
implementar
Gestionar la disponibilidad y capacidad P
organizacionales
42
Gestionar el cambio P
transicin
Gestionar las operaciones P
Gestionar solicitudes de servicios e P
incidentes
Entregar, dar servicio Gestionar los problemas P
y soporte Gestionar la continuidad P
Gestionar los servicios de seguridad S
Gestionar los controles de los procesos P
de negocio
Monitorear, evaluar y medir el sistema de S
control interno
asegurar
externos
Objetivo de TI: Uso adecuado de aplicaciones, informacin y soluciones

tecnolgicas

Garantizar la entrega de beneficios S
Evaluar, Dirigir y
Garantizar la optimizacin de riesgos S
Monitorear
Alinear, Planear y Gestionar la innovacin P
Organizar Gestionar el portafolio S
43
Gestionar la seguridad S
de soluciones
Gestionar la habilitacin de cambios P
organizacionales
implementar
Gestionar la aceptacin de cambio y la P
transicin
Gestionar la configuracin S
Gestionar solicitudes de servicios e S
incidentes
Entregar, dar servicio Gestionar los problemas S
y soporte Gestionar la continuidad S
de negocio
Monitorear, evaluar y rendimiento y la conformidad
asegurar Monitorear, evaluar y medir el sistema de S
control interno
Tabla 6.1.6 -Procesos habilitadores segn Objetivo de TI 6
44
Objetivo de TI: Seguridad de Informacin, infraestructura de procesamiento y
aplicaciones

Evaluar, Dirigir y configuracin del marco de control de
Monitorear gobierno
Garantizar la optimizacin de riesgos P
Alinear, Planear y
Organizar
Gestionar el riesgo P
Gestionar la seguridad P
Gestionar el cambio P
implementar
Entregar, dar servicio incidentes
de negocio
Monitorear, evaluar y control interno
asegurar Monitorear, evaluar y medir el S
externos
45
Objetivo de TI: Optimizacin de activos, recursos y capacidades de las TI

Evaluar, Dirigir y
gobierno
Monitorear
Garantizar la optimizacin de recursos P
Gestionar la arquitectura empresarial P
Alinear, Planear y
Organizar
Gestionar los recursos humanos P
de soluciones
Gestionar la disponibilidad y capacidad P
implementar
organizacionales
Gestionar los activos P
Gestionar la configuracin P
Gestionar las operaciones P
Entregar, dar servicio Gestionar los problemas P
46
de negocio
Monitorear, evaluar y Monitorear, evaluar y medir el P
Objetivo de TI: Capacitacin y soporte de procesos de negocio a travs de la

integracin de aplicaciones y tecnologa en los procesos empresariales

Evaluar, Dirigir y configuracin del marco de control de
Monitorear gobierno
Alinear, Planear y Gestionar la arquitectura empresarial S
Organizar Gestionar la innovacin S
Gestionar las relaciones P
de soluciones
Construir, adquirir e Gestionar la habilitacin de cambios S
implementar organizacionales
Gestionar la aceptacin de cambio y la P
transicin
y soporte
de negocio
Tabla 6.1.9 -Procesos habilitadores segn Objetivo de TI 9
47
Objetivo de TI: Cumplimiento de las polticas internas por parte de las TI

Monitorear Garantizar la optimizacin de riesgos P
stakeholders
Alinear, Planear y Gestionar las relaciones S
Organizar Gestionar los acuerdos de servicio S
transicin
implementar
incidentes
Entregar, dar servicio Gestionar los problemas S
de negocio
asegurar Monitorear, evaluar y medir el sistema de P
control interno
48
externos
Objetivo de TI: Personal de Negocio y TI competente y motivado

Monitorear Garantizar la entrega de beneficios S
Garantizar la optimizacin de riesgos S
Garantizar la optimizacin de recursos P
Alinear, Planear y Gestionar los recursos humanos P
Organizar Gestionar las relaciones S
Construir, adquirir e Gestionar programas y proyectos S
implementar Gestionar el conocimiento S
y soporte Gestionar los controles de los procesos S
de negocio
49
Objetivo de TI: Conocimiento, experiencia e iniciativa para la innovacin
empresarial

gobierno
stakeholders
Alinear, Planear y Gestionar el portafolio S
Organizar Gestionar los recursos humanos P
Gestionar las relaciones P
de soluciones
Gestionar la habilitacin de cambios P
implementar
organizacionales
transicin
Gestionar el conocimiento P
y soporte
incidentes
50
de negocio
control interno
asegurar
externos
6.1.1 Justificacin de procesos habilitadores
Dentro de la organizacin se debe tomar en cuenta nicamente aquellos procesos

habilitadores que correspondan con la lnea de negocio y con su situacin, en otras
palabras su entorno actual, regulaciones a las cuales estn sujetos y hacia dnde se
quiera llegar segn el plan estratgico vigente y sus planes de TI.
Por esta razn, segn la relacin principal y secundaria para cada uno de los objetivos
de TI y su respectivo proceso habilitador. A nivel general aplican los siguientes
procesos habilitadores de COBIT 5.0
Dominio Proceso Habilitador

Garantizar el mantenimiento y configuracin del marco
de control de gobierno
Evaluar, Dirigir y
Garantizar la entrega de beneficios
Monitorear
Garantizar la optimizacin de riesgos
Garantizar la optimizacin de recursos
Gestionar el marco de control de TI
Gestionar la estrategia
Alinear, Planear y
Gestionar la innovacin
Organizar
Gestionar el portafolio
51
Gestionar el costo y el presupuesto
Gestionar los recursos humanos
Gestionar los acuerdos de servicio
Gestionar proveedores
Gestionar la calidad
Gestionar el riesgo
Gestionar la seguridad
Gestionar programas y proyectos
Gestionar la definicin de requisitos
Gestionar la disponibilidad y capacidad
Construir, adquirir e Gestionar la habilitacin de cambios organizacionales
implementar Gestionar el cambio
Gestionar la aceptacin de cambio y la transicin
Gestionar los activos
Gestionar la configuracin
Gestionar las operaciones
Gestionar solicitudes de servicios e incidentes
Entregar, dar servicio y
Gestionar la continuidad
soporte
Gestionar los servicios de seguridad
Gestionar los controles de los procesos de negocio
Monitorear, evaluar y medir el rendimiento y la
conformidad
Monitorear, evaluar y medir el sistema de control interno
asegurar
Monitorear, evaluar y medir el cumplimiento de los
requerimientos externos
Tabla 6.1.13 - Aplicacin de procesos habilitadores segn la organizacin
Dominio Evaluar, Dirigir y Monitorear

Este dominio contiene a grandes rasgos los procesos que constituyen los cinco (5)
pilares del gobierno. No obstante, dentro de la organizacin se consideran
nicamente cuatro (4) segn la priorizacin. Esto se debe a que la transparencia y
relaciones de los stakeholders no es nicamente responsabilidad de la empresa
sino tambin a nivel de la cadena de aseguradoras y otros actores cuyo nivel de
impacto sera muy elevado y debera ser tomado en cuenta a largo plazo segn la
aceptacin de esta iniciativa y los resultados iniciales.
52
Dominio Alinear, Planear y Organizar
Se consideran dentro de la organizacin once (11) procesos habilitadores de los
trece (13) planteados por COBIT 5.0 segn la prioridad. En el caso de la gestin
de relaciones no es considerada por un motivo similar al del proceso
transparencia de los stakeholders pues primero debe de consolidarse la iniciativa
para fortalecerla y comunicarla progresivamente dentro de toda la organizacin y
externos. En el caso de la gestin de la arquitectura empresarial, no es
considerada debido a que se plantea realizar el seguimiento a partir del proceso
garantizar la optimizacin del recursos dado que toda la infraestructura tcnica ha
sido recientemente cambiada y segn la organizacin siguiendo medidas tanto
internas como externas.
Dominio Construir, Adquirir e Implementar

Se consideran en el caso de este dominio ocho (8) de los diez (10) procesos
habilitadores contemplados en COBIT 5.0. El proceso de la identificacin y
construccin de soluciones no se considera debido a que un tema tcnico, lo cual
actualmente no es uno de los enfoques que la organizacin desee reforzar. En
cuanto a la gestin del conocimiento, no aplica segn la prioridad y debido a la
resistencia al cambio dentro de estos temas, por lo cual su gestin ser a travs
de otro proceso habilitador y considerado posiblemente en algn trabajo futuro u
otra iteracin de gobierno segn la necesidad de la organizacin.
Dominio Entregar, Dar servicio y soporte

En el caso de este dominio, aplican cinco (5) de los seis (6) procesos propuestos
en COBIT. Se deja fuera de aplicacin la Gestin de problemas debido a que la
actual mesa de ayuda no contempla estos conceptos directamente, sino que est
incluido dentro de la gestin de incidentes, por lo cual la aplicacin de este
proceso quedara pendiente en otra iteracin segn las polticas y buenas
prcticas que requiera adoptar la organizacin.
Dominio Monitorear, Evaluar y Asegurar

Para este dominio aplican todos los procesos habilitadores a la cultura de la
organizacin, no obstante, en el caso de Monitorear, evaluar y medir el sistema de
control interno se hace la acotacin que dentro de la organizacin se plante un
mecanismo de gobierno y control a partir de COBIT 4.1, por lo cual parte de este
proyecto consistira en realizar el upgrade a COBIT 5.0 segn seguridad de
53
informacin con un enfoque ms corporativo que el planteado en la anterior
versin del marco. No obstante, se debe de realizar la evaluacin que determine si
las polticas de COBIT 4.1 han sido aplicadas o no, pues de lo contrario este
modelo sera la primera iniciativa en temas de control interno y gobierno, la cual
podra apoyarse en otros marcos y formalizar dentro de la organizacin dicha
divisin que vele por el cumplimiento de las polticas internas y regulaciones.
6.2 Objetivos de seguridad de informacin y regulaciones identificados.
Se muestra en las siguientes tablas los objetivos relacionados con la seguridad de

informacin y regulaciones externas e internas debido al enfoque del gobierno de TI.
Se muestra la lista de procesos habilitadores de relacin principal (P).
Seguridad de Informacin, infraestructura de procesamiento y aplicaciones

Evaluar, Dirigir y Garantizar la optimizacin de riesgos P
Monitorear
Alinear, Planear y Gestionar el riesgo P
Organizar Gestionar la seguridad P
Construir, adquirir e Gestionar el cambio P
implementar
Tabla 6.2.1 - Procesos habilitadores Objetivo de TI 7. Resumen
Cumplimiento de TI y soporte para el cumplimiento empresarial de las leyes y

regulaciones externas

Alinear, Planear y Gestionar el riesgo P
Organizar Gestionar la seguridad P
Construir, adquirir e Gestionar la configuracin P
implementar
Entregar, dar servicio Gestionar los servicios de seguridad P
54
y soporte
Monitorear, evaluar y medir el sistema de P
control interno
asegurar
externos
Cumplimiento de las polticas internas por parte de las TI

Evaluar, Dirigir y
Garantizar la optimizacin de riesgos P
Monitorear
Alinear, Planear y
Organizar
Monitorear, evaluar y medir el
P
asegurar Monitorear, evaluar y medir el sistema de
P
control interno
6.2.1 Justificacin de los procesos habilitadores bajo el enfoque de seguridad

de informacin
Para cada uno de los procesos habilitadores seleccionados se plantea una justificacin
de su eleccin tomando en cuenta que se realizar la adaptacin para la seguridad de
informacin y a partir del anlisis de cada uno de estos y sus respectivas actividades
nacern las polticas y roles a implantar en la organizacin tomando como base los
procesos escogidos para su optimizacin segn el enfoque.
Garantizar el mantenimiento y configuracin del marco de control de gobierno

Se toma en cuenta este proceso debido a que se debe de gestionar durante todo
el ciclo de vida de gobierno el marco que otorga los lineamientos para su
implementacin dentro de la organizacin de manera que en caso se tomen otros
enfoques para el gobierno o que se modifiquen los procesos o regulaciones en el
55
mbito de la seguridad de informacin se realice la revisin respectiva para ajustar
las polticas y actualizarlas segn el negocio.
Garantizar la entrega de beneficios

A partir del enfoque de seguridad de informacin se debe garantizar o asegurar
que las polticas y proyectos tengan el retorno de inversin esperada tanto para la
organizacin como para los stakeholders.
Garantizar la optimizacin de riesgos

Este proceso es tomado en cuenta debido a que a partir de l se van a identificar
los riesgos que puedan daar a la organizacin e impedir el logro de sus objetivos
y se establecern las mtricas para determinar los riesgos de seguridad
principales y como la organizacin responde ante ellos.
Gestionar el marco de control de TI

Este proceso del dominio APO se toma en cuenta debido a que el marco de
gobierno que desciende al marco de control de TI, en este caso COBIT 5.0 debe
ser constantemente gestionado bajo el enfoque de la organizacin (seguridad de
informacin) para garantizar el alineamiento de las TI con los objetivos de la
empresa y el cumplimiento de las polticas de seguridad.
Gestionar la estrategia
Se debe tomar en cuenta el siguiente proceso debido a que se debe de gestionar
la estrategia de seguridad planteada y determinar el alineamiento con la
organizacin, la regulacin y que las nuevas polticas ayuden al cumplimiento del
plan estratgico organizacional y que se materialicen los beneficios y mejoras.
Gestionar los recursos humanos

Los recursos humanos son parte importante de la organizacin, por lo tanto bajo
el enfoque de la seguridad de informacin se debe garantizar la concientizacin
en estos temas y plantear polticas en torno al personal y el trato que deben dar a
la informacin y activos a los que tienen acceso.
Gestionar el riesgo
Se debe gestionar a lo largo del ciclo de vida de gobierno los riesgos de seguridad
planteados inicialmente de manera que se realicen las correcciones y ajustes
oportunos segn el negocio y las tendencias dentro del entorno organizacional.
56
Gestionar la seguridad
Se debe garantizar la gestin de la seguridad a nivel organizacional y que se tome
en cuenta los riesgos identificados para la elaboracin del plan de seguridad de la
organizacin que puede estar alineado a normas vigentes como la ISO/IEC 27001
adoptando los controles de la norma ISO/IEC 27002 adoptando los lineamientos
de normas internacionales sin olvidar las regulaciones en cuanto a seguridad.
Gestionar los programas y proyectos

Se debe tomar en cuenta le gestin de programas y proyectos organizacionales a
nivel de seguridad de informacin para garantizar que stos se encuentren
alineados con lo que la organizacin requiere y se encuentra obligada a cumplir
desde esta perspectiva, tal como la ley de proteccin de datos personales, lo cual
indica que ningn proyecto futuro y pasado debe dejar escapar estos
lineamientos.
Gestionar el cambio
El programa de gobierno a implementar trae con l una serie de cambios que
debern ser gestionados. A nivel de la seguridad de informacin, el marco
propone la creacin de nuevos roles y adopcin de polticas que debern ser
introducidas a la organizacin en forma progresiva, razn por la cual, los planes
del cambio debern estar actualizados y gestionados de manera de lograr la
aceptacin y reducir la resistencia al cambio frente a este tipo de proyectos.
Gestionar los activos

Se considera la gestin de los activos de la organizacin bajo el enfoque de
seguridad debido a que se debern de cumplir polticas para mitigar los riesgos
producto de las vulnerabilidades en cada uno de stos activos que brindan
soporte a los procesos de negocio y a los procesos tomados como base para la
implementacin del gobierno de TI.
Gestionar las solicitudes de servicios e incidentes

Este proceso, pese a ser parte de la entrega de servicios es considerado debido a
que se debe de optimizar la gestin de incidentes de seguridad de informacin y
tener un historial de problemas comunes que puedan daar activos o que
amenacen los datos confidenciales de la organizacin.
57
Gestionar la continuidad
La gestin de la continuidad forma parte de los procesos habilitadores porque se
busca garantizar la disponibilidad de la informacin, el cual es uno de los pilares
de seguridad. Para esto ser necesario identificar procesos crticos a proteger de
manera de que en caso exista alguna interrupcin los tiempos de recuperacin
sean ptimos para evitar prdidas econmicas y la insatisfaccin de los clientes.
Gestionar los servicios de seguridad

Se debe garantizar la gestin de los servicios de seguridad y las polticas
planteadas segn las metas organizacionales y estratgicas, de manera que se
asegure una entrega de servicios de seguridad de calidad y que tomen en cuenta
las polticas que incluso a lo largo del ciclo de gobierno podran ir siendo
cambiadas dado factores internos o externos.
Monitorear, evaluar y medir el rendimiento y la conformidad

Se debe de plantear mtricas y documentos que sean input para los procesos
relacionados con el control interno y el cumplimiento con requerimientos externos.
Estas mtricas debern ser gestionadas y evaluadas para garantizar su
conformidad o modificarlas en caso no se vean resultados claros y precisos a
travs de ellas durante el ciclo de gobierno.
Monitorear, evaluar y medir el cumplimiento de los requerimientos externos

Bajo este proceso habilitador, se gestionar y medir cual es el nivel de
cumplimiento con las leyes como la ley de proteccin de datos personales y otros
requerimientos que pueden ser definidos por los stakeholders. A partir de este
proceso se darn los inputs y medidas para realizar la evaluacin y control del
cumplimiento.
58
ANEXO G: Identificacin y diseo de procesos AS - IS
En el presente anexo se muestran los sub-procesos de cada proceso por niveles.
7.1 Proceso: Admisin de pacientes
Sub-proceso nivel 2: Referenciar a otro centro

El siguiente sub-proceso es iniciado segn la capacidad resolutiva del paciente o en
caso se requiera una transferencia administrativa, lo cual es el trigger para el inicio. Se
tiene como actor externo al paciente y al mdico del centro de referencia destino.
Figura 7.1.1 - Diagrama sub-proceso referenciar a otro centro
59
Sub-proceso nivel 2: Asignar camas en caso de no disponibilidad
El siguiente sub-proceso es iniciado bajo la condicin de que existe una rden previa
de hospitalizacin, por lo tanto se verifica nuevamente la disponibilidad de camas o de
lo contrario se deriva a otra sede de la clnica. As mismo, se observala iteraccin con
dos actores externos, el paciente y el call center de su aseguradora para validar la
cobertura y grupo de opciones con las cuales trabaja para realizar el traslado.
Figura 7.1.2 - Diagrama del sub-proceso asignar camas en caso de no disponibilidad
60
Sub-proceso nivel 2: Gestionar Cobertura y presupuesto
Este sub-proceso consta de la validacin realizada para determinar el presupuesto de
la hospitalizacin del paciente, y en caso est asegurado proceder a validar la
cobertura y la emisin de las cartas de garanta. Se tiene como actores externos al
paciente y a la ejecutiva de cartas de garanta de otras aseguradoras distintas a
RIMAC.
Figura 7.1.3 - Diagrama del sub-proceso gestionar cobertura y presupuesto
61
Sub-proceso nivel 3: Realizar anlisis bsicos
Este sub-proceso es iniciado segn la derivacin a plataforma del paciente luego de la
cobertura y presupuesto y proceder con los anlisis bsicos segn el motivo de la
hospitalizacin.
Figura 7.1.4 - Diagrama del sub-proceso realizar anlisis bsicos
62
Sub-proceso nivel 4: Gestionar la hospitalizacin
Finalmente se tiene el sub-proceso de ltimo nivel, gestin de hospitalizacin en el
cual, segn los motivos de la hospitalizacin, confirma los turnos y deriva al paciente a
su cuarto y segn esta orden se traslada la historia clnica del paciente de recepcin al
piso al cual se enviar al paciente, escalando, por lo tanto, al proceso indicar
hospitalizacin y se tiene como salida la gestin o atencin del paciente, lo cual
servir como input para el proceso atencin al paciente hospitalizado.
Figura 7.1.5 - Diagrama del sub-proceso gestionar la hospitalizacin
63
7.2 Proceso: Atencin al paciente hospitalizado
Sub-proceso nivel 2: Atender diariamente al paciente

En el siguiente proceso se muestra como se realiza la atencin del paciente
hospitalizado, indicando las rondas de seguimiento y la administracin del tratamiento
indicado por el mdico. Adicionalmente dentro del proceso se describen las acciones
en caso se requiera que el paciente pase por algn procedimiento, ciruga o algn
cambio que genere alguna alerta que deba ser atendida como parte de la atencin
mdica o escalar a otros procesos segn las polticas definidas.
Figura 7.2.1 - Diagrama del sub-proceso atender diariamente al paciente
64
Sub-proceso nivel 2: Gestionar el equipo mdico
En el presente sub-proceso se muestra como se realiza la gestin del equipo mdico,
la cual es una tarea cclica debido a que se realiza continuamente segn los cambios
de turnos o ingresos de nuevos pacientes que requieran alguna atencin
especializada. Incluye el reporte diario de incidencias a la gerencia mdica.
Figura 7.2.2 - Diagrama del sub-proceso gestionar equipo mdico
65
7.3 Proceso: Egreso del paciente
Sub-proceso nivel 2: Realizar la liquidacin de cuenta

En este sub-proceso se detalla la liquidacin de la cuenta del paciente a travs de los
sistemas de facturacin y control de la clnica. Las entradas y salidas son las
notificaciones o mensajes enviados para poder realizar el cobro de la cuenta y
finalmente el alta o autorizacin de la salida del paciente.
Figura 7.3.1 - Diagrama del sub-proceso realizar la liquidacin de la cuenta
66
ANEXO H: Procesos firmados y aprobados por la empresa
8.1 Documentos aprobados
Figura 8.1.1 - Documentos firmados (1)
67
68
69
70
71
72
73
74
Figura 8.1.9 -Documentos firmados (9)
75
76
77
78
79
80
81
ANEXO I: Identificacin actividades, roles y responsabilidades para los
habilitadores
9.1 Actividades de gestin COBIT 5.0 bajo el enfoque de seguridad de

Informacin
A continuacin se presenta las actividades de gestin para los cuatro (4) procesos
seleccionados y diseados bajo la notacin BPMN 2.0. Para su identificacin, tal como
se seala, se procede a analizar la viabilidad de aplicacin de las actividades
propuestas por COBIT 5.0 para cada proceso habilitador que aplican para el enfoque
Identificando las sub-actividades para cumplir la actividad de gestin, se elabora la

matriz RACI de acuerdo al enfoque del gobierno y las capacidades y roles de la
organizacin para que sean la base para adoptar polticas bajo la norma ISO/IEC
27002:2013.
En la siguiente tabla se muestra la leyenda que ser til para la lectura de la matriz de
responsabilidades que se presentarn para cada uno de los procesos habilitadores. La
explicacin terica de esta matriz y abreviaturas empleadas se encuentra en el
captulo 2.
Leyenda Descripcin
R Responsable
A Accountable
C Consulted
I Informated
(*) Rol no implementado o ejercido dentro de la organizacin
Tabla 9.1.1 - Leyenda para lectura de matriz RACI
1.1.1 Procesos habilitadores en comn para los procesos de la empresa
Para cada uno de los procesos seleccionado se ha realizado un anlisis y se

determina que pese a los cambios o mejoras futuras a nivel de procesos, las
actividades a aplicar para el cumplimiento de los habilitadores no presentan
variaciones, por lo cual se puede emplear la misma matriz y adoptar las mismas
polticas de TI y seguridad de informacin.
82
Se presentan los procesos habilitadores en comn:
a. Proceso habilitador: Garantizar el mantenimiento y configuracin del marco

Se verifica la aplicacin de todas las actividades de gestin, no obstante se seala que

no pueden aplicarse todas las sub-actividades para su cumplimiento debido a la
actividad realizada por la empresa y el nivel de madurez al cual se pretenda y sea
viable llegar luego de cada iteracin.
Luego se procede a elaborar la matriz de responsabilidades para gestionar el

habilitador segn el enfoque de seguridad de informacin.
Actividades de gestin Sub-actividades para el cumplimiento de actividad.

Analizar e identificar los factores de entorno interno y
externo relacionados a la seguridad de informacin, los
cuales afectan directamente al proceso, junto con las
tendencias en el negocio que puedan influir en el diseo
del gobierno.
Evaluar el nivel de la seguridad de informacin dentro del
negocio y el cumplimiento con regulaciones externas10
dentro del proceso. Entre estas se tiene: Ley de
Evaluar el sistema de
proteccin de datos personales, Ley de emergencia y la
gobierno
norma tcnica peruana de la historia clnica.
Articular los principios que guiarn el diseo ptimo del
modelo de toma de decisiones sobre el gobierno de TI y
su enfoque a la seguridad de informacin.
Considerar cmo sern aplicadas o enfocadas la ley de
proteccin de datos personales, la ley de emergencia y la
norma tcnica peruana de la historia clnica en el
gobierno de TI de la empresa y en los procesos base.
Exigir la funcin de seguridad de informacin para toda la
Dirigir el sistema de
empresa y como esta se aplicar a los procesos.
gobierno
Contar con un comit estratgico que est enfocado a la
seguridad de informacin (ISSC)
10
Se consideran nicamente las regulaciones para el proceso.
83
Alinear la estrategia de seguridad de informacin con la
estrategia empresarial
Obtener el compromiso de la alta direccin para verificar
la seguridad de informacin y la gestin de riesgos de
informacin.
Asignar responsabilidad para que se apliquen principios
de gobierno, modelos de toma de decisin acordados.
Supervisar mecanismos para asegurar que los sistemas
para medir el desempeo de seguridad de informacin
cumplen con la ley de proteccin de datos personales y
la norma tcnica peruana de historia clnica.
Monitorear el sistema de
Proporcionar supervisin de la efectividad y el
gobierno
cumplimiento con el sistema de control de la empresa.
Evaluar la efectividad y rendimiento de los stakeholders
en los que se ha delegado responsabilidad y autoridad
para el gobierno de TI de la empresa.
Tabla 9.1.2 - Actividades de gestin habilitador: Garantizar el mantenimiento y configuracin del
marco de control de gobierno
Matriz de responsabilidades (RACI)
EDM01: Garantizar el mantenimiento y configuracin del marco de control de gobierno
Gestor de seguridad de informacin (*)

Oficial de seguridad de informacin (*)
Gestor de continuidad de negocio (*)

Jefe/Administrador de plataformas11
Dueo de procesos de negocio
Comit ejecutivo estratgico
Jefe de Recursos Humanos
Jefe de operaciones de TI
Gerente de operaciones
Comit estratgico (*)
Gerente de informtica
Comit de riesgos (*)
Ejecutivos de negocio
Oficial de riesgos (*)

Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe de proyectos
Directorio
Auditora
Evaluar el sistema
A R C C R C R C R C C I R C C
de gobierno
Dirigir el sistema de
A R C C R I R I I C C I I C R I I I I I
gobierno
Monitorear el
A R C C R I R I I C C I I C R I I I I I
sistema de gobierno
Tabla 9.1.3 - Matriz de responsabilidades para el proceso habilitador EDM01
11
El administrador de plataformas en este caso realiza la gestin de tecnologas a gran nivel incluyendo
los sitemas que comprende el proceso. En caso se deba de recurir al desarrollador del sistema, lo reporta
y asume la responsabilidad frente a la solucin de algn incidente.
84
b. Proceso habilitador: Garantizar la entrega de beneficios
Se verifica la aplicacin de todas las actividades de gestin, no obstante se seala que

no pueden aplicarse todas las sub-actividades para su cumplimiento debido a la
actividad realizada por la empresa y la gestin de sus inversiones. Adicionalmente se
la matriz de responsabilidades destacando las acciones del oficial de seguridad de
informacin.

Identificar y registrar los requisitos de los stakeholders
en relacin con los procesos base para la proteccin de
sus intereses y la entrega de valor tomando en cuenta
los parmetros de seguridad de informacin. Establecer
la direccin respectiva.
Comprender y discutir peridicamente sobre las
oportunidades que pueden surgir a partir de los
cambios dentro de los procesos base al emplear
Evaluar la optimizacin del tecnologas actuales y optimizar el valor de estas
valor oportunidades.
Comprender el significado del valor en la empresa y
como se ha comunicado, entendido y aplicado a travs
de los procesos de la organizacin.
Evaluar la efectividad de la integracin y alineamiento
de las estrategias de TI y seguridad de informacin en
la empresa con los objetivos para aportar valor, as
como la alineacin de estos ltimos con el portafolio de
inversiones
Asegurar que se empleen medidas financieras y no
financieras para describir el valor aadido de las
iniciativas de seguridad de informacin en los procesos
Dirigir la optimizacin del base.
valor Establecer un mtodo para demostrar el valor de la
seguridad de informacin para garantizar el uso
eficiente (considerando los niveles de seguridad) de los
activos dentro de los procesos identificados.
85
Dirigir los cambios necesarios en el portafolio de
inversiones y servicios para realinearlos con los
objetivos actuales, los esperados y/o sus limitaciones.
Dirigir los cambios necesarios en asignacin de
imputaciones y responsabilidades del portafolio de
inversin y entrega de valor a partir de los servicios y
procesos de negocio enfocados a la seguridad de
informacin.
Monitorear el resultado de las iniciativas de seguridad
de informacin frente a las expectativas para asegurar
la entrega de valor de acuerdo a los objetivos de
negocio
Definir objetivos de desempeo, mtricas, metas y
Monitorear la optimizacin
puntos de referencia. Revisarlos y formalizarlo junto con
del valor
los stakeholders.
Tomar medidas de gestin para asegurar la
optimizacin del valor. En caso sean medidas
correctivas, asegurarse de que sean iniciadas y
controladas.
Tabla 9.1.4 - Actividades de gestin habilitador: Garantizar la entrega de beneficios

EDM02: Garantizar la entrega de beneficios
Jefe de portafolio/proyecto de inversin (*)


Jefe/Administrador de plataformas

Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Directorio
Auditora
Evaluar optimizacin
A R R C R R C C C C C R C C
del valor
Dirigir optimizacin
A R R C R C R I I I C I I I R I I I I I
del valor
Monitorear
A R R C R R R C C C I C R I C
optimizacin valor
86
c. Proceso habilitador: Garantizar la optimizacin del riesgo
Se verifica la aplicacin de todas las actividades de gestin, sin embargo, no pueden

aplicarse todas las sub-actividades para su cumplimiento debido a la actividad
realizada por la empresa y el tratamiento de riesgos y formalizacin del comit
responsable.
Luego se elabora la matriz de responsabilidades para gestionar el habilitador segn el

enfoque de seguridad de informacin.

Determinar junto con la directiva de la empresa el nivel
de apetito por el riesgo.
Medir el nivel de integracin de la gestin de riesgos de
seguridad de informacin con el modelo general de
riesgos de la organizacin.
Evaluar la gestin de Determinar el grado de alineamiento de la estrategia de
riesgos riesgos de TI y seguridad de informacin con la
estrategia de riesgos empresariales.
Determinar si las tecnologas empleadas en los
procesos base estn sujetas a una evaluacin de
riesgos adecuada segn lo descrito en estndares
relevantes que pueda adoptar la organizacin.
Integrar la gestin de riesgos de seguridad de
informacin dentro del modelo general de riesgos.
Dirigir la elaboracin de planes de comunicacin y
accin de riesgos promoviendo una cultura consciente
sobre estos y su impacto dentro del negocio.
Dirigir la implantacin de mecanismos apropiados para
Dirigir la gestin de riesgos
responder a los riesgos cambiantes y notificar a los
niveles adecuados segn el principio de escalamiento.
Dirigir para que los riesgos de seguridad de informacin
dentro de los procesos puedan ser identificados por
cualquier persona en cualquier momento segn las
polticas y procedimientos publicados.
87
Monitorear el perfil frente al riesgo o el apetito del
riesgo de la empresa para lograr un equilibro ptimo
entre riesgos y oportunidades de negocio
Incluir las salidas de los procesos de gestin de riesgos
de informacin como entradas las la gestin de riesgos
Monitorear la gestin del de la organizacin.
riesgos Comunicar los problemas de la gestin de riesgos al
directorio.
Monitorear las metas y mtricas de gestin de los
procesos de gobierno y gestin del riesgo respecto a
los objetivos. Iniciar medidas correctivas para casos
especiales
Tabla 9.1.6 - Actividades de gestin habilitador: Garantizar la optimizacin de riesgos
EDM03: Garantizar la optimizacin de riesgos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Evaluar la gestin de
A R C C R C R R R I C C R C
riesgos
Dirigir la gestin de
A R C C R C R I I R C I I I R I I I I I
riesgos
Monitorear la gestin
A R C C R C R I I R R I C C R I I I I I
de riesgos
d. Proceso habilitador: Gestionar el marco de control de TI
Este proceso habilitador realiza la evaluacin de la aplicacin del marco de gobierno,

en este caso se emplea COBIT 5.0. No se toma en cuenta la actividad de gestin
APO01.05 debido a que no se cuenta con suficiente madurez dentro de la
88
organizacin para poder realizar esta optimizacin debido a que cuenta con procesos
inconclusos y no documentados, por lo cual es recomendable evaluar su aplicacin a
futuro habiendo logrado mejoras a nivel de proceso y la formalizacin de roles bajo el
Se muestra seguidamente la matriz de responsabilidades para gestionar el habilitador

segn el enfoque de seguridad de informacin, lo cual exige la participacin del oficial

Alinear la seguridad de la informacin de la
organizacin con la arquitectura de negocio de la
empresa.
Establecer el comit estratgico de TI bajo el enfoque
de seguridad de informacin
Definir la funcin de la seguridad de informacin,
capacidades y decisiones necesarias
Identificar las decisiones necesarias para alcanzar los
resultados corporativos y estrategia de TI y seguridad
de informacin para la gestin y ejecucin de servicios
Definir la estructura
de TI.
organizativa
Establecer un comit estratgico de TI a nivel de
consejo administrativo, el cual se asegure que el
gobierno de TI est contemplado de forma adecuada y
que priorice programas de inversin segn la estrategia
y objetivos de negocio.
Establecer y mantener una estructura ptima de enlace,
comunicacin y coordinacin entre el negocio y las
funciones de TI dentro de la empresa y terceros.
Verificar la adecuacin y eficacia de la estructura
organizativa.
Establecer, acordar y comunicar los roles de CISO e
Establecer roles y ISM12
responsabilidades Determinar las funciones de la organizacin que tienen
la obligacin de seguridad de informacin y aadirlas a
12
ISM: Information Security Manager
89
la descripcin de puestos.
Tomar como referencia los requisitos de la empresa y
continuidad del servicio de TI para la definicin de roles.
Estructurar los roles y responsabilidades para reducir la
posibilidad de que un solo rol pueda comprometer un
proceso crtico.
Implementar prcticas para monitorear que los roles y
responsabilidades se pongan en prctica de forma
correcta. El nivel de supervisin o monitoreo debe estar
en consonancia con este puesto y las
responsabilidades asignadas.
Considerar el ambiente interno de la empresa
incluyendo la gestin de la cultura y filosofa, tolerancia
al riesgo, valores ticos, cdigo de conducta,
responsabilidad y requisitos de seguridad de
informacin.
Alinear con estndares nacionales e internacionales de
seguridad de informacin que sean viables. Evaluar
Mantener los elementos buenas prcticas de seguridad de informacin.
habilitadores del modelo de Desarrollar las polticas de seguridad de informacin de
gobierno acuerdo al negocio, procesos y requisitos legales o
regulatorio dentro del ambiente interno de la empresa.
Evaluar y actualizar las polticas como mnimo una vez
al ao, para ajustarlas de acuerdo a los cambios
operativos o a nivel de negocio
Implantar las polticas de TI y seguridad de informacin
a todo el personal relevante y establecer los mtodos y
procedimientos de medicin de su cumplimiento.
Desarrollar un programa de sensibilizacin sobre
seguridad de informacin
Establecer indicadores para medir comportamientos
Comunicar los objetivos y con respecto a la seguridad de informacin
la direccin de gestin Proporcionar recursos suficientes y calificados para dar
soporte al proceso comunicativo.
Garantizar que la informacin comunicada engloba una
clara articulacin del entorno empresarial y con un nivel
90
de detalle adecuado para cada rea de la empresa.
Definir sistemas y accesos de datos a nivel empresarial
dentro de los procesos de gestin de seguridad de
informacin que involucran procesos base.
Proveer polticas y directrices para asegurar la
adecuacin y consistencia de la clasificacin de la
informacin (datos) en toda la empresa.
Definir la propiedad de la Crear y mantener un inventario de la informacin
informacin y del sistema (sistemas y datos) que incluya un listado de los
propietarios, custodios y clasificaciones. Incluir
sistemas tercerizados y aquellos cuya propiedad debe
permanecer dentro de la empresa.
Definir e implementar procedimientos para asegurar la
integridad y consistencia de la informacin almacenada
en formato electrnico.
Examinar informes que detallan el control de la
seguridad de informacin y las debilidades del proceso.
Contemplar medidas para mejorar la eficiencia y
eficacia de la seguridad de informacin.
Identificar procesos crticos de negocio basndose en el
Gestionar la mejora
rendimiento, cumplimiento y los riesgos relacionados.
continua de los procesos
Evaluar la capacidad del proceso e identificar objetivos
de mejora.
Aplicar prcticas de gestin de calidad y en base estas
realizar la actualizacin de los procesos o la
implementacin de mejoras.
Programar y realizar evaluaciones peridicas para
determinar el cumplimiento con las polticas y
procedimientos de seguridad de informacin para tomar
Mantener el cumplimiento
las acciones correctivas de ser necesario.
de las polticas y
Integrar el rendimiento y el cumplimiento dentro de los
procedimientos
objetivos individuales del personal.
Evaluar el desempeo de los procesos habilitadores del
marco de referencia y adoptar las acciones necesarias
Tabla 9.1.8 - Actividades de gestin habilitador: Gestionar el marco de TI
91
APO01: Gestionar el marco de TI



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir estructura
C C C C C R C C R I A R C C C C
organizativa
Establecer roles y
I C I R C C C C A R C C C C
responsabilidades
Mantener
habilitadores del C A C C C C I C C C C R C C
gobierno
Comunicar objetivos
y direccin de A C R C I R C I R R I I I R I I I I I
gestin
Definir propiedad de
la informacin y I I C A R C I C C C
sistemas
Gestionar mejora de
A R R C I C R C R R R R
procesos
Mantener
cumplimiento de
A R R R R R I R C R C R R
polticas y
procedimientos
Tabla 9.1.9 - Matriz de responsabilidades para el proceso habilitador APO01
e. Proceso habilitador: Monitorear, evaluar y medir el rendimiento y la

conformidad
Este proceso habilitador dentro de este modelo es compatible para todos los procesos.
Aplican todas las actividades de gestin del proceso. Se presentan tambin las sub-
actividades de acuerdo a la realidad de los procesos empleados en el diseo de
gobierno y de acuerdo al entorno y realidad de la empresa modelo para la elaboracin
del proyecto.
Seguidamente se presenta la matriz de responsabilidades para gestionar el proceso

habilitador desde un enfoque de seguridad de informacin a lo largo del ciclo de vida
92
de gobierno de TI. El oficial de seguridad de informacin se encarga de evaluar y
verificar que los requerimientos definidos se cumplan y que se puedan aplicar las
medidas correctivas del caso.

Identificar las partes interesadas de mantener un
enfoque de seguridad de informacin dentro de la
organizacin y dentro del proceso para cumplimiento de
objetivos.
Alinear y mantener el control de la seguridad de
informacin dentro de los procesos base. Realizar la
evaluacin del enfoque de gobierno de TI y su
Establecer un enfoque de alineamiento con la organizacin.
la supervisin Validar el enfoque empleado de seguridad de
informacin para gobierno de TI e identificar nuevos
drivers o recursos que permitan alinear otro enfoque de
gobierno segn sea el caso.
Solicitar, priorizar y asignar recursos para la supervisin
de la funcin de seguridad de informacin bajo
procedimientos establecidos y dentro de los procesos
base.
Definir y revisar los objetivos y mtricas con los
stakeholders respecto a la seguridad de informacin de
acuerdo con los procesos para identificar omisiones y
establecer la validez de mtricas o tolerancias.
Comunicar los cambios relacionados con la seguridad
de informacin, su desempeo y el cumplimiento con
Establecer los objetivos de
los stakeholders tomando como base el conjunto de
cumplimiento y rendimiento
procesos que forman parte del gobierno de TI.
Evaluar si los objetivos de seguridad de informacin y
las mtricas son adecuados para la verificacin y medir
la performance de los procesos de acuerdo a la ley de
proteccin de datos personales, norma tcnica peruana
de la historia clnica y la ley de emergencia.
Recopilar y procesar los Coleccionar datos y analizar la performance y
datos de cumplimiento y conformidad relacionada a la seguridad de informacin
93
rendimiento y la gestin de riesgos de informacin.
Evaluar la integridad, eficacia e idoneidad de los datos
recolectados y consolidarlos.
Disear informes de rendimiento del proceso desde el
enfoque de seguridad de informacin. Implementar
mecanismos para su elaboracin de acuerdo a lo
esperado por los stakeholders.
Analizar e informar sobre el
Comparar los valores de rendimiento internos y
rendimiento
externos de acuerdo al proceso.
Distribuir informes a las partes interesadas relevantes,
tanto de rendimiento como de las incidencias
suscitadas dentro del proceso.
Desarrollar medidas correctivas para tratar los
problemas relacionados al proceso y que afecten a la
Asegurar la implantacin seguridad de informacin.
de medidas correctivas Asegurar la asignacin de responsabilidades dentro de
las acciones correctivas y emitir los informes
respectivos.
Tabla 9.1.10 - Actividades de gestin habilitador: Monitorear, evaluar y medir el rendimiento y la
conformidad

MEA01: Monitorear, evaluar y medir el rendimiento y la conformidad


Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Establecer enfoque
A R R C I C I I I R C I R I C C C I
de supervisin
Establecer objetivos
de cumplimiento y I I I A R C I R C C I R C I
rendimiento
Recopilar y procesar
datos cumplimiento y C R I I C A R I R I
rendimiento
94
Analizar e informar
A R C C C C C C C C R C
sobre el rendimiento
Asegurar la
implantacin de I I I I C R C C C I A R C R C
medidas correctivas
Tabla 9.1.11 - Matriz de responsabilidades para el proceso habilitador MEA01
f. Proceso habilitador: Monitorear, evaluar y medir el cumplimiento de

Este proceso habilitador se encarga de verificar el nivel de cumplimiento con las

regulaciones a las que est sujeta la organizacin de acuerdo a los procesos y
actividades que desarrolla. Estas regulaciones son la ley de proteccin de datos
personales, la norma tcnica peruana de la historia clnica y la ley de emergencia. Se
realizar la verificacin y las actualizaciones segn sea el caso.
Actividades de gestin Sub-actividades para el cumplimiento de actividad

Identificar los requerimientos externos de seguridad de
informacin que deben de cumplirse dentro del proceso
de acuerdo a la ley de proteccin de datos personales,
norma tcnica peruana de la historia clnica y ley de
emergencia.
Establecer mecanismos de monitoreo sobre el
Identificar requisitos cumplimiento de requerimientos externos relacionados a
externos de cumplimiento la seguridad de informacin.
Identificar posibles cambios en las regulaciones que
conlleven a modificaciones dentro del proceso y a la
identificacin de nuevos requerimientos y exigencias a
nivel de seguridad de informacin.
Mantener un inventario sobre normas, leyes o
requerimientos que debe de cumplir la organizacin.
Revisar y comunicar los requerimientos externos y
regulaciones a todos los stakeholders.
Optimizar la respuesta a
Revisar peridicamente las polticas y estndares
requisitos externos
relacionados al proceso para mantener la eficacia y
asegurar el cumplimiento y gestin de riesgos.
Confirmar el cumplimiento Colectar y analizar datos para garantizar el cumplimiento
de requisitos externos de la seguridad de informacin y la gestin de riesgos.
95
Evaluar peridicamente las polticas relacionadas al
proceso bajo el enfoque de seguridad de informacin.
Obtener la conformidad del cumplimiento de polticas que
garanticen el alineamiento con requerimientos externos.
Determinar el nivel de satisfaccin.
Obtener garanta de
Garantizar que los proveedores de TI cumplan con los
cumplimiento de
requerimientos de seguridad de informacin.
requisitos externos
Consolidar a nivel empresarial los informes sobre
requerimientos externos e internos y difundirlos a todas
las unidades de negocio que abarcan el proceso.
Tabla 9.1.12 - Actividades de gestin habilitador: Monitorear, evaluar y medir el cumplimiento de

MEA03: Monitorear, evaluar y medir el cumplimiento de requerimientos externos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Identificar requisitos
externos de A R R C R
cumplimiento
Obtener respuesta a
R R R A R I I R R R C C C R I
requisitos externos
Confirmar
cumplimiento de I R R R R R I I C R I R C C C R C
requisitos externos
Obtener garanta de
cumplimiento de I I I I C C I I C R A R C I I C C
requisitos externos
Tabla 9.1.13- Matriz de responsabilidades para el proceso habilitador MEA03
96
1.1.2 Proceso de admisin de pacientes
Este proceso admisin de pacientes tiene mayor interaccin con actores externos y
proveedores, as como mayor gestin a nivel tecnolgica debido a los sistemas de
atencin, reservas e informes. El proceso debe cumplir con la ley de proteccin de
datos personales, ley de emergencia y la norma tcnica peruana de la historia clnica.
a. Proceso habilitador: Gestionar la estrategia
El siguiente proceso habilitador se refiere a la estrategia a seguir para llevar a cabo el

proceso de admisin y los sub-procesos al interior de este y como se va a gestionar y
medir los recursos de acuerdo a los requerimientos de seguridad de informacin.
Seguidamente se muestra la matriz de responsabilidades para gestionar este proceso
habilitador y el cumplimiento de estas sub-actividades y lograr los niveles de madurez
esperados.

Entender como la seguridad de informacin debe
respaldar los objetivos de la empresa y proteger los
intereses de los stakeholders, cumpliendo con la ley de
de la historia clnica y ley de emergencia.
Comprender la direccin Entender la arquitectura de negocio y de sistemas de la
de la empresa empresa empleada para dar soporte al proceso e
identificar posibles brechas de seguridad de informacin.
Identificar los interesados del dentro del proceso y sus
requerimientos.
Determinar las prioridades para desarrollar los cambios
estratgicos a nivel de proceso.
Asegurar que los requerimientos de seguridad de
informacin estn incluidos dentro de las capacidades de
TI.
Definir el objetivo de las
Definir y acordar el impacto de los requerimientos de
capacidades de TI
seguridad de informacin dentro de la arquitectura de la
empresa que soporta el proceso de admisin, segn lo
que los stakeholders consideren relevante.
97
Definir de acuerdo al proceso de admisin, las
capacidades y servicios de TI a entregar.
Definir los objetivos de TI a alto nivel y cmo contribuirn
a los objetivos de negocio empresariales y como soporta
este proceso al cumplimiento de ambos.
Identificar dentro del proceso las brechas a cerrar y los
cambios requeridos para llegar al nivel deseado.
Examinar el nivel de cumplimiento del proceso respecto a
la ley de proteccin de datos personales, norma tcnica
Realizar un anlisis de
peruana de la historia clnica y la ley de emergencia.
brecha
Mejorar la definicin del estado deseado en el proceso y
sus objetivos. Sustentarlos demostrando los beneficios a
partir de este estado frente al impacto en caso no se
llegara a esta meta
Definir la estrategia de seguridad de informacin y
alinearla con la de TI y las estrategias de negocio para el
cumplimiento de objetivos en el proceso de admisin.
Crear la hoja de ruta que incluya la planificacin e
interdependencias de las iniciativas a nivel empresarial
Definir el plan estratgico de acuerdo al proceso, la cual a su vez seale los
y la hoja de ruta riesgos y costos de los cambios.
Asegurar que el plan estratgico de TI y la hoja de ruta
contengan los requerimientos de seguridad de
informacin identificados en el proceso de admisin
Obtener el apoyo de las partes interesadas y la
aprobacin del plan.
Desarrollar el plan estratgico y el plan de seguridad de
informacin que incluya aspectos relacionados al
proceso de admisin y comunicarlo a los stakeholders
Desarrollar el plan de comunicacin de acuerdo a pblico
Comunicar la estrategia y
objetivo identificando los canales de comunicacin.
la direccin de TI
Obtener retroalimentacin y actualizar el plan de
comunicaciones y la estrategia de seguridad de
informacin y TI segn sea necesario para mantener el
impulso.
Tabla 9.1.14 - Proceso admisin. Actividades de gestin habilitador: Gestionar la estrategia
98
APO02: Gestionar la estrategia



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Comprender la
direccin de la C C C A C C C R C R C I I R C
empresa
Definir objetivo de
A C C C I R C I C C I R C C C C C
capacidades de TI
Realizar un anlisis
R R C C C C C A C C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C C C C
ruta
Comunicar
estrategia y I R I I R I A I I I R I I I R I I I I I
direccin de TI
Tabla 9.1.15 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Admisin
b. Proceso habilitador: Gestionar los recursos humanos
Se muestra a continuacin las actividades que aplican para este proceso de admisin
bajo el enfoque de seguridad de informacin. Posteriormente se muestra la matriz de
responsabilidades para su gestin en la organizacin y a nivel de los actores del
proceso.

Evaluar las necesidades de personal peridicamente o
frente a cambios organizacionales de forma de asegurar
Mantener la dotacin del
que tanto TI como la empresa cuenta con recursos para
personal suficiente y
soportar el proceso de admisin y la iniciativa de TI
adecuado
Dentro de los procesos de contratacin, incluir controles
de antecedentes de acuerdo a la funcin a realizar.
99
Asegurar que los requisitos de seguridad se incorporan
en el proceso de contratacin.
Asegurar la existencia de capacitaciones y que existe
personal capaz de cubrir funciones crticas de otro para
reducir la dependencia.
Asegurar la segregacin de funciones en roles crticos
del proceso.
Minimizar dependencia de una persona en la realizacin
Identificar personal clave
de una funcin crtica dentro del proceso de admisin a
de TI
travs de captura e intercambio de conocimiento.
Identificar y ejecutar acciones segn cambios laborales
relacionados a los actores del proceso de admisin.
Definir habilidades y competencias necesarias de los
recursos para lograr los objetivos dentro del proceso y
poder escalar hacia los objetivos de alto nivel.
Brindar capacitaciones y programas de seguridad de
informacin al personal que ejecuta los procesos y a
nivel transversal para formar conciencia.
Llevar a cabo revisiones peridicas para evaluar la
Mantener las habilidades
evolucin de las habilidades y competencias de los
y competencias del
recursos internos y externos. A partir de estas identificar
personal
si se requieren habilidades adicionales para cubrir el
proceso y ejecutar el plan de accin para desarrollarlas.
Asegurar conocimientos y habilidades del personal
solicitando certificaciones segn la funcin a realizar. En
caso de la seguridad de informacin, si aplicase, se
podra solicitar certificaciones como ISO/IEC 27002,
CISM, ISO/IEC 27001: Leed Auditor.
Dentro de la evaluacin del desempeo, considerar
criterios con respecto a la seguridad de informacin.
Establecer objetivos individuales alineados con los
Evaluar el desempeo objetivos del proceso de admisin. Deben reflejar
laboral de los empleados competencias bsicas, valores empresariales y
habilidades para las funciones.
Proporcionar instrucciones para uso y almacenamiento
de informacin personal dentro del proceso de
100
evaluacin.
Implementar un proceso de reconocimiento a medida que
el personal alcance el compromiso, desarrollo de
competencias y logro de objetivos.
Gestionar la ubicacin del personal de seguridad de
informacin de acuerdo a los requerimientos de negocio.
Comprender la demanda actual y futura de recursos
Planificar y realizar un
humanos involucrados dentro del proceso de admisin
seguimiento del uso de
para apoyar el logro de objetivos de TI y necesidades
recursos humanos de TI y
operativas del da a da.
del negocio
Mantener informacin adecuada sobre el tiempo
dedicado a diferentes tareas, trabajos, servicios o
proyectos
Obtener un acuerdo formal por parte del personal sobre
las polticas y requisitos de la seguridad de informacin a
aplicarse en el proceso de admisin.
Implementar polticas o procedimientos que describan
Gestionar el personal como gestionar el personal para identificar necesidad de
contratado tercerizar algn servicio de TI.
Llevar a cabo revisiones para asegurar que el personal
cumple con sus funciones, que el derecho de acceso son
adecuados y alineados con los acuerdos pactados al
firmar el contrato.
Tabla 9.1.16 - Proceso admisin. Actividades de gestin habilitador: Gestionar los recursos
humanos
101
APO07: Gestionar los recursos humanos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener personal
suficiente y R I C R A R R C R C
adecuado
Identificar personal
I R R R A R R R R R
clave de TI
Mantener habilidad y
competencia del R C R A R R R R R
personal
Evaluar desempeo
R R R A R R R R R
laboral del empleado
Planificar y realizar
seguimiento del uso
R C A R R C I R R R C R C
de recusos humanos
de TI y negocio
Gestionar personal
I I R C R A R C C R C
contratado
c. Proceso habilitador: Gestionar el riesgo
En el proceso habilitador gestin de riesgo, se toma como alcance los riesgos de

seguridad de informacin que pueden desencadenarse en el proceso de admisin de
pacientes y bajar la calidad de su performance.
Se detalla tambin la matriz de responsabilidades para llevar a cabo la gestin del

habilitador y llevarlo al nivel de madurez deseado por la empresa siguiendo el enfoque

Identificar y recolectar datos para la identificacin,
Recopilar datos anlisis y comunicacin de los riesgos de seguridad de
informacin.
102
Medir y analizar datos histricos de riesgo de TI y
seguridad de informacin suscitados dentro del proceso
de admisin y de prdidas experimentadas de acuerdo a
las tendencias externas.
Determinar condiciones especficas que existan o
faltaban cuando se materializaron los riesgos dentro de
los procesos y como afectaban la frecuencia del evento y
la prdida.
Ejecutar anlisis del entorno para verificar los factores de
riesgo asociados al proceso.
Identificar, analizar y evaluar los riesgos de informacin
dentro del proceso.
Construir los escenarios de riesgo de TI y seguridad
dentro del proceso. Incluir las asociaciones y
dependencias entre las amenazas, para detectar
medidas de emergencia.
Analizar el riesgo
Identificar los riesgos residuales dentro del proceso e
identificar exposiciones que puedan requerir una
repuesta al riesgo
Validar resultados del anlisis de riesgos del proceso
antes de usarlos para la toma de decisiones. Verificar
alineamiento con requerimientos organizacionales.
Crear e informar el nivel aceptable y exposicin al riesgo
que incluya los aspectos de seguridad de acuerdo al
proceso.
Identificar dentro del proceso los servicios esenciales
Mantener un perfil del
para sostenerlo. Analizar la dependencia e identificar
riesgo
debilidades.
Definir un conjunto de indicadores que permitan la
identificacin rpida y supervisin de los riesgos de
seguridad del proceso y sus tendencias.
Definir e implementar evaluaciones y estrategias de
respuesta frente a los riesgos del proceso de admisin.
Expresar el riesgo Informar los resultados del anlisis de riesgos a los
stakeholders sobre el proceso de admisin en trminos
adecuados y entendibles para soportar decisiones
103
empresariales.
Informar el perfil del riesgo a los stakeholders junto con la
efectividad del proceso de admisin y los controles
asociados y a la vez identificar oportunidades de TI para
aceptar un mayor riesgo e incrementar la capacidad de
gestin.
Monitorear continuamente los riesgos de seguridad de
informacin del proceso de admisin y verificar que el
Definir un portafolio de riesgo este alineado con el apetito y tolerancia al riesgo
acciones para la gestin definido por la organizacin.
de riesgos Definir conjunto de propuestas para reducir el riesgo o
proyectos para incrementar las oportunidades
estratgicas de acuerdo a los beneficios y regulaciones.
Aplicar las prcticas y controles para la mitigacin de
riesgos de seguridad. Se recomienda aplicar en este
caso la norma ISO/IEC 27002:2013. Incluir controles
Responder al riesgo
preventivos y correctivos.
Catalogar los incidentes y comunicar los impactos de
negocio a los responsables.
Tabla 9.1.18 - Proceso admisin. Actividades de gestin habilitador: Gestionar el riesgo
APO12: Gestionar el riesgo



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
I R I R R R I C A C C C R C
Recopilar datos
I R I C R C I C A C C C R C
Analizar el riesgo
Mantener un perfil
I R I C A C I C R C C C R C
del riesgo
104
I R I C R C I C A C C C C C
Expresar el riesgo
Definir portafolio de
acciones para I R I C A R I C R I C I C C
gestin del riesgo
I R I R R R I C A R R R R R
Responder al riesgo
d. Proceso habilitador: Gestionar la seguridad
El siguiente proceso habilitador indica cmo debe gestionarse la funcin de seguridad

de informacin. Para este proceso se recomienda la alineacin con un sistema de
gestin de seguridad de informacin, por ser un proceso core de negocio, y su
alineamiento con la ley de proteccin de datos personales, norma tcnica peruana de
la historia clnica y la ley de emergencia. Se muestra tambin la matriz de
responsabilidades, destacando que es el oficial de seguridad de informacin quien
mantiene un SGSI alineado a las necesidades y requerimientos de la organizacin.

Definir el alcance del SGSI de acuerdo a las
caractersticas de la organizacin y sus polticas.
Disear un enfoque de gestin de seguridad y alinear el
SGSI a este.
Establecer y mantener un
Realizar la declaracin de la aplicabilidad del SGSI.
SGSI
Comunicar los roles y responsabilidades en la gestin de
la seguridad de informacin y el enfoque del SGSI.
Comprometer a la alta direccin para iniciar las
actividades de implementacin del SGSI.
Disear, mantener y aplicar un plan de tratamiento de
riesgos de seguridad de informacin alineados con los
objetivos estratgicos de la organizacin y fines del
Definir y gestionar un plan proceso.
de tratamiento del riesgo Desarrollar propuestas de mejora al plan de riesgos
de la seguridad de basados en casos de negocio de acuerdo a los roles y
informacin responsabilidades a necesitar para su aplicacin y
acorde a los drivers identificados.
Definir la medicin de la efectividad de las prcticas de
gestin seleccionadas y especificar la forma de utilizarlas
105
para producir resultados reproducibles y comparables.
Integrar la planificacin, diseo, implementacin y
supervisin de procedimientos de seguridad y controles
para prevencin y deteccin temprana de eventos dentro
del proceso de admisin y la respuesta a incidentes.
Realizar revisiones peridicas del SGSI incluyendo las
polticas, objetivos definidos en la etapa de concepcin
del SGSI
Supervisar y revisar el Realizar evaluaciones o auditoras al SGSI de forma
SGSI peridica para determinar su cumplimiento e identificar
mejoras en el proceso.
Registrar acciones y eventos que podran tener impacto
en la efectividad o desempeo del SGSI.
Tabla 9.1.20 - Proceso admisin. Actividades de gestin habilitador: Gestionar la seguridad
APO13: Gestionar la seguridad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Establecer y
C C C C C I I C A C I R I I I R C
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C C R C
riesgos de seguridad
informacin
Supervisar y revisar
C R C I R A C R R R R R R
el SGSI
e. Proceso habilitador: Gestionar los programas y proyectos
106
Para el proceso de admisin se consideran aplicables algunas actividades de gestin
de este proceso habilitador debido a que dentro de la organizacin el conjunto de
procesos que integran el macro-proceso hospitalario cubren un nico programa. No
obstante, no aplican todas las actividades relacionadas a proyecto debido a que como
parte de este proceso de negocio es ms relevante tratarlos a alto nivel, encaminarlos
y alinearlos estratgicamente con la cartera de proyectos y los requerimientos de
seguridad de informacin. Se muestra tambin la respectiva matriz de
responsabilidades de acuerdo al anlisis y aplicacin del habilitador.

Incorporar los requerimientos de seguridad de
informacin dentro de los proyectos asociados al proceso
de admisin.
Mantener un enfoque
Establecer procedimientos para asegurar que todos los
estndar para la gestin
proyectos relacionados al proceso e informacin cuentan
de programas y
con las medidas de seguridad requeridas o exigibles.
proyectos.
Actualizar el enfoque de gestin de programas y
proyectos en base a mejoras a partir del uso de estas
estrategias.
Identificar como las partes interesadas se asocian a los
Gestionar el compromiso proyectos relacionados con el proceso y comprometerlos
de las partes interesadas. para que se involucren y tomen medidas respecto a
estos programas o proyectos.
Desarrollar un plan de seguridad de informacin que
incluya controles a implementar por parte del equipo de
proyecto dentro del proceso.
Incluir recursos dentro del proyecto para identificar e
implementar los requerimientos de seguridad de
Desarrollar y mantener el informacin.
plan del programa. Asignar la responsabilidad ejecutiva para cada proyecto
en forma clara y sin ambigedades, incluyendo
beneficios, control de costos, la gestin de riesgos y la
coordinacin de las actividades de los proyectos.
Mantener el plan de programa para asegurar su
actualizacin de acuerdo al proyecto y el proceso al que
est asociado, as como la actualizacin del caso de
107
negocio que lo justifica y garantiza el alineamiento
estratgico.
Integrar la seguridad de informacin y las tecnologas
con la gestin de proyectos.
Desarrollar plan de proyecto con informacin que permita
a la direccin controlar el progreso del proyecto. Incluir
recursos, responsabilidades e hitos que marcan el cierre
Planificar proyectos de cada una de las etapas.
Mantener los planes de proyecto y sus dependencias,
asegurando la comunicacin entre estos y que al realizar
un cambio en uno de stos se refleje en los dems.
Establecer un marco base para proyectos, el cual es
revisado, aprobado e incorporado a los planes de
proyecto vigentes.
Identificar las actividades y prcticas para garantizar la
calidad de los proyectos. Asegurar que las tareas
Gestionar la calidad de provean garantas del cumplimiento de los
los programas y requerimientos definidos.
proyectos. Definir los requerimientos de validacin y verificacin de
la calidad de entregables de los proyectos asociados al
proceso.
Registrar riesgos de seguridad de informacin y las
acciones correctivas frente a estos. Revisar y actualizar
la matriz de riesgos de proyecto peridicamente.
Integrar proyectos de seguridad de informacin al
Gestionar el riesgo de los
programa y proceso de admisin de pacientes. Alinearlos
programas y proyectos.
a los procesos de gestin de proyectos.
Asignar la responsabilidad al personal con capacidades
adecuadas para ejecutar el proceso de gestin del riesgo
de los proyecto.
Determinar evaluaciones peridicas a los proyectos para
asegurar que los requerimientos de seguridad de
Supervisar y controlar
informacin asociados al proceso son implementados de
proyectos.
forma efectiva.
Supervisar los cambios al programa y revisar
requerimientos claves de desempeo para verificar el
108
avance.
Obtener la aprobacin y firma de los entregables
producidos en cada iteracin del proyecto asociado al
proceso.
Tabla 9.1.22 - Proceso admisin. Actividades de gestin habilitador: Gestionar programas y
proyectos
BAI01: Gestionar programas y proyectos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener enfoque
para gestin de
I A C C R R C C C I R C
programas y
proyectos
Gestionar el
compromiso de las A C C R C C R I I R I C I C C
partes interesadas
Desarrollar y
mantener el plan del C C A C R R C R C C I C I R C
programa
C I A R C C C C C R C
Planificar proyectos
de los programas y C R I A R C R I C I C C C
proyectos
Gestionar el riesgo
de los programas y R R I A R C R I C C C C R C
proyectos
Supervisar y
I R I A R C C C C I C C R C
controlar proyectos
Tabla 9.1.23 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Admisin
f. Proceso habilitador: Gestionar el cambio
El siguiente proceso habilitador pretende contrarrestar los cambios y la resistencia a

estos dentro de la organizacin alinendolos a las estrategias y a los requerimientos
de seguridad de informacin. Para estos se toma en cuenta la alineacin y
109
cumplimiento con la ley de proteccin de datos personales, norma tcnica peruana de
la historia clnica y la ley de emergencia.
Se detalla tambin el esquema de roles a seguir para la aplicacin del habilitador en la

matriz de responsabilidades ajustada al proceso de admisin y la lista de actividades
de aplicacin. Se destaca la intervencin del oficial de seguridad de informacin para
que supervise que los cambios se alinean a los requerimientos de seguridad de
informacin definidos y el cumplimiento con la regulacin.

Asegurar que los cambios se ajustan a la poltica de
seguridad de informacin.
Asegurar que se realice la evaluacin del impacto
potencial de los cambios en seguridad de informacin
Garantizar la aprobacin del cambio por parte de los los
dueos del proceso de admisin, gestores de servicio y
los respectivos stakeholders. Considerar los tipos de
Evaluar, priorizar y cambio para su aprobacin.
autorizar solicitudes de Formalizar las solicitudes de cambio y estandarizarlas de
cambio manera que todo cambio a nivel del proceso sea a travs
de un procedimiento definido. Realizar la respectiva
clasificacin para identificar y mejorar la gestin.
Evaluar las solicitudes de manera estructurada en base a
su priorizacin y de acuerdo a las funciones del proceso.
Realizar el anlisis de impacto dentro de los planes y
servicios que involucra este proceso considerando a los
proveedores y los acuerdos de servicio.
Desarrollar medidas para atender cambios de
emergencia en el proceso de admisin a nivel de la
Mantener un registro de los riesgos de seguridad de
Gestionar cambios de
informacin a partir de cambios de emergencia
emergencia
realizados en el proceso.
Supervisar los cambios de emergencia dentro del
proceso de admisin y realizar las revisiones post-
implantacin involucrando a las partes interesadas.
110
Mantener un sistema de seguimiento e informe para
todas las solicitudes de cambio enfocados en seguridad
de informacin dentro del proceso de admisin.
Supervisar los cambios de seguridad de informacin
Hacer seguimiento e
abiertos para asegurar que sean cerrados en los plazos
informar cambios de
previstos.
estado
Elaborar los informes de cambio en seguridad de
informacin dentro del proceso y que incluyan las
mtricas de rendimiento para facilitar su revisin y
seguimiento
Realizar la documentacin sobre las revisiones de
cambios de seguridad de informacin.
Cerrar y documentar los
Definir un periodo vlido para preservar la informacin
cambios
sobre los cambios realizados dentro del proceso bajo los
enfoques de seguridad.
Tabla 9.1.24 - Proceso admisin. Actividades de gestin habilitador: Gestionar el cambio

BAI06: Gestionar el cambio



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Evaluar, priorizar y
autorizar peticiones A R C C R C R C C R R
de cambio
Gestionar cambios
A I C R I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C R C R
estado
Cerrar y documentar
A R R C C R C R I C
los cambios
111
g. Proceso habilitador: Gestionar los activos
En este proceso habilitador aplican todas las actividades de gestin a excepcin de la

optimizacin del costo de los activos, pues requiere manejo de inversiones frente a
tecnologas de informacin, lo cual se gestiona desde el proceso de gobierno
Garantizar la entrega de beneficios. Se muestra tambin la matriz de
responsabilidades.

Identificar los activos asociados al proceso, registrarlos
indicando su estado actual. Alinearlos con procesos de
gestin de cambios y enfocarlos a la funcin de
Identificar requerimientos de seguridad de informacin de
acuerdo a los activos del proceso de admisin. Tener en
Identificar y registrar
cuenta sus dependencias entre ellos.
activos actuales
Identificar requerimientos legales o reglamentarios sobre
seguridad de informacin que deban de considerarse
dentro de la gestin de activos del proceso.
Determinar si el activo proporciona valor dentro del
proceso y si contina en condiciones tiles para soportar
dicho proceso.
Garantizar el cumplimiento de requisitos de seguridad de
informacin en los activos que comprenden el proceso.
Definir niveles de criticidad. De acuerdo a esto, identificar
activos crticos y registrarlos. Esta evaluacin deber
realizarse en torno a los requerimientos de seguridad de
informacin.
Gestionar activos crticos
Considerar el riesgo de falla, necesidad de cambio o
reemplazo total del activo critico dentro del proceso para
cumplir la funcin de seguridad de informacin.
Supervisar el rendimiento de los activos crticos por
medio de evaluaciones o planes en los cuales se definan
procesos para reparacin o reemplazos.
Gestionar el ciclo de vida Identificar y comunicar los riesgos de seguridad de
de los activos informacin y los incumplimientos respecto a las medidas
112
para mitigarlos a lo largo del ciclo de vida de los activos
del proceso de admisin.
Asegurar que las medidas de seguridad de informacin y
los requerimientos estn alineados al ciclo de vida.
Realizar adquisiciones de activos en base a solicitudes
aprobadas de acuerdo a las polticas y prcticas de la
empresa bajo los criterios de la seguridad de informacin
y alineados al proceso de admisin de pacientes.
Eliminar activos de forma segura siguiendo
procedimientos que garanticen la proteccin y
destruccin de datos que alguna vez estuvieron
almacenados en ellos.
Establecer procedimientos de control en base a
instalaciones de sistemas o software dentro de los
activos de TI.
Mantener un registro de todas las licencias de software
Administrar licencias
adquiridas para los activos que soportan el proceso base.
Realizar auditoras para identificar si existe software no
autorizado o si se cumplen los mecanismos de control
evidenciados en el inventario y registro de activos.
Tabla 9.1.26 - Proceso admisin. Actividades de gestin habilitador: Gestionar los activos
BAI09: Gestionar los activos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
C C C I R A C C
activos actuales
Gestionar activos
C I C C C C R A C C C
crticos
113
Gestionar el ciclo de
C I C R A R I
vida de los activos
I C I C A R R C
Administrar licencias
h. Proceso habilitador: Gestionar las solicitudes e incidentes de servicio
Este proceso habilitador indica las actividades a seguir para llevar a cabo la gestin de
incidentes y solicitudes de seguridad de informacin, los cuales pueden ser inmediatos
o a travs de algn proceso para su solucin temporal o total. Se prioriza aquellas
solicitudes o incidentes de seguridad de informacin.

Definir y comunicar las caractersticas de los incidentes
potenciales de seguridad de informacin para su
reconocimiento y comprender el impacto que podra
tener en el proceso.
Definir esquemas de Definir modelos de solicitudes de servicio relacionados a
clasificacin de incidentes la seguridad de informacin para facilitar la su atencin y
y solicitudes de servicio respuesta dentro del proceso de admisin.
Definir la clasificacin y priorizacin de incidentes y
solicitudes de servicio relacionados al proceso de
admisin tomando en cuenta los requerimientos de
Investigar los incidentes de seguridad y elaborar, en base
a estos, procedimientos de respuesta. Asegurar que las
medidas sean definidas y protejan los pilares de
seguridad y que sean difundidas.
Registrar, clasificar y
Registrar incidentes y solicitudes de servicio relacionados
priorizar solicitudes e
a la seguridad de informacin dentro del proceso de
incidentes
admisin.
Realizar la priorizacin y clasificacin de los incidentes
de acuerdo al impacto dentro del negocio y al proceso de
admisin.
Verificar, aprobar y Seguir procedimientos y modelos de solicitudes para
resolver solicitudes de elementos frecuentes de seguridad de informacin, para
114
servicio as resolver solicitudes de forma estandarizada.
Mantener procedimientos para recopilar evidencias sobre
incidentes de acuerdo a requisitos externos y el marco
legal al cual se encuentra sujeto el proceso. Asegurar
que el personal est al tanto de los requisitos.
Investigar, diagnosticar y Registrar un nuevo problema en caso no exista dentro de
localizar incidentes la base de datos y/o si el incidente de seguridad de
informacin es recurrente.
Identificar posibles soluciones temporales o permanentes
para los incidentes de seguridad de informacin, asignar
su tratamiento a los especialistas respectivos.
Definir un plan de respuesta para los incidentes de
seguridad de informacin en el cual se detalla las
soluciones apropiadas.
Resolver y recuperarse de
Ejecutar las acciones de recuperacin para restablecer el
incidentes
proceso de admisin completamente.
Documentar la solucin e identificar si es temporal o
permanente para tomarlo en cuenta a futuro.
Verificar con los usuarios del proceso si se ha
Cerrar solicitudes de completado la solicitud del servicio o si el incidente ha
servicio e incidentes sido resuelto. En caso afirmativo cerrar la solicitud o
incidente.
Asegurar que los incidentes de seguridad de informacin,
el anlisis y seguimiento de estos, siguen los
procedimientos existentes.
Seguir el estado y emitir Informar el resultado de las investigaciones sobre los
informes incidentes de seguridad a las partes interesadas y a la
gerencia ejecutiva.
Elaborar informes y distribuirlos peridicamente a los
stakeholders como parte de la mejora continua.
Tabla 9.1.28 - Proceso admisin. Actividades de gestin habilitador: Gestionar las solicitudes e
incidentes de servicio
115
DSS02: Gestionar solicitudes e incidentes de servicio



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir esquema de
clasificacin de
C I I A C R R R C
incidentes y solicitud
de servicio
priorizar solicitudes e I I C A R C
incidentes
Verificar, aprobar y
resolver solicitudes R C C I C R A C
de servicio
Investigar,
diagnosticar y R I C I I C R A C
localizar incidentes
Resolver y
recuperarse de I I I I I C R A R
incidentes
Cerrar solicitudes de
C I C I I I A C R
servicio e incidentes
Seguir el estado y
I I C I I I I A R C
emitir informes
Tabla 9.1.29 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Admisin
i. Proceso habilitador: Gestionar la continuidad
El siguiente proceso habilitador indica cmo crear estrategias que garanticen que el
proceso de admisin de pacientes estar disponible ante diversas situaciones y
emergencias. En este caso se busca el compromiso del oficial de seguridad de
informacin que seale que los incidentes o riesgos de seguridad de informacin, en
caso se materialicen, afectaran lo menos posible la continuidad de negocio.
Se presenta tambin la matriz de responsabilidades de acuerdo al proceso de

admisin de pacientes y el proceso habilitador, realizando los ajustes que orienten el
enfoque de gobierno de TI, seguridad de informacin.
116
Determinar el nivel de criticidad del proceso de admisin
de pacientes a nivel de seguridad de informacin y de
acuerdo a la ley de proteccin de datos personales,
norma tcnica peruana de la historia clnica y ley de
Definir las polticas de emergencia, para verificar que su aplicacin en el
continuidad de negocio, programa de continuidad.
objetivos y alcance Asegurar que la seguridad de informacin forma parte del
ciclo de vida de continuidad de negocio.
Identificar partes interesadas, roles y responsabilidades
claves dentro del proceso para alinearlos a los objetivos
y polticas del SGCN.
Identificar e incluir escenarios que den pie a eventos que
afecten la continuidad del proceso de admisin dentro
del enfoque de la seguridad de informacin.
Realizar el anlisis de impacto de negocio para el
proceso de admisin, incluyendo los factores de
seguridad de informacin y el mximo tolerable de
interrupcin en estos aspectos.
Mantener una estrategia
Analizar las amenazas que afecten la continuidad del
de continuidad
proceso bajo el enfoque de la seguridad de informacin
para mejorar mtodos preventivos e incrementar la
resiliencia.
Obtener la aprobacin de los ejecutivos y dar pie a las
estrategias seleccionadas que cubran los requerimientos
definidos para el SGCN bajo el enfoque de seguridad de
informacin.
Alinear los aspectos de seguridad de informacin del
proceso de admisin a las estrategias de continuidad y el
SGCN. Incluirlas en el Plan de continuidad de negocios.
Desarrollar e implementar Asegurar que los proveedores clave del proceso definan
una respuesta a la estrategias de continuidad de negocio y recuperacin.
continuidad de negocio Evaluar cmo afecta que no se cuente con estas para
considerarlo dentro de las polticas del SGCN.
Definir los procedimientos de recuperacin para reanudar
el proceso de admisin y que este cumpla con los
117
requerimientos de seguridad de informacin definidos.
Definir y documentar recursos necesarios para recuperar
el proceso, incluyendo todos los planes documentados y
considerando las necesidades de seguridad y
almacenamiento de la informacin en otro lugar.
Distribuir los planes.
Planificar actividades para probar el plan como est
Ejecutar, probar y revisar definido en los documentos. Asignar roles y
el plan de continuidad responsabilidades para esta actividad.
Realizar el anlisis y revisin para determinar el logro.
Considerar que los incidentes de seguridad de
informacin, dentro del proceso de admisin, son fuentes
para probar y verificar las repuestas del plan de
continuidad de negocios.
Revisar el plan peridicamente tomando en cuenta los
Revisar, mantener y
objetivos de negocio, objetivos de TI y los lineamientos
mejorar el plan de
del proceso de admisin junto con sus estrategias de
continuidad
seguridad. Considerar posibles cambios producto del
entorno.
Comunicar los cambios en torno al plan de continuidad
que puedan afectar los procesos o los requerimientos de
Asegurar que los requerimientos de seguridad se
cumplen en los procesos de backup y restauracin de la
informacin dentro del proceso de admisin de
pacientes.
Realizar las copias de seguridad respectivas y establecer
Gestionar acuerdos de
polticas para su gestin de acuerdo a las regulaciones y
respaldo
exigencias dentro del proceso de admisin,
salvaguardando los datos del paciente.
Probar y mantener las copias de seguridad recientes y
aquellas archivadas de manera peridica para garantizar
la disponibilidad de la informacin y su integridad.
Asegurar que los parmetros y niveles de seguridad
Ejecutar revisiones post-
estn incluidos luego de la reanudacin del proceso de
reanudacin
admisin.
118
Evaluar la efectividad del plan de acuerdo a los tiempos
definidos en el anlisis de impacto de negocio de
acuerdo al proceso de admisin.
Identificar debilidades u omisiones como parte de la
mejora continua para asegurar que el proceso de
admisin podr llevarse a cabo sin inconvenientes ante
cualquier evento bajo condiciones seguras.
Tabla 9.1.30 - Proceso admisin. Actividades de gestin habilitador: Gestionar la continuidad

DSS04: Gestionar la continuidad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir la poltica de
continuidad de
A C R C C C R I C C R R
negocio, objetivos y
alcance
Mantener una
estrategia de A C R I I C R I R R R
continuidad
Desarrollar e
implementar una
respuesta a la I R C I C R I C R A
continuidad de
negocio
Ejercitar, probar y
revisar el plan de I R I I R R I R I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C A
post-reanudacin
119
j. Proceso habilitador: Gestionar los servicios de seguridad
Se muestra la aplicacin de las actividades de gestin de acuerdo al proceso que

garanticen la seguridad a nivel tcnico y lgico para el procesamiento y
almacenamiento de datos.
As mismo, se muestra la matriz de responsabilidades para dar continuidad a lo largo

del ciclo de vida de gobierno a este proceso habilitador y su aplicacin en el proceso
de negocio de admisin de pacientes.

Instalar y activar herramientas de proteccin frente a
software malicioso en todas las estaciones que procesan
la informacin del paciente. Concientizar al usuario de
estas sobre las amenazas y forzar la responsabilidad de
prevencin.
Proteger contra software
Revisar y evaluar sobre nuevas amenazas que afecten
malicioso
las fuentes de procesamiento de informacin de los
pacientes.
Filtrar el trfico entrante, como los correos electrnicos y
descargas para protegerse frente a informacin no
solicitada y sensible.
De acuerdo al anlisis de riesgo, mantener una poltica
de seguridad para conexiones.
Cifrar la informacin en trnsito de acuerdo con su
clasificacin verificando el cumplimiento con la ley de
proteccin de datos personales y norma tcnica peruana
Gestionar la seguridad de
de la historia clnica.
la red y las conexiones
Establecer mecanismos para recepcin segura de la
informacin.
Realizar pruebas sobre la seguridad del sistema para
determinar la proteccin sobre los datos intercambiados
dentro del proceso de admisin de pacientes.
Gestionar la seguridad de Configurar los sistemas operativos de forma correcta y
los puestos de usuario segura en las estaciones que abarcan el proceso de
final admisin.
120
Cifrar la informacin almacenada y gestionada de
acuerdo a su clasificacin
Implementar mecanismos de bloqueo de los dispositivos.
Implementar el filtrado del trfico de la red en dispositivos
de usuario final dentro del proceso de admisin
Deshacerse de los dispositivos de usuario final de forma
segura.
Mantener los derechos de acceso de los usuarios de
acuerdo a los requerimientos del proceso de admisin.
Autenticar los accesos a los activos de informacin de
acuerdo al nivel de seguridad y segn los lineamientos
Gestionar la identidad del
de los procesos de negocio.
usuario y el acceso lgico
Segregar y gestionar cuentas de usuario privilegiadas.
Realizar revisiones peridicas de la gestin de cuentas y
privilegios dentro del proceso de admisin. Verificar que
la identificacin de estas es unequvoca.
Establecer procedimientos de empleo, eliminacin y
destruccin de las historias clnicas y actas de
conformidad y garanta.
Asignar privilegios de acceso a informacin de historias
Gestionar documentos clnicas, actas de conformidad y garanta.
sensibles y dispositivos Realizar un inventario de documentos sensibles y
de salida dispositivos de salida crticos para llevar a cabo el
proceso de admisin de pacientes.
Establecer polticas de proteccin fsica apropiadas sobre
formularios o documentos que contienen informacin
sensible.
Tabla 9.1.32 - Proceso admisin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
121
DSS05: Gestionar los servicios de seguridad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Proteger contra
R C A R C I R I C
software malicioso
Gestionar seguridad
I C A C C I R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A I C R I R
usuario final
Gestionar identidad
del usuario y acceso R C A I C C R I R C
lgico
Gestionar
documentos
sensibles y C I I C A I R R
dispositivos de
salida
1.1.3 Proceso Atencin del paciente
Otro de los procesos que forman parte del alcance del proyecto de tesis es el proceso
de atencin. Este proceso a diferencia del proceso de admisin, contiene ms
actividades manuales y de gestin debido a que su objetivo es garantizar la seguridad
y confort del paciente brindndole la atencin y cuidados respectivos. No se deja de
lado las actividades tcnicas y la gestin de informacin confidencial como las
historias clnicas.
En este proceso habilitador, de acuerdo al proceso de atencin, se determina la

estrategia a seguir por parte del personal y segn lo determina la alta direccin para
cumplir con los requerimientos y la funcin de seguridad de informacin.
122
Se presenta la matriz de responsabilidades para gestionar el habilitador de acuerdo al

respaldar los objetivos de la organizacin dentro del
proceso de atencin al paciente hospitalizado,
cumpliendo con la ley de proteccin de datos personales
y la norma tcnica peruana de la historia clnica.
Identificar los stakeholders e interesados del proceso de
Comprender la direccin
atencin y sus requerimientos.
de la empresa
Desarrollar y mantener un entendimiento de las
estrategias, objetivos de negocio, entorno y retos
operativos actuales dentro del proceso de admisin
acorde con la seguridad de informacin.
estratgicos a nivel de proceso.
Establecer la lnea base de seguridad de informacin
dentro del proceso de atencin al paciente.
Crear criterios de seguridad de informacin claros y
relevantes dentro del proceso de atencin de pacientes.
Identificar los riesgos.
Evaluar entorno,
Identificar diferencias entre el proceso de negocio actual
capacidades y
y las capacidades de TI segn estndares de calidad y
rendimientos actuales
mejores prcticas.
Identificar debilidades, fortalezas, oportunidades y
amenazas del proceso de atencin y las capacidades y
servicios para evaluar el desempeo actual de las
funciones de seguridad de informacin.
Realizar un anlisis de Examinar el nivel de cumplimiento con la ley de
brecha proteccin de datos personales, norma tcnica peruana
de la historia clnica dentro del proceso de atencin al
paciente.
123
Definir las metas deseadas del proceso y establecer los
beneficios que se obtienen al llegar a estas.
alinearla a la estrategia de negocio para cumplir los
objetivos del proceso.
Definir el plan estratgico interdependencias de las iniciativas a nivel empresarial
y la hoja de ruta de acuerdo al proceso, la cual a su vez seale los
riesgos y costos de los cambios.
contengan los requerimientos de seguridad de
informacin identificados en el proceso de atencin.
informacin que incluya el proceso de atencin de
pacientes y comunicarlo a los stakeholders.
Desarrollar el plan de comunicacin de la estrategia
aplicada dentro del proceso de atencin. Identificar
la direccin de TI
canales de comunicacin.
Actualizar el plan de comunicacin segn la
retroalimentacin del personal y a la estrategia de
seguridad de informacin dentro del proceso de atencin.
Tabla 9.1.34 - Proceso atencin. Actividades de gestin habilitador: Gestionar la estrategia



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Comprender la
direccin de la C C C A C C C R C R C I I R C
empresa
124
Evaluar entorno,
capacidades y C C C R C C C C C A I C I R C
rendimiento actual
Realizar un anlisis
R R C C C C C A I C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C I C C
ruta
Comunicar
direccin de TI
Tabla 9.1.35 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Atencin
Se detalla la aplicacin de actividades de gestin de acuerdo al proceso de atencin

de pacientes. El objetivo es que los recursos humanos sean capaces de soportar el
proceso a nivel de negocio y tecnolgico garantizando el cumplimiento de
requerimientos de seguridad de informacin. Se muestra tambin la matriz de
responsabilidades, la cual a diferencia del proceso de admisin, muestra menor
requerimiento a nivel tcnico, pero siguiendo el enfoque de seguridad de informacin.

Evaluar peridicamente las necesidades de personal en
el proceso de atencin de pacientes de forma de
asegurar que los recursos pueden soportar dicho
proceso de negocio. Incluye evaluar necesidad de
personal de TI.
Mantener la dotacin del Dentro de los procesos de contratacin, incluir controles
personal suficiente y de antecedentes de acuerdo a la funcin o rol dentro del
adecuada proceso de atencin.
Brindar capacitaciones y garantizar que existe personal
capaz de cubrir funciones crticas de otro para reducir la
dependencia.
del proceso.
Minimizar la dependencia de una sola persona en una
de TI
funcin crtica dentro del proceso de atencin al paciente
a travs de captura e intercambio de conocimiento.
125
Definir habilidades y competencias necesarias que deben
tener los recursos para lograr los objetivos del proceso y
Brindar capacitaciones y programas de seguridad de
informacin al personal que ejecuta los procesos.
Proporcionar facilidades a los actores de este proceso
para lograr el desarrollo profesional para fomentar las
y competencias del
oportunidades de progreso personal y menor
personal
dependencia de personas clave.
recursos internos. A partir de estas identificar si se
requieren habilidades adicionales para cubrir el proceso y
ejecutar el plan de accin para desarrollarlas.
criterios con respecto a la funcin de seguridad de
informacin.
objetivos del proceso de atencin. Estos deben reflejar
competencias bsicas, valores empresariales y
Evaluar el desempeo habilidades para las funciones.
laboral de los empleados Proporcionar instrucciones para uso y almacenamiento
evaluacin.
Desarrollar planes para la mejora de desempeo del
personal que ejecuta el proceso de atencin.
Implementar un proceso de reconocimiento a medida que
el personal logre o desarrolle sus objetivos.
humanos involucrados dentro del proceso de atencin
Planificar y realizar un para apoyar el logro de objetivos de TI y necesidades
seguimiento del uso de operativas del da a da salvaguardando los objetivos de
recursos humanos de TI y la funcin de seguridad de informacin.
del negocio Realizar el inventario del personal del proceso e
identificar sus respectivas funciones.
126
proyectos
aplicarse en el proceso de atencin al paciente.
Llevar a cabo revisiones para asegurarse que el personal
cumple con sus funciones, que el derecho de acceso es
Gestionar el personal
adecuado y alineado con los acuerdos pactados al firmar
contratado
el contrato.
Implementar polticas que permitan identificar como se
debe gestionar el personal, es decir si es necesario
contratar servicios o nuevo personal siguiendo los
parmetros de seguridad de informacin.
Tabla 9.1.36 - Proceso atencin. Actividades de gestin habilitador: Gestionar los recursos
humanos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener dotacin
de personal
R I C R A C C C R C
suficiente y
adecuado
C I R R R A C R C R C
clave de TI
competencia del I R C R A R C C R C
personal
Evaluar desempeo
R R R A R R R R R
seguimiento del uso
R C A R R C I R R C C R C
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A R C C R C
contratado
127
Por medio de este proceso habilitador se pretende garantizar que, por medio de sus
actividades de gestin, los riesgos de seguridad de informacin del proceso de
atencin se encuentren controlados.
Se muestra la respectiva matriz de acuerdo a las actividades y fines del proceso de

atencin.

anlisis y comunicacin de los riesgos de seguridad de
informacin dentro del proceso de atencin al paciente.
Medir y analizar los riesgos de TI y seguridad de
Recopilar datos informacin suscitados dentro del proceso de atencin a
lo largo del tiempo. Verificar las prdidas experimentadas
por la materializacin de estos.
riesgo que se presentan en el proceso.
dentro del proceso.
dentro del proceso. Identificar las amenazas para
detectar medidas de emergencia.
Identificar los riesgos residuales dentro del proceso y las
exposiciones que puedan requerir una respuesta al
Analizar el riesgo
riesgo.
Especificar controles apropiados para la mitigacin de
riesgos de seguridad de informacin que garanticen que
el proceso se vea afectado lo mnimo posible.
Validar los resultados del anlisis de riesgos del proceso
Mantener un perfil del Crear e informar el nivel aceptable de exposicin al
riesgo riesgo que incluya los aspectos de seguridad de acuerdo
128
al proceso.
Identificar dentro del proceso los servicios esenciales
para sostenerlo y que este alineado con el perfil de
riesgo a tolerar. Analizar dependencias e identificar
debilidades.
Definir un conjunto de indicadores que permitan la
supervisin de los riesgos de seguridad del proceso y
sus tendencias.
Informar los resultados del anlisis de riesgos del
proceso de atencin a los stakeholders en trminos
adecuados y entendibles para decisiones empresariales.
Expresar el riesgo
efectividad del proceso de atencin y los controles
asociados. Identificar oportunidades de TI para mayor
tolerancia al riesgo e incrementar la capacidad de
gestin.
Monitorear peridicamente los riesgos de seguridad de
informacin del proceso de atencin y verificar que el
Definir un portafolio de riesgo este alineado con el apetito y tolerancia al riesgo.
acciones para la gestin Definir propuestas para reducir el riesgo o proyectos para
de riesgos incrementar las oportunidades estratgicas de acuerdo a
la ley de proteccin de datos personales y la norma
tcnica peruana de la historia clnica.
riesgos de seguridad. Se recomienda aplicar en este
Responder al riesgo
caso la norma ISO/IEC 27002:2013. Se recomienda
incluir controles preventivos y correctivos.
Tabla 9.1.38 - Proceso atencin. Actividades de gestin habilitador: Gestionar el riesgo
129



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
I R I R R R I I A C C C R C
Recopilar datos
Analizar el riesgo
Mantener un perfil
I R I C A C I I R C C C R C
del riesgo
I R I C R C I I A C C C C C
Expresar el riesgo
acciones para I R I C A R I I R I C I C C
gestin del riesgo
Responder al riesgo
Similar al proceso de admisin, se considera que este proceso debe tambin formar
parte del alcance de un SGSI y a partir de este establecer las medidas y controles
para tratar los riesgos de seguridad de informacin que puedan impactar de forma
negativo a los procesos crticos de la organizacin.
Dado que este proceso va de la mano con el proceso de admisin, se considera que la
declaracin de aplicabilidad de este ltimo es vlida para ambos. Se presenta tambin
la matriz de responsabilidades.
130
caractersticas de la organizacin y sus polticas.
Disear un enfoque de gestin de seguridad y alinearlo
Establecer y mantener un al SGSI.
SGSI Comunicar los roles y responsabilidades en la gestin de
la seguridad de informacin y el enfoque del SGSI.
proceso.
Definir y gestionar un plan Desarrollar propuestas de mejora al plan de riesgos
de tratamiento del riesgo basados en casos de negocio de acuerdo a los roles y
de la seguridad de responsabilidades a necesitar para su aplicacin y
informacin acorde a los drivers identificados.
supervisin de procedimientos de seguridad y controles
del proceso de atencin y la respuesta a incidentes.
Realizar revisiones peridicas del SGSI incluyendo las
polticas y objetivos definidos en la etapa de concepcin
del SGSI
Supervisar y revisar el Realizar evaluaciones o auditoras al SGSI de forma
SGSI peridica para determinar su cumplimiento e identificar
mejoras en el proceso.
Registrar acciones y eventos que podran tener impacto
en la efectividad o desempeo del SGSI.
Tabla 9.1.40 - Proceso atencin. Actividades de gestin habilitador: Gestionar la seguridad
131



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Establecer y
C C C C C I I C A C I R I I I R C
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C C R C
informacin
Supervisar y revisar
C R C I R A C R R R R R R
el SGSI
Dentro del proceso de atencin se requiere la gestin de programas y proyectos a alto

nivel y garantizar su alineamiento con las estrategias y objetivos del proceso de
negocio. Se presenta la matriz de responsabilidades para gestionar el habilitador y
conducirlo al nivel de madurez esperado por los stakeholders.

de atencin.
Mantener un enfoque
Establecer procedimientos para asegurar que todos los
proyectos relacionados al proceso e informacin cuentan
de programas y
con las medidas de seguridad requeridas o exigibles.
proyectos.
proyectos. Aplicar las mejoras que se desprenden del
uso de estrategias dentro del proceso de atencin.
132
incluya los controles a implementar en el proyecto.
Desarrollar y mantener el
implementar requerimientos de seguridad de informacin.
plan del programa.
actualizacin de acuerdo a los proyectos y el proceso de
atencin. Actualizar el caso de negocio que lo justifica y
garantiza el alineamiento estratgico.
con la gestin de proyectos de negocio.
Desarrollar un plan de proyecto con informacin que
permita a la direccin controlar su progreso. Incluir
recursos, responsabilidades e hitos que marcan el cierre
Planificar proyectos de cada una de las etapas.
Mantener los planes de proyectos y sus dependencias,
un cambio en uno de stos se refleje en los dems.
Establecer un marco base para gestin de proyectos, el
cual es revisado, aprobado e incorporado a los planes de
proyecto vigentes.
Gestionar la calidad de Identificar actividades y prcticas para garantizar la
los programas y calidad de los proyectos. Asegurar que las tareas
proyectos. cumplan los requerimientos de seguridad de informacin
Registrar los riesgos de seguridad de informacin del
proyecto y sus acciones correctivas. Revisar y
actualizarlos peridicamente.
Gestionar el riesgo de los Integrar proyectos de seguridad de informacin al
programas y proyectos. programa y proceso de atencin de pacientes. Alinearlos
a los procesos de gestin de proyectos.
Asignar responsabilidades al personal capacitado para la
gestin del riesgo de los proyectos.
Programar evaluaciones a los proyectos para asegurar
Supervisar y controlar que los requerimientos de seguridad de informacin del
proyectos. proceso son implementados efectivamente.
requerimientos de desempeo para verificar el avance.
133
producidos en cada iteracin de los proyectos
asociados.
Tabla 9.1.42 - Proceso atencin. Actividades de gestin habilitador: Gestionar los programas y
proyectos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Mantener enfoque Auditora

para gestin de
I A C C R R C C C I R C
programas y
proyectos
Desarrollar y
mantener el plan del C C A C R R C R I C I I I R C
programa
de los programas y C R I A R C R I C I C C C
proyectos
Gestionar el riesgo
de los programas y R R I A R C R I C C C C R C
proyectos
Supervisar y
I R I A R C C C C I C C R C
controlar proyectos
Tabla 9.1.43 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Atencin
Este proceso habilitador dentro del proceso de atencin presenta la particularidad de

que no cuenta con infraestructura tecnolgica compleja, por ello el personal de TI del
proceso es menor, por eso derivan algunas actividades. Se recomienda por lo tanto
que el cierre de los cambios se haga en conjunto con el proceso de atencin.
Adicionalmente se presenta la matriz de responsabilidades respectiva.
134
Asegurar que los cambios dentro del proceso de atencin
se alinean a las polticas de seguridad de informacin.
Realizar el anlisis de impacto al realizar cambios en
seguridad de informacin y a nivel general dentro del
proceso.
Asegurar que los cambios sean validados por los dueos
Evaluar, priorizar y del proceso de negocio de atencin al paciente. Evaluar
autorizar solicitudes de los tipos de cambios permitidos en l.
cambio Estandarizar las solicitudes de cambio de manera que
todo cambio a nivel del proceso sea a travs de
procedimientos formales.
Considerar el impacto de los cambios en la gestin de
proveedores de acuerdo a la de seguridad de
informacin, procurando que estos no afecten los
acuerdos de servicio.
emergencia en el proceso y relacionados a seguridad de
informacin.
Gestionar cambios de Registrar los riesgos de seguridad de informacin a partir
emergencia de cambios de emergencia realizados en el proceso.
proceso de atencin y realizar las revisiones post-
Mantener y supervisar un sistema de seguimiento e
informe para las solicitudes de cambio del proceso de
Hacer seguimiento e acuerdo a las exigencias de seguridad de informacin.
informar cambios de Elaborar informes respecto a los cambios de seguridad
estado de informacin realizados en el proceso.
Supervisar los cambios de seguridad de informacin que
an no han sido cerrados.
Tabla 9.1.44 - Proceso atencin. Actividades de gestin habilitador: Gestionar el cambio
135



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
autorizar solicitudes A R C C R I R C C R R
de cambio
Gestionar cambios
A I C R I I R C R I R
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C C C R
estado
Se muestra a continuacin las actividades a considerar para realizar gestin de activos

involucrados dentro del proceso de atencin al paciente hospitalizado. Se requiere
identificar los requerimientos de seguridad de informacin a los que estn asociados.
Se presenta la matriz de responsabilidades. Se observa que no aplica la actividad

administrar licencias debido a que parte de esta se realizar en el proceso de admisin
de pacientes, similar con la optimizacin de costos, la cual se gestiona desde el
proceso de gobierno como fue anteriormente sealado.

Identificar los activos relacionados al proceso de atencin
al paciente hospitalizado y los requerimientos de
seguridad asociados a estos.
activos actuales
Identificar la dependencia entre estos activos y su nivel
de criticidad dentro del proceso.
136
Identificar si los activos del proceso de atencin estn
sujetos a alguna regulacin adicional a la ley de
proteccin de datos personales y la norma tcnica
peruana de la historia clnica. Verificar los aspectos
contractuales de seguridad de informacin.
Verificar y determinar si los activos se encuentran en
condiciones tiles para soportar dicho proceso y si es
que genera valor al negocio.
Identificar que activos del proceso de atencin pueden
ser considerados como crtico. Supervisar su rendimiento
por medio de evaluaciones o planes en los que se
definan las polticas de reparacin o reemplazo.
Determinar los niveles de criticidad de los activos dentro
del proceso de atencin.
Garantizar que los activos crticos del proceso cumplan
Gestionar activos crticos los niveles de seguridad de informacin establecidos en
el proceso y el negocio.
Determinar el tiempo de inactividad mximo para estos
activos crticos de manera que se garantice la reduccin
de un impacto adverso en el negocio.
Establecer polticas para el cambio de estos activos
crticos de acuerdo a los riesgos de seguridad de
informacin identificados.
Identificar y comunicar los riesgos de seguridad de
informacin de estos activos que soportan el proceso.
Realizar adquisiciones de nuevos activos previamente
autorizadas de acuerdo a procedimientos seguros que
Gestionar el ciclo de vida
verifique un nivel de riesgo aceptable.
de los activos
Establecer polticas para eliminar activos de forma
segura.
Asegurar que las medidas de seguridad de informacin
se apliquen a los activos durante todo su ciclo de vida.
Tabla 9.1.46 - Proceso atencin. Actividades de gestin habilitador: Gestionar los activos
137



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
C C C I R A C C
activos actuales
Gestionar activos
crticos
C I C R A C I
vida de los activos
h. Proceso habilitador: Gestionar las solicitudes de servicio e incidentes
Se identifican las actividades de gestin a aplicar para este proceso habilitador

tomando en cuenta como referencia para el anlisis el proceso de atencin al
paciente. El enfoque de seguridad brinda prioridad a solicitudes e incidentes de
informacin. Se muestra tambin la matriz de responsabilidades que permite la
gestin adecuada de este proceso habilitador.

Definir y comunicar las caractersticas de los potenciales
incidentes de seguridad de informacin para su
reconocimiento y entendimiento del impacto en caso se
Definir esquemas de materialicen.
clasificacin de incidentes Definir modelos de solicitudes de servicio relacionados a
y solicitudes de servicio la seguridad de informacin para facilitar su atencin y
respuesta dentro del proceso de atencin.
solicitudes de servicio relacionados al proceso de
138
atencin de acuerdo a los requerimientos de seguridad
de informacin y el impacto en el negocio.
medidas sean definidas y protejan los pilares de
seguridad y que sean difundidas.
incidentes
a la seguridad de informacin del proceso de atencin.
Priorizar y clasificar incidentes de acuerdo al impacto
dentro del negocio y el proceso de atencin.
Verificar, aprobar y Seguir procedimientos y modelos de solicitud de
resolver solicitudes de seguridad de informacin para elementos frecuentes de
servicio manera que se atiendan en menor tiempo.
Registrar un nuevo problema en caso no exista dentro de
la base de datos y si el incidente de seguridad de
informacin satisface los criterios para registro.
Investigar, diagnosticar y
Identificar soluciones temporales o permanentes para los
incidentes de seguridad de informacin, asignar su
tratamiento a los especialistas respectivos dentro del
proceso de atencin.
Definir un plan de respuesta de seguridad de informacin
para los incidentes dentro del proceso de atencin.
Resolver y recuperarse de Ejecutar las acciones de recuperacin para restablecer el
incidentes proceso de atencin completamente.
Cerrar solicitudes de completado la solicitud del servicio o si el incidente de
servicio e incidentes seguridad fue resuelto. En caso afirmativo cerrar la
solicitud o incidente,
Seguir el estado y emitir
procedimientos de gestin existentes.
informes
Tabla 9.1.48 - Proceso atencin. Actividades de gestin habilitador: Gestionar las solicitudes de
139
DSS02: Gestionar solicitudes de servicio e incidentes



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir esquema de
clasificacin de
C I I A I R R R C
de servicio
incidentes
de servicio
Investigar,
diagnosticar y R I C I I R A C
Resolver y
recuperarse de I I I I I C R A C
incidentes
Cerrar solicitudes de
C I C I I A C R
Seguir el estado y
I I C I I I I A R I
emitir informes
Tabla 9.1.49 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Atencin
Se seala a continuacin las actividades que aplican para gestionar la continuidad del
proceso de atencin al paciente hospitalizado. Se muestra seguidamente la matriz de
responsabilidades definida.

Determinar la criticidad del proceso de atencin de
Definir las polticas de pacientes de acuerdo a la seguridad de informacin y el
continuidad de negocio, cumplimiento con la ley de proteccin de datos
objetivos y alcance personales y la norma tcnica peruana de la historia
clnica para verificar si forma parte del programa de
140
continuidad.
Asegurar que la seguridad de informacin forma parte del
Identificar interesados, roles y responsabilidades dentro
del proceso para alinearlos a los objetivos y polticas del
SGCN
Identificar e incluir escenarios que den pie a eventos de
informacin que afecten la continuidad del proceso.
Realizar el anlisis de impacto de negocio de acuerdo a
los lineamientos del proceso, incluyendo los factores de
seguridad de informacin y el mximo tolerable de
de continuidad
Analizar las amenazas de seguridad que afecten la
continuidad del proceso para mejorar mtodos
preventivos e incrementar la resiliencia.
Definir los procedimientos de recuperacin para reanudar
el proceso de egreso y que cumpla con los
Desarrollar e implementar requerimientos de seguridad de informacin definidos.
una respuesta a la Definir y documentar recursos necesarios para recuperar
continuidad de negocio el proceso. Documentar los planes considerando las
necesidades de seguridad y almacenamiento de la
informacin en otro lugar. Distribuir los planes.
Planificar actividades para probar el plan definido en los
Ejecutar, probar y revisar documentos. Asignar roles y responsabilidades para esta
el plan de continuidad actividad y coordinar que no afecten el proceso.
del proceso de atencin. Considerar posibles cambios
producto del entorno.
Revisar, mantener y
Comunicar los cambios del plan de continuidad que
mejorar el plan de
puedan afectar el proceso o los requerimientos de
continuidad
Reconocer qu incidentes de seguridad de informacin
pueden ocasionar la interrupcin del negocio, por ello se
debe incrementar el nivel de gestin de stos.
141
cumplen en los procesos de backup y restauracin de
informacin.
polticas para su gestin de acuerdo a la ley de
Gestionar acuerdos de proteccin de datos personales y la norma tcnica
respaldo peruana de la historia clnica entre otras exigencias
dentro del proceso de atencin, salvaguardando los
datos del paciente.
Probar y mantener las copias de seguridad recientes, y
aquellas archivadas, de manera peridica para garantizar
acuerdo al proceso de atencin al paciente.
Ejecutar revisiones post- Identificar debilidades u omisiones como parte de la
reanudacin mejora continua para asegurar que el proceso de
atencin podr llevarse a cabo sin inconvenientes ante
cualquier evento asegurando la informacin de los
involucrados.
Tabla 9.1.50 - Proceso atencin. Actividades de gestin habilitador: Gestionar la continuidad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
continuidad de
A C R C C C R I C C C R
alcance
142
Mantener una
estrategia de A C R I I C R I C R R
continuidad
Desarrollar e
implementar una
I R C I C R I C R A
respuesta a la
continuidad.
Ejercitar, probar y
revisar el plan de I R I I I R R I C I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C A
post-reanudacin
Tabla 9.1.51 - Matriz de responsabilidades para el proceso habilitador DSS04 - Proceso Atencin
Se presenta las actividades de gestin que aplican al proceso habilitador de acuerdo a

la realidad de la organizacin y sus necesidades y requerimientos del proceso. Se
muestra tambin la matriz de responsabilidades para su gestin.

software malicioso en las estaciones o activos que
brindan soporte al proceso de atencin. Concientizar al
usuario sobre el empleo de estas.
malicioso
Filtrar el trfico entrante de informacin como correos
electrnicos y descargas para protegerse frente a
informacin no solicitada.
Mantener una poltica para la seguridad de conexiones
de red entre los activos que soportan el proceso de
Gestionar la seguridad de atencin.
la red y las conexiones Cifrar la informacin en trnsito de acuerdo con su
clasificacin verificando el cumplimiento la ley de
proteccin de datos personales.
Cifrar la informacin almacenada dentro de los activos de
acuerdo a su clasificacin y nivel de criticidad.
los puestos de usuario
Configurar los sistemas operativos de forma correcta y
final
segura en las estaciones del personal que ejecuta el
143
proceso de atencin.
Implementar mecanismos de bloqueo en los dispositivos.
segura.
Segn los requerimientos del proceso, mantener los
derechos de acceso
Gestionar la identidad del Segregar y gestionar cuentas de usuario privilegiadas.
usuario y el acceso lgico Realizar regularmente revisiones de la gestin de
cuentas y privilegios que abarca el proceso de atencin.
Verificar que la identificacin de estas es unequvoca.
destruccin de formularios especiales como las historias
clnicas y actas de conformidad.
Asignar privilegios de acceso a documentacin y a su
Gestionar documentos modificacin durante el proceso de atencin al paciente.
sensibles y dispositivos Realizar un inventario de documentos sensibles o
de salida dispositivos de salida crticos involucrados durante el
proceso de atencin.
sensible.
Tabla 9.1.52 - Proceso atencin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Proteger contra
R C A R C I R I C
software malicioso
144
Gestionar seguridad
I C A C C I R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A I C C I R
usuario final
Gestionar identidad
del usuario y acceso R C A I C C C I R C
lgico
Gestionar
documentos
C I I C I A I C R
sensibles y
dispositivo de salida
Tabla 9.1.53- Matriz de responsabilidades para el proceso habilitador DSS05 - Proceso Atencin
1.1.4 Proceso Egreso del paciente
El siguiente proceso es parte del macro-proceso hospitalario, a diferencia del proceso

de atencin, sus actividades involucran mayor interaccin con sistemas de informacin
sin dejar de lado actividades manuales.
Aunque entre sus actores no est el personal de TI, se necesita el apoyo de stos
para definir estrategias, capacidades y funciones, de manera que los usuarios del
proceso puedan llevarlo a cabo de forma exitosa y cumpliendo con la regulacin, entre
estas ley de proteccin de datos personales, norma tcnica peruana de la historia
clnica y en menor grado, debido a que es proceso hospitalario, la ley de emergencia.
Los procesos habilitadores a aplicar para esta modelo de gobierno de TI son las
siguientes:
Dentro del proceso de negocio egreso del paciente se requiere identificar

oportunidades y capacidades para garantizar que las actividades que comprenden el
proceso cumplen requerimientos de seguridad definidos y las regulaciones a las
cuales est sujeto el proceso.
Se muestra tambin la matriz de responsabilidades para llevar a cabo su gestin a

nivel del proceso egreso del paciente hospitalizado.
145
respaldar los objetivos de la organizacin y del proceso.
Garantizar con estos el cumplimiento de la ley de
Comprender la direccin peruana de la historia clnica.
de la empresa Desarrollar y entender las estrategias, objetivos de
negocio, entorno y retos operativos actuales dentro del
proceso y la seguridad de informacin.
Determinar prioridades para desarrollar cambios
estratgicos en el proceso.
Establecer la lnea base de seguridad de informacin
dentro del proceso egreso del paciente.
Crear criterios de seguridad de informacin claros y
relevantes de acuerdo con las actividades del proceso de
egreso. Identificar riesgos.
Evaluar entorno,
Identificar diferencias entre el proceso de negocio actual
capacidades y
y las capacidades de TI segn estndares y mejores
rendimientos actuales
prcticas sugeridas por la divisin calidad y procesos.
Identificar debilidades, fortalezas, oportunidades y
amenazas del entorno actual del proceso de egreso
Evaluar dentro de l el desempeo de la funcin de
Examinar el nivel de cumplimiento con la ley de
Realizar un anlisis de proteccin de datos personales, norma tcnica peruana
brecha de la historia clnica y la ley de emergencia dentro del
proceso de egreso al paciente.
Definir las metas del proceso y establecer los beneficios
que se obtienen al llegar a estas.
alinearla a la estrategia de negocio para cumplir los
Definir el plan estratgico
objetivos del proceso.
y la hoja de ruta
interdependencias de las iniciativas a nivel empresarial
146
de acuerdo al proceso, la cual a su vez seale los
riesgos y costos de los cambios.
contengan requerimientos de seguridad de informacin
identificados para el proceso de egreso.
informacin que incluya el proceso de egreso de
pacientes y comunicarlo a los stakeholders.
Tomando como base el plan de comunicacin de otros
la direccin de TI
procesos como el de atencin y el de admisin,
actualizar el plan segn los resultados en el personal que
realiza el proceso de egreso del paciente.
Tabla 9.1.54 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la estrategia.



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Comprender la
direccin de la C C C A C C C R C R C C I R C
empresa
Evaluar entorno,
capacidades y C C C R C C C C C A I C I R C
rendimiento actual
Realizar un anlisis
R R C C C C C A I C I R C
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A C C I C C
ruta
Comunicar
direccin de TI
Tabla 9.1.55 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso Egreso
147
Se detalla las actividades sugeridas para la gestin de recursos humanos del proceso
de egreso del paciente, lo cual incluye personal mdico, administrativo y parte de
soporte de TI.
Se muestra la respectiva matriz de responsabilidades para gestionar el proceso
habilitador y llevarlo a un nivel de madurez.

Evaluar peridicamente las necesidades de personal en
el proceso de egreso de pacientes, de manera de
asegurar que estos recursos puedan realizar con xito el
proceso de negocio. Incluye la evaluacin de necesidad
de nuevo personal de TI.
Mantener la dotacin del Dentro de los procesos de contratacin, incluir controles
personal suficiente y de antecedentes de acuerdo a la funcin o rol dentro del
adecuada proceso de egreso.
Asegurar que existe personal capaz de cubrir funciones
crticas de otro para reducir la dependencia en el proceso
de egreso.
del proceso.
Tomar acciones o medidas para la gestin de cambios
de personal, en especial en los temas de despido.
de TI
Minimizar la dependencia en una sola persona en una
funcin crtica dentro del proceso de egreso del paciente
a travs de captura e intercambio de conocimiento.
Mantener las habilidades poder escalar hacia los objetivos de alto nivel.
y competencias del Brindar capacitaciones y programas de seguridad de
personal informacin al personal que ejecuta los procesos.
148
recursos internos. A partir de estas identificar si se
requieren habilidades adicionales para cubrir el proceso y
ejecutar el plan de accin para desarrollarlas.
informacin.
objetivos del proceso de egreso. Estos deben reflejar
Evaluar el desempeo competencias bsicas, valores empresariales y
laboral de los empleados habilidades para las funciones.
Proporcionar instrucciones para uso y almacenamiento
evaluacin.
Implementar un proceso de reconocimiento a medida el
personal logre sus objetivos dentro del proceso.
humanos involucrados en el proceso de egreso para
apoyar el logro de objetivos de TI y necesidades
Planificar y realizar un operativas del da a da salvaguardando los objetivos de
seguimiento del uso de la funcin de seguridad de informacin.
recursos humanos de TI y Realizar el inventario del personal del proceso e
del negocio identificar sus respectivas funciones.
proyectos
aplicarse en el proceso de egreso del paciente.
Llevar a cabo revisiones para asegurarse que el personal
cumple con sus funciones, que el derecho de acceso es
adecuado y alineado a los acuerdos pactados al firmar el
contratado
contrato.
Definir el trabajo a realizar por terceros o por otras reas
de le organizacin a travs de contratos o documentos
formales que carezcan de ambigedades.
Implementar polticas que permitan identificar como se
149
debe gestionar el personal, es decir si es necesario
contratar servicios o nuevo personal siguiendo los
Tabla 9.1.56 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los recursos humanos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener personal
suficiente y R I C R A C C C R C
adecuado
C I R R R A R R C R C
clave de TI
competencia del I R C R A R R C R C
personal
Evaluar desempeo
R R R A R R R R R
seguimiento del uso
R C A R R C I R R R C R C
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A R R C R C
contratado
A continuacin se presentan las actividades que garantizan la gestin del riesgo de

seguridad de informacin, su capacitacin y los controles o plan de accin para mitigar
y reducir el impacto.
Seguidamente se presenta la matriz de responsabilidades para realizar la gestin del

proceso habilitador dentro del ciclo de vida de gobierno de TI.
150
informacin dentro del proceso de egreso del paciente.
Medir y analizar los riesgos de TI y seguridad de
informacin suscitados dentro del proceso de egreso.
Recopilar datos Verificar prdidas experimentadas por la materializacin
de estos.
Determinar en qu condiciones del proceso se
materializ el riesgo. Identificar el impacto en el negocio.
riesgo que se presentan en el proceso.
dentro del proceso.
dentro del proceso. Identificar las amenazar para
detectar medidas de emergencia.
Analizar el riesgo Identificar los riesgos residuales en el proceso e
identificar exposiciones que puedan requerir una
repuesta al riesgo
Informar los resultados del anlisis de riesgos del
proceso de egreso a los stakeholders en trminos
adecuados y entendibles para decisiones empresariales.
Adoptar un perfil de riesgo de acuerdo al proceso de
Expresar el riesgo
egreso de pacientes y comunicarlo a los stakeholders
junto la efectividad del proceso y los controles asociados.
Identificar oportunidades de TI para aceptar un mayor
riesgo e incrementar la capacidad de gestin.
Definir un portafolio de Monitorear peridicamente los riesgos de seguridad de
acciones para la gestin informacin del proceso de egreso. Verificar que estos
de riesgos riesgos estn alineados con el apetito de riesgo.
151
Definir propuestas para reducir el riesgo o proyectos para
incrementar las oportunidades estratgicas de acuerdo a
la ley de proteccin de datos personales, norma tcnica
peruana de la historia clnica y ley de emergencia.
riesgos de seguridad. Se recomienda aplicar la norma
Responder al riesgo
ISO/IEC 27002:2013. Incluir controles preventivos y
correctivos.
Tabla 9.1.58 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el riesgo
Matiz de responsabilidades (RACI)




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
I R I R R R I I A C R C R C
Recopilar datos
Analizar el riesgo
I R I C R C I I A C C C C C
Expresar el riesgo
acciones para I R I C A R I I R I R I C C
gestin del riesgo
Responder al riesgo
Este habilitador indica la necesidad de establecer un SGSI, no obstante este proceso

de negocio no se considera que deba de formar parte de l a diferencia de los
procesos de admisin y atencin debido a que el manejo de datos crticos es mnimo y
152
un SGSI debe priorizar aquellos procesos crticos que forman la base y posteriormente
ampliar el alcance.

Establecer y mantener un Realizar la declaracin de la aplicabilidad del SGSI.
SGSI
objetivos estratgicos de la organizacin y el proceso.
Desarrollar propuestas de mejora al plan de riesgos
basados en casos de negocio de acuerdo a los roles y
Definir y gestionar un plan
responsabilidades a necesitar para su aplicacin.
de tratamiento del riesgo
de la seguridad de
informacin
supervisin de procedimientos se seguridad y controles
del proceso de egreso y la respuesta a incidentes.
Tabla 9.1.60 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la seguridad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Establecer y
I I I C R R
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R C C I R C
informacin
153
Este proceso habilitador incida que dentro del proceso de egreso se deben gestionar
proyectos que aporten soluciones estratgicas que permitan alcanzar la eficiencia del
proceso y el cumplimiento de requerimientos de seguridad de informacin. Se muestra
tambin la matriz de responsabilidades.

de egreso.
Mantener un enfoque
Asegurar que los stakeholders se comprometan en
supervisar los proyectos del proceso para garantizar el
de programas y
cumplimiento del enfoque de seguridad de informacin.
proyectos.
proyectos. Aplicar las mejoras que se desprenden del
uso de estrategias dentro del proceso de egreso.
Identificar y comprometer a las partes interesadas para
Gestionar el compromiso tomar decisiones en los proyectos del proceso egreso y
de las partes interesadas medir el cumplimiento con los aspectos de seguridad.
Verificar como estos cumplen dicho compromiso.
incluya los controles que deben ser implementados.
Asignar a los responsables que los implementen en el
proceso de egreso.
Desarrollar y mantener el
plan del programa.
implementar los requerimientos de seguridad de
informacin.
actualizacin de acuerdo a los proyectos y el proceso
asociado.
Planificar proyectos con la gestin de proyectos.
a la direccin controlar su progreso. Incluir recursos,
154
responsabilidades e hitos que marcan el cierre de cada
una de las etapas.
cambios en uno se reflejen en los dems.
Registrar los riesgos de seguridad de informacin y las
acciones correctivas. Revisar y actualizarlos
peridicamente.
Integrar proyectos de seguridad de informacin al
programa y proceso de egreso de pacientes. Alinearlos a
procedimientos y estndares de gestin de proyectos.
Asignar responsabilidades al personal capacitado para
gestionar los riesgos de los proyectos del proceso
egreso.
que los requerimientos de seguridad de informacin del
proceso son implementados de forma efectiva.
proyectos.
producidos en cada iteracin de los proyectos
asociados.
Tabla 9.1.62 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los programas y
proyectos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
155
Mantener enfoque
para gestin de
I A C C R R C C C I R C C
programas y
proyectos
Gestionar el
compromiso de las A C C R C C R I I R I I I C I
partes interesadas
Desarrollar y
mantener el plan del C C A C R R C R I C I I I R C
programa
Gestionar el riesgo
de los programas y R R I A R C R I C C R C R C
proyectos
Supervisar y
I R I A R C C C C I R C R C
controlar proyectos
Tabla 9.1.63 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso Egreso
El proceso habilitador consiste en cmo se debe gestionar los cambios dentro del
proceso de egreso de acuerdo a los parmetros y requerimientos de seguridad de
informacin. La actividad cierre de cambios y documentacin, no aplica para el
proceso de egreso dado que puede ser gestionada desde el proceso de admisin al
contar con polticas y actores similares.
Se muestra tambin la matriz de responsabilidades que segn la aplicacin del

habilitador y el proceso de negocio establecer cmo se debe realizar la gestin del
primero.

Asegurar que los cambios dentro del proceso de egreso
se alinean a las polticas de seguridad de informacin.
Realizar el anlisis de impacto al realizar cambios en
seguridad de informacin y a nivel general dentro del
proceso.
Asegurar que los cambios sean validados por los dueos
autorizar peticiones de
del proceso de negocio de egreso del paciente. Evaluar
cambio
los tipos de cambios permitidos en l.
Considerar el impacto de los cambios en la gestin de
proveedores de acuerdo a la seguridad de informacin,
procurando que estos no afecten los acuerdos de
servicio.
156
emergencia en el proceso de egreso a nivel de la
Registrar y mantener un registro de riesgos de seguridad
Gestionar cambios de
de informacin a partir de cambios de emergencia
emergencia
proceso de egreso y realizar las revisiones post-
Hacer seguimiento e informe para las solicitudes de cambio dentro del proceso
informar cambios de de acuerdo a las exigencias de seguridad de informacin.
estado Elaborar informes respecto a los cambios de seguridad
de informacin realizados en el proceso.
Tabla 9.1.64 - Proceso Egreso. Actividades de gestin habilitador: Gestionar el cambio




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
autorizar peticiones A R C C R I R C R C R
de cambio
Gestionar cambios
de emergencia
Hacer seguimiento e
informar cambios de C R C C A C R C R
estado
157
A continuacin se presenta las actividades de gestin que aplican para este proceso
habilitador que garantiza que dentro del proceso de egreso se cumplen los
requerimientos de seguridad de informacin para la lista de activos incluidos en las
actividades del proceso. As mismo se detalla la matriz de responsabilidades para
gestionar el proceso habilitador bajo el enfoque de seguridad de informacin.

Identificar los activos relacionados al proceso de egreso
del paciente hospitalizado y los requerimientos de
seguridad asociados a estos.
Identificar la dependencia entre estos activos y el nivel de
criticidad dentro del proceso.
Identificar si los activos del proceso de egreso estn
sujetos a alguna regulacin adicional a la ley de
activos actuales
peruana de la historia clnica. Verificar los aspectos
contractuales de seguridad de informacin.
Identificar que activos del proceso egreso de pacientes
pueden ser considerados crticos para su cumplimiento.
Supervisar el rendimiento a travs de evaluaciones o
planes que definan polticas de reparacin o reemplazo
Determinar los niveles de criticidad de los activos del
proceso de egreso.
los niveles de seguridad de informacin establecidos en
el proceso y el negocio.
Establecer polticas para el cambio de estos activos
informacin identificados.
Gestionar el ciclo de vida Identificar y comunicar los riesgos de seguridad de
158
de los activos informacin de los activos que soportan el proceso.
Realizar adquisiciones de nuevos activos previamente
autorizadas de acuerdo a procedimientos seguros que
garanticen un nivel aceptable de riesgo.
Establecer polticas para eliminar activos de forma
segura.
Tabla 9.1.66 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los activos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
C C C I R A C C
activos actuales
Gestionar activos
crticos
C I C I R A C I
vida de los activos
Se presenta la lista de actividades de gestin para dar soporte al habilitador y que se

acople al proceso de negocio de egreso de pacientes para as garantizar que los
incidentes que afecten a la realizacin del proceso.
Se muestra la matriz de responsabilidades de acuerdo al proceso habilitador y la

gestin dentro del proceso de egreso.
159
Definir y comunicar las caractersticas de los potenciales
reconocimiento y entendimiento del impacto en el
proceso de egreso en caso se materialicen.
Definir esquemas de Definir modelos de solicitudes de servicio relacionados a
clasificacin de incidentes la seguridad de informacin para facilitar su atencin y
y solicitudes de servicio respuesta.
solicitudes de servicio relacionados al proceso de egreso
de acuerdo a los requerimientos de seguridad de
informacin y el impacto en el negocio.
medidas sean difundidas y protejan los pilares de
incidentes
a la seguridad de informacin del proceso de egreso.
Priorizar y clasificar los incidentes de acuerdo al impacto
dentro del negocio y el proceso de egreso.
Verificar, aprobar y Seguir procedimientos y modelos de solicitudes e
resolver solicitudes de incidentes para elementos frecuentes de manera que
servicio sean atendidos en menor tiempo.
Registrar un nuevo problema en caso no exista dentro de
la base de datos y si el incidente de seguridad de
informacin satisface los criterios para registro.
Asignar a personal capacitado la gestin de incidentes
Investigar, diagnosticar y del proceso de egreso de pacientes si es estos requieren
localizar incidentes mayor conocimiento para tratarlos y reducir el impacto.
Identificar soluciones temporales o permanentes para los
incidentes de seguridad de informacin, asignar su
tratamiento a los especialistas respectivos dentro del
proceso de egreso.
Resolver y recuperarse de Definir un plan de respuesta de seguridad de informacin
incidentes para los incidentes dentro del proceso de egreso.
160
Ejecutar las acciones de recuperacin para restablecer el
proceso de egreso completamente.
informes
Tabla 9.1.68 - Proceso Egreso. Actividades de gestin habilitador: Gestionar las solicitudes de




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir esquema de
clasificacin de
C I I A C R R R C
de servicio
incidentes
de servicio
Investigar,
diagnosticar y R I C I I R A C
Resolver y
recuperarse de I I I I I C R A C
incidentes
Seguir el estado y
I I C I I I I A R I
emitir informes
Tabla 9.1.69 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso Egreso
161
Se presenta la lista de actividades del habilitador gestionar la continuidad, las cuales

deben ser adoptadas dentro del proceso de egreso para cumplir con los objetivos de
acuerdo al enfoque de seguridad del gobierno de TI.
Se muestra tambin la matriz de responsabilidades para gestionar el proceso

habilitador dentro del proceso de negocio egreso del paciente hospitalizado. Se
destaca la funcin del oficial de seguridad de informacin que brinda los lineamientos,
segn el enfoque de seguridad del gobierno de TI, para establecer un SGCN.

Determinar la criticidad del proceso de egreso de
pacientes de acuerdo con los requerimientos de
seguridad de informacin y el cumplimiento con la ley de
Definir las polticas de de la historia clnica y ley de emergencia. Verificar si el
continuidad de negocio, proceso debe formar parte del programa de continuidad.
objetivos y alcance Asegurar que la seguridad de informacin forma parte del
Identificar interesados, roles y responsabilidades dentro
del proceso para alinearlos a los objetivos y polticas del
SGCN.
informacin que afecten la continuidad del proceso
egreso del paciente.
Realizar el anlisis de impacto de negocio de acuerdo a
Mantener una estrategia los lineamientos del proceso, incluyendo los factores de
de continuidad seguridad de informacin y el mximo tolerable de
Desarrollar e implementar Definir los procedimientos de recuperacin para reanudar
una respuesta a la el proceso de egreso y que este cumpla con los
continuidad de negocio requerimientos de seguridad de informacin definidos.
162
Planificar actividades para probar el plan definido en los
Ejecutar, probar y revisar documentos. Asignar roles y responsabilidades para esta
el plan de continuidad actividad y coordinar que no afecten al proceso.
Revisar, mantener y del proceso de egreso. Considerar posibles cambios
mejorar el plan de producto del entorno.
continuidad Reconocer qu incidentes de seguridad de informacin
pueden ocasionar la interrupcin del negocio, por ello se
debe incrementar el nivel de gestin de stos.
informacin.
respaldo
peruana de la historia clnica, salvaguardando los datos
del paciente.
Probar y mantener las copias de seguridad recientes y
aquellas archivadas de manera peridica para garantizar
acuerdo al proceso de egreso del paciente.
Ejecutar revisiones post- Identificar debilidades u omisiones como parte de la
reanudacin mejora continua para asegurar que el proceso de egreso
podr llevarse a cabo sin inconvenientes ante cualquier
evento asegurando la informacin de los involucrados, en
otras palabras, su integridad.
Tabla 9.1.70 - Proceso Egreso. Actividades de gestin habilitador: Gestionar la continuidad
163



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
continuidad de
A C R C C C R C R C C R
alcance
Mantener una
estrategia de A C R I I C R I R R R
continuidad
Desarrollar e
implementar una
respuesta a la I R C I C R C R R A
continuidad de
negocio
Ejercitar, probar y
revisar el plan de I R C I R R C R I R A
continuidad
Revisar, mantener y
mejorar el plan de A I R I C R I C C R
continuidad
Gestionar acuerdos
I C C C R
de respaldo
Ejecutar revisiones
C R I C R C C I C A
post-reanudacin
El presente habilitador se encarga de asegurar por medio de la aplicacin de las sub-

actividades que el proceso de egreso cuenta con las medidas pertinentes para evitar
incidentes a nivel de seguridad en sus actividades y protegiendo el procesamiento de
datos.
Se muestra tambin la matriz de responsabilidades respectiva.
164
software malicioso en las estaciones o activos que
brindan soporte al proceso de egreso. Concientizar al
malicioso
Mantener una poltica para la seguridad de conexiones
de red entre los activos que soportan el proceso egreso.
Cifrar la informacin en trnsito de acuerdo con su
la red y las conexiones
clasificacin verificando el cumplimiento con la ley de
proceso de egreso.
final
segura.
Gestionar la identidad del Realizar regularmente revisiones de la gestin de
usuario y el acceso lgico cuentas y privilegios que abarca el proceso de egreso.
Verificar que la identificacin de estas es unequvoca.
destruccin de formularios especiales como las historias
clnicas, solicitudes de alta y acta de egreso de paciente.
Gestionar documentos
modificacin durante el proceso de egreso del paciente.
sensibles y dispositivos
Realizar un inventario de documentos sensibles o
de salida
dispositivos de salida crticos involucrados en el proceso.
Establecer polticas de proteccin fsica apropiada sobre
sensible.
Tabla 9.1.72 - Proceso Egreso. Actividades de gestin habilitador: Gestionar los servicios de
seguridad
165



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Proteger contra
R C A R C C R I C
software malicioso
Gestionar seguridad
I C A C C C R I C
de red y conexiones
Gestionar seguridad
de puestos de I C A C C C R I R
usuario final
Gestionar identidad
del usuario y acceso R C A I I C C R I R C
lgico
Gestionar
documentos
sensibles y C I I C I A I R R
dispositivos de
salida
1.1.5 Proceso Identificacin del paciente hospitalizado
Este proceso es transversal a los tres (3) anteriores, es decir, puede ser empleado en
dichos procesos en un instante determinado y debe estar alineado con la ley de
proteccin de datos personales, ley de emergencia y norma tcnica peruana de la
historia clnica.
Los procesos habilitadores tienen una aplicacin menos tcnica respecto a los
procesos anteriores, pero de acuerdo al enfoque de seguridad de informacin, se
pretende cumplir con los requerimientos definidos y alinear al marco regulatorio
expuesto.
166
a. Gestionar la estrategia
Se presenta a continuacin la aplicacin de las actividades de gestin para este

proceso habilitador de acuerdo con las exigencias y requerimientos del proceso de
identificacin.
Se realiza la evaluacin y se propone la matriz de responsabilidades para realizar la

gestin bajo el enfoque de seguridad de informacin.

Identificar como se puede adaptar la seguridad de
informacin a este proceso de manera que garantice el
cumplimiento de la ley de proteccin de datos personales
Comprender la direccin y la ley de emergencia.
de la empresa Identificar los stakeholders del proceso y cules son sus
estratgicos dentro del proceso.
Examinar el nivel de cumplimiento del proceso respecto a
la ley de proteccin de datos personales, ley de
Realizar un anlisis de emergencia y norma tcnica peruana de la historia
brecha clnica.
Mejorar la definicin del estado deseado en el proceso y
sus objetivos. Sustentarlos demostrando los beneficios a
partir de este estado frente al impacto en caso no se
llegara a esta meta.
alinearla las estrategias de negocio para el cumplimiento
de objetivos dentro del proceso de identificacin.
Definir el plan estratgico
Crear la hoja de ruta del proceso la cual a su vez seale
y la hoja de ruta
los riesgos y costos de los cambios.
aprobacin del plan.
167
informacin que abarque el proceso y comunicarlo a los
stakeholders
Desarrollar el plan de comunicacin de acuerdo a pblico
Comunicar la estrategia y objetivo identificando los canales de comunicacin y
la direccin de TI horarios disponibles.
Obtener realimentacin y actualizar el plan de
informacin segn sea necesario para mantener el
impulso.
Tabla 9.1.74 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la estrategia




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Comprender la
direccin de la C C C A C C C R C R I I I R I
empresa
Realizar un anlisis
R R C C C C C A I C I R I
de brecha
Definir plan
estratgico y hoja de C I C C C R C C C A I C I C I
ruta
Comunicar
direccin de TI
Tabla 9.1.75 - Matriz de responsabilidades para el proceso habilitador APO02 - Proceso
Identificacin
168
Se presenta las actividades y sub-actividades de gestin a aplicar para este proceso
habilitador gestin de recursos humanos y cmo es que ayudan al proceso de
identificacin a alinearse con requerimientos externos.
Se muestra tambin la matriz de responsabilidades para conllevar al cumplimiento y

evolucin de niveles de madurez. Se destaca los roles ejercidos por el oficial de
seguridad de informacin que imparte las medidas para el correcto alineamiento con
las estrategias y los requerimientos definidos por los stakeholders.

Mantener la dotacin del en el proceso de contratacin.
personal suficiente y Asegurar la existencia de capacitaciones y que existe
adecuada personal capaz de cubrir funciones crticas de otro para
reducir la dependencia.
del proceso.
Identificar y ejecutar acciones de acuerdo a los cambios
de TI
laborales relacionados a los actores del proceso de
identificacin.
y competencias del
personal
recursos. Identificar si se requieren habilidades
adicionales para cubrir el proceso y ejecutar el plan de
accin para desarrollarlas.
informacin.
Evaluar el desempeo Proporcionar instrucciones para uso y almacenamiento
laboral de los empleados de informacin personal dentro del proceso de
evaluacin.
Implementar un proceso de reconocimiento a medida el
personal alcance el compromiso y logre sus objetivos.
169
Planificar y realizar un Comprender la demanda actual y futura de recursos
seguimiento del uso de humanos involucrados dentro del proceso de
recursos humanos de TI y identificacin para apoyar el logro de objetivos de TI y
del negocio necesidades operativas del da a da.
aplicarse en el proceso.
Implementar polticas o procedimientos que describan
contratado
como gestionar al personal que ejecuta el proceso
Asegurar que el personal cumple con sus funciones y
desempeo esperado en la ejecucin del proceso.
Tabla 9.1.76 -Proceso Identificacin. Actividades de gestin habilitador: Gestionar los recursos
humanos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener personal
suficiente y R I C R A C C I R I
adecuado
C I R C R A C C I R I
clave de TI
competencia del I R C R A C C C R I
personal
Evaluar desempeo
R C R A C C C R C
seguimiento del uso
R C A C R C I R C C C R R
recursos humanos
de TI y negocio
Gestionar personal
I I I R C R A C C C R C
contratado
Identificacin
170
Se muestra la aplicacin del habilitador dentro del proceso identificacin del paciente.
Se prioriza los riesgos de seguridad de informacin y aquellos que generen el
incumplimiento de la ley de proteccin de datos personales. Se presenta la matriz de
responsabilidades respectiva.

informacin.
Recopilar datos Determinar en qu condiciones del proceso se
materializ el riesgo. Identificar el impacto en el negocio.
riesgo asociados al proceso.
dentro del proceso.
Identificar los riesgos residuales dentro del proceso e
identificar cules de ellos puedan requerir una repuesta
Analizar el riesgo
al riesgo
Definir e implementar evaluaciones y estrategias de
respuesta frente a los riesgos del proceso de
identificacin.
Informar los resultados del anlisis de riesgos a los
stakeholders sobre el proceso en trminos adecuados y
Expresar el riesgo
entendibles para soportar decisiones empresariales.
efectividad del proceso de identificacin y los controles
asociados. Identificar oportunidades de TI para aceptar
un mayor riesgo e incrementar la capacidad de gestin.
Definir un portafolio de Monitorear continuamente los riesgos de seguridad de
acciones para la gestin informacin del proceso y verificar que el riesgo este
de riesgos alineado con el apetito y tolerancia al riesgo.
171
Definir conjunto de propuestas para reducir el riesgo o
estratgicas y retorno de beneficios.
Responder al riesgo riesgos de seguridad. Se recomienda aplicar en este
caso la norma ISO/IEC 27002:2013.
Tabla 9.1.78 Proceso Identificacin. Actividades de gestin habilitador: Gestionar el riesgo




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
I R R R R I I A C C C R C
Recopilar datos
I R C R C I C A C C C R C
Analizar el riesgo
I R C R C I I A I C I C I
Expresar el riesgo
acciones para I R C A C I I R I I I C C
gestin del riesgo
I R R R R I C A C R C R C
Responder al riesgo
Identificacin
Se presenta la aplicacin del proceso habilitador al proceso. Debido a que es

transversal al macro-proceso hospitalario, no se considera que deba formar parte del
SGSI, pero s debe de considerar sus actividades y su implicancia con los procesos de
admisin y atencin. Se presenta la matriz de responsabilidades.
172
Realizar la declaracin de la aplicabilidad del SGSI. En
Establecer y mantener un
este caso determinar cmo alinea el proceso de
SGSI
identificacin con los que soportan el SGSI.
proceso.
Desarrollar propuestas de mejora al plan de riesgos
basados en casos de negocio de acuerdo a los roles y
Definir y gestionar un plan
responsabilidades a necesitar para su aplicacin y
de tratamiento del riesgo
acorde a los drivers identificados.
de la seguridad de
informacin
supervisin de procedimientos se seguridad y controles
del proceso de egreso y la respuesta a incidentes.
Tabla 9.1.80 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la seguridad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Establecer y
I I I C R R
mantener un SGSI
Definir gestionar
plan tratamiento de
C C C C C I I C A C I R I C I R I
informacin
Identificacin
173
Se detalla las actividades y sub-actividades de gestin para el proceso habilitador

dentro del proceso identificacin de pacientes. Los proyectos deben estar alineados a
los requerimientos de seguridad de informacin y a la ley de proteccin de datos
personales y la ley de emergencia. Se presenta tambin la matriz de
responsabilidades para la gestin de este a lo largo del ciclo de vida de gobierno.

de identificacin.
Mantener un enfoque
Asegurar que los stakeholders se comprometan a
supervisar proyectos enfocados a la seguridad de
de programas y
informacin.
proyectos.
proyectos y aplicar las mejoras que se desprenden del
uso de estrategias dentro del proceso de identificacin.
incluya los controles que deben ser implementados.
Asignar a los responsables que los implementen en el
Desarrollar y mantener el proceso de identificacin.
plan del programa. Incluir recursos dentro del proyecto para identificar e
implementar requerimientos de seguridad de informacin.
actualizacin de acuerdo al proyecto y el proceso
asociado.
Integrar la seguridad de informacin al proyecto e
identificar medidas u oportunidades tecnolgicas.
Planificar proyectos a la direccin controlar su progreso. Incluir recursos,
responsabilidades e hitos que marcan el cierre de cada
una de las etapas.
asegurando que los cambios en uno se reflejen en los
174
dems.
Registrar los riesgos de seguridad de informacin y las
acciones correctivas. Revisar y actualizarlos
Gestionar el riesgo de los peridicamente.
programas y proyectos. Integrar proyectos de seguridad de informacin al
programa y proceso de identificacin. Alinearlos a
procedimientos y estndares de gestin de proyectos.
Supervisar y controlar que los requerimientos de seguridad de informacin del
proyectos. proceso son implementados de forma efectiva.
Tabla 9.1.82 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los programas
y proyectos




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener enfoque
para gestin de
I A C C R R C C C R C
programas y
proyectos
Desarrollar y
mantener el plan del C C A C C R C R I C I I I C I
programa
C I A R C C C C I C C
Gestionar el riesgo
de los programas y R R I A R C R C C C C C
proyectos
Supervisar y
I R I A R C C C I C I R I
controlar proyectos
Tabla 9.1.83 - Matriz de responsabilidades para el proceso habilitador BAI01 - Proceso
Identificacin
175
Se presentan las actividades de gestin a aplicar para la gestin de cambios dentro

del proceso de acuerdo a lo establecido por el gobierno de TI con enfoque a la
seguridad de informacin. Se muestra tambin la matriz de responsabilidades para
llevar a cabo su gestin durante el ciclo de vida.

Asegurar que los cambios dentro del proceso de
identificacin se alinean a las polticas de seguridad de
informacin y de acuerdo a la ley de proteccin de datos
personales y la ley de emergencia.
Realizar el anlisis de impacto al realizar cambios dentro
Evaluar, priorizar y del proceso y verificar cmo estos afectan a la seguridad
autorizar peticiones de de informacin.
cambio Asegurar que los cambios sean validados por los dueos
del proceso de negocio de identificacin del paciente.
Evaluar los tipos de cambios para esta validacin.
Considerar el impacto de los cambios en el proceso de
acuerdo a los requerimientos de seguridad de
informacin
emergencia en el proceso de identificacin a nivel de la
Gestionar cambios de Registrar y mantener un registro de riesgos de seguridad
emergencia de informacin a partir de cambios de emergencia
Supervisar los cambios de emergencia en el proceso de
identificacin y realizar las revisiones post-implantacin.
Hacer seguimiento e informe para las solicitudes de cambio dentro del proceso
informar cambios de de acuerdo a las exigencias de seguridad de informacin.
estado Elaborar informes respecto a los cambios en seguridad
de informacin a nivel de proceso.
Tabla 9.1.84 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar el cambio
176



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
autorizar peticiones A R C C R R I C I R
de cambio
Gestionar cambios
de emergencia
Hacer seguimiento e
informar cambios de C R C C A I C R
estado
Identificacin
Se muestra la aplicacin de las actividades de gestin para el proceso habilitador, de

manera que se cumpla con las iniciativas de gobierno bajo el enfoque de seguridad.
Se presenta tambin la matriz de responsabilidades respectiva.

Identificar los activos del proceso de identificacin del
paciente y los requerimientos de seguridad asociados.
Identificar la criticidad de los activos dentro del proceso.
Identificar y registrar Identificar si los activos del proceso cumplen con los
activos actuales aspectos de seguridad de informacin.
Identificar qu activos del proceso pueden ser
considerados como. Supervisar su rendimiento por medio
177
de evaluaciones o planes en los que se definan las
polticas de reparacin o reemplazo.
los niveles de seguridad de informacin establecidos
para el proceso.
Establecer las polticas para el cambio de estos activos
informacin previamente identificados.
Identificar y comunicar los riesgos de seguridad de
informacin relacionados a los activos que soportan el
proceso de identificacin del paciente hospitalizado.
Gestionar activos desde su adquisicin hasta su
Gestionar el ciclo de vida
eliminacin de forma segura y con la aprobacin de los
de los activos
interesados, siguiendo los lineamientos de seguridad de
informacin.
Tabla 9.1.86 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los activos



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
C C C I R A C
activos actuales
Gestionar activos
C I C C C C R A C I
crticos
C I C R A I
vida de los activos
Identificacin
178
Se presenta la aplicacin de las actividades para el proceso habilitador de acuerdo al

proceso de negocio identificacin de pacientes. Se detalla la matriz de
responsabilidades para llevar a cabo su gestin dentro del ciclo de vida de gobierno.

Definir esquemas de Definir y comunicar las caractersticas de los incidentes
clasificacin de incidentes de seguridad de informacin para su reconocimiento del
y solicitudes de servicio impacto en caso se materialicen dentro del proceso.
Registrar, clasificar y Registrar incidentes y solicitudes de servicio relacionados
priorizar solicitudes e a seguridad de informacin del proceso de identificacin.
incidentes
Verificar, aprobar y Seguir procedimientos y modelos de solicitudes e
resolver solicitudes de incidentes para elementos frecuentes de manera que
servicio sean atendidos en menor tiempo.
Identificar posibles soluciones temporales o permanentes
Investigar, diagnosticar y
para los incidentes de seguridad de informacin, asignar
su tratamiento a los especialistas respectivos.
Definir un plan de respuesta de seguridad de informacin
para los incidentes dentro del proceso de identificacin.
Resolver y recuperarse de Ejecutar las acciones de recuperacin para restablecer el
incidentes proceso de identificacin completamente.
Documentar la resolucin e identificar si es temporal o
informes
Tabla 9.1.88 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar las solicitudes
de servicio e incidentes
179



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Definir esquema de
clasificacin de
C I I A C C I C I
de servicio
priorizar solicitudes e I I C A C R
incidentes
de servicio
Investigar,
diagnosticar y R I C I C C A C
Resolver y
recuperarse de I I C C I C R A R
incidentes
Seguir el estado y
I I C I I I A R I
emitir informes
Tabla 9.1.89 - Matriz de responsabilidades para el proceso habilitador DSS02 - Proceso
Identificacin
Se presenta la aplicacin de las actividades de gestin para el proceso habilitador

gestin de la continuidad dentro del proceso de identificacin a nivel estratgico. As
mismo, se presenta la matriz de responsabilidades para llevar a cabo el seguimiento y
la gestin del habilitador durante el ciclo de vida de gobierno de TI bajo el enfoque de

informacin que afecten la continuidad del proceso.
de continuidad
180
Desarrollar e implementar Definir los procedimientos de recuperacin para reanudar
una respuesta a la el proceso de identificacin y que cumpla con los
continuidad de negocio requerimientos de seguridad de informacin definidos.
Revisar, mantener y Reconocer qu incidentes de seguridad de informacin
mejorar el plan de pueden ocasionar la interrupcin del negocio, por ello se
continuidad debe incrementar el nivel de gestin de stos.
informacin.
respaldo
Probar y mantener las copias de seguridad recientes, y
aquellas archivadas, de manera peridica para garantizar
Evaluar la efectividad de las estrategias de acuerdo a los
tiempos definidos en el anlisis de impacto de negocio.
Ejecutar revisiones post-
Identificar debilidades u omisiones como parte de la
reanudacin
mejora continua para asegurar que el proceso podr
llevarse a cabo sin inconvenientes ante cualquier evento.
Tabla 9.1.90 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar la continuidad



Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Mantener una
estrategia de A C R I C R C C R R
continuidad
181
Desarrollar e
implementar una
respuesta a la I R C I C R I C R A
continuidad de
negocio
Revisar, mantener y
mejorar el plan de A I R I C R C C C R
continuidad
Gestionar acuerdos
I C I C R
de respaldo
Ejecutar revisiones
C R I C R I C C A
post-reanudacin
Identificacin
Se muestra las actividades de gestin que aplican de acuerdo al proceso de

identificacin de pacientes y como esta se lleva a cabo de acuerdo a los requisitos de
seguridad de informacin. Se presenta la matriz de responsabilidades para gestionar
el habilitador durante el ciclo de vida de gobierno.

software malicioso las estaciones o activos que brindan
soporte al proceso de identificacin. Concientizar al
malicioso
proceso de identificacin.
final
segura.
Segn los requerimientos del proceso, mantener los
derechos de acceso
182
destruccin de los brazaletes de identificacin.
modificacin durante el proceso de identificacin.
Realizar un inventario de documentos sensibles o
dispositivos de salida crticos involucrados durante el
de salida
proceso.
documentos y activos sensibles empleados para
identificar pacientes.
Tabla 9.1.92 - Proceso Identificacin. Actividades de gestin habilitador: Gestionar los servicios de
seguridad




Gerente de finanzas
Gestor de servicio
Gerente Ejecutivo
Jefe del proyecto

Directorio
Auditora
Proteger contra
R C A R C I C R
software malicioso
Gestionar seguridad
de puestos de I C A I C C R
usuario final
Gestionar identidad
del usuario y acceso R C A I I C C C R
lgico
Gestionar
documentos
sensibles y C I C I A I C R
dispositivos de
salida
Identificacin
183
ANEXO J: Aplicacin norma ISO/IEC 27002:2013
10.1 Mapeo actividades de gestin a norma ISO/IEC 27002:2013
Dominio Apartado del dominio y objetivo Actividad de control

Administrar la direccin de la seguridad de Establecer polticas de
informacin: seguridad de informacin
Polticas de seguridad
Brindar direccin a la gestin y soporte de la

informacin de seguridad de informacin de
acuerdo con requerimientos de negocio Revisar las polticas de
relevantes y la ley de proteccin de datos seguridad de informacin
personales y norma tcnica peruana de la
historia clnica.
Organizacin interna
Organizacin de la seguridad
Roles y responsabilidades
Organizacin interna:
de informacin
de seguridad de
Establecer un framework para la gestin y
informacin
control de la seguridad de la informacin
Segregacin de funciones
dentro de la organizacin.
Seguridad de informacin
en la gestin de proyectos
Antes del empleo: Trminos y condiciones
Asegurar que los trabajadores, contratistas y de empleo
los usuarios externos entiendan sus
responsabilidades y sean los adecuados para Revisin
ocupar ese rol
Seguridad en Recursos humanos
Gestin de
responsabilidades
Durante el empleo:
Educacin y
Asegurar que los trabajadores y contratistas
entrenamiento sobre los
conozcan y cumplan sus responsabilidades de
requerimientos y
funciones de seguridad de
informacin
Trmino de empleo:
Finalizacin o cambio de
Proteger los intereses de la organizacin como
las responsabilidades del
parte de los procesos de cambio o trmino del
trabajador.
empleo.
184
Responsabilidad de activos: Inventario de activos
Identificar los activos de la organizacin y
definir las responsabilidades de proteccin
Uso aceptable de activos
adecuadas
Gestin de activos
Clasificacin de la informacin:
Asegurar que la informacin recibe un nivel
Clasificar la informacin
apropiado de proteccin de acuerdo a su
importancia en la organizacin.
Gestin de medios: Gestin de medios
asegurar que la informacin reciba un nivel extrables
adecuado de proteccin de acuerdo con su Medios fsicos de
importancia para la organizacin transferencia
Requisitos de negocio de control de Polticas de control de
accesos: accesos
limitar el acceso a la informacin y a las Acceso a redes y
instalaciones de procesamiento de informacin servicios de red
Registro de usuarios y
cancelacin de registros
Brindar accesos a
usuarios
Gestin de acceso del usuario: Gestin de derechos de
Garantizar el acceso de usuarios autorizados y acceso privilegiados
Control de accesos
evitar el acceso no autorizado a los sistemas y Gestionar la informacin

servicios secreta de autentificacin
Revisin de los derechos
de acceso
Eliminacin o cambio de
derechos de acceso
Responsabilidades del usuario:
Uso de la informacin de
Hacer que los usuarios sean responsables de
autenticacin secreta
salvaguardar su informacin de autenticacin
Restriccin de acceso a la
Sistema y aplicacin de control de acceso:
informacin
Evitar el acceso no autorizado a los sistemas y
Sistema de gestin de
aplicaciones
contraseas
185
Procedimientos de
accesos seguros
Asegurar habitaciones e
reas seguras:
instalaciones
impedir el acceso fsico no autorizado, dao e
Proteccin contra
interferencia a la informacin de la
amenazas externas y
organizacin y las instalaciones de
ambientales
Seguridad fsica y ambiental
procesamiento de informacin
Trabajo en reas seguras
Desplazamiento de
equipos y proteccin
Mantenimiento de equipos
Equipos:
Eliminacin de activos
Evitar la prdida, dao, robo o el compromiso
Eliminacin segura o
de los activos y la interrupcin de las
reutilizacin de equipo
operaciones de la organizacin
Limpieza de escritorios y
polticas de pantalla
transparente.
Procedimientos y responsabilidades Procedimientos
operacionales: operativos documentados
Garantizar el funcionamiento correcto y seguro
de las instalaciones de procesamiento de
Gestin de cambios
informacin
Proteccin contra malware:

Seguridad de operaciones
Asegurar que las instalaciones de Controles contra el

procesamiento de informacin y esta estn malware
protegidas contra malware.
Backup:
Backup de informacin
Evitar la prdida de datos
Registro de eventos:
Registro de eventos
Registrar eventos y generar evidencias
Control de software operativo:
Instalacin de software en
Garantizar la integridad de los sistemas
sistemas operativos
operativos
Gestin de Vulnerabilidades tcnica: Restricciones de
evitar la explotacin de vulnerabilidades instalacin de software
186
tcnicas
Consideraciones de auditora de sistemas
Consideraciones de
de informacin:
auditora de sistemas de
minimizar el impacto de las actividades de
informacin
auditora en los sistemas operativos
Polticas y procedimientos
Seguridad de comunicaciones
de transferencia de
Transferencia de informacin:
informacin
mantener la seguridad de informacin que se
Mensajera electrnica
transfiere dentro de una organizacin y con
Acuerdos de
cualquier entidad externa
confidencialidad o no
divulgacin
Seguimiento y revisin de
Gestin de proveedores de servicios de
Relaciones con los
los servicios de
entrega:
proveedores
proveedores
Mantener un nivel adecuado de la seguridad y
Gestin de cambios en
la prestacin de servicios de informacin en
los servicios de
lnea con acuerdos con proveedores
proveedores
Reportes de eventos de
Gestin de incidentes de seguridad de
Vulnerabilidades de
Gestin de incidentes de seguridad de
informacin y mejoras:
Evaluacin y decisin
informacin
Garantizar un enfoque coherente y eficaz para

sobre los eventos de
la gestin de incidentes de seguridad de
informacin, incluida la comunicacin de
Respuesta a incidentes
eventos de seguridad y debilidades
de seguridad de
informacin
Reunin de evidencias
Planificacin de la
informacin de la gestin de
Continuidad de la seguridad de
Aspectos de seguridad de
continuidad de negocio
continuidad de seguridad
informacin:
de informacin
garantizar un enfoque coherente y eficaz para
Implementacin de la
la gestin de incidentes de seguridad de
continuidad de seguridad
informacin, incluida la comunicacin de
de informacin
eventos de seguridad y vulnerabilidades
Verificar, revisar y evaluar
187
la continuidad de la
Disponibilidad de
Redundancias:
instalaciones de
asegurar la disponibilidad de instalaciones de
procesamiento de
procesamiento de informacin
informacin
Cumplimiento de los requisitos legales y Identificacin de los
contractuales: requerimientos aplicables
evitar el incumplimiento de las obligaciones legales y contractuales
legales, estatutarias, reglamentarias o
Cumplimiento
Privacidad y proteccin de
contractuales relacionadas con la seguridad de
datos personales
informacin y con los requisitos de seguridad
Revisiones de la seguridad de informacin:
Cumplimiento de las
Asegurar que la seguridad de informacin es
polticas y normas de
implementado y operado de acuerdo con las
seguridad
polticas y procedimientos de la organizacin
Tabla 10.1.1 - Aplicacin de la norma ISO/IEC 27002:2013 a las actividades sugeridas por COBIT
188
ANEXO K: Polticas de seguridad de Informacin
11.1 Estructura
De acuerdo a la investigacin bibliogrfica, se elabora la siguiente estructura o

esquema de los elementos que debe contener las polticas planteadas. Se recomienda
su aplicacin dentro de la organizacin y adicionalmente realizar un control de
versiones sobre las polticas definidas.
Responsable
Poltica de seguridad de inormacin
Propsito
Alcance
Fecha Inicio Vigencia
Detalle de polticas
Figura 11.1.1 - Estructura para las polticas de la organizacin
11.2 Polticas de seguridad de informacin
Segn el mapeo con la norma para identificar aspectos que debe tomar en cuenta las
polticas de seguridad de informacin, se procede a la redaccin de acuerdo a la
estructura propuesta.
189
Poltica de seguridad de informacin
Responsable: Oficial de seguridad de informacin
Propsito
Encaminar y dirigir la seguridad de informacin de acuerdo al enfoque de gobierno de
TI y que estas estn alineadas a los requerimientos de negocio y a la ley de proteccin
de datos personales, norma tcnica peruana de la historia clnica y la ley de
emergencia.
Alcance: Proceso de admisin, atencin, egreso e identificacin de pacientes
Fecha Inicio Vigencia: Enero 2014
1. Establecer las polticas de seguridad de informacin
La alta direccin proporcionan actividades de acuerdo a la ejecucin de sus procesos

y dentro de ellas como se gestionan la tecnologas de informacin, por lo cual se
comprometen a preservar la confidencialidad, integridad y disponibilidad de los activos
fsicos y electrnico a travs de las gerencias de la organizacin.
De acuerdo a las actividades realizadas para cada proceso, se identifican la

informacin y requerimientos de seguridad, los cuales deben formar parte de un
proceso continuo de gestin y estar alineados a los objetivos estratgicos de la
organizacin para reducir riesgos de informacin al nivel de tolerancia escogido por la
organizacin.
De acuerdo a los procesos y la declaracin de aplicacin de los dominios de seguridad

de informacin para la empresa segn la norma ISO/IEC 27001:2013, se obtienen los
objetivos de control que comprenden las polticas de seguridad de informacin
soportadas por los procesos base del proyecto gobierno de TI.
2. Revisar las polticas de seguridad de informacin
El responsable de velar por las polticas de la seguridad de informacin es el oficial de

seguridad. Debe verificar la vigencia de stas respecto a los aspectos de negocio y
190
los procesos que quiera cubrir y en base a los requerimientos de seguridad de
informacin que propone los stakeholders y que aquellos que son producto de la
adecuacin a una regulacin o requerimiento externo. Todo el personal de la
organizacin est obligado a cumplir con estas polticas de acuerdo a sus roles y
responsabilidades dentro de los procesos de negocio y segn su funcin.
Se debe por lo tanto disear un sistema y ejecutar procedimientos de revisin de las

polticas, el cumplimiento y las brechas que indican el estado actual y el estado ideal al
que se quiere llegar a partir de la implantacin de stas polticas.
Sobre la organizacin de seguridad de informacin
Responsable: Oficial de seguridad de informacin, comit estratgico
Propsito
Establecer los roles y responsabilidades para la gestin y difusin de la seguridad de
informacin en la organizacin y garantizar el alineamiento con las estrategias y
objetivos de negocio.
1. Organizacin Interna
Dentro de la organizacin interna, se debe proponer y respetar una estructura alineada

a los requerimientos de seguridad de informacin de la empresa y que permita su
gestin, lo cual incluye incorporacin de nuevos roles dentro de la estructura
organizacional.
Para soportar un gobierno de TI e iniciativas de seguridad de informacin e incluso

proyectos de Sistema de Gestin de seguridad de Informacin se propone incorporar:
Comit estratgico de Seguridad de informacin
191
Entre sus funciones principales se tiene:
a. Revisar y proponer a la mxima autoridad de la empresa para aprobar polticas

y funciones de seguridad de informacin.
b. Supervisar investigacin y monitoreo de incidentes relativos a la seguridad de
informacin.
c. Aprobar iniciativas para incrementar niveles de seguridad de informacin de
acuerdo a competencias y responsabilidades asignadas a cada rea.
d. Evaluar y coordinar la implementacin de controles de seguridad de
informacin para sistemas o servicios.
e. Promover difusin y apoyo de actividades relacionadas con la seguridad de
informacin y las capacitaciones.
f. Revisar anualmente las polticas, de manera de asegurar su actualizacin.
Oficial de seguridad de informacin

El oficial dentro de sus funciones tiene la supervisin de todos los aspectos
inherentes a la seguridad dentro de la organizacin, incluyendo el gobierno de TI,
y velar por las siguientes polticas:
a. Poltica de seguridad de informacin

b. Poltica de estructura organizacional interna
c. Poltica de recursos humanos
d. Poltica de gestin de activos
e. Poltica de control de accesos
f. Poltica de seguridad fsica y ambiental
g. Poltica de operaciones y comunicaciones
h. Poltica de gestin de proveedores
i. Poltica de gestin de incidentes de seguridad de informacin
j. Poltica de continuidad de negocio
k. Poltica de cumplimiento
2. Roles y responsabilidades de seguridad de informacin
De acuerdo a los requerimientos de seguridad de informacin y capacidades y

exigencias dentro de los procesos de negocio se proponen los roles y las nuevas
responsabilidades de acuerdo a la seguridad de informacin segn sea el caso. Se
pretende garantizar:
192
Confidencialidad de informacin: Verificar que la informacin puede ser accedida
solo por personas autorizadas. Proteger datos crticos de la organizacin.
Integridad de Informacin: Verificar que los datos almacenados sean ntegros y
que no exista una prdida que genere vacos dentro de un histrico de datos de la
empresa.
Disponibilidad de informacin: Garantizar que todo tipo de informacin crtica se
encuentre disponible o que pueda ser recuperada dentro de perodos de tiempo
adecuados para minimizar el impacto en el negocio.
De acuerdo a esos tres requerimientos, se definen nuevas responsabilidades para que

dentro de los procesos de negocio se vele por el cumplimiento de los tres pilares de la
3. Segregacin de funciones
El oficial de seguridad de informacin en conjunto con el comit estratgico y jefe de

recursos humanos deben proponer una estructura de roles de acuerdo a los procesos
de negocio sobre el cual aplican las polticas de manera que garantice:
Evitar redundancia de las actividades dentro de los procesos, es decir que dos
personas no ejerzan un mismo rol
Los roles y requerimientos de seguridad son ejercidos por distintas personas de
acuerdo a sus capacidades, funciones y competencias, as como sus permisos y
accesos en los sistemas y a la documentacin fsica.
4. Seguridad de informacin en la gestin de proyectos
El oficial de seguridad bajo la aprobacin del comit estratgico, identifica los

requisitos de seguridad de informacin a aplicar en la gestin de proyectos de la
empresa asegurando:
Objetivos de seguridad de informacin incluidos en los objetivos del proyecto y

que stos ltimos estn alineados a los objetivos y estrategias de la organizacin.
La seguridad de informacin es parte de todas las fases de la metodologa del
proyecto solicitado.
193
Gestin de riesgos de seguridad de informacin dentro del ciclo de vida del
proyecto.
Se debe definir y asignar responsabilidades de seguridad de informacin a los roles

especficos de acuerdo a la gestin o marcos de proyecto que adopta la organizacin.
Sobre la seguridad en recursos humanos
Responsable: Jefe de recursos humanos
Propsito
Establecer mecanismos de seguridad en la gestin de personal antes, durante y al
trmino de su contrato garantizando la preservacin de la informacin y brindndoles
responsabilidades y roles de acuerdo a sus funciones y capacidades
1. Antes del empleo
Se define, bajo coordinacin con el jefe de proyecto de recursos humanos, los

requisitos de seguridad de informacin dentro de los procesos de contratacin de
empleo, los cuales debern ser implementados y verificados peridicamente.
Al publicar una oferta laboral y tener una lista de candidatos y postulantes a una
vacante se debe garantizar lo siguiente:
Identidad correcta del postulante y documentos vigentes.

El postulante cuenta con recomendaciones o referencias que garanticen sus
habilidades y desempeo profesional.
El postulante no tiene antecedentes policiales y judiciales que puedan afectar el
desarrollo de sus funciones.
El postulante cuenta con los estudios adecuados para poder acceder a las
entrevistas de acuerdo a la funcin y rol que desee ocupar.
194
Al momento de realizar la contratacin, se debe verificar y firmar los trminos de
contrato de acuerdo a los requerimientos de seguridad de informacin definidos. Se
toma en cuenta lo siguiente:
En caso el trabajador tengo acceso a informacin y datos sensibles, se firmar un

acuerdo de confidencialidad y no divulgacin.
Definir las responsabilidades del trabajador y alinearlas a la ley de proteccin de
datos personales
En caso gestione directamente activos o informacin confidencial, entrega los
procedimientos y polticas a seguir.
Asegurar que nuevo trabajador tenga conocimiento en el cdigo de tica y
2. Durante el empleo
El oficial de seguridad de informacin y el jefe de recursos humanos verifican el

desenvolvimiento del personal y el logro de sus objetivos y desempeo sobre sus
responsabilidades asignadas a nivel de proceso y a nivel de los requerimientos de
Se realizan tambin las actualizaciones de responsabilidades de acuerdo al

desempeo y los cambios organizacionales dentro de los procesos, cumpliendo los
requerimientos de seguridad de informacin y los lineamientos del contrato firmado
con el trabajador.
En caso no exista un cumplimiento, se toman acciones correctivas como las que se

seala a continuacin:
Concientizacin sobre cumplimiento de funciones y seguridad de informacin.

Actuar de acuerdo a lo estipulado en el contrato, trminos y condiciones y las
polticas y requerimientos de seguridad de informacin.
Como parte de la gestin al personal se educa y concientiza sobre las iniciativas de

seguridad de informacin a aplicar dentro de los procesos. Para esto se debe contar
con lo siguiente:
195
Programas y planes de capacitacin sobre seguridad de informacin y desempeo
de capacidades actualizado y validado.
Actividades desarrolladas de acuerdo a las normas y requerimientos externos que
puedan afectar la seguridad de informacin.
3. Trmino del empleo o cambios de responsabilidades
En el caso de despidos o contratos concluidos se considera lo siguiente:
Comunicar al personal del rea el fin de contrato o despido de la persona y las

responsabilidades y funciones que cumpla. Se redistribuyen responsabilidades.
De acuerdo a los acuerdos de confidencialidad, garantizar que los recursos
humanos respeten el tiempo establecido en el cual no puede divulgar informacin
y que respeten los dems trminos y condiciones relacionados con seguridad de
informacin.
Se identifica los activos y fuentes de informacin que pertenecan a la labor
realizada por el trabajador y de acuerdo a las polticas, se realiza el proceso de
reasignacin, eliminacin o proteccin del activo.
Se informa los cambios de personal.
Si se realiza un cambio de responsabilidades del personal, se debe de verificar los

acuerdos y condiciones del contrato, para alinearlos a las nuevas tareas que debe de
cumplir. Se concientiza al personal sobre los cambios y se informa a las autoridades
respectivas para los cambios y mantener el esquema de segregacin de funciones y
sus mecanismos de cambio.
Sobre la gestin de activos
Responsable: Administrador de plataformas de TI, Gestor de seguridad de

informacin
Propsito
Establecer mecanismos y polticas que garanticen los niveles de seguridad en los
activos de acuerdo al tipo de informacin que contienen o gestionan.
196
1. Responsabilidad de activos
Respecto al inventario de activos de la organizacin, se establece clasificacin de

activos que componen los sistemas que soportan los procesos y se priorizan de
acuerdo el nivel de criticidad. Se establecen procedimientos para registrar y consultar
un activo de acuerdo a parmetros de informacin.
Clasificacin de activos o informacin gestionada en los activos:
Informacin Confidencial
Informacin Reservada o Informacin interna
Los colaboradores de la organizacin pueden sugerir la clasificacin de algn nuevo

activo o informacin, lo cual deber ser evaluado segn los criterios establecidos.
Se recomienda la identificacin de los activos de informacin dentro de la empresa

que soporten los procesos, as no gestionen informacin clasificada, y garantizar que
estos sean empleados por los usuarios finales de forma correcta. Monitorear adems
la vida til de estos activos.
2. Clasificacin de la informacin
La informacin puede ser clasificada bajo ciertos criterios de acuerdo a los parmetros
de seguridad de informacin. Estos son:
Confidencialidad:
Informacin que al ser divulgada puede impactar gravemente la economa y
deteriorar la imagen pblica y el derecho de privacidad de las personas
incumpliendo la ley de proteccin de datos personales, ley de emergencia, norma
tcnica peruana de la historia clnica. La divulgacin de esta informacin solo se
permite a travs de una autorizacin formal por parte de la directiva
197
Tratamiento de informacin Interna
Informacin necesaria para desempear las funciones de negocio. Su divulgacin
puede afectar econmicamente a la empresa pero sin mayor impacto ni afectar su
imagen frente al pblico. Esta informacin ser accesible para el personal interno
o aquellos que interacten con la organizacin y sus procesos.
Tratamiento de informacin restringida

Informacin de uso interno exclusiva de grupos o reas especficas. No debe
divulgarse libremente en la organizacin. Solo tendrn acceso a ella personal que
requiera estos datos para sus actividades laborales.
Tratamiento especfico de informacin confidencial:

Datos personales: Estos datos, de pacientes, personal y stakeholders, deben
ser tratados bajo procedimientos establecidos de acuerdo a la ley de proteccin
de datos personales y garantizar su trato confidencial.
Datos secretos: Datos que permiten acceso y operaciones en sistemas que son
secretos y de uso exclusivo de un nico usuario, por ello el personal tiene la
obligacin de no divulgarlos ni solicitar ajenos. De manera excepcional, el
personal de soporte tendr acceso para restablecer claves o desbloquear
cuentas y para que posteriormente el usuario las cambie.
Archivos temporales: Aquellos archivos que contengan datos personales de
acuerdo a lo establecido por los procedimientos, debern ser eliminados
finalizado el tratamiento de los mismos.
Destruccin: Se debe eliminar informacin de acuerdo a procedimientos y
cuando esta se encuentre en desuso.
Integridad
De acuerdo a los requerimientos de seguridad de informacin, se evala los
riesgos de preservar informacin no integra y su impacto monetario, legal y a nivel
de reputacin. Se debe de identificar cules de stos datos genera un impacto
mayor y se debe de priorizar y probar su integridad bajo diversos escenarios como
cambios a travs de sistema o procesos fsicos de almacenamiento de acuerdo a
su sensibilidad y el nivel de exposicin.
Disponibilidad
La informacin crtica que ha sido identificada por las reas de negocio como
crticas, debe estar siempre disponible y para esto se emplear estrategias de
198
contingencia correspondiente. Estas deben de estar documentadas y asegurar
correctas polticas de respaldo de acuerdo a procedimientos y estableciendo
responsabilidades claras y niveles de acceso a estos backups.
3. Gestin de medios
Dentro de la organizacin se tiene dispositivos de almacenamiento y transferencia de

datos empleados en los procesos de negocio por ello se deben tener las siguientes
consideraciones sobre medios extrables para preservar la seguridad de datos:
Las unidades de medios extrables deben de habilitarse bajo alguna razn o

exigencia dentro de los procesos de negocio.
En caso la informacin almacenada en medios extrables no sea ya necesaria,
deben retirarse o eliminarse estos medios y la informacin debe ser irrecuperable.
Los medios extrables comunicacin y transferencia deben ser almacenados en un
ambiente seguro.
Se debe realizar un inventario de los medios extrables para limitar la posibilidad
de la prdida de datos.
Se debe controlar y monitorear el uso de medios extrables, as como documentar
los procedimientos y niveles de autorizacin.
Respecto a los medios de transferencia de datos se seala lo siguiente:
Preservar una lista de correos autorizados para el intercambio de informacin.

Verificar la identificacin de los correos de acuerdo a procedimientos establecidos.
Identificar y mantener los registros que sealen el contenido de los medios de
comunicacin y el nivel de proteccin aplicada, as como los tiempos de
transferencia y recepcin.
En caso de transporte fuera de la sede de algn medio fsico como discos de
backup, deber garantizarse un embalaje seguro para evitar algn dao sobre
este dispositivo que pueda afectar la informacin contenida en l.
199
Sobre el control de accesos
Responsable: Jefe de operaciones de TI, Gestor de seguridad de informacin
Propsito
Velar por la seguridad de informacin por medio de mecanismos y polticas de
accesos a los sistemas y a la informacin clasificada que gestionan los procesos de
negocio.
1. Requisitos de negocio de control de accesos
Se define los requisitos de control de acceso de acuerdo a los requerimientos del

negocio de acuerdo al mapa de procesos y actividad que realiza la empresa. Estos se
basan en principios de seguridad de acuerdo a la funcin que realizan los usuarios
La poltica de control de accesos especfica:
Definir accesos a sistemas de informacin, recursos, servicios y redes de

comunicaciones de acuerdo a la naturaleza del usuario y los roles existentes
dentro de la organizacin
Controlar los accesos de acuerdo a los perfiles y privilegios existentes en los
sistemas.
Identificacin de niveles de acceso para cada rea y procesos dentro de la
hospitalizacin de usuarios, en especial en el procesamiento de datos de los
pacientes.
Los responsables de la asignacin y autorizacin de acceso comunicarn las
polticas y monitorearan el cumplimiento de estos.
Otras consideraciones:
200
Segregacin de funciones en los sistemas, procesos de negocio y la
administracin de la seguridad de los mismos.
Legislaciones aplicables a la realidad de la empresa.
Niveles y criterios de acceso de acuerdo a la seguridad de informacin y el acceso
a los datos.
La empresa junto con el oficial de seguridad y comit de riesgos estn en
obligacin a controlar los riesgos de acuerdo a los permisos otorgados a los
usuarios.
As mismo, se debe de controlar en particular los accesos a los servicios de red por
parte de personal interno y externo asegurando:
Control de trfico en la trasferencia de datos y las conexiones a la red de la

empresa.
Identificacin de dispositivos de acceso a la red, es decir si son internos o
externos. En este ltimo caso, determinar que sea un acceso autorizado previo
acuerdo con las partes responsables.
2. Gestin de acceso del usuario
De acuerdo a la gestin de accesos de los usuarios se toma en cuenta los

requerimientos y niveles de seguridad definidos para los sistemas que comprenden los
procesos de negocio. Por lo tanto se debe garantizar que cada usuario sea nico,
individual, independiente, persistente frente a los cambios
Respecto a registro y eliminacin de usuarios se deben tener las siguientes

consideraciones:
Establecer los procedimientos de registros que comprueben la identidad del

usuario, asignar el ID y mantener la asociacin.
Los mecanismos de verificacin de identidad debe ser de acuerdo a cada tipo de
usuario y el acceso que tiene a la informacin.
Comunicar requerimiento de baja o eliminacin de un usuario al departamento de
recursos humanos para gestionar con el personal de seguridad de informacin la
eliminacin de usuarios.
201
En caso la eliminacin de usuario genere situaciones conflictivas se debe de
comunicar al propietario.
En caso de los contratos temporales, la eliminacin de registros de usuario debe
coincidir con el tiempo de contrato para programar su expiracin de autenticacin.
Antes de eliminar un usuario, se debe de verificar la existencia de un
administrador general del sistema que pueda proveer permisos y gestionar los
cambios.
Respecto a los accesos a los usuarios se toma en cuenta lo siguiente:
Los permisos deben ser de acuerdo a las funciones que realiza dentro de su
actividad laboral y a los requerimientos de consulta de informacin:
Para acceso interno:

Mecanismos bsicos de autenticacin empleando una contrasea de uso
personal. Estos pueden ser de mayor seguridad si se requiere acceso a
aplicaciones que contengan informacin crtica que pueda generar alto riesgo
econmico.
Para acceso externo:
En el caso de acceso a datos personales se emplear un mecanismo de
seguridad elevado en caso se requiera consultar aplicaciones crticas. Se hace
hincapi en la poltica de la no divulgacin de contraseas incluso en el caso
de proveedores y servicios a tercero que requieran acceso.
Respecto a la gestin de derechos de acceso privilegiados se debe garantizar:
La asignacin de derechos de acceso privilegiados deben ser controlada por

medio de un proceso formal alineado a la poltica a la gestin de accesos.
Se debe mantener un proceso de autorizacin y registro de privilegios asignados.
Los derechos de acceso no deben concederse sin haber terminado la fase de
autorizacin.
Definir el tiempo de expiracin del acceso privilegiado.
Los usuarios administradores deben preservar la confidencialidad de los datos a
los que acceden por medio de mecanismos adecuados y alineados a las polticas
de acceso.
202
Sobre la gestin de informacin secreta de autentificacin:
Para la generacin de credenciales de acceso se debe garantizar la

confidencialidad y evitar que sean predecibles por otros.
En caso el usuario sea quien elija la clave, garantizar que cumpla con
requerimientos y mecanismos de seguridad elevados para que pueda ser
generada.
Para reactivar contraseas se debe considerar las medidas de seguridad
pertinentes. Solo en caso de bloqueos temporales, las contraseas se reactivaran
automticamente.
Los cambios de contrasea deben realizarse peridicamente. Solo en caso de
olvido de clave o bloqueo, los administradores generan una nueva contrasea y el
usuario la modifica al primer ingreso.
Las contraseas podrn ser bloqueadas al ser solicitado por el usuario o por
exigencia del administrador al detectar alguna irregularidad o filtracin de datos.
Respecto a la revisin, eliminacin o cambios de los derechos de acceso se debe

garantizar:
Revisin peridica de los derechos de acceso y despus de cambios como

promocin o despido.
Los derechos deben ser revisados y asignados nuevamente cuando se pasa de
un rol a otro dentro de la misma organizacin.
Revisin de los mtodos de asignacin de privilegios para asegurar que no se
hayan obtenido privilegios no autorizados.
Los accesos son eliminados por medio de una autorizacin solicitada por el
usuario o de acuerdo a un cambio, promocin de puesto o segn las polticas de
despido de la organizacin.
3. Responsabilidades de usuario
Los usuarios son los responsables de las actividades y operaciones realizadas bajo su
identificador en los sistemas, por lo cual se deben emplear de forma adecuada y
custodiar el uso de contraseas, claves u otro tipo de credenciales personales para su
autenticacin.
203
Por lo tanto, se debe tomar en cuenta las siguientes consideraciones para el uso de
contraseas:
Escoger contraseas debidamente seguras y no predecibles para que terceros no

puedan suplantarlos fcilmente.
No escribir contraseas en caso los sistemas lo soliciten de forma repetitiva,
reportar este incidente. Solo en caso esta solicitud de contrasea forme parte del
proceso, ingresarla.
No emplear mecanismos de recuerdo de contrasea ofrecidos por sistemas o
aplicaciones comerciales.
Cambiar contraseas peridicamente con frecuencia que determine la
organizacin para distintos sistemas o aplicaciones que lo soliciten.
En caso el usuario de acceso est bloqueado, deber utilizar mecanismos de
desbloqueo o reseteo.
4. Sistema y aplicacin de control de acceso
Dentro del sistema y aplicacin de control de acceso se debe, segn los

requerimientos de seguridad de informacin previamente identificados, restringir el
acceso de la informacin de acuerdo a los siguientes puntos:
Acceso de los sistemas de informacin
Se controlar el acceso mediante mecanismos que garanticen que los usuarios

no acceden con privilegios no autorizados.
Un sistema de informacin tambin requiere comunicarse con otros sistemas
por ello debe monitorearse que este requerimiento tcnico salvaguarde la
informacin.
Perfiles de acceso
Los perfiles de acceso a sistemas y a documentacin deben estar alineados a

los procesos de negocio y que permitan la adecuada segregacin de funciones.
Cada usuario pertenecer a uno o varios perfiles, por lo cual sus privilegios
sern los mnimos resultantes de los diferentes permisos que pueda tener.
204
Tiempo de expiracin de una conexin
Los sistemas borrarn la informacin en la pantalla y suspendern la sesin que

tenga un tiempo de inactividad. Este tiempo debe estar sujeto a lo establecido por
el responsable de la seguridad de informacin y manejar tambin las excepciones
del caso.
Por otro lado, para el sistema de gestin de contraseas se debe tomar en cuenta lo
siguiente:
Permitir a los usuarios seleccionar y cambiar sus contraseas e incluir un

procedimiento de confirmacin para manejar errores de entrada
Cumplir los parmetros de calidad de una contrasea de acuerdo a las polticas.:
Longitud de contrasea mayor o igual a diez (10) caracteres, los cuales deben
incluir nmeros, letras y smbolos especiales.
No mostrar contraseas en pantalla al ingreso al sistema
Guardar contraseas en archivos distintos a los de las aplicaciones
Almacenar y trasmitir contraseas de forma protegida
No obstante se presenta algunas polticas de contraseas:
Composicin
La longitud de la contrasea debe ser mayor o igual a diez (10) caracteres, la cual
debe incluir nmeros, letras y smbolos especiales.
Verificar reglas de sintaxis bsicas que impidan que las contraseas coincidan con
el identificador de usuario
Cambio de contrasea
El sistema, en caso sea tcnicamente posible, se verifica que la nueva contrasea

sea diferente a contraseas utilizadas anteriormente. El nmero de bsqueda de
coincidencias debe ser definido por el rea responsable.
El usuario tiene la posibilidad del cambio de contraseas en cualquier momento.
205
Sobre la seguridad fsica y ambiental
Responsable: Administrador de plataformas de TI, Gestor de seguridad de

informacin
Propsito
Brindar direccin y garantizar ambientes seguros para los recursos humanos y para
los equipos o activos de informacin de acuerdo a los requerimientos legales.
1. reas seguras
Dentro del entorno en el cual se desarrollan las actividades del proceso de negocio y
de acuerdo a la ubicacin de las estaciones o puestos de los usuarios que la ejecutan
se debe tener en cuenta lo siguiente:
Instalaciones y puestos de trabajo situados estratgicamente.

Las instalaciones deben estar configuradas para evitar que informacin
confidencial pueda ser visible desde el exterior.
Respecto a cmo el personal se desenvuelve dentro de las instalaciones seguras:
Asegurar que el personal sea consciente de las medidas de seguridad a adoptar

dentro de los procesos de negocio y las actividades para su cumplimiento.
Registrar elementos o medios extrables que se ingresan al local, y que podran

afectar el desarrollo del proceso, por esta razn se debe monitorear y en caso de
alto riesgo no permitir el ingreso de estos dispositivos.
206
2. Equipos
Se procede a detallar las polticas y consideraciones de seguridad de informacin

sobre los equipos que forman parte de los activos de los procesos de negocio tomados
como referencia. Entre algunas consideraciones, se seala inicialmente como deben
protegerse y ubicarse los activos:
Los equipos deben ubicarse estratgicamente de forma que se minimice el acceso

innecesario a las reas de soporte y/o procesamiento.
Las instalaciones en las cuales se guarden datos de almacenamiento o se
encuentren los activos del proceso deben contar con mecanismos de seguridad
para evitar accesos no autorizados.
Las instalaciones y equipos de procesamiento de datos sensibles deben ser
ubicadas estratgicamente para reducir los riesgos de informacin y cumplir con la
ley de proteccin de datos personales.
Los mecanismos adoptados para proteccin de equipos deben estar alineados a
la necesidad de reducir riesgos e incidentes que puedan suscitarse en el entorno.
Establecer las condiciones ambientales bajo las cuales deben preservarse los
activos. Monitorear dichas condiciones y reportar en caso no se cumpla alguno de
estos parmetros definidos
De acuerdo al mantenimiento de los equipos, se debe garantizar:
Brindar mantenimiento continuo a los activos para asegurar la continuidad de su

disponibilidad e implementacin.
nicamente el personal de mantenimiento est autorizado para llevar a cabo las
reparaciones de equipos para restablecer los servicios.
Aplicar los controles adecuados antes de realizar el mantenimiento al equipo.
Estos controles pueden variar de acuerdo a que personal realiza la actividad de
mantenimiento, en qu lugar se realizar y si est de por medio informacin
crtica.
Luego del mantenimiento, inspeccionar para asegurar que el equipo no ha sido
manipulado fuera de los parmetros sealados y que no presenta averas.
De acuerdo a la eliminacin, eliminacin segura o reutilizacin de activos se tiene las

siguientes consideraciones:
207
Identificar quienes son los responsables y tienen autoridad para permitir el retiro o
eliminacin de un archivo fuera de las instalaciones.
Establecer y verificar los plazos del retiro de activo. Estos plazos podran ser
modificados de acuerdo a los resultados de las evaluaciones peridicas.
Verificar, de acuerdo a la informacin gestionada, si un equipo debe ser eliminado
en forma segura o si se puede volver a utilizar bajo ciertas medidas y criterios de
seguridad.
En el caso de los equipos daados y que no puedan repararse para volver a
utilizados, se realiza el procedimiento de eliminacin segura el cual consiste
primero en destruir la informacin contenida en dicho archivo bajo ciertas medidas
que garanticen que esta informacin es irrecuperable. Posteriormente se procede
a eliminar el activo daado y su retiro de la organizacin.
De acuerdo a la limpieza de escritorios y polticas de pantalla transparente, la cual es

empleada para brindar un trato especial a la informacin almacenada dentro de los
equipos, se seala lo siguiente:
En caso se tenga informacin crtica almacenada, esta debe ser bloqueada para
que no todos los usuarios puedan acceder a ella y difundirla.
Las computadoras y terminales deben tener implementados mecanismos
protectores de pantalla en caso cumpla un tiempo de inactividad prudente. Para
volver a la pantalla en la cual se encuentran desarrollando sus actividades, se
exige el ingreso de la contrasea para su autenticacin.
Sobre la seguridad de operaciones
Responsable: Jefe de operaciones de TI, Administrador de plataformas de TI
Propsito
Brindar mecanismos que garanticen la seguridad de informacin dentro de las
operaciones del da a da para evitar algn incidente que afecte a la continuidad o
disponibilidad de los datos.
208
1. Procedimientos y responsabilidades operacionales
De acuerdo a los requerimientos organizacionales, se determina que debe de existir

procedimientos documentados para cubrir las operaciones del da a da, ya que estos
son la fuente de captura y difusin del conocimiento. Por ello se menciona lo siguiente:
Mantenimiento y elaboracin de documentos que detallen los pasos para realizar

actividades diarias como:
Instalar y configurar sistemas
Procesar informacin clasificada dentro de los sistemas
Documentar los procesos de recuperacin y almacenamiento de datos para poder
realizarlos ante cualquier eventualidad suscitada.
Segn la gestin de cambios, se debe realizar un seguimiento a todo tipo de cambios

que han sido aprobados, rechazados y que se encuentren pendiente. Estos cambios
son realizados a nivel de red, sistemas y organizacionales. Dentro del procedimiento
de cambios se incluyen los siguientes aspectos:
Identificar y registrar cambios significativos dentro de toda la arquitectura

empresarial y la arquitectura de TI.
Planificar y probar todo tipo de cambios que a realizarse, as como validarlo en
posterior con los usuarios de negocio.
Autorizacin formal de los cambios propuestos, sealar quien o quienes fueron los
responsables de conceder dicha autorizacin.
El rea de seguridad de informacin participa en el proceso de cambios y verifica
si se producen o no riesgos de informacin.
209
2. Proteccin contra malware
Se debe garantizar que todo dispositivo de usuario final est libre de virus. Con estos
fines, se debe de establecer una serie de controles para evitar contaminacin y
materializacin de impacto negativo. Se presenta a continuacin las acciones a tomar:
Proteccin de puestos de trabajo: Todos los dispositivos de usuario final con riesgo de
propagar o verse afectados por virus, deben contar con un antivirus instalado y
actualizado. Se toma medidas para minimizar el impacto de existencia de virus, as
como el desarrollo de procedimientos de instalacin, actualizacin, configuracin y
monitoreo.
Proteccin en equipos porttiles: Se desarrollan los procedimientos de instalacin,

actualizacin, configuracin y monitoreo de la actividad del antivirus, tomando en
cuenta las caractersticas de dichos equipos.
Proteccin de servidores: Todo servidor susceptible a contaminacin de virus por red,

debe tener un antivirus instalado y actualizado. Se desarrollan los procedimientos de
instalacin, actualizacin, configuracin, y monitoreo para evitar el impacto en los
sistemas de informacin.
Proteccin de correo electrnico: El correo electrnico debe comunicarse con un

sistema de antivirus capaz de analizar la bandeja de entrada. En caso se detecte virus
en un archivo adjunto del mensaje de correo, se debe enviar una notificacin al
receptor indicando que el archivo fue eliminado. Se desarrollan los procedimientos de
instalacin, actualizacin, configuracin y monitoreo.
Proteccin de la navegacin web: El acceso a internet debe ser controlado por medio
de un antivirus que restrinjan el acceso a sitios web maliciosos que acceden a
descarga de malware.
Distribucin de medios de almacenamiento y contenidos por intranet/internet: Se

comprobar que estos medios estn libres de virus al analizarlos con la ltima
versin del antivirus instalado. Se comprobar que todo contenido susceptible de
virus se encuentra libre de este al ser publicado en intranet o internet de acuerdo al
anlisis con el antivirus en su ltima versin.
210
Sobre el antivirus, se debe tener en cuenta las siguientes consideraciones:
Instalacin y configuracin: Se debe establecer los responsables de la instalacin,

configuracin y mantenimiento de los antivirus. Mantener un inventario de las
licencias adquiridas, de ser el caso, para determinar la proteccin.
Se debe establecer procedimientos de accin sobre incidentes al localizar la
infeccin de virus. Estos debern tomar en cuenta la proteccin de la
informacin y procesos de restablecimiento de operatividad de los sistemas
afectados.
Estos incidentes de virus pueden catalogarse por su gravedad de acuerdo a lo

siguiente:
Velocidad de propagacin de la infeccin: En caso sea grave, el nmero de
sistemas afectados representa un porcentaje significativo del total de
estaciones, servidores o dispositivos para llevar a cabo los procesos de
negocio.
Impacto en los sistemas: Se considera grave si releva los datos confidenciales,
si se eliminan gran cantidad de archivos, si se modifica el contenido del archivo
o se verifica datos del disco duro eliminados.
Impacto en la red de comunicacin: Se considera grave si el virus provoca
disminucin del rendimiento de las comunicaciones.
Impacto en el negocio: Se considera grave si alguna actividad o proceso de
negocio se ve afectado por el incidente.
3. Backup
La informacin de la organizacin es uno de los activos ms importantes de la

organizacin, adems debe estar alineada a la ley de proteccin de datos personales.
En caso se dae o pierda una parte de la informacin, se ve afectada la continuidad y
la seguridad de informacin pues afecta al pilar de la disponibilidad.
Por esta razn, dentro de la organizacin, para reducir el riesgo de inoperatividad, se

realiza copias de respaldo para que la informacin pueda ser recuperada en caso
prdida. Se considera por lo tanto lo siguiente:
211
El backup de los sistemas deber estar alineado a las estrategias y planes de
continuidad de negocio definidos. En caso incidentes pequeos, no se necesitar
la activacin del plan.
Las cintas de backup deben de gestionarse y ser protegidas tomando en cuenta el
entorno de almacenamiento para evitar que stos tengan daos fsicos.
Los incidentes que requieran recuperacin de datos se archivarn en el registro
de incidencias bajo el siguiente formato: nombre del sistema afectado, fecha del
incidente, fecha y hora de recuperacin, medios o archivos usados para la
recuperacin y la fecha y hora en la que fue realizada la copia.
El alcance de la recuperacin de datos efectuada debe ser informado a las reas
de negocio y partes interesadas. En el caso de los usuarios afectados, ellos
debern evaluar el impacto operacional y a nivel de proceso al momento del
incidente y verificar el restablecimiento total del incidente.
4. Registro de eventos
Se deben registrar los eventos y los datos significativos para identificar el origen del
evento, la fecha y hora en la cual se ha generado, los datos asociados al evento. No
deben almacenarse datos secretos.
Sobre el registro de eventos:
Deben ser registrados en un sistema o lugar especial habilitado por el sistema.

Deben ser almacenados en repositorios centrales para que esta informacin y
evento sea monitoreado para determinar posibles incidentes o fallas.
Los eventos deben ser almacenados de acuerdo a lo establecido a la ley vigente
de acuerdo a la informacin crtica asociada a estos.
En el caso de datos confidenciales en los eventos, se debe almacenar y proteger
estos registros de forma segura de igual manera como se protegen los sistemas
en los que fueron generados.
El acceso a los eventos estarn limitados solo para personas especializas y cuya
funcin y rol sea el anlisis de estos empleando mecanismos de control que eviten
la divulgacin.
212
5. Control de software operativo:
Dentro de los procesos de negocio se identifica sistemas o software que se emplean

como parte de sus actividades. Por ello se debe de tener en cuenta algunas
consideraciones para alinearlas a las estrategias de seguridad de informacin:
Los sistemas y software antes de ser actualizados, deben ser sometidos al control
de cambios para autorizar si estos puedan ser aplicados o no.
Las aplicaciones y sistemas o software operacionales solo sern implementados
si se realizan pruebas excesivas sobre l y que todas estas hayan resultado
satisfactorias. Se debe verificar que todos sus componentes estn actualizados.
Se debe tener una estrategia de rollback antes de que los cambios sean
implementados para que ante cualquier eventualidad se pueda regresar a un
estado anterior.
Se debe conservar las versiones anteriores al sistema como medida de
contingencia en caso la nueva aplicacin falle.
Se debe guardar un log de auditora con todas las actualizaciones operacionales,
nuevas instalaciones y nuevas libreras.
6. Gestin de Vulnerabilidades tcnica:
La organizacin debe definir cules son las aplicaciones seguras y que tipos de
usuarios pueden tener privilegios para la instalacin de software, teniendo en cuenta
los roles y funciones.
Se debe realizar una lista de software seguro como las actualizaciones y parches de
seguridad en algn software existente y tambin la lista de software potencialmente
daino o empleados para fines personales fuera de las actividades realizadas en la
organizacin.
De no controlar la instalacin en plataformas informticas, se pueden introducir nuevas

vulnerabilidades y luego una fuga de informacin o prdida de integridad de datos,
ente otros incidentes.
213
7. Consideraciones de auditora de sistemas de informacin:
Se debe tomar en cuenta algunas consideraciones para auditoras posteriores de

sistemas de informacin, entre ellas:
Se debe gestionar adecuadamente los requisitos de auditora y acceso a los

sistemas.
El alcance de las pruebas tcnicas de auditora debe ser acordada y controlada
para que estas no afecten a la informacin y al proceso de negocio, por ello se
debe trabajar con copias aisladas en caso requiera operar datos reales.
Las pruebas de auditora que podran afectar la disponibilidad del sistema debern
ser ejecutadas fuera del horario.
Sobre la seguridad de comunicaciones
Responsable: Oficial de seguridad de informacin, Gestor de seguridad de

informacin
Propsito
Garantizar que la transferencia de datos a travs de la red tenga implementado los
mecanismos de seguridad de informacin para garantizar el cumplimiento de la
proteccin de datos de acuerdo a su clasificacin.
Alcance: Proceso de admisin, atencin y egreso de pacientes.
1. Transferencia de la informacin
Para transferir informacin, de acuerdo a la ley de proteccin de datos personales se

debe tener ciertas salvedades, por ello se consideran los siguientes elementos para
efectuar esta operacin:
Procedimientos de proteccin de la informacin ante intercepcin, copia,

modificacin, mal enrutamiento y destruccin.
214
Procedimientos para proteger la informacin electrnica sensible, incluyendo la
proteccin contra malware que pueda ser transmitida por comunicaciones
electrnicas.
Garantizar que el personal interno y externo no pongan en peligro la organizacin
por medio de difamacin o reenvo de mensajes encadena a travs de la red de
comunicaciones.
Emplear recursos de cifrado para proteger la confidencialidad, integridad y
autenticidad de la informacin.
Controles y restricciones asociadas con el uso de los medios de comunicacin,
como el correo electrnico.
Evitar que los mensajes que contienen informacin confidencial sean divulgados
por contestadoras automticas para evitar su reproduccin por personal no
autorizado.
Asesorar al personal sobre los problemas en empleo de mquinas o servicios de
comunicacin relacionados a la seguridad de informacin y accesos no
autorizados.
Los servicios de transferencia de informacin deben cumplir todos los
requerimientos legales sujetos a la realidad del negocio.
Respecto a los mensajes electrnicos, o intercambio de informacin a travs de

sistemas o correos se debe tener en cuenta las siguientes salvedades:
Control de entradas y salidas de comunicaciones con registro de origen, destino y

tipo de informacin intercambiada.
Seguridad fsica o cifrado de datos que garantice la integridad del trnsito por
medio de los sistemas. Aplicar estas tcnicas de acuerdo a las exigencias de
seguridad de las regulaciones como la ley de proteccin de datos personales.
Asegurar la correcta direccin para transporte del mensaje y garantizar la
disponibilidad de este servicio.
Por ltimo se debe tomar en cuenta los aspectos relacionados a los acuerdos de no
divulgacin que han sido firmados:
Definir la informacin que debe ser protegida de acuerdo a la criticidad de los

datos y las regulaciones en torno a estos
215
Establecer la duracin del acuerdo de confidencialidad durante el contrato y al
final de este. Se podra definir acuerdos de confidencialidad indefinidos de
acuerdo al nivel de criticidad de la informacin
Determinar las acciones requeridas cuando finalizan los acuerdos de
confidencialidad.
Verificar que se debe hacer con la informacin habiendo terminado los acuerdos
de confidencialidad, en este caso al ser destruidos, se deben seguir los
procedimientos en base a los requerimientos de seguridad de informacin.
Sobre las relaciones con los proveedores
Responsable: Gestor de servicio, Jefe de operaciones de TI
Propsito
Garantizar que se gestione las relaciones con los proveedores para asegurar el
cumplimiento con los requerimientos de seguridad de informacin y lo establecido en
los acuerdos de servicio firmados
Alcance: Proceso de admisin, atencin, egreso de pacientes
1. Gestin de proveedores de servicios de entrega
De acuerdo a los procesos de negocio establecidos, se debe garantizar una gestin

correcta y segura de los proveedores y los acuerdos para la entrega de servicio. Se
toman en cuenta las siguientes consideraciones:
Monitorear el nivel de performance del servicio entregado de acuerdo con sus

acuerdos firmados. Por ejemplo determinar el tiempo de entrega de servicio y
como este afecta las actividades del proceso de negocio.
Revisar los reportes de servicio e identificar momentos para realizar auditoras
sobre los acuerdos de servicio firmados. En este caso para evitar el sesgo, se
recomienda auditoras externas.
216
Brindar informacin de los incidentes de seguridad suscitados dentro de la entrega
de los servicios frente a las exigencias de los acuerdos firmados y los
procedimientos realizados por el proveedor para restablecer la operacin normal
Asegurar que los proveedores tengan capacidad suficiente para trabajar de
acuerdo a planes diseados que garanticen la continuidad de los servicios de
acuerdo al nivel de incidente o desastre que haya afectado la entrega de estos.
Se debe asignar un responsable para la gestin de proveedores o un equipo
capacitado para el monitoreo de las consideraciones que fueron detalladas para
cumplir requerimientos de seguridad de informacin y la calidad de los servicios
entregados por medio de los procesos de negocio.
Respecto a los cambios en los acuerdos de servicio o cambios en los proveedores se

debe considerar lo siguiente:
Los cambios en los proveedores debern ser revisados y las acciones correctivas
que suplan el servicio debern ser implementados por la organizacin, lo cual
podra implicar el desarrollo de sistema, modificaciones en las polticas y
procedimientos o cambios sobre los controles para mitigar incidentes de seguridad
de informacin
En caso se cambien los acuerdos de servicio se debe verificar:
Uso de nuevas tecnologas de acuerdo a las obligaciones contractuales y que

beneficien el proceso de negocio.
En caso la sub-contratacin, se deber monitorear sobre la cadena para la
entrega del servicio.
Cambios realizados que puedan afectar la red de comunicaciones y que impliquen
un mayor acceso a la informacin de la organizacin debern ser previamente
autorizados.
Sobre la gestin de incidentes de seguridad de informacin
Responsable: Gestor de servicio
Propsito
217
Garantizar y establecer mecanismos para una adecuada gestin de incidentes de
seguridad de informacin que asegure la disponibilidad, confidencialidad e integridad
de datos.
1. Gestin de incidentes de seguridad de informacin y mejoras
Se debe realizar un seguimiento a la gestin de incidentes de seguridad de

informacin e identificar mejoras que garanticen una mejor entrega del servicio y la
disponibilidad y confidencialidad de la informacin.
Respecto a los reportes de eventos o incidentes ser debe tener las siguientes
consideraciones:
Se consideran incidentes de seguridad aquellas anomalas o eventos que afecten

los sistemas de informacin, redes de comunicacin, violacin de acuerdos y
divulgacin de informacin por parte de acciones externas o internas a la
organizacin.
La comunicacin de incidentes debe ser realizada por medio de los canales
establecidos en los procedimientos.
Se debe reportar: errores humanos, controles de seguridad ineficientes,
incumplimiento con normas legales, brechas en la integridad, confidencialidad y
disponibilidad de informacin esperadas, descontrol en los sistemas de cambios,
funcionamiento incorrecto de hardware o software, violacin sobre los derechos
de acceso y permisos otorgados.
Dentro de la gestin de incidentes se verifica y realiza un anlisis de vulnerabilidades

que son el aporte inicial para un anlisis de riesgo posterior. Se debe considera lo
siguiente:
Los trabajadores deben reportar las vulnerabilidades identificadas lo antes posible

para evitar la materializacin de incidentes de seguridad de informacin. El
mecanismo de reporte debe ser claro, accesible y debe estar disponible.
218
Las vulnerabilidades deben ser comunicadas a todo el personal de la organizacin
como parte de los planes de concientizacin para evitar la materializacin de
riesgos que afecten el servicio y los procesos de negocio.
Respecto a los eventos de seguridad de informacin y la gestin de estos, se debe

tener en cuenta realizar la priorizacin de incidentes de acuerdo a la clasificacin
asignada por los responsables del registro. Determinar los mecanismos de respuesta
ante estos incidentes.
Dentro de los incidentes es necesario recolectar evidencia como parte de la gestin e

investigacin que ayude a determinar el origen de estos y como estar preparados para
incidentes similares en el futuro. Se debe tomar en cuenta:
Seguir procedimientos para recoleccin de evidencias relacionadas a la

materializacin de los incidentes de seguridad de informacin que incluya:
Custodia de la evidencia recolectada y asegurarla.

Definir los roles y responsabilidades del personal involucrado en la recoleccin
de evidencias y verificar cules son sus competencias.
Documentar la evidencia recolectada.
De acuerdo a los incidentes suscitados se debe establecer una respuesta frente a

estos, para la cual se debe de considerar:
Colectar la evidencia tan rpido como sea posible luego del incidente.
Determinar en qu momento es pertinente escalar incidencias de seguridad de
informacin de acuerdo a un procedimiento establecido de acuerdo a la criticidad
el incidente y el impacto en el negocio, as como establecer los tiempos mximos
de solucin y confirmar cual ser el siguiente nivel de resolucin de incidencias.
Comunicar la existencia de incidentes de seguridad de informacin. Brindar los
detalles de acuerdo a la necesidad de informacin al personal interno y externo.
Realizar anlisis forense de ser necesario o requerido.
En caso el incidente produzca eliminacin de datos, brindar la autorizacin para
iniciar la recuperacin de datos.
219
Sobre la continuidad del negocio
Responsable: Gestor de continuidad de negocio
Propsito
Garantizar que las estrategias de continuidad de negocio estn alineadas a los
requerimientos de seguridad de informacin para asegurar que en medio de desastres
o incidentes que interrumpen la entrega de servicios, se preserva la confidencialidad e
integridad de los datos.
1. Continuidad de la seguridad de informacin:
Se debe planificar los aspectos de la continuidad de negocios dentro de la

organizacin y alinearlas a los requerimientos de seguridad y los aspectos legales
como la ley de proteccin de datos personales y la norma tcnica peruana de la
historia clnica. De acuerdo a los planes de continuidad se toma en cuenta lo siguiente:
La organizacin debe determinar cmo es respaldada la seguridad de informacin

desde la gestin del plan de continuidad de negocios o el plan de recuperacin de
desastres.
Los requerimientos de seguridad de informacin deben estar contenidos en el plan
de continuidad y el plan de recuperacin de desastres.
En caso los planes de continuidad no estn formalizados, el rea de seguridad de
informacin asumir que los requerimientos de seguridad son los mismos en
situaciones adversas y debern realizar un anlisis de impacto en caso se
materialice algn incidente que afecte a la confidencialidad, integridad y
disponibilidad de datos.
En cuanto a la implementacin de los planes de continuidad de negocios, se debe

tomar en cuenta las siguientes consideraciones:
220
Asegurar una estructura de roles que est preparada para actuar frente a los
incidentes que causen una interrupcin en el negocio y puedan mitigar y brindar
una respuesta de acuerdo a su experiencia y competencias bajo la autorizacin de
un superior.
La seguridad debe estar controlada dentro de la continuidad de negocios, por lo
cual debe existir un personal responsable de responder frente a estos incidentes y
garantizar el alineamiento con los requerimientos de seguridad de informacin.
Los procedimientos y planes de accin y respuesta deben estar documentados y
detallarn como la organizacin hace frente a eventos que afecten la seguridad de
informacin y la continuidad de negocio. Estos planes deben estar alineados a las
estrategias definidas en la continuidad de negocio de la organizacin.
Verificar que los procesos para los cuales se establecen las estrategias de
continuidad, sean los procesos de los cuales se desprenden los requerimientos de
seguridad de informacin, de esta manera se logra que ambas estrategias estn
alineadas hacia un mismo fin.
Segn las evaluaciones realizadas al plan de continuidad, adicionalmente se deber

revisar la continuidad de la seguridad de informacin en los procesos para identificar
posibles cambios a nivel operacional que afecten la estrategia planteada, por lo cual
determina lo siguiente para garantizar la continuidad de la seguridad de informacin:
Probar la funcionalidad de los procesos que abarcan la continuidad de la

seguridad de informacin, los procedimientos y controles para determinar la
coherencia con los objetivos de continuidad y seguridad.
Revisin de la validez y eficacia de la continuidad de seguridad de informacin, los
niveles de informacin, los controles y la estabilidad de los procesos garantizando
el cumplimiento de los requerimientos establecidos ante algn cambio que ha sido
realizado.
2. Redundancia
La organizacin debe identificar los requerimientos de negocio de para la

disponibilidad de los sistemas de informacin. Si esta no puede ser garantizada se
debe considerar arquitecturas redundantes, los cuales deben ser probados para
asegurar que frente a un error en un componente, el otro componente funciona segn
lo esperado.
221
Este tipo de arquitectura presenta riesgos los cuales deben ser evaluados dentro de
una gestin integral de riesgos organizacionales y a nivel de proyecto.
Sobre el cumplimiento
Responsable: Oficial de seguridad de informacin, Gerente general
Propsito
Garantizar el cumplimiento de leyes en los procesos de negocio y los requerimientos
externos relacionados a la seguridad de informacin: La ley de proteccin de datos
personales.
1. Cumplimiento de los requisitos legales y contractuales
En la organizacin, debido al rubro del negocio, deben identificarse todos los

requerimientos externos a nivel legal, es otras palabras, las leyes aplicables a la
organizacin segn el tipo de negocio.
Si la actividad de la empresa tiene contacto con otros pases, los gerentes debern
garantizar el cumplimiento con los requisitos regulatorios aquellos para evitar multas o
dao a la reputacin debido al incumplimiento.
As mismo, debido a la lnea de negocio a la cantidad de pacientes de la organizacin,

no obstante en lnea a las leyes a cumplir, se debe garantizar la privacidad y
proteccin de datos personales tomando en cuenta los siguientes puntos:
Las polticas sobre la proteccin de datos personales debe ser comunicada.

Establecer la estructura pertinente para velar por el cumplimiento de las polticas y
la ley de proteccin de datos personales.
222
La clasificacin de la informacin debe formar parte de las polticas de datos
personales para verificar las medidas y tcnicas de proteccin a aplicar e
implementar sobre cada nivel.
2. Revisiones de la seguridad de informacin
De acuerdo a las polticas planteadas y alineadas a los requerimientos de seguridad

de informacin producto de la evaluacin de los procesos el oficial de seguridad de
informacin y el comit estratgico debe cumplir con las siguientes actividades:
Monitorear el cumplimiento de las polticas. En caso se identifiquen polticas que

no se cumplen o no se aplican:
Identificar las causas del cumplimiento

Aplicar las medidas correctivas para garantizar que a partir de un tiempo
establecido se alcanzar el cumplimiento de las polticas internas.
Revisar las acciones correctivas que han sido aplicadas ante algn incumplimiento
para determinar su eficacia o sus debilidades.
Deben registrar los resultados de las evaluaciones y las acciones a tomar de

acuerdo al cumplimento de las polticas y la satisfaccin de la organizacin frente
a estas.
223
ANEXO L: Evaluacin
10.1 Evaluacin de nivel de madurez de los procesos habilitadores
A continuacin se realiza la evaluacin del nivel de madurez para cada proceso

habilitador y su aplicacin dentro de los procesos de negocio.
El estado de cumplimiento es determinado por la organizacin basndose en las

actividades diarias, los controles establecidos y el entorno del negocio antes de
implementar las polticas de seguridad de informacin. Luego de esto, se determina el
nivel de madurez deseado y el tiempo, usualmente se refiere al tiempo para la revisin
del gobierno de TI de la empresa, para realizar la prxima evaluacin.
En la siguiente tabla se muestra criterios de evaluacin de la norma ISO/IEC 15504 y

los criterios para identificar la escala de cumplimiento para cada nivel de madurez.
Leyenda Descripcin
No existe evidencia de la entrega o gestin del proceso
N : Not
habilitador. El cumplimiento de las actividades est entre cero
achieved
(0) y quince (15) por ciento.
Existe evidencia de la entrega de las actividades definidas para
P: Partially el proceso. Algunos aspectos deben ser no predecibles. El
achieved cumplimiento de las sub actividades de gestin est entre
quince (15) y cincuenta (50) por ciento.
Existe evidencia sistemtica y significativa sobre la entrega de y
L: Largely
cumplimiento de actividades dentro del proceso. El cumplimiento
achieved
est entre cincuenta (50) y ochenta y cinco (85) por ciento.
Existe evidencia total y sistemtica sobre el cumplimiento de las
F: Fully
actividades de gestin definidas el proceso. El cumplimiento
achieved
est entre ochenta y cinco (85) y cien (100) por ciento.
Tabla 10.1.1 - Leyenda para especificar el nivel de madurez de un proceso habilitador
224
10.1.1 Procesos habilitadores comunes para los procesos de negocio
De acuerdo al estado actual de los cuatro procesos y su cumplimiento en la

organizacin se procede a completar el estado de cumplimiento para cada actividad y
sus sub-actividades. En caso no est desarrollndose dicha sub-actividad, se hace la
observacin y recomendacin respectiva.
a. Proceso habilitador: Garantizar el mantenimiento y configuracin del marco

EDM01 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Analizar e identificar los factores de entorno
interno y externo relacionados a la seguridad
de informacin, los cuales afectan
Cumple
directamente al proceso, junto con las
tendencias en el negocio que puedan influir en
el diseo del gobierno.
Evaluar el nivel de la seguridad de informacin
dentro del negocio y el cumplimiento con
No se alinea a la ley de
Evaluar el sistema de gobierno
regulaciones externas dentro del proceso.

proteccin de datos
Entre estas se tiene: Ley de proteccin de
personales todava.
datos personales, Ley de emergencia y la
Articular los principios que guiarn el diseo Se tiene un modelo de
ptimo del modelo de toma de decisiones toma de decisiones, pero
sobre el gobierno de TI y su enfoque a la no se considera el enfoque
seguridad de informacin. de seguridad de
informacin.
Considerar cmo sern aplicadas o enfocadas
la ley de proteccin de datos personales, la ley Cumple, pero no se han
de emergencia y la norma tcnica peruana de formalizado los resultados
la historia clnica en el gobierno de TI de la y consideraciones.
empresa y en los procesos base.
225
Exigir la funcin de seguridad de informacin
Cumple, pero todava no se
para toda la empresa y como esta se aplicar
ha creado esta funcin.
a los procesos.
Contar con un comit estratgico que est
No cumple
Dirigir el sistema de gobierno
enfocado a la seguridad de informacin (ISSC)

Alinear la estrategia de seguridad de
No cumple
informacin con la estrategia empresarial
Obtener el compromiso de la alta direccin
para verificar la seguridad de informacin y la No cumple
gestin de riesgos de informacin.
Asignar responsabilidad para que se apliquen
principios de gobierno, modelos de toma de Cumple
decisin acordados.
Supervisar mecanismos para asegurar que los
sistemas para medir el desempeo de
seguridad de informacin cumplen con la ley No cumple
Monitorear el sistema de gobierno
de proteccin de datos personales y la norma

tcnica peruana de historia clnica.
Proporcionar supervisin de la efectividad y el Auditora se encarga de la
cumplimiento con el sistema de control de la supervisin pero no
empresa. comunica los resultados.
Evaluar la efectividad y rendimiento de los
stakeholders en los que se ha delegado
Cumple.
responsabilidad y autoridad para el gobierno
de TI de la empresa.
Tabla 10.1.2 Evaluacin de cumplimiento para proceso habilitador EDM01
Nivel de madurez actual: Proceso Incompleto (0) P
Se puede verificar que, de acuerdo a los requisitos de la norma ISO/IEC 15504, el

proceso habilitador y sus actividades no han sido aplicadas dentro del negocio, al
menos no desde el punto de vista de seguridad de informacin, teniendo como
resultado actividades que no son comunicadas y que no estn debidamente
formalizadas, lo cual no est alineado a los principios de gobierno de TI.
226
No obstante al verificar que existe evidencia parcial del cumplimiento de algunas
de las sub-actividades y de acuerdo a lo que define la norma, se considera que el
nivel interno de madurez es Partially Achieved (P).
Nivel de madurez objetivo: Proceso Ejecutado (1)
La organizacin se establece como meta alcanzar el nivel de madurez siguiente

en la escala definida por la norma, proceso ejecutado. Antes de llegar a este, se
debe recorrer las escalas restantes dentro del proceso habilitador en madurez
cero (0) para posteriormente ejecutar cada una de las sub-actividades definidas.
Luego de la siguiente iteracin para la revisin del gobierno de TI de la empresa

se vuelve a realizar esta mecnica para identificar el logro de este objetivo y a qu
nivel, de manera que se implementen las mejoras y se defina la nueva meta de
madurez para la siguiente evaluacin.
b. Proceso habilitador: Garantizar la entrega de beneficios

actividad.
Identificar y registrar los requisitos de los
stakeholders en relacin con los procesos
base para la proteccin de sus intereses y la
Cumple
entrega de valor tomando en cuenta los
Evaluar la optimizacin del valor
Establecer la direccin respectiva.

Comprender y discutir peridicamente sobre
las oportunidades que pueden surgir a partir
de los cambios dentro de los procesos base al Cumple
emplear tecnologas actuales y optimizar el
valor de estas oportunidades.
Comprender el significado del valor en la
empresa y como se ha comunicado, entendido
Cumple
y aplicado a travs de los procesos de la
organizacin.
Evaluar la efectividad de la integracin y No cumple, no existe
227
alineamiento de las estrategias de TI y funcin de seguridad de
seguridad de informacin en la empresa con informacin.
los objetivos para aportar valor, as como la
alineacin de estos ltimos con el portafolio de
inversiones
Asegurar que se empleen medidas financieras
y no financieras para describir el valor aadido
No cumple
de las iniciativas de seguridad de informacin
en los procesos base.
Establecer un mtodo para demostrar el valor
de la seguridad de informacin para garantizar
el uso eficiente (considerando los niveles de No cumple
Dirigir la optimizacin del valor
seguridad) de los activos dentro de los

procesos identificados.
Dirigir los cambios necesarios en el portafolio
de inversiones y servicios para realinearlos
Cumple
con los objetivos actuales, los esperados y/o
sus limitaciones.
Dirigir los cambios necesarios en asignacin
de imputaciones y responsabilidades del Cumple, pero no est
portafolio de inversin y entrega de valor a enfocado a la seguridad de
partir de los servicios y procesos de negocio informacin.
enfocados a la seguridad de informacin.
Monitorear el resultado de las iniciativas de
seguridad de informacin frente a las
No cumple
expectativas para asegurar la entrega de valor
Monitorear la optimizacin del valor
de acuerdo a los objetivos de negocio

Definir objetivos de desempeo, mtricas, Cumple, pero solo a alto
metas y puntos de referencia. Revisarlos y nivel, no estn alineadas a
formalizarlo junto con los stakeholders. la seguridad de
informacin.
Tomar medidas de gestin para asegurar la
optimizacin del valor. En caso sean medidas
Cumple
correctivas, asegurarse de que sean iniciadas
y controladas.
Tabla 10.1.3 - Evaluacin de cumplimiento para proceso habilitador EDM02
228
De acuerdo a la norma ISO/IEC 15504, el proceso habilitador tiene un nivel de

madurez cero (0) porque sus actividades no han sido totalmente aplicadas dentro
del negocio. La falta de la funcin de seguridad de informacin y los
requerimientos da como resultado que no se cumplan todas las actividades y solo
alcance un porcentaje de cumplimiento que lleva a una calificacin interna igual a
P.
La organizacin se establece como meta alcanzar el nivel de madurez siguiente

en la escala definida por la norma, proceso ejecutado.
Para llegar a la meta se debe completar la escala interna del nivel de madurez
anterior, lo cual implica la definicin y formalizacin de la seccin y funcin de
seguridad de informacin y los roles respectivos para asignar sobre ellos la
responsabilidad de acuerdo a sus capacidades. Verificar este cumplimiento en la
siguiente iteracin de gobierno.
c. Proceso habilitador: Garantizar la optimizacin del riesgo

actividad.
Determinar junto con la directiva de la empresa
Cumple
el nivel de apetito por el riesgo.
Medir el nivel de integracin de la gestin de
Evaluar la gestin de riesgos
riesgos de seguridad de informacin con el No cumple

modelo general de riesgos de la organizacin.
Determinar el grado de alineamiento de la
estrategia de riesgos de TI y seguridad de
No cumple
informacin con la estrategia de riesgos
empresariales.
Determinar si las tecnologas empleadas en los No cumple, la gestin de
procesos base estn sujetas a una evaluacin riesgos es un proyecto a
229
de riesgos adecuada segn lo descrito en futuro.
estndares relevantes que pueda adoptar la
organizacin.
Integrar la gestin de riesgos de seguridad de
informacin dentro del modelo general de No cumple
riesgos.
Dirigir la elaboracin de planes de
comunicacin y accin de riesgos promoviendo
Cumple
una cultura consciente sobre estos y su
Dirigir la gestin de riesgos
impacto dentro del negocio.

Dirigir la implantacin de mecanismos
apropiados para responder a los riesgos
No cumple
cambiantes y notificar a los niveles adecuados
segn el principio de escalamiento.
Dirigir para que los riesgos de seguridad de
informacin dentro de los procesos puedan ser
identificados por cualquier persona en No cumple
cualquier momento segn las polticas y
procedimientos publicados.
Monitorear el perfil frente al riesgo o el apetito
del riesgo de la empresa para lograr un
No cumple
equilibro ptimo entre riesgos y oportunidades
de negocio
Monitorear la gestin del riesgos
Incluir las salidas de los procesos de gestin de

riesgos de informacin como entradas las la No cumple
gestin de riesgos de la organizacin.
Comunicar los problemas de la gestin de
No cumple
riesgos al directorio.
Monitorear las metas y mtricas de gestin de
Cumple pero solo a alto
los procesos de gobierno y gestin del riesgo
nivel, no se comunica las
respecto a los objetivos. Iniciar medidas
medidas a tomar.
correctivas para casos especiales
Tabla 10.1.4 - Evaluacin de cumplimiento para proceso habilitador EDM03
230
Nivel de madurez actual: Proceso incompleto (0) N
De acuerdo a la evaluacin y ajustes a los criterios de la norma que integra el

marco COBIT 5.0 se determina la falta de aplicacin de las actividades, la
madurez identificada es cero (0). Por ello el proceso habilitador es entregado con
fallas y debilidades que no permite el desarrollo del enfoque de seguridad de
informacin.
El incumplimiento de la mayora de las actividades relacionadas y los

procedimientos no formalizados ni integrados, determina que el nivel interno de
madurez es Not achieved.
Nivel de madurez objetivo: Proceso ejecutado (1)
Se establece como objetivo el nivel de madurez superior debido a que dentro de

los proyectos futuros de la empresa referencia es implementar mecanismos y
realizar el anlisis de riesgo dentro del cual se incluyan las brechas y
vulnerabilidades de seguridad de informacin.
d. Proceso habilitador: Gestionar el marco de control de TI
APO01 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Alinear la seguridad de la informacin de la
organizacin con la arquitectura de negocio de No cumple
la empresa.
Establecer el comit estratgico de TI bajo el
Definir la estructura organizativa
No cumple
enfoque de seguridad de informacin
Se identifica la necesidad
Definir la funcin de la seguridad de
de seguridad de
informacin, capacidades y decisiones
informacin pero no se
necesarias
encuentra formalizada.
Identificar las decisiones necesarias para Se tiene modelos de
alcanzar los resultados corporativos y estrategia decisiones, pero no est
de TI y seguridad de informacin para la gestin formalizado dentro del
y ejecucin de servicios de TI. rea de TI.
231
Establecer un comit estratgico de TI a nivel
de consejo administrativo, el cual se asegure
que el gobierno de TI est contemplado de
Cumple
forma adecuada y que priorice programas de
inversin segn la estrategia y objetivos de
negocio.
Establecer y mantener una estructura ptima de
enlace, comunicacin y coordinacin entre el
Cumple
negocio y las funciones de TI dentro de la
empresa y terceros.
Verificar la adecuacin y eficacia de la
Cumple
estructura organizativa.
Establecer, acordar y comunicar los roles de
No cumple
CISO e ISM13
Determinar las funciones de la organizacin que
tienen la obligacin de seguridad de informacin No cumple
y aadirlas a la descripcin de puestos.
Establecer roles y responsabilidades
Tomar como referencia los requisitos de la

empresa y continuidad del servicio de TI para la Cumple
definicin de roles.
Estructurar los roles y responsabilidades para
reducir la posibilidad de que un solo rol pueda Cumple
comprometer un proceso crtico.
Implementar prcticas para monitorear que los
roles y responsabilidades se pongan en prctica
de forma correcta. El nivel de supervisin o Cumple
monitoreo debe estar en consonancia con este
puesto y las responsabilidades asignadas.
Considerar el ambiente interno de la empresa
habilitadores del modelo de
incluyendo la gestin de la cultura y filosofa, No se definen los

Mantener los elementos
tolerancia al riesgo, valores ticos, cdigo de requisitos de seguridad de

gobierno
conducta, responsabilidad y requisitos de informacin.

Alinear con estndares nacionales e
No cumple
internacionales de seguridad de informacin
13
ISM: Information Security Manager
232
que sean viables. Evaluar buenas prcticas de
Desarrollar las polticas de seguridad de
informacin de acuerdo al negocio, procesos y
No cumple
requisitos legales o regulatorio dentro del
ambiente interno de la empresa.
Evaluar y actualizar las polticas como mnimo
una vez al ao, para ajustarlas de acuerdo a los No cumple
cambios operativos o a nivel de negocio
Implantar las polticas de TI y seguridad de No cumple, existen
informacin a todo el personal relevante y polticas pero no
establecer los mtodos y procedimientos de alineadas a seguridad de
medicin de su cumplimiento. informacin.
Desarrollar un programa de sensibilizacin
Cumple
Comunicar los objetivos y la direccin de gestin
sobre seguridad de informacin

Establecer indicadores para medir No cumple. Falta
comportamientos con respecto a la seguridad implementar. se derivaran
de informacin de proyectos futuros
Proporcionar recursos suficientes y calificados
Cumple
para dar soporte al proceso comunicativo.
Garantizar que la informacin comunicada
engloba una clara articulacin del entorno
Cumple
empresarial y con un nivel de detalle adecuado
para cada rea de la empresa.
Definir sistemas y accesos de datos a nivel
empresarial dentro de los procesos de gestin
Definir la propiedad de la informacin y del sistema
No cumple
de seguridad de informacin que involucran
procesos base.
Proveer polticas y directrices para asegurar la
adecuacin y consistencia de la clasificacin de Cumple
la informacin (datos) en toda la empresa.
Crear y mantener un inventario de la
informacin (sistemas y datos) que incluya un
listado de los propietarios, custodios y Cumple
clasificaciones. Incluir sistemas tercerizados y
aquellos cuya propiedad debe permanecer
233
dentro de la empresa.
Definir e implementar procedimientos para
asegurar la integridad y consistencia de la No cumple
informacin almacenada en formato electrnico.
Examinar informes que detallan el control de la
seguridad de informacin y las debilidades del No cumple
proceso.
Gestionar la mejora continua de los procesos
No cumple, pero se tiene

Contemplar medidas para mejorar la eficiencia y proyectos para evaluar
eficacia de la seguridad de informacin. controles de seguridad a
nivel tcnico
Identificar procesos crticos de negocio
basndose en el rendimiento, cumplimiento y
Cumple
los riesgos relacionados. Evaluar la capacidad
del proceso e identificar objetivos de mejora.
Aplicar prcticas de gestin de calidad y en
Cumple, pero no es
base estas realizar la actualizacin de los
satisfactorio. Incompleto
procesos o la implementacin de mejoras.
Programar y realizar evaluaciones peridicas
Mantener el cumplimiento de las polticas y
para determinar el cumplimiento con las Cumple a nivel de TI pero

polticas y procedimientos de seguridad de no en los aspectos de
informacin para tomar las acciones correctivas seguridad de informacin
procedimientos
de ser necesario.
Integrar el rendimiento y el cumplimiento dentro Cumple en base al marco
de los objetivos individuales del personal. COBIT 4.1
Evaluar el desempeo de los procesos La evaluacin se realiza
habilitadores del marco de referencia y adoptar en base a la aplicacin de
las acciones necesarias COBIT 4.1
Tabla 10.1.5 - Evaluacin de cumplimiento para proceso habilitador APO01
Nivel de madurez actual: Proceso incompleto (0) P
De acuerdo a la evaluacin y ajustes a los criterios de la norma, el nivel de

madurez es cero (0). Esto indica que el proceso habilitador es entregado con
fallas y debilidades debido a que el gobierno de TI no se encuentra alineado al
234
enfoque de seguridad de informacin y se omite la aplicacin de leyes que puede
afectar directamente a los procesos de negocio.
No obstante de acuerdo a las actividades cumplidas, el nivel interno de este

proceso es Partially achieved.
Se establece como objetivo el nivel de madurez, proceso ejecutado, lo cual

implica el alineamiento bajo el enfoque de seguridad de informacin y la
formalizacin y comunicacin de la iniciativa junto con el establecimiento y
cumplimiento de los roles y responsabilidades que garanticen el cumplimiento de
las actividades y sub-actividades definidas para el proceso habilitador y establecer
las mejoras posteriores para iteraciones siguientes.
e. Proceso habilitador: Monitorear, evaluar y medir el rendimiento y la

conformidad
MEA01 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Identificar las partes interesadas de mantener
un enfoque de seguridad de informacin
No cumple
dentro de la organizacin y dentro del proceso
para cumplimiento de objetivos.
Alinear y mantener el control de la seguridad
Establecer un enfoque de la supervisin
de informacin dentro de los procesos base.

No cumple
Realizar la evaluacin del enfoque de gobierno
de TI y su alineamiento con la organizacin.
Validar el enfoque empleado de seguridad de
informacin para gobierno de TI e identificar
No cumple
nuevos drivers o recursos que permitan alinear
otro enfoque de gobierno segn sea el caso.
Solicitar, priorizar y asignar recursos para la
supervisin de la funcin de seguridad de
No cumple
informacin bajo procedimientos establecidos
y dentro de los procesos base.
235
Definir y revisar los objetivos y mtricas con
los stakeholders respecto a la seguridad de
Establecer los objetivos de cumplimiento y rendimiento informacin de acuerdo con los procesos para No cumple
identificar omisiones y establecer la validez de
mtricas o tolerancias.
Comunicar los cambios relacionados con la
seguridad de informacin, su desempeo y el
cumplimiento con los stakeholders tomando No cumple
como base el conjunto de procesos que
forman parte del gobierno de TI.
Evaluar si los objetivos de seguridad de
informacin y las mtricas son adecuados para
la verificacin y medir la performance de los
No cumple
procesos de acuerdo a la ley de proteccin de
datos personales, norma tcnica peruana de la
historia clnica y la ley de emergencia.
Coleccionar datos y analizar la performance y
Recopilar y procesar los datos de
cumplimiento y rendimiento
conformidad relacionada a la seguridad de

No cumple
informacin y la gestin de riesgos de
informacin.
Evaluar la integridad, eficacia e idoneidad de
los datos recolectados y consolidarlos. No cumple
Disear informes de rendimiento del proceso

Analizar e informar sobre el rendimiento
desde el enfoque de seguridad de informacin.

No cumple
Implementar mecanismos para su elaboracin
de acuerdo a lo esperado por los stakeholders.
Comparar los valores de rendimiento internos
Cumple
y externos de acuerdo al proceso.
Distribuir informes a las partes interesadas Cumple, pero los
relevantes, tanto de rendimiento como de las informes se manejan solo
incidencias suscitadas dentro del proceso. a nivel de comit.
Desarrollar medidas correctivas para tratar los
implantacin de
Asegurar la
correctivas
problemas relacionados al proceso y que No cumple

medidas
afecten a la seguridad de informacin.

Asegurar la asignacin de responsabilidades No cumple
236
dentro de las acciones correctivas y emitir los
informes respectivos.
Tabla 10.1.6 - Evaluacin de cumplimiento para proceso habilitador MEA01
Nivel de madurez actual: Proceso Incompleto (0) N
De acuerdo al cumplimiento de las actividades y lo que indica la norma ISO/IEC

15504, el proceso habilitador tiene madurez cero debido a la falta de formalizacin
de un enfoque de seguridad en la organizacin y que a partir de este se puedan
identificar mtricas y mtodos para la evaluacin. Segn las actividades cumplidas
y que pueden se evidencian, el nivel interno de este proceso es Not Achieved.
Para la siguiente iteracin el nivel al cual la organizacin quiere llegar es uno (1):
proceso ejecutado. Se debe tomar en cuenta las brechas cerrar para alcanzar el
enfoque de seguridad de informacin e iniciar las actividades de monitoreo y
evaluacin de la conformidad interna y externa.
f. Proceso habilitador: Monitorear, evaluar y medir el cumplimiento de

MEA03 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad
Identificar los requerimientos externos de
seguridad de informacin que deben de
Identificar requisitos externos de cumplimiento
cumplirse dentro del proceso de acuerdo a la ley

No cumple
de proteccin de datos personales, norma
tcnica peruana de la historia clnica y ley de
emergencia.
Establecer mecanismos de monitoreo sobre el
cumplimiento de requerimientos externos No cumple
relacionados a la seguridad de informacin.
Identificar posibles cambios en las regulaciones Se contemplan posibles
que conlleven a modificaciones dentro del cambios en las
proceso y a la identificacin de nuevos regulaciones, pero no se
237
requerimientos y exigencias a nivel de verifica exigencias o
seguridad de informacin. requerimientos de
Mantener un inventario sobre normas, leyes o
requerimientos que debe de cumplir la Cumple
organizacin.
Revisar y comunicar los requerimientos
externos y regulaciones a todos los No cumple
Optimizar la respuesta a
requisitos externos
stakeholders.
Revisar peridicamente las polticas y
estndares relacionados al proceso para
No cumple
mantener la eficacia y asegurar el cumplimiento
y gestin de riesgos.
Colectar y analizar datos para garantizar el
Confirmar el cumplimiento
de requisitos externos
cumplimiento de la seguridad de informacin y No cumple

la gestin de riesgos.
Evaluar peridicamente las polticas
relacionadas al proceso bajo el enfoque de No cumple
Obtener la conformidad del cumplimiento de
Cumple solo al determinar
polticas que garanticen el alineamiento con
Obtener garanta de cumplimiento de requisitos externos
el nivel de satisfaccin, no
requerimientos externos. Determinar el nivel de
sobre las polticas
satisfaccin.
Garantizar que los proveedores de TI cumplan Existen medidas para
con los requerimientos de seguridad de verificar el cumplimiento
informacin. pero no se alinean con
indicadores para medir la
Consolidar a nivel empresarial los informes
Cumple, pero estos
sobre requerimientos externos e internos y
informes solo se manejan
difundirlos a todas las unidades de negocio que
a nivel de gerencia.
abarcan el proceso.
Tabla 10.1.7 - Evaluacin de cumplimiento para proceso habilitador MEA03
238
De acuerdo a la evaluacin y ajustes a los criterios de la norma, el nivel de

madurez es cero (0). Debido a la falta de alineamiento con regulaciones como lo
es la ley de proteccin de datos personales y la falta de formalizacin de la
funcin de seguridad de informacin que permita identificar otros requerimientos
externos y dar seguimiento al cumplimiento regulatorio alineados a datos e
informacin..
No obstante de acuerdo a las actividades cumplidas, el nivel interno de este

proceso es Partially achieved.
Se establece como objetivo el nivel de madurez uno (1), proceso ejecutado, lo

cual implica el alineamiento bajo el enfoque de seguridad de informacin y la
formalizacin y comunicacin de la iniciativa de acuerdo a las normas externas
como la ley de proteccin de datos personales, norma tcnica peruana de la
historia clnica y la ley de emergencia.
10.1.2 Proceso de admisin de pacientes
A continuacin, se muestra la evaluacin de los procesos habilitadores para cada uno

de los procesos de negocio en particular, iniciando esta evaluacin con el proceso de
admisin de pacientes. Tal como se mencion en el captulo anterior, este proceso
debe cumplir con la regulacin de proteccin de datos personales, Norma tcnica
peruana de la historia clnica y la Ley de emergencia.

actividad.
Entender como la seguridad de informacin Cumple pero no est
Comprender la
direccin de la
debe respaldar los objetivos de la empresa y documentado y tampoco

empresa
proteger los intereses de los stakeholders, formalizado y alineado

cumpliendo con la ley de proteccin de datos con ley de proteccin de
239
personales, norma tcnica peruana de la datos personales.
historia clnica y ley de emergencia.
Entender la arquitectura de negocio y de
sistemas de la empresa empleada para dar
No cumple
soporte al proceso e identificar posibles brechas
Identificar los interesados del dentro del proceso Cumple, pero no est
y sus requerimientos. formalizado.
Determinar las prioridades para desarrollar los
Cumple
cambios estratgicos a nivel de proceso.
Asegurar que los requerimientos de seguridad
de informacin estn incluidos dentro de las No cumple
capacidades de TI.
Definir el objetivo de las capacidades de TI
Definir y acordar el impacto de los

requerimientos de seguridad de informacin
dentro de la arquitectura de la empresa que No cumple
soporta el proceso de admisin, segn lo que
los stakeholders consideren relevante.
Definir de acuerdo al proceso de admisin, las
Cumple
capacidades y servicios de TI a entregar.
Definir los objetivos de TI a alto nivel y cmo
contribuirn a los objetivos de negocio
Cumple
empresariales y como soporta este proceso al
cumplimiento de ambos.
Identificar dentro del proceso las brechas a
cerrar y los cambios requeridos para llegar al Cumple
nivel deseado.
Examinar el nivel de cumplimiento del proceso No existe cumplimiento ni
Realizar un anlisis de brecha
respecto a la ley de proteccin de datos alineamiento a la ley de

personales, norma tcnica peruana de la proteccin de datos
historia clnica y la ley de emergencia. personales.
Mejorar la definicin del estado deseado en el
proceso y sus objetivos. Sustentarlos
demostrando los beneficios a partir de este Cumple
estado frente al impacto en caso no se llegara
a esta meta
240
Definir la estrategia de seguridad de informacin
y alinearla con la de TI y las estrategias de
No cumple
negocio para el cumplimiento de objetivos
Definir el plan estratgico y la hoja de ruta
dentro del proceso de admisin.

Crear la hoja de ruta que incluya la planificacin
e interdependencias de las iniciativas a nivel
No cumple
empresarial de acuerdo al proceso, la cual a su
vez seale los riesgos y costos de los cambios.
Asegurar que el plan estratgico de TI y la hoja
de ruta contengan los requerimientos de
No cumple
seguridad de informacin identificados en el
proceso de admisin
No cumple
aprobacin del plan.
Desarrollar el plan estratgico y el plan de Se tiene un plan
seguridad de informacin que incluya aspectos estratgico de informacin
Comunicar la estrategia y la direccin de TI
relacionados al proceso de admisin y pero no un plan de

comunicarlo a los stakeholders seguridad de informacin.
Desarrollar el plan de comunicacin de acuerdo
a pblico objetivo identificando los canales de Cumple
comunicacin.
Obtener retroalimentacin y actualizar el plan de
Cumple, pero no se alinea
a la estrategia de
informacin y TI segn sea necesario para
mantener el impulso.
Tabla 10.1.8 Admisin. Evaluacin de cumplimiento para proceso habilitador APO02
De acuerdo a lo que especifica la norma ISO/IEC 15504, de acuerdo a la

evidencia y cantidad de actividades que han sido aplicadas para la mejora del
proceso de negocio y en consecuencia apoyan al proceso habilitador, se
determina que el nivel de madurez es cero (0).
No obstante, realizando la evaluacin interna, el habilitador tiene un logro parcial

para el actual nivel de madurez.
241
El objetivo de la organizacin es que este proceso habilitador alcance una

madurez de uno (1) para la siguiente revisin, por lo cual tendra que incluir los
requerimientos de seguridad de informacin y alinear el proceso de acuerdo a la

actividad.
Evaluar las necesidades de personal
peridicamente o frente a cambios
organizacionales de forma de asegurar que
Cumple
Mantener la dotacin del personal suficiente y adecuado
tanto TI como la empresa cuenta con recursos

para soportar el proceso de admisin y la
iniciativa de TI
Dentro de los procesos de contratacin, incluir
controles de antecedentes de acuerdo a la Cumple
funcin a realizar.
Asegurar que los requisitos de seguridad se No existen requerimientos
incorporan en el proceso de contratacin. de seguridad de
informacin identificados
o definidos.
Asegurar la existencia de capacitaciones y que
existe personal capaz de cubrir funciones Cumple
crticas de otro para reducir la dependencia.
Asegurar la segregacin de funciones en roles
Identificar personal clave de
Cumple
crticos del proceso.
Minimizar dependencia de una persona en la No se encuentra
TI
realizacin de una funcin crtica dentro del totalmente implementada

proceso de admisin a travs de captura e esta sub-actividad de
intercambio de conocimiento. gestin.
242
Identificar y ejecutar acciones segn cambios
Cumple. Falta afianzar la
laborales relacionados a los actores del proceso
gestin de proveedores.
de admisin.
Definir habilidades y competencias necesarias
de los recursos para lograr los objetivos dentro
Cumple
del proceso y poder escalar hacia los objetivos
de alto nivel.
Brindar capacitaciones y programas de No cumple, se brindan
Mantener las habilidades y competencias del personal
seguridad de informacin al personal que capaciones, pero no

ejecuta los procesos y a nivel transversal para existen programas de
formar conciencia. seguridad.
Llevar a cabo revisiones peridicas para evaluar
la evolucin de las habilidades y competencias
de los recursos internos y externos. A partir de
Cumple.
estas identificar si se requieren habilidades
adicionales para cubrir el proceso y ejecutar el
plan de accin para desarrollarlas.
Asegurar conocimientos y habilidades del Cumple sin solicitar
personal solicitando certificaciones segn la certificaciones, emplean
funcin a realizar. En caso de la seguridad de otros mtodos como
informacin, si aplicase, se podra solicitar cartas de recomendacin
certificaciones como ISO/IEC 27002, CISM, y resultados de
ISO/IEC 27001: Leed Auditor. evaluacin.
Dentro de la evaluacin del desempeo,
considerar criterios con respecto a la seguridad No cumple
Evaluar el desempeo laboral de los empleados
de informacin.
Establecer objetivos individuales alineados con
los objetivos del proceso de admisin. Deben
Cumple
reflejar competencias bsicas, valores
empresariales y habilidades para las funciones.
Proporcionar instrucciones para uso y
almacenamiento de informacin personal dentro Cumple.
del proceso de evaluacin.
Implementar un proceso de reconocimiento a
medida que el personal alcance el compromiso, Cumple.
desarrollo de competencias y logro de objetivos.
243
Gestionar la ubicacin del personal de
Planificar y realizar un seguimiento del uso de recursos seguridad de informacin de acuerdo a los No cumple
requerimientos de negocio.
humanos de TI y del negocio
Comprender la demanda actual y futura de

recursos humanos involucrados dentro del
proceso de admisin para apoyar el logro de Cumple
objetivos de TI y necesidades operativas del da
a da.
dedicado a diferentes tareas, trabajos, servicios Cumple
o proyectos
Obtener un acuerdo formal por parte del
personal sobre las polticas y requisitos de la
No cumple
seguridad de informacin a aplicarse en el
Gestionar el personal contratado
proceso de admisin.
Implementar polticas o procedimientos que
Los procedimientos y
describan como gestionar el personal para
polticas existentes no son
identificar necesidad de tercerizar algn servicio
suficiente
de TI.
Llevar a cabo revisiones para asegurar que el
personal cumple con sus funciones, que el
Cumple
derecho de acceso son adecuados y alineados
con los acuerdos pactados al firmar el contrato.
Nivel de madurez actual Proceso Incompleto (0) L
De acuerdo a lo descrito por la norma ISO/IEC 15504, es nivel de madurez es

cero (0) debido a la falta de un enfoque de seguridad formal a partir del cual se
establezcan requerimientos a cumplir para cada proceso de negocio y en
consecuencia sus habilitadores.
A diferencia de los procesos anteriores, existe mayor cantidad de sub-actividades

de gestin que se evidencian en la entrega del servicio, por lo cual la escala
interior es Largely Achieved
244
Nivel de madurez objetivo Proceso Gestionado (2)
El objetivo trazado para la siguiente revisin de gobierno de TI es un proceso

gestionado, lo cual implica que no solo se cumplen todas las sub-actividades sino
que existe evidencia de mejora y se realiza un monitoreo constante sobre cada
una de las actividades de gestin y se realiza el ajuste requerido para que el
proceso habilitador contine la mejora de acuerdo a las capacidades y
necesidades reales del proceso de admisin. La brecha a superar ser la
formalizacin de la funcin de seguridad de informacin.

actividad.
Identificar y recolectar datos para la No cumple, la gestin de
identificacin, anlisis y comunicacin de los riesgos es un proyecto a
riesgos de seguridad de informacin. futuro en la organizacin.
Medir y analizar datos histricos de riesgo de TI
y seguridad de informacin suscitados dentro
del proceso de admisin y de prdidas No cumple
Recopilar datos
experimentadas de acuerdo a las tendencias

externas.
Determinar condiciones especficas que
existan o faltaban cuando se materializaron los
No cumple
riesgos dentro de los procesos y como
afectaban la frecuencia del evento y la prdida.
Ejecutar anlisis del entorno para verificar los
Cumple
factores de riesgo asociados al proceso.
Identificar, analizar y evaluar los riesgos de
No cumple
informacin dentro del proceso.
Construir los escenarios de riesgo de TI y
Analizar el riesgo
seguridad dentro del proceso. Incluir las

asociaciones y dependencias entre las No cumple
amenazas, para detectar medidas de
emergencia.
Identificar los riesgos residuales dentro del
No cumple
proceso e identificar exposiciones que puedan
245
requerir una repuesta al riesgo
Validar resultados del anlisis de riesgos del
proceso antes de usarlos para la toma de
No cumple
decisiones. Verificar alineamiento con
requerimientos organizacionales.
Crear e informar el nivel aceptable y exposicin
al riesgo que incluya los aspectos de seguridad No cumple
de acuerdo al proceso.
Mantener un perfil del riesgo
Identificar dentro del proceso los servicios

esenciales para sostenerlo. Analizar la No cumple
dependencia e identificar debilidades.
Definir un conjunto de indicadores que permitan
la identificacin rpida y supervisin de los
No cumple
riesgos de seguridad del proceso y sus
tendencias.
Definir e implementar evaluaciones y
estrategias de respuesta frente a los riesgos del No cumple
proceso de admisin.
Informar los resultados del anlisis de riesgos a
los stakeholders sobre el proceso de admisin
Expresar el riesgo
No cumple
en trminos adecuados y entendibles para
soportar decisiones empresariales.
Informar el perfil del riesgo a los stakeholders
junto con la efectividad del proceso de admisin
y los controles asociados y a la vez identificar No cumple
oportunidades de TI para aceptar un mayor
Monitorear continuamente los riesgos de
Definir un portafolio de acciones para la
seguridad de informacin del proceso de

admisin y verificar que el riesgo este alineado No cumple
gestin de riesgos
con el apetito y tolerancia al riesgo definido por

la organizacin.
Definir conjunto de propuestas para reducir el
riesgo o proyectos para incrementar las
No cumple
oportunidades estratgicas de acuerdo a los
beneficios y regulaciones.
246
Aplicar las prcticas y controles para la
Responder al riesgo
mitigacin de riesgos de seguridad. Se
recomienda aplicar en este caso la norma No cumple
ISO/IEC 27002:2013. Incluir controles
preventivos y correctivos.
Catalogar los incidentes y comunicar los
Cumple.
impactos de negocio a los responsables.
Nivel de madurez actual Proceso Incompleto (0) N
Tomando en cuenta que dentro de la organizacin no existe un tratamiento de

riesgos de negocio, de TI y especficamente de seguridad de informacin, se
considera que este proceso habilitador est incompleto.
Dado a que no se presenta evidencias sobre las sub-actividades realizadas y solo

tienen algunas iniciativas sobre como evaluar el entorno y los incidentes, dentro
del nivel de madurez le corresponde la categora de Not Achieved.
Nivel de madurez objetivo Proceso Ejecutado (1)
Para la siguiente iteracin de gobierno se pretende alcanzar un nivel de madurez

equivalente a uno (1), debido a que este proceso ser una de las bases para el
enfoque de seguridad de informacin y requiere ser priorizado.

actividad.
Definir el alcance del SGSI de acuerdo a las No cumple, la seguridad
Establecer y mantener un SGSI
caractersticas de la organizacin y sus de informacin no est

polticas. formalizada, su
implementacin es
proyecto futuro
Disear un enfoque de gestin de seguridad y
No cumple
alinear el SGSI a este.
247
Realizar la declaracin de la aplicabilidad del
No cumple
SGSI.
Comunicar los roles y responsabilidades en la
gestin de la seguridad de informacin y el No cumple
enfoque del SGSI.
No cumple
Disear, mantener y aplicar un plan de
tratamiento de riesgos de seguridad de
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de informacin
informacin alineados con los objetivos No cumple

estratgicos de la organizacin y fines del
proceso.
Desarrollar propuestas de mejora al plan de
riesgos basados en casos de negocio de
acuerdo a los roles y responsabilidades a No cumple
necesitar para su aplicacin y acorde a los
drivers identificados.
Definir la medicin de la efectividad de las
prcticas de gestin seleccionadas y especificar
No cumple
la forma de utilizarlas para producir resultados
reproducibles y comparables.
Integrar la planificacin, diseo, implementacin
y supervisin de procedimientos de seguridad y
controles para prevencin y deteccin temprana No cumple
de eventos dentro del proceso de admisin y la
respuesta a incidentes.
Realizar revisiones peridicas del SGSI
incluyendo las polticas, objetivos definidos en No cumple
la etapa de concepcin del SGSI
Supervisar y revisar el SGSI
Realizar evaluaciones o auditoras al SGSI de

forma peridica para determinar su
No cumple
cumplimiento e identificar mejoras en el
proceso.
Registrar acciones y eventos que podran tener
impacto en la efectividad o desempeo del No cumple
SGSI.
248
Segn la norma ISO/IEC 15504 y la evaluacin realizada, se determina que al no

contar con una gestin de riesgos que encamine establecer un SGSI ni
estrategias de seguridad de informacin, el nivel de madurez del habilitador es
igual a cero (0).
De acuerdo al nivel interno de madurez, ninguna de las sub-actividades son

realizadas, por ello le corresponde la calificacin Not Achieved.
Nivel de madurez objetivo Proceso Incompleto (0) L
El objetivo establecido para la siguiente iteracin de gobierno es mantenerse en el

mismo nivel de madurez pero incrementando las actividades de gestin
entregadas hasta llegar a una clasificacin Largely Achieved.
Esto se debe a que el proceso de la implementacin del SGSI debe ser realizado
posterior a un anlisis de riesgos, lo cual puede durar ms del tiempo definido
para volver a revisar el gobierno bajo el enfoque de seguridad de informacin.
BAI01 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Mantener un enfoque estndar para la gestin de
informacin dentro de los proyectos asociados No cumple

al proceso de admisin.
Establecer procedimientos para asegurar que

todos los proyectos relacionados al proceso e
No cumple
informacin cuentan con las medidas de
seguridad requeridas o exigibles.
proyectos en base a mejoras a partir del uso de Cumple
estas estrategias.
249
Gestionar el compromiso de las Identificar como las partes interesadas se
partes interesadas.
asocian a los proyectos relacionados con el
proceso y comprometerlos para que se Cumple
involucren y tomen medidas respecto a estos
programas o proyectos.
Desarrollar un plan de seguridad de informacin

que incluya controles a implementar por parte No cumple
del equipo de proyecto dentro del proceso.
Incluir recursos dentro del proyecto para
Desarrollar y mantener el plan del programa.
identificar e implementar los requerimientos de No cumple

Asignar la responsabilidad ejecutiva para cada
proyecto en forma clara y sin ambigedades,
incluyendo beneficios, control de costos, la Cumple
gestin de riesgos y la coordinacin de las
actividades de los proyectos.
actualizacin de acuerdo al proyecto y el
Cumple, pero no mantiene
proceso al que est asociado, as como la
un caso de negocio
actualizacin del caso de negocio que lo
justifica y garantiza el alineamiento estratgico.
Integrar la seguridad de informacin y las
No cumple
tecnologas con la gestin de proyectos.
Desarrollar plan de proyecto con informacin
que permita a la direccin controlar el progreso
del proyecto. Incluir recursos, responsabilidades Cumple
e hitos que marcan el cierre de cada una de las

etapas.
Mantener los planes de proyecto y sus
dependencias, asegurando la comunicacin
Cumple
entre estos y que al realizar un cambio en uno
de stos se refleje en los dems.
Establecer un marco base para proyectos, el
Cumple
cual es revisado, aprobado e incorporado a los
250
planes de proyecto vigentes.
Gestionar la calidad de los Identificar las actividades y prcticas para
garantizar la calidad de los proyectos. Asegurar Cumple, pero sigue en
que las tareas provean garantas del proceso de desarrollo.

cumplimiento de los requerimientos definidos.
Definir los requerimientos de validacin y
verificacin de la calidad de entregables de los Cumple
proyectos asociados al proceso.
Registrar riesgos de seguridad de informacin y Cumple, pero solo se
Gestionar el riesgo de los programas y proyectos.
las acciones correctivas frente a estos. Revisar gestionan riesgos a nivel

y actualizar la matriz de riesgos de proyecto de proyecto bajo un
peridicamente. formato simple.
Integrar proyectos de seguridad de informacin
al programa y proceso de admisin de
No cumple
pacientes. Alinearlos a los procesos de gestin
de proyectos.
Asignar la responsabilidad al personal con
capacidades adecuadas para ejecutar el Cumple
proceso de gestin del riesgo de los proyecto.
Determinar evaluaciones peridicas a los
proyectos para asegurar que los requerimientos
No cumple
Supervisar y controlar proyectos.
de seguridad de informacin asociados al

proceso son implementados de forma efectiva.
requerimientos claves de desempeo para Cumple
verificar el avance.
Obtener la aprobacin y firma de los
entregables producidos en cada iteracin del Cumple
proyecto asociado al proceso.
Tabla 10.1.12 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI01
Segn la norma ISO/IEC 15504 se determina que la falta de un enfoque de

seguridad de informacin conlleva a que no puedan aplicarse todas las sub-
actividades y exista una brecha respecto de cmo gestionar los proyectos de
251
acuerdo a un requerimiento de seguridad de informacin, por lo tanto el nivel de
madurez actual es cero (0).
Se determina, dado la evidencia y la evaluacin, se aplican una serie de sub-

actividades de gestin y se evidencia tras una mejora a nivel de proceso de
negocio y el cumplimiento de objetivos. Por ello su calificacin es Largely
Achieved.
El nivel de madurez objetivo para la siguiente revisin de gobierno de TI es de uno

(1), para garantizar un alineamiento con seguridad de informacin y mejorar las
prcticas de gestin dentro de la cartera de proyectos garantizando el
alineamiento estratgico entre objetivos de TI y objetivos de negocio.

actividad.
Asegurar que los cambios se ajustan a la
No cumple
poltica de seguridad de informacin.
Asegurar que se realice la evaluacin del
impacto potencial de los cambios en seguridad No cumple
Evaluar, priorizar y autorizar solicitudes de cambio
de informacin
Garantizar la aprobacin del cambio por parte
de los dueos del proceso de admisin,
gestores de servicio y los respectivos Cumple
stakeholders. Considerar los tipos de cambio
para su aprobacin.
Formalizar las solicitudes de cambio y
estandarizarlas de manera que todo cambio a
nivel del proceso sea a travs de un
Cumple
procedimiento definido. Realizar la respectiva
clasificacin para identificar y mejorar la
gestin.
Evaluar las solicitudes de manera estructurada Cumple
252
en base a su priorizacin y de acuerdo a las
funciones del proceso. Realizar el anlisis de
impacto dentro de los planes y servicios que
involucra este proceso considerando a los
proveedores y los acuerdos de servicio.
Desarrollar medidas para atender cambios de Existen medidas para
emergencia en el proceso de admisin a nivel cambios de emergencia
de la seguridad de informacin. pero no alineados a la
Gestionar cambios de emergencia
Mantener un registro de los riesgos de
seguridad de informacin a partir de cambios No cumple
de emergencia realizados en el proceso.
Supervisar los cambios de emergencia dentro
del proceso de admisin y realizar las
Cumple
revisiones post-implantacin involucrando a las
partes interesadas.
Mantener un sistema de seguimiento e informe
Hacer seguimiento e informar cambios de estado
para todas las solicitudes de cambio enfocados

No cumple
en seguridad de informacin dentro del proceso
de admisin.
Supervisar los cambios de seguridad de
informacin abiertos para asegurar que sean No cumple
cerrados en los plazos previstos.
Elaborar los informes de cambio en seguridad
de informacin dentro del proceso y que
No cumple
incluyan las mtricas de rendimiento para
facilitar su revisin y seguimiento
Realizar la documentacin sobre las revisiones
No cumple
Cerrar y documentar los
de cambios de seguridad de informacin.

Definir un periodo vlido para preservar la
cambios
informacin sobre los cambios realizados

No cumple
dentro del proceso bajo los enfoques de
seguridad.
Tabla 10.1.13 Admisin. Evaluacin de cumplimiento para proceso habilitador BAI06
253
Segn los requerimientos de la norma ISO/IEC 15504 y la evaluacin sobre las
sub-actividades de gestin para este proceso habilitador, se seala que alcanza
un nivel de madurez igual a cero (0), debido a las falta del enfoque de seguridad
que ocasiona inconsistencias en el proceso.
Evaluando el cumplimiento interno en el nivel de madurez, se determina la

clasificacin interna Partially Achieved, debido a la cantidad y los tems de
mejora que se evidencian dentro del proceso de admisin.
Para la siguiente corrida del gobierno de TI, se determina un nivel de madurez

objetivo igual a uno (1) que garantice la entrega de todas las actividades para
empezar a implementar mejoras a nivel de gestin para una de las revisiones
posteriores a partir de mtricas establecidas.

actividad.
Identificar los activos asociados al proceso,
registrarlos indicando su estado actual. Cumple pero no estn
Alinearlos con procesos de gestin de cambios alineados a la seguridad
y enfocarlos a la funcin de seguridad de de informacin
Identificar y registrar activos actuales
informacin.
Identificar requerimientos de seguridad de
informacin de acuerdo a los activos del
No cumple
proceso de admisin. Tener en cuenta sus
dependencias entre ellos.
Identificar requerimientos legales o
reglamentarios sobre seguridad de informacin
No cumple
que deban de considerarse dentro de la gestin
de activos del proceso.
Determinar si el activo proporciona valor dentro Cumple, pero solo se
del proceso y si contina en condiciones tiles gestiona a nivel contable
254
para soportar dicho proceso.
Garantizar el cumplimiento de requisitos de
seguridad de informacin en los activos que No cumple
comprenden el proceso.
Definir niveles de criticidad. De acuerdo a esto, Se identifican los niveles
identificar activos crticos y registrarlos. Esta de seguridad pero no se
evaluacin deber realizarse en torno a los alinea a requerimientos de
requerimientos de seguridad de informacin. seguridad de informacin.

Considerar el riesgo de falla, necesidad de
cambio o reemplazo total del activo crtico
No cumple
dentro del proceso para cumplir la funcin de
Supervisar el rendimiento de los activos crticos
por medio de evaluaciones o planes en los
Cumple
cuales se definan procesos para reparacin o
reemplazos.
Identificar y comunicar los riesgos de seguridad
de informacin y los incumplimientos respecto a
No cumple
las medidas para mitigarlos a lo largo del ciclo
de vida de los activos del proceso de admisin.
Asegurar que las medidas de seguridad de
Gestionar el ciclo de vida de los activos
informacin y los requerimientos estn No cumple

alineados al ciclo de vida.
Realizar adquisiciones de activos en base a No se tiene en cuenta
solicitudes aprobadas de acuerdo a las polticas criterios de seguridad de
y prcticas de la empresa bajo los criterios de informacin, pero se
la seguridad de informacin y alineados al siguen procedimientos de
proceso de admisin de pacientes. autorizacin.
Eliminar activos de forma segura siguiendo Cumple en activos fsicos,
procedimientos que garanticen la proteccin y pero no existen
destruccin de datos que alguna vez estuvieron procedimientos para
almacenados en ellos. destruccin de
documentos
Establecer procedimientos de control en base a
Administrar
licencias
instalaciones de sistemas o software dentro de Cumple

los activos de TI.
255
Mantener un registro de todas las licencias de
software adquiridas para los activos que Cumple
soportan el proceso base.
Realizar auditoras para identificar si existe
software no autorizado o si se cumplen los
Cumple
mecanismos de control evidenciados en el
inventario y registro de activos.
Tabla 10.1.14 - Admisin. Evaluacin de cumplimiento para proceso habilitador BAI09
Nivel de madurez actual: Proceso Incompleto (0) - P
De acuerdo a los lineamientos de la norma, el nivel de madurez identificado segn

el cumplimiento y entrega de las actividades del proceso habilitador, es igual a
(cero), debido a que no se puede garantizar el alineamiento con las estrategias de
seguridad de informacin y la ley de proteccin de datos personales. Dentro del
habilitador, su estado o calificacin interna, de acuerdo al cumplimiento de sus
actividades entregadas, es Partially Achieved.
El objetivo o meta definida por la organizacin es el nivel de madurez Proceso

ejecutado, lo cual indica cubrir y escalar todos los niveles del estado de madurez
anterior y cerrar las brechas por no contar con una funcin de seguridad de
informacin formalizada.
h. Proceso habilitador: Gestionar las solicitudes e incidentes de servicio
DSS02 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Definir y comunicar las caractersticas de los
clasificacin de incidentes y
solicitudes de servicio
Definir esquemas de
incidentes potenciales de seguridad de

informacin para su reconocimiento y No cumple
comprender el impacto que podra tener en el
proceso.
Definir modelos de solicitudes de servicio No cumple
256
relacionados a la seguridad de informacin
para facilitar la su atencin y respuesta dentro
del proceso de admisin.
Definir la clasificacin y priorizacin de
incidentes y solicitudes de servicio relacionados
No cumple
al proceso de admisin tomando en cuenta los
Investigar los incidentes de seguridad y
Registrar, clasificar y priorizar solicitudes e incidentes
elaborar, en base a estos, procedimientos de

respuesta. Asegurar que las medidas sean No cumple
definidas y protejan los pilares de seguridad y
que sean difundidas.
Registrar incidentes y solicitudes de servicio
relacionados a la seguridad de informacin No cumple
dentro del proceso de admisin.
Realizar la priorizacin y clasificacin de los
incidentes de acuerdo al impacto dentro del Cumple
negocio y al proceso de admisin.
Verificar, aprobar y resolver
Seguir procedimientos y modelos de solicitudes

para elementos frecuentes de seguridad de
No cumple
informacin, para as resolver solicitudes de
forma estandarizada.
Mantener procedimientos para recopilar

evidencias sobre incidentes de acuerdo a
Investigar, diagnosticar y localizar incidentes
requisitos externos y el marco legal al cual se Cumple

encuentra sujeto el proceso. Asegurar que el
personal est al tanto de los requisitos.
Registrar un nuevo problema en caso no exista
dentro de la base de datos y/o si el incidente de No cumple
seguridad de informacin es recurrente.
Identificar posibles soluciones temporales o
permanentes para los incidentes de seguridad
No cumple
de informacin, asignar su tratamiento a los
especialistas respectivos.
257
Definir un plan de respuesta para los incidentes No cumple, no se
Resolver y recuperarse de incidentes

de seguridad de informacin en el cual se identifican o clasifican
detalla las soluciones apropiadas. incidentes de seguridad de
informacin. Tienen un
trato similar a los dems
Ejecutar las acciones de recuperacin para
restablecer el proceso de admisin Cumple
completamente.
Documentar la solucin e identificar si es
No cumple, no existe
temporal o permanente para tomarlo en cuenta
documentacin
a futuro.
Cerrar solicitudes
de servicio e
incidentes
completado la solicitud del servicio o si el

Cumple
incidente ha sido resuelto. En caso afirmativo
cerrar la solicitud o incidente.
Asegurar que los incidentes de seguridad de
informacin, el anlisis y seguimiento de estos, No cumple
Seguir el estado y emitir informes
siguen los procedimientos existentes.

Informar el resultado de las investigaciones
sobre los incidentes de seguridad a las partes No cumple
interesadas y a la gerencia ejecutiva.
Elaborar informes y distribuirlos peridicamente
Cumple, pero solo para la
a los stakeholders como parte de la mejora
gerencia.
continua.
Tabla 10.1.15 Admisin. Evaluacin de cumplimiento para proceso habilitador DSS02
Nivel de madurez actual: Proceso Incompleto (0) - N
De acuerdo a la ISO/IEC 15504, el nivel de madurez identificado para el proceso

habilitador, es igual a (cero), debido a que no se identifica ni clasifican los
incidentes de seguridad de informacin ni medidas para mitigacin o investigacin
alrededor de estos. Dentro del habilitador, su estado o calificacin interna, de
acuerdo al cumplimiento de sus actividades entregadas, es Not Achieved, ya que
muchas de estas no pueden ser evidenciadas por la organizacin.
258

ejecutado, garantizando la gestin de incidentes y solicitudes relacionadas a la
seguridad de informacin alineados a los requerimientos y las polticas de esta
funcin.

actividad.
Determinar el nivel de criticidad del proceso de
Definir las polticas de continuidad de negocio, objetivos y alcance
admisin de pacientes a nivel de seguridad de

informacin y de acuerdo a la ley de proteccin
de datos personales, norma tcnica peruana de Cumple
la historia clnica y ley de emergencia, para
verificar que su aplicacin en el programa de
continuidad.
Asegurar que la seguridad de informacin forma
parte del ciclo de vida de continuidad de No cumple
negocio.
Identificar partes interesadas, roles y
responsabilidades claves dentro del proceso No cumple, Falta
para alinearlos a los objetivos y polticas del formalizacin
SGCN.
Identificar e incluir escenarios que den pie a
eventos que afecten la continuidad del proceso
Cumple
de admisin dentro del enfoque de la seguridad
Mantener una estrategia de continuidad
de informacin.
Realizar el anlisis de impacto de negocio para
Cumple, pero solo a nivel
el proceso de admisin, incluyendo los factores
de negocio y no de TI y
de seguridad de informacin y el mximo
tolerable de interrupcin en estos aspectos.
Analizar las amenazas que afecten la
continuidad del proceso bajo el enfoque de la
No cumple
seguridad de informacin para mejorar mtodos
259
Obtener la aprobacin de los ejecutivos y dar
No cumple, no est
pie a las estrategias seleccionadas que cubran
alineado a los enfoques
los requerimientos definidos para el SGCN bajo
de seguridad.
el enfoque de seguridad de informacin.
Alinear los aspectos de seguridad de
informacin del proceso de admisin a las
No cumple
estrategias de continuidad y el SGCN. Incluirlas
Desarrollar e implementar una respuesta a la continuidad de negocio
en el Plan de continuidad de negocios.

Asegurar que los proveedores clave del proceso
definan estrategias de continuidad de negocio y
recuperacin. Evaluar cmo afecta que no se No cumple
cuente con estas para considerarlo dentro de
las polticas del SGCN.
Definir los procedimientos de recuperacin para
reanudar el proceso de admisin y que este
No cumple
cumpla con los requerimientos de seguridad de
informacin definidos.
Definir y documentar recursos necesarios para
recuperar el proceso, incluyendo todos los
planes documentados y considerando las
No cumple
necesidades de seguridad y almacenamiento de
la informacin en otro lugar. Distribuir los
planes.
Planificar actividades para probar el plan como
Ejecutar, probar y
revisar el plan de
est definido en los documentos. Asignar roles No cumple

continuidad
y responsabilidades para esta actividad.

Realizar el anlisis y revisin para determinar el
No cumple
logro.
Considerar que los incidentes de seguridad de
Revisar, mantener y mejorar el plan de
informacin, dentro del proceso de admisin,

No cumple
son fuentes para probar y verificar las repuestas
continuidad
del plan de continuidad de negocios.

Revisar el plan peridicamente tomando en
cuenta los objetivos de negocio, objetivos de TI
No cumple
y los lineamientos del proceso de admisin
junto con sus estrategias de seguridad.
260
Considerar posibles cambios producto del
entorno.
Comunicar los cambios en torno al plan de
continuidad que puedan afectar los procesos o No cumple
los requerimientos de seguridad de informacin
se cumplen en los procesos de backup y
No cumple
restauracin de la informacin dentro del
proceso de admisin de pacientes.
Gestionar acuerdos de respaldo
Realizar las copias de seguridad respectivas y

establecer polticas para su gestin de acuerdo
a las regulaciones y exigencias dentro del Cumple
proceso de admisin, salvaguardando los datos
del paciente.
Probar y mantener las copias de seguridad
Se mantienen copias de
recientes y aquellas archivadas de manera
seguridad pero no se
peridica para garantizar la disponibilidad de la
realizan pruebas
informacin y su integridad.
Asegurar que los parmetros y niveles de
seguridad estn incluidos luego de la No cumple
Ejecutar revisiones post-reanudacin
reanudacin del proceso de admisin.

Evaluar la efectividad del plan de acuerdo a los
tiempos definidos en el anlisis de impacto de No cumple
negocio de acuerdo al proceso de admisin.
Identificar debilidades u omisiones como parte
de la mejora continua para asegurar que el
proceso de admisin podr llevarse a cabo sin No cumple
inconvenientes ante cualquier evento bajo
condiciones seguras.

el cumplimiento de las actividades del proceso habilitador, es igual a (cero),
debido a que no se puede garantizar el alineamiento con las estrategias de
261
seguridad de informacin y no se cuenta con un plan de continuidad de negocio
que abarque las tecnologas de informacin.
Dentro del habilitador, su estado o calificacin interna, de acuerdo al cumplimiento

de sus actividades entregadas, es Not Achieved, debido a la falta de entrega y
comunicacin de estos planes que impide incrementar el nivel interno de madurez.

ejecutado, garantizando al final un plan de continuidad alineado a las estrategias
de seguridad de informacin en beneficio de la empresa y cubriendo las
regulaciones del entorno.

actividad.
Instalar y activar herramientas de proteccin
frente a software malicioso en todas las
estaciones que procesan la informacin del Cumple Instalacin de
paciente. Concientizar al usuario de estas antivirus.
Proteger contra software malicioso
sobre las amenazas y forzar la responsabilidad

de prevencin.
Revisar y evaluar sobre nuevas amenazas que Cumple, est
afecten las fuentes de procesamiento de automatizado por el
informacin de los pacientes. servicio que brinda el
antivirus.
Filtrar el trfico entrante, como los correos
electrnicos y descargas para protegerse frente Cumple.
a informacin no solicitada y sensible.
De acuerdo al anlisis de riesgo, mantener una Cumple de acuerdo a un
Gestionar la seguridad de la
red y las conexiones
poltica de seguridad para conexiones. anlisis de riesgo bsico

Cifrar la informacin en trnsito de acuerdo con No cumple, no hay
su clasificacin verificando el cumplimiento con alineamiento con la ley de
la ley de proteccin de datos personales y proteccin de datos
norma tcnica peruana de la historia clnica. personales.
262
Establecer mecanismos para recepcin segura
Cumple
de la informacin.
Realizar pruebas sobre la seguridad del
sistema para determinar la proteccin sobre los
No cumple
datos intercambiados dentro del proceso de
admisin de pacientes.
Configurar los sistemas operativos de forma
Gestionar la seguridad de los puestos de usuario final
correcta y segura en las estaciones que Cumple

abarcan el proceso de admisin.
Cifrar la informacin almacenada y gestionada
No cumple
de acuerdo a su clasificacin
Implementar mecanismos de bloqueo de los
Cumple
dispositivos.
Implementar el filtrado del trfico de la red en
Cumple. Se realiza a
dispositivos de usuario final dentro del proceso
travs del monitoreo.
de admisin
Deshacerse de los dispositivos de usuario final
Cumple
de forma segura.
Mantener los derechos de acceso de los
usuarios de acuerdo a los requerimientos del Cumple
Gestionar la identidad del usuario y el acceso lgico
proceso de admisin.
Autenticar los accesos a los activos de No cumple, se tiene
informacin de acuerdo al nivel de seguridad y acceso pero se restringe
segn los lineamientos de los procesos de las carpetas disponibles
negocio. por usuario.
Segregar y gestionar cuentas de usuario
Cumple
privilegiadas.
Realizar revisiones peridicas de la gestin de
cuentas y privilegios dentro del proceso de
Cumple
admisin. Verificar que la identificacin de
estas es unequvoca.
Establecer procedimientos de empleo,
eliminacin y destruccin de las historias No cumple

de salida
clnicas y actas de conformidad y garanta.

Asignar privilegios de acceso a informacin de
No cumple
historias clnicas, actas de conformidad y
263
garanta.
Realizar un inventario de documentos sensibles
y dispositivos de salida crticos para llevar a No cumple
cabo el proceso de admisin de pacientes.
Establecer polticas de proteccin fsica
apropiadas sobre formularios o documentos No cumple
que contienen informacin sensible.
De acuerdo a los lineamientos de la norma, el nivel de madurez identificado para

este proceso habilitador, es igual a (cero), debido a que los servicios de seguridad
entregados no se alinean ni responden de acuerdo a necesidades formalizadas y
establecidas de seguridad de informacin y la ley de proteccin de datos
personales.

de sus actividades entregadas, es Partially Achieved.

ejecutado, de manera que garanticen la existencia y el alineamiento con la
funcin y requerimientos de seguridad de informacin producto de exigencias
internas y aplicando sobre estas el cumplimiento regulatorio.
10.1.3 Proceso Atencin del paciente
Se procede a verificar la aplicacin y nivel de madurez de los habilitadores en el

proceso de atencin del paciente hospitalizado. Las regulaciones a las cuales se
encuentra alineada es la ley de proteccin de datos personales y la norma tcnica
peruana de la historia clnica.
264

actividad.
Entender como la seguridad de informacin
Cumple pero no est
debe respaldar los objetivos de la organizacin
documentado y tampoco
dentro del proceso de atencin al paciente
formalizado ni alineado
hospitalizado, cumpliendo con la ley de
con ley de proteccin de
Comprender la direccin de la empresa
proteccin de datos personales y la norma

datos personales.
tcnica peruana de la historia clnica.
Identificar los stakeholders e interesados del Cumple, pero no est
proceso de atencin y sus requerimientos. formalizado.
Desarrollar y mantener un entendimiento de las
estrategias, objetivos de negocio, entorno y No cumple, falta el
retos operativos actuales dentro del proceso de alineamiento a la
admisin acorde con la seguridad de seguridad de informacin
informacin.
Cumple
cambios estratgicos a nivel de proceso.
Establecer la lnea base de seguridad de
informacin dentro del proceso de atencin al No cumple
Evaluar entorno, capacidades y rendimientos actuales
paciente.
Crear criterios de seguridad de informacin
claros y relevantes dentro del proceso de No cumple
atencin de pacientes. Identificar los riesgos.
Identificar diferencias entre el proceso de
Cumple, pero no est
negocio actual y las capacidades de TI segn
documentado
estndares de calidad y mejores prcticas.
Identificar debilidades, fortalezas, oportunidades
y amenazas del proceso de atencin y las
capacidades y servicios para evaluar el No cumple
desempeo actual de las funciones de
Realizar un
anlisis de
brecha

nivel deseado.
265
Examinar el nivel de cumplimiento con la ley de Cumple, pero no se
proteccin de datos personales, norma tcnica adeca a la ley de
peruana de la historia clnica dentro del proceso proteccin de datos
de atencin al paciente. personales
Definir las metas deseadas del proceso y Cumple, los responsables
establecer los beneficios que se obtienen al son la divisin de calidad
llegar a estas. y procesos
y alinearla a la estrategia de negocio para No cumple
cumplir los objetivos del proceso.

No cumple
de ruta contengan los requerimientos de
No cumple
seguridad de informacin identificados en el
proceso de atencin.
Desarrollar el plan estratgico y el plan de Se tiene un plan
seguridad de informacin que incluya el proceso estratgico institucional,
de atencin de pacientes y comunicarlo a los pero no un plan de

stakeholders. seguridad de informacin
Desarrollar el plan de comunicacin de la
estrategia aplicada dentro del proceso de Cumple
atencin. Identificar canales de comunicacin.
Actualizar el plan de comunicacin segn la
Cumple pero no sigue
retroalimentacin del personal y a la estrategia
estrategias de seguridad
de seguridad de informacin dentro del proceso
de informacin
de atencin.
Tabla 10.1.18 - Atencin. Evaluacin de cumplimiento para proceso habilitador APO02

evidencia de actividades que han sido aplicadas para la mejora del proceso de
266
negocio, se determina que el nivel de madurez es cero (0), faltando aplicar las
estrategias alineadas a la funcin de seguridad.
No obstante, realizando la evaluacin interna, el habilitador tiene un logro parcial

para el actual nivel de madurez.

requerimientos de seguridad de informacin y alinear el proceso de acuerdo a la

actividad.
Evaluar peridicamente las necesidades de
personal en el proceso de atencin de
Mantener la dotacin del personal suficiente y adecuada
pacientes de forma de asegurar que los

Cumple
recursos pueden soportar dicho proceso de
negocio. Incluye evaluar necesidad de personal
de TI.
funcin o rol dentro del proceso de atencin.
Asegurar que los requisitos de seguridad se No cumple, no se tiene
incorporan en el proceso de contratacin. requisitos de seguridad
Brindar capacitaciones y garantizar que existe
personal capaz de cubrir funciones crticas de Cumple
otro para reducir la dependencia.
personal clave de
Cumple
Identificar

TI
Minimizar la dependencia de una sola persona Cumple, pero no se

en una funcin crtica dentro del proceso de documenta ni formaliza
267
atencin al paciente a travs de captura e como compartir el
intercambio de conocimiento. conocimiento.
que deben tener los recursos para lograr los
Cumple
objetivos del proceso y poder escalar hacia los
objetivos de alto nivel.
Brindar capacitaciones y programas de

seguridad de informacin al personal que No cumple
ejecuta los procesos.
Proporcionar facilidades a los actores de este
proceso para lograr el desarrollo profesional
para fomentar las oportunidades de progreso Cumple
personal y menor dependencia de personas
clave.
Llevar a cabo revisiones peridicas para
evaluar la evolucin de las habilidades y
competencias de los recursos internos. A partir
Cumple
de estas identificar si se requieren habilidades
considerar criterios con respecto a la funcin de No cumple
los objetivos del proceso de atencin. Estos

Cumple
deben reflejar competencias bsicas, valores
almacenamiento de informacin personal dentro Cumple
Desarrollar planes para la mejora de
Cumple, pero no se
desempeo del personal que ejecuta el proceso
formaliza el plan
de atencin.
medida que el personal logre o desarrolle sus Cumple
objetivos.
268
Planificar y realizar un seguimiento del uso de recursos recursos humanos involucrados dentro del
proceso de atencin para apoyar el logro de
Cumple
objetivos de TI y necesidades operativas del da

a da salvaguardando los objetivos de la funcin
Realizar el inventario del personal del proceso e
Cumple
Mantener informacin adecuada sobre el
tiempo dedicado a diferentes tareas, trabajos, Cumple
servicios o proyectos
Cumple
proceso de atencin al paciente.
Llevar a cabo revisiones para asegurarse que el

Cumple
derecho de acceso es adecuado y alineado con
los acuerdos pactados al firmar el contrato.
Implementar polticas que permitan identificar
como se debe gestionar el personal, es decir si No cumple, no est de
es necesario contratar servicios o nuevo acorde a niveles de
personal siguiendo los parmetros de seguridad seguridad de informacin.
de informacin.
Nivel de madurez actual: Proceso Implementado (0) - L
Segn lo que establece la norma 15504, se determinar que el nivel de madurez es

(cero) y con un nivel interno igual a Largely Achieved. Esto se debe a que el
proceso no puede ser totalmente implementado debido a la falta de la funcin de
seguridad de informacin que permita alinear estrategias y polticas de acuerdo a
la gestin del personal.
269
Nivel de madurez objetivo: Proceso Gestionado (2)
Debido al entorno de negocio, la organizacin determina que el siguiente nivel de

madurez a escalar es a un proceso gestionado, debido a regulaciones y a lo que
el proceso demanda. Al ser la atencin un proceso cuyos actores realizan
actividades manuales crticas, se requiere afianzar este aspecto de seguridad.

actividad.
Identificar y recolectar datos para la
No cumple, la gestin de
identificacin, anlisis y comunicacin de los
riesgos es un proyecto a
riesgos de seguridad de informacin dentro del
futuro en la organizacin.
proceso de atencin al paciente.
Medir y analizar los riesgos de TI y seguridad
Recopilar datos
de informacin suscitados dentro del proceso

de atencin a lo largo del tiempo. Verificar las No cumple
prdidas experimentadas por la materializacin
de estos.
factores de riesgo que se presentan en el Cumple
proceso.
No cumple
No cumple, pero se
seguridad dentro del proceso. Identificar las
detectan algunas medidas
amenazas para detectar medidas de
Analizar el riesgo
de emergencia
emergencia.
proceso y las exposiciones que puedan requerir No cumple
una respuesta al riesgo.
Especificar controles apropiados para la
mitigacin de riesgos de seguridad de No cumple
informacin que garanticen que el proceso se
270
vea afectado lo mnimo posible.
Validar los resultados del anlisis de riesgos del
No cumple
Crear e informar el nivel aceptable de
exposicin al riesgo que incluya los aspectos de No cumple
seguridad de acuerdo al proceso.
Mantener un perfil del riesgo
Identificar dentro del proceso los servicios

esenciales para sostenerlo y que este alineado No cumple, se identifican
con el perfil de riesgo a tolerar. Analizar los servicios crticos
dependencias e identificar debilidades.
Definir un conjunto de indicadores que permitan
la supervisin de los riesgos de seguridad del No cumple
proceso y sus tendencias.
Informar los resultados del anlisis de riesgos
del proceso de atencin a los stakeholders en
No cumple
trminos adecuados y entendibles para
Expresar el riesgo
decisiones empresariales.
Informar el perfil del riesgo a los stakeholders
junto con la efectividad del proceso de atencin
y los controles asociados. Identificar No cumple
oportunidades de TI para mayor tolerancia al
Monitorear peridicamente los riesgos de

No cumple
atencin y verificar que el riesgo este alineado
gestin de riesgos
con el apetito y tolerancia al riesgo.

Definir propuestas para reducir el riesgo o
estratgicas de acuerdo a la ley de proteccin No cumple
de datos personales y la norma tcnica peruana
de la historia clnica.
271
Responder al riesgo
recomienda aplicar en este caso la norma No cumple
ISO/IEC 27002:2013. Se recomienda incluir
controles preventivos y correctivos.



enfoque de seguridad de informacin y requiere ser priorizado para este proceso
de negocio.

actividad.
Establecer y mantener un SGSI
caractersticas de la organizacin y sus No cumple

polticas.
Disear un enfoque de gestin de seguridad y
alinearlo al SGSI.
Comunicar los roles y responsabilidades en la
gestin de la seguridad de informacin y el No cumple
enfoque del SGSI.
272
No cumple
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de

proceso.
informacin

y supervisin de procedimientos de seguridad y
de eventos dentro del proceso de atencin y la
Realizar revisiones peridicas del SGSI
incluyendo las polticas y objetivos definidos en No cumple
la etapa de concepcin del SGSI
Supervisar y revisar el SGSI
Realizar evaluaciones o auditoras al SGSI de

forma peridica para determinar su
No cumple
cumplimiento e identificar mejoras en el
proceso.
Registrar acciones y eventos que podran tener
impacto en la efectividad o desempeo del No cumple
SGSI.

igual a cero (0).
273
Nivel de madurez objetivo Proceso Incompleto (0) L
El objetivo establecido para la siguiente iteracin de gobierno es mantenerse en el

mismo nivel de madurez pero incrementando las actividades de gestin
entregadas hasta llegar a una clasificacin Largely Achieved, para seguir la
secuencia del anlisis de riesgos.

actividad.

al proceso de atencin.
Establecer procedimientos para asegurar que
todos los proyectos relacionados al proceso e

No cumple
informacin cuentan con las medidas de
seguridad requeridas o exigibles.
proyectos. Aplicar las mejoras que se
Cumple
desprenden del uso de estrategias dentro del
proceso de atencin.
que incluya los controles a implementar en el No cumple
proyecto.
identificar e implementar requerimientos de No cumple
actualizacin de acuerdo a los proyectos y el
Cumple, pero no actualiza
proceso de atencin. Actualizar el caso de
el business case
negocio que lo justifica y garantiza el
alineamiento estratgico.
274
tecnologas con la gestin de proyectos de No cumple
negocio.
Desarrollar un plan de proyecto con informacin
que permita a la direccin controlar su progreso.
Cumple
Incluir recursos, responsabilidades e hitos que
marcan el cierre de cada una de las etapas.

Mantener los planes de proyectos y sus
Cumple
entre estos y que al realizar un cambio en uno
de stos se refleje en los dems.
Establecer un marco base para gestin de
proyectos, el cual es revisado, aprobado e Cumple
incorporado a los planes de proyecto vigentes.
Identificar actividades y prcticas para
Gestionar la calidad de
Cumple, pendiente de
los programas y
garantizar la calidad de los proyectos. Asegurar

proyectos.
desarrollo y alineamiento
que las tareas cumplan los requerimientos de
con seguridad de
informacin.
Registrar los riesgos de seguridad de

Gestionar el riesgo de los programas y proyectos.
informacin del proyecto y sus acciones Cumple, matriz de riesgo

correctivas. Revisar y actualizarlos a nivel de proyecto
peridicamente.
al programa y proceso de atencin de
No cumple
pacientes. Alinearlos a los procesos de gestin
de proyectos.
Asignar responsabilidades al personal
capacitado para la gestin del riesgo de los Cumple
proyectos.
Programar evaluaciones a los proyectos para
asegurar que los requerimientos de seguridad

No cumple
proyectos.
de informacin del proceso son implementados

efectivamente.
Cumple
requerimientos de desempeo para verificar el
275
avance.
entregables producidos en cada iteracin de Cumple
los proyectos asociados.
Tabla 10.1.22 - Atencin. Evaluacin de cumplimiento para proceso habilitador BAI01

seguridad de informacin conlleva a que no puedan aplicarse todas las sub-
actividades y exista una brecha respecto a los requerimientos de seguridad de
informacin, por lo tanto el nivel de madurez actual es cero (0).
Se determina, dado la evidencia y la evaluacin, se aplican una serie de sub-

actividades de gestin y se evidencia tras una mejora a nivel de proceso de
negocio y el cumplimiento de objetivos. Por ello su calificacin es Largely
Achieved.

prcticas de gestin de proyectos garantizando el alineamiento estratgico.

actividad.
Asegurar que los cambios dentro del proceso
Evaluar, priorizar y autorizar solicitudes
de atencin se alinean a las polticas de No cumple

de cambio
Realizar el anlisis de impacto al realizar

cambios en seguridad de informacin y a nivel No cumple
general dentro del proceso.
Asegurar que los cambios sean validados por
Cumple
los dueos del proceso de negocio de atencin
276
al paciente. Evaluar los tipos de cambios
permitidos en l.
Estandarizar las solicitudes de cambio de
manera que todo cambio a nivel del proceso Cumple
sea a travs de procedimientos formales.
Considerar el impacto de los cambios en la
gestin de proveedores de acuerdo a la de
No cumple
seguridad de informacin, procurando que
estos no afecten los acuerdos de servicio.
Desarrollar medidas para atender cambios de Existen medidas para
emergencia en el proceso y relacionados a atender los cambios de
seguridad de informacin. emergencia, pero no se
relacionan o alinean a la
Registrar los riesgos de seguridad de
informacin a partir de cambios de emergencia No cumple
del proceso de atencin y realizar las
Cumple
revisiones post-implantacin involucrando a las
partes interesadas.
Mantener y supervisar un sistema de
Hacer seguimiento e informar cambios de
seguimiento e informe para las solicitudes de

No cumple
cambio del proceso de acuerdo a las
exigencias de seguridad de informacin.
estado
Elaborar informes respecto a los cambios de

seguridad de informacin realizados en el No cumple
proceso.
Supervisar los cambios de seguridad de
No cumple
informacin que an no han sido cerrados.

277
que ocasiona inconsistencias en el proceso.

clasificacin interna Not Achieved.

empezar a implementar mejoras a nivel de gestin.

actividad.
Identificar los activos relacionados al proceso Se identifican activos pero
de atencin al paciente hospitalizado y los no se alinean a
requerimientos de seguridad asociados a requerimientos de
estos. seguridad de informacin.
Identificar la dependencia entre estos activos y
Cumple
su nivel de criticidad dentro del proceso.
Identificar si los activos del proceso de atencin
estn sujetos a alguna regulacin adicional a la
ley de proteccin de datos personales y la
No cumple
Verificar los aspectos contractuales de
Verificar y determinar si los activos se
encuentran en condiciones tiles para soportar Cumple, pero el valor solo
dicho proceso y si es que genera valor al es a nivel contable
negocio.
Identificar que activos del proceso de atencin
Gestionar activos
pueden ser considerados como crtico.

crticos
Supervisar su rendimiento por medio de Cumple

evaluaciones o planes en los que se definan
las polticas de reparacin o reemplazo.
278
Determinar los niveles de criticidad de los
Cumple
activos dentro del proceso de atencin.
Garantizar que los activos crticos del proceso
cumplan los niveles de seguridad de
No cumple
informacin establecidos en el proceso y el
negocio.
Determinar el tiempo de inactividad mximo
Cumple, pero no se
para estos activos crticos de manera que se
prueba que el tiempo
garantice la reduccin de un impacto adverso
definido sea el adecuado
en el negocio.
Establecer polticas para el cambio de estos
activos crticos de acuerdo a los riesgos de No cumple
seguridad de informacin identificados.
de informacin de estos activos que soportan el No cumple
proceso.
Realizar adquisiciones de nuevos activos

Cumple, pero no toma en
previamente autorizadas de acuerdo a
cuenta los criterios de
procedimientos seguros que verifique un nivel
de riesgo aceptable.
Establecer polticas para eliminar activos de
Cumple
forma segura.
informacin se apliquen a los activos durante No cumple
todo su ciclo de vida.
De acuerdo a los criterios de la norma ISO/IEC 15504 y la evaluacin sobre las

un nivel de madurez igual a cero (0) al no existir una congruencia con los
requerimientos de seguridad de informacin y posibles incidentes que puedan
afectar directamente a los activos crticos definidos.
279
clasificacin interna Partially Achieved por la evidencia mostrada en la entrega y
desarrollo de este proceso habilitador.

empezar a implementar mejoras a nivel de gestin y adems verificando
requerimientos y alineamiento con estrategias de seguridad de informacin sobre
los activos de los procesos.

actividad.
Definir esquemas de clasificacin de incidentes y solicitudes de servicio
potenciales incidentes de seguridad de

entendimiento del impacto en caso se
materialicen.
Definir modelos de solicitudes de servicio
relacionados a la seguridad de informacin
No cumple
para facilitar su atencin y respuesta dentro del
proceso de atencin.
al proceso de atencin de acuerdo a los No cumple
requerimientos de seguridad de informacin y
el impacto en el negocio.
Registrar, clasificar y priorizar

solicitudes e incidentes

definidas y protejan los pilares de seguridad y
que sean difundidas.
No cumple
relacionados a la seguridad de informacin del
280
proceso de atencin.
Priorizar y clasificar incidentes de acuerdo al
impacto dentro del negocio y el proceso de Cumple
atencin.
Seguir procedimientos y modelos de solicitud

de seguridad de informacin para elementos

frecuentes de manera que se atiendan en No cumple
menor tiempo.

dentro de la base de datos y si el incidente de

No cumple
seguridad de informacin satisface los criterios
para registro.
Identificar soluciones temporales o
de informacin, asignar su tratamiento a los No cumple
especialistas respectivos dentro del proceso de
atencin.
Definir un plan de respuesta de seguridad de
informacin para los incidentes dentro del No cumple

proceso de atencin.
restablecer el proceso de atencin Cumple
completamente.
No cumple, no existe
temporal o permanente para tomarlo en cuenta
documentacin
a futuro.
Cerrar solicitudes
de servicio e
incidentes
completado la solicitud del servicio o si el

Cumple
incidente de seguridad fue resuelto. En caso
afirmativo cerrar la solicitud o incidente.
Seguir el
informes
estado y
emitir
informacin, el anlisis y seguimiento de estos, No cumple

siguen los procedimientos de gestin
281
existentes.
Cumple, pero solo se
comunica a la gerencia
continua.
Tabla 10.1.25 - Atencin. Evaluacin de cumplimiento para proceso habilitador DSS02
De acuerdo a los criterios de la norma ISO/IEC 15504, este proceso habilitador

alcanza un nivel de madurez igual a cero (0). Se debe de tomar en cuenta que la
brecha a cerrar corresponde a la identificacin de los incidentes y requerimientos

clasificacin interna Not Achieved.

objetivo igual a uno (1), asegurando la formalizacin de un enfoque de seguridad
que permita una mejor entrega de servicio alineado a requerimientos legales.

actividad.
Determinar la criticidad del proceso de atencin
Definir las polticas de continuidad de negocio,
de pacientes de acuerdo a la seguridad de

informacin y el cumplimiento con la ley de
proteccin de datos personales y la norma Cumple
objetivos y alcance
tcnica peruana de la historia clnica para

verificar si forma parte del programa de
continuidad.
negocio.
282
Identificar interesados, roles y
responsabilidades dentro del proceso para No cumple
alinearlos a los objetivos y polticas del SGCN
eventos de informacin que afecten la Cumple
continuidad del proceso.
Realizar el anlisis de impacto de negocio de

Cumple pero a nivel de
acuerdo a los lineamientos del proceso,
negocio, falta implementar
incluyendo los factores de seguridad de
estrategias de continuidad
informacin y el mximo tolerable de
a nivel de TI
Analizar las amenazas de seguridad que
afecten la continuidad del proceso para mejorar
No cumple
mtodos preventivos e incrementar la
resiliencia.
Desarrollar e implementar una respuesta a
reanudar el proceso de egreso y que cumpla

No cumple
con los requerimientos de seguridad de
la continuidad de negocio
Definir y documentar recursos necesarios para
recuperar el proceso. Documentar los planes
considerando las necesidades de seguridad y No cumple
almacenamiento de la informacin en otro lugar.
Distribuir los planes.
Planificar actividades para probar el plan
Ejecutar, probar y revisar el
definido en los documentos. Asignar roles y

plan de continuidad
No cumple
responsabilidades para esta actividad y
coordinar que no afecten el proceso.
No cumple
logro.
Revisar, mantener y mejorar
el plan de continuidad

y los lineamientos del proceso de atencin. No cumple
entorno.
Comunicar los cambios del plan de continuidad No cumple
283
que puedan afectar el proceso o los
requerimientos de seguridad de informacin
Reconocer qu incidentes de seguridad de
informacin pueden ocasionar la interrupcin
No cumple
del negocio, por ello se debe incrementar el
nivel de gestin de stos.
se cumplen en los procesos de backup y No cumple
restauracin de informacin.
establecer polticas para su gestin de acuerdo

No cumple, pero se
a la ley de proteccin de datos personales y la
realizan copias de
norma tcnica peruana de la historia clnica
seguridad y backup de
entre otras exigencias dentro del proceso de
datos
atencin, salvaguardando los datos del
paciente.
recientes, y aquellas archivadas, de manera
No cumple
tiempos definidos en el anlisis de impacto de

No cumple
negocio de acuerdo al proceso de atencin al
paciente.
proceso de atencin podr llevarse a cabo sin No cumple
inconvenientes ante cualquier evento
asegurando la informacin de los involucrados.
De acuerdo a los requerimientos de la norma, el nivel de madurez identificado

para el proceso habilitador es igual a cero (0), debido a la falla y falta de un
alineamiento a la seguridad de informacin y estrategias de recuperacin de TI.
284
Dentro de la escala interna de madurez, el habilitador obtiene la calificacin de
Not Achieved, pues no muestra mayor evidencia sobre su cumplimiento.
El objetivo trazado, es un nivel de madurez igual a uno (1) debido a que se debe
de cumplir la regulacin respectiva y alineamiento a la seguridad de informacin.
El plan de continuidad de TI se encuentra en proyecto para complementar los
proyectos existentes en la organizacin.

actividad.
frente a software malicioso en las estaciones o

activos que brindan soporte al proceso de Cumple
atencin. Concientizar al usuario sobre el
empleo de estas.
Filtrar el trfico entrante de informacin como
correos electrnicos y descargas para Cumple
protegerse frente a informacin no solicitada.
Mantener una poltica para la seguridad de
conexiones de red entre los activos que No cumple

soportan el proceso de atencin.
Cifrar la informacin en trnsito de acuerdo con
su clasificacin verificando el cumplimiento la No cumple
Cifrar la informacin almacenada dentro de los
Gestionar la seguridad de los
activos de acuerdo a su clasificacin y nivel de No cumple

puestos de usuario final
criticidad.
correcta y segura en las estaciones del Cumple
personal que ejecuta el proceso de atencin.
Implementar mecanismos de bloqueo en los Cumple
285
dispositivos.
Cumple
de forma segura.
Segn los requerimientos del proceso,
Gestionar la identidad del usuario y el
Cumple
mantener los derechos de acceso
Cumple
acceso lgico
privilegiadas.
Realizar regularmente revisiones de la gestin
de cuentas y privilegios que abarca el proceso
Cumple
de atencin. Verificar que la identificacin de
estas es unequvoca.
eliminacin y destruccin de formularios
Gestionar documentos sensibles y dispositivos de salida
No cumple
especiales como las historias clnicas y actas
de conformidad.
Asignar privilegios de acceso a documentacin
y a su modificacin durante el proceso de No cumple
atencin al paciente.
Realizar un inventario de documentos
sensibles o dispositivos de salida crticos No cumple
involucrados durante el proceso de atencin.
apropiadas sobre formularios o documentos No cumple
que contienen informacin sensible.

este proceso habilitador, es igual a (cero), debido a que los servicios no se alinean
a requerimientos de seguridad de informacin y la ley de proteccin de datos
personales.

de sus actividades entregadas, es Partially Achieved.
286

10.1.4 Proceso Egreso del paciente
Se presenta el estado de cumplimiento de las sub-actividades para cada actividad de

gestin de los procesos habilitadores alineadas al proceso de negocio. Las
regulaciones a cumplir en este caso son la ley de proteccin de datos personales, Ley
de emergencia y la norma tcnica peruana de la historia clnica.

actividad.
Entender como la seguridad de informacin
Cumple pero no est
debe respaldar los objetivos de la organizacin
documentado y tampoco
y del proceso. Garantizar con estos el
formalizado ni alineado
cumplimiento de la ley de proteccin de datos
con ley de proteccin de
personales y la norma tcnica peruana de la
datos personales.
historia clnica.
Desarrollar y entender las estrategias, objetivos
No cumple, no
de negocio, entorno y retos operativos actuales
alineamiento a seguridad
dentro del proceso y la seguridad de
de informacin
informacin.
Determinar prioridades para desarrollar cambios
Cumple
estratgicos en el proceso.
Establecer la lnea base de seguridad de
capacidades y rendimientos
informacin dentro del proceso egreso del Cumple

Evaluar entorno,
paciente.
actuales
Crear criterios de seguridad de informacin

claros y relevantes de acuerdo con las No cumple
actividades del proceso de egreso. Identificar
287
riesgos.
Identificar diferencias entre el proceso de
negocio actual y las capacidades de TI segn Cumple, pero no lo
estndares y mejores prcticas sugeridas por la documenta
divisin calidad y procesos.
Identificar debilidades, fortalezas, oportunidades
y amenazas del entorno actual del proceso de
No cumple
egreso Evaluar dentro de l el desempeo de la
funcin de seguridad de informacin.
nivel deseado.
Examinar el nivel de cumplimiento con la ley de

proteccin de datos personales, norma tcnica Cumple, pero no alinea a
peruana de la historia clnica y la ley de la ley de proteccin de
emergencia dentro del proceso de egreso al datos personales
paciente.
Definir las metas del proceso y establecer los Cumple. Responsable:
beneficios que se obtienen al llegar a estas. rea calidad y procesos
y alinearla a la estrategia de negocio para No cumple
cumplir los objetivos del proceso.

No cumple
de ruta contengan requerimientos de seguridad
No cumple
de informacin identificados para el proceso de
egreso.
Desarrollar el plan estratgico y el plan de Se cuenta con un plan
Comunicar la estrategia y la
seguridad de informacin que incluya el proceso estratgico institucional,

direccin de TI
de egreso de pacientes y comunicarlo a los pero no un plan de

stakeholders. seguridad de informacin.
Tomando como base el plan de comunicacin Cumple pero no se alinea
de otros procesos como el de atencin y el de a los requerimientos de
288
admisin, actualizar el plan segn los resultados seguridad de informacin.
en el personal que realiza el proceso de egreso
del paciente.
Tabla 10.1.28 - Egreso. Evaluacin de cumplimiento para proceso habilitador APO02
Nivel de madurez actual Proceso Incompleto (0) P

seguridad de informacin impide el cumplimiento de todas las sub-actividades y
existe una brecha respecto a estrategias de negocio y seguridad de informacin,
por lo tanto el nivel de madurez actual es cero (0). Se determina, dado la
evidencia y la evaluacin, se aplican una serie de sub-actividades de gestin y se
evidencia tras una mejora a nivel de proceso de negocio y el cumplimiento de
objetivos. Por ello su calificacin es Partially Achieved.

(1), para garantizar un alineamiento con seguridad de informacin y estrategia de
negocio, que permitan evolucionar posteriormente a otros niveles de madurez.
APOO7 Sub-actividades para el cumplimiento de Estado de Cumplimiento

actividad.
Evaluar peridicamente las necesidades de
personal en el proceso de egreso de pacientes,
Mantener la dotacin del personal suficiente y
de manera de asegurar que estos recursos

Cumple
puedan realizar con xito el proceso de
negocio. Incluye la evaluacin de necesidad de
adecuada
nuevo personal de TI.

funcin o rol dentro del proceso de egreso.
Asegurar que los requisitos de seguridad se No cumple, no existen
incorporan en el proceso de contratacin. requerimientos de
289
Asegurar que existe personal capaz de cubrir
funciones crticas de otro para reducir la Cumple
dependencia en el proceso de egreso.
Cumple
Identificar personal clave de TI
Tomar acciones o medidas para la gestin de

cambios de personal, en especial en los temas Cumple
de despido.
Minimizar la dependencia en una sola persona Cumple, pero no se
en una funcin crtica dentro del proceso de documenta ni formaliza
egreso del paciente a travs de captura e como compartir el
intercambio de conocimiento. conocimiento.
Cumple
de alto nivel.
Brindar capacitaciones y programas de
No cumple, solo se brinda
seguridad de informacin al personal que
capacitaciones.
ejecuta los procesos.
competencias de los recursos internos. A partir
Cumple
de estas identificar si se requieren habilidades

los objetivos del proceso de egreso. Estos
Cumple
deben reflejar competencias bsicas, valores
almacenamiento de informacin personal dentro Cumple
290
medida el personal logre sus objetivos dentro Cumple
del proceso.
Planificar y realizar un seguimiento del uso de recursos
recursos humanos involucrados en el proceso

de egreso para apoyar el logro de objetivos de
Cumple
TI y necesidades operativas del da a da

salvaguardando los objetivos de la funcin de
Realizar el inventario del personal del proceso e
Cumple
Mantener informacin adecuada sobre el
tiempo dedicado a diferentes tareas, trabajos, Cumple
servicios o proyectos
No cumple
proceso de egreso del paciente.
Llevar a cabo revisiones para asegurarse que el
Cumple
derecho de acceso es adecuado y alineado a
los acuerdos pactados al firmar el contrato.
Definir el trabajo a realizar por terceros o por Cumple, pero falta
otras reas de le organizacin a travs de formalizar la interaccin
contratos o documentos formales que carezcan con terceros u otras reas
de ambigedades. de negocio
Implementar polticas que permitan identificar No cumple, las polticas
como se debe gestionar el personal, es decir si actuales no son
es necesario contratar servicios o nuevo suficientes ni alineadas a
personal siguiendo los parmetros de seguridad la seguridad de
de informacin. informacin.
291
De acuerdo a lo descrito por la norma ISO/IEC 15504, es nivel de madurez es

cero (0) debido a la falta de un enfoque de seguridad formal a partir del cual se
establezcan requerimientos de seguridad a aplicar dentro de la gestin de
recursos humanos.
Como existe mayor cantidad de sub-actividades de gestin que se evidencian en

la entrega del servicio, por lo cual la escala interior es Largely Achieved
El objetivo trazado para la siguiente revisin de gobierno de TI es un proceso

ejecutado, para cumplir todas las actividades definidas para este proceso
habilitador e ir identificando oportunidades de mejora para poder aplicarlas para
una siguiente revisin de este modelo para la organizacin.

actividad.
Identificar y recolectar datos para la
No cumple, la gestin de
identificacin, anlisis y comunicacin de los
riesgos es un proyecto
riesgos de seguridad de informacin dentro del
futuro.
proceso de egreso del paciente.
Medir y analizar los riesgos de TI y seguridad
de informacin suscitados dentro del proceso
Recopilar datos
No cumple
de egreso. Verificar prdidas experimentadas
por la materializacin de estos.
materializ el riesgo. Identificar el impacto en el No cumple
negocio.
factores de riesgo que se presentan en el Cumple
proceso.
292
No cumple
No cumple, pero tiene
seguridad dentro del proceso. Identificar las
medidas de emergencia
amenazar para detectar medidas de
identificadas
Analizar el riesgo
emergencia.
Identificar los riesgos residuales en el proceso e
identificar exposiciones que puedan requerir No cumple
una repuesta al riesgo
No cumple
Informar los resultados del anlisis de riesgos
del proceso de egreso a los stakeholders en
No cumple
trminos adecuados y entendibles para
Expresar el riesgo
Adoptar un perfil de riesgo de acuerdo al

proceso de egreso de pacientes y comunicarlo
a los stakeholders junto la efectividad del
No cumple
proceso y los controles asociados. Identificar
oportunidades de TI para aceptar un mayor
Monitorear peridicamente los riesgos de

No cumple
egreso. Verificar que estos riesgos estn
gestin de riesgos
alineados con el apetito de riesgo.

Definir propuestas para reducir el riesgo o
estratgicas de acuerdo a la ley de proteccin No cumple
de datos personales, norma tcnica peruana de
la historia clnica y ley de emergencia.
Responder al

riesgo
No cumple
recomienda aplicar la norma ISO/IEC
27002:2013.
293




actividad.
mantener un
Establecer y
SGSI
SGSI. No cumple

Definir y gestionar un plan de tratamiento del riesgo de la

No cumple
informacin alineados con los objetivos
estratgicos de la organizacin y el proceso.

No cumple
acuerdo a los roles y responsabilidades a
necesitar para su aplicacin.
No cumple
294
No cumple. Solo define
y supervisin de procedimientos se seguridad y
respuestas ante
controles para prevencin y deteccin temprana
incidentes
de eventos dentro del proceso de egreso y la

igual a cero (0).

El objetivo establecido para la siguiente iteracin es un proceso ejecutado, debido

a que sobre este proceso de negocio no forma parte del SGSI, pero si debe de
tomarse en cuenta la declaracin de aplicabilidad y estrategias para la gestin de
los requerimientos de seguridad de informacin que aplican sobre l.

actividad.
Mantener un enfoque estndar para la
gestin de programas y proyectos.

al proceso de egreso.
Asegurar que los stakeholders se comprometan
en supervisar los proyectos del proceso para
No cumple
garantizar el cumplimiento del enfoque de
Actualizar el enfoque de gestin de programas y Cumple
295
proyectos. Aplicar las mejoras que se
proceso de egreso.
Identificar y comprometer a las partes
Gestionar el compromiso de
las partes interesadas
interesadas para tomar decisiones en los

proyectos del proceso egreso y medir el
Cumple
cumplimiento con los aspectos de seguridad.
Verificar como estos cumplen dicho
compromiso.
que incluya los controles que deben ser

No cumple
implementados. Asignar a los responsables que
los implementen en el proceso de egreso.
identificar e implementar los requerimientos de No cumple
actualizacin de acuerdo a los proyectos y el Cumple
proceso asociado.
No cumple
tecnologas con la gestin de proyectos.
Cumple
Cumple
entre estos y que al realizar cambios en uno se
reflejen en los dems.
Registrar los riesgos de seguridad de Cumple, a travs de
informacin y las acciones correctivas. Revisar gestin de matriz bsica
y actualizarlos peridicamente. de riesgos

al programa y proceso de egreso de pacientes.
No cumple
Alinearlos a procedimientos y estndares de
gestin de proyectos.
296
Asignar responsabilidades al personal
capacitado para gestionar los riesgos de los Cumple
proyectos del proceso egreso.
No cumple

de forma efectiva.
requerimientos de desempeo para verificar el Cumple
avance.
entregables producidos en cada iteracin de Cumple
los proyectos asociados.
Tabla 10.1.32 - Egreso. Evaluacin de cumplimiento para proceso habilitador BAI01
Segn la norma ISO/IEC 15504 se determina un nivel de madurez igual a cero (0)
producto de la falta de un enfoque de seguridad de informacin que abre una
brecha respecto de cmo gestionar los proyectos de acuerdo a un requerimiento
de seguridad de informacin. Se evidencia la aplicacin de sub-actividades de
gestin y mejoras en el proceso. Por ello su calificacin es, aunque est sobre los
lmites, Largely Achieved.

prcticas de gestin dentro de la cartera de proyectos.
297

actividad.
Asegurar que los cambios dentro del proceso
de egreso se alinean a las polticas de No cumple
Evaluar, priorizar y autorizar peticiones de cambio
cambios en seguridad de informacin y a nivel No cumple
general dentro del proceso.
los dueos del proceso de negocio de egreso
Cumple
del paciente. Evaluar los tipos de cambios
permitidos en l.
Considerar el impacto de los cambios en la
gestin de proveedores de acuerdo a la
No cumple
seguridad de informacin, procurando que
estos no afecten los acuerdos de servicio.
Desarrollar medidas para atender cambios de No cumple. Tienen
emergencia en el proceso de egreso a nivel de algunas medidas para
la seguridad de informacin. atender cambios de

emergencia
Registrar y mantener un registro de riesgos de
del proceso de egreso y realizar las revisiones
Cumple
post-implantacin involucrando a las partes
interesadas.
Hacer seguimiento e informar

cambios de estado
No cumple
cambio dentro del proceso de acuerdo a las
Elaborar informes respecto a los cambios de
seguridad de informacin realizados en el No cumple
proceso.
298

que ocasiona fallas en prioridades y autorizaciones de cambios.

clasificacin interna Partially Achieved, debido a la evidencia de mejora.
Para la siguiente evaluacin del gobierno de TI, se determina un nivel de madurez

objetivo igual a uno (1) para garantizar la entrega de todas las actividades y
empezar a implementar mejoras a nivel de gestin para el futuro

actividad.
Identificar los activos relacionados al proceso
de egreso del paciente hospitalizado y los Cumple, pero no se enfoca
requerimientos de seguridad asociados a a seguridad de informacin
estos.
Identificar la dependencia entre estos activos y
Cumple
el nivel de criticidad dentro del proceso.
Identificar si los activos del proceso de egreso
estn sujetos a alguna regulacin adicional a la
ley de proteccin de datos personales y la
No cumple
Verificar los aspectos contractuales de
encuentran en condiciones tiles para soportar
No cumple
dicho proceso y si es que genera valor al
negocio.
299
Identificar que activos del proceso egreso de
pacientes pueden ser considerados crticos
para su cumplimiento. Supervisar el
Cumple
rendimiento a travs de evaluaciones o planes
que definan polticas de reparacin o
reemplazo
Determinar los niveles de criticidad de los

Cumple
activos del proceso de egreso.
cumplan los niveles de seguridad de
No cumple
informacin establecidos en el proceso y el
negocio.
Establecer polticas para el cambio de estos No cumple, no hay gestin
activos crticos de acuerdo a los riesgos de de riesgos de seguridad de
seguridad de informacin identificados. informacin.
de informacin de los activos que soportan el No cumple
proceso.
Realizar adquisiciones de nuevos activos

No cumple, pero si existen
previamente autorizadas de acuerdo a
procesos para autorizacin
procedimientos seguros que garanticen un
de adquisiciones
nivel aceptable de riesgo.
Establecer polticas para eliminar activos de
Cumple
forma segura.
informacin se apliquen a los activos durante Cumple

un nivel de madurez igual a cero (0), ya que no existe un alineamiento entre los
requerimientos de seguridad de informacin y la gestin de activos que manejan
300
informacin sensible, adems de la falta de aplicacin a la ley de proteccin de
datos personales.


alinear los requerimientos de seguridad de informacin a los activos del proceso
de negocio.

actividad.
Definir esquemas de clasificacin de incidentes y solicitudes de
potenciales incidentes de seguridad de

entendimiento del impacto en el proceso de
egreso en caso se materialicen.
Definir modelos de solicitudes de servicio
servicio
relacionados a la seguridad de informacin No cumple

para facilitar su atencin y respuesta.
al proceso de egreso de acuerdo a los No cumple
requerimientos de seguridad de informacin y
el impacto en el negocio.

incidentes

difundidas y protejan los pilares de seguridad
de informacin.
Registrar incidentes y solicitudes de servicio No cumple
301
relacionados a la seguridad de informacin del
proceso de egreso.
Priorizar y clasificar los incidentes de acuerdo
al impacto dentro del negocio y el proceso de Cumple
egreso.
resolver solicitudes de
e incidentes para elementos frecuentes de

servicio
manera que sean atendidos en menor tiempo. No cumple

dentro de la base de datos y si el incidente de
No cumple
seguridad de informacin satisface los criterios
para registro.
Asignar a personal capacitado la gestin de
incidentes del proceso de egreso de pacientes
Cumple
si es estos requieren mayor conocimiento para
tratarlos y reducir el impacto.
Identificar soluciones temporales o
de informacin, asignar su tratamiento a los No cumple
especialistas respectivos dentro del proceso de
egreso.

proceso de egreso.
restablecer el proceso de egreso Cumple
completamente.
temporal o permanente para tomarlo en cuenta No cumple
a futuro.
Seguir el estado y
emitir informes
informacin, el anlisis y seguimiento de estos,

No cumple
existentes.
302
Cumple, solo se informa a
la gerencia
continua
Tabla 10.1.35 - Egreso. Evaluacin de cumplimiento para proceso habilitador DSS02

habilitador, es igual a (cero). No se gestionan incidentes de seguridad de
informacin ni medidas para mitigacin o investigacin alrededor de estos.

de sus actividades entregadas, es Not Achieved.

funcin.

actividad.
Determinar la criticidad del proceso de egreso
Definir las polticas de continuidad de negocio, objetivos y
de pacientes de acuerdo con los requerimientos

de seguridad de informacin y el cumplimiento
con la ley de proteccin de datos personales, Cumple
norma tcnica peruana de la historia clnica y
ley de emergencia. Verificar si el proceso debe
alcance
formar parte del programa de continuidad.

negocio.
Identificar interesados, roles y
No cumple
responsabilidades dentro del proceso para
303
alinearlos a los objetivos y polticas del SGCN.
eventos de informacin que afecten la No cumple
continuidad del proceso egreso del paciente.
Realizar el anlisis de impacto de negocio de

acuerdo a los lineamientos del proceso,
incluyendo los factores de seguridad de No cumple
informacin y el mximo tolerable de
No cumple
resiliencia.
respuesta a la continuidad de negocio
reanudar el proceso de egreso y que este

Desarrollar e implementar una
cumpla con los requerimientos de seguridad de

No cumple
Planificar actividades para probar el plan

Ejecutar, probar y revisar el
definido en los documentos. Asignar roles y

plan de continuidad
No cumple
responsabilidades para esta actividad y
coordinar que no afecten al proceso.
No cumple
logro.
Revisar, mantener y mejorar el plan de

y los lineamientos del proceso de egreso. No cumple
continuidad
entorno.
No cumple
del negocio, por ello se debe incrementar el
304

establecer polticas para su gestin de acuerdo Cumple, pero no se alinea
a la ley de proteccin de datos personales y la a la ley de proteccin de
norma tcnica peruana de la historia clnica, datos personales
salvaguardando los datos del paciente.
recientes y aquellas archivadas de manera No cumple, no se realizan
peridica para garantizar la disponibilidad de la pruebas
tiempos definidos en el anlisis de impacto de
No cumple
negocio de acuerdo al proceso de egreso del
paciente.
proceso de egreso podr llevarse a cabo sin
No cumple
inconvenientes ante cualquier evento
asegurando la informacin de los involucrados,
en otras palabras, su integridad.

seguridad de informacin y no se cuenta con un plan de continuidad de negocio
que abarque las tecnologas de informacin.

305


actividad.
frente a software malicioso en las estaciones o

egreso. Concientizar al usuario sobre el empleo
de estas.
Filtrar el trfico entrante de informacin como
correos electrnicos y descargas para Cumple
Mantener una poltica para la seguridad de
conexiones de red entre los activos que No cumple

soportan el proceso de egreso.
Cifrar la informacin en trnsito de acuerdo con
su clasificacin verificando el cumplimiento con No cumple
la ley de proteccin de datos personales.
Gestionar la seguridad de los puestos de usuario

criticidad.
correcta y segura en las estaciones del Cumple
final
personal que ejecuta el proceso de egreso.

Implementar mecanismos de bloqueo en los
Cumple
dispositivos.
Cumple
de forma segura.
306

Cumple
privilegiadas.
Realizar regularmente revisiones de la gestin
de cuentas y privilegios que abarca el proceso
Cumple
de egreso. Verificar que la identificacin de
estas es unequvoca.
Cumple a nivel de activos
eliminacin y destruccin de formularios
fsicos, no implementa
especiales como las historias clnicas,

mtodos de destruccin de
solicitudes de alta y acta de egreso de
documentos.
paciente.
egreso del paciente.
involucrados en el proceso.
apropiada sobre formularios o documentos que No cumple
contienen informacin sensible.
Nivel de madurez actual: Proceso Incompleto (0) - L

entregados no se alinean a la seguridad de informacin y la ley de proteccin de
datos personales.

de sus actividades entregadas, es Largely Achieved debido a las mejoras
observadas.
307

10.1.5 Proceso Identificacin del paciente hospitalizado
Finalmente se realiza la evaluacin de los procesos habilitadores que aplican para el

proceso de identificacin de pacientes. Se verifica las actividades y el cumplimiento de
estas de acuerdo tambin a las regulaciones del proceso: Ley de proteccin de datos
personales y la ley de emergencia.
a. Gestionar la estrategia

actividad.
Identificar como se puede adaptar la seguridad
de informacin a este proceso de manera que
garantice el cumplimiento de la ley de No cumple

proteccin de datos personales y la ley de
emergencia.
Identificar los stakeholders del proceso y cules
son sus requerimientos de seguridad de Cumple
informacin.
Cumple
cambios estratgicos dentro del proceso.
nivel deseado.
Examinar el nivel de cumplimiento del proceso No se alinea a la ley de
respecto a la ley de proteccin de datos proteccin de datos
personales, ley de emergencia y norma tcnica personales. Sobre las
peruana de la historia clnica. otras dos cumple.
Mejorar la definicin del estado deseado en el Cumple
308
proceso y sus objetivos. Sustentarlos
demostrando los beneficios a partir de este
estado frente al impacto en caso no se llegara
a esta meta.
Definir la estrategia de seguridad de
Definir el plan estratgico y la hoja de
informacin y alinearla las estrategias de

No cumple
negocio para el cumplimiento de objetivos
dentro del proceso de identificacin.
ruta
Crear la hoja de ruta del proceso la cual a su

No cumple
No cumple
aprobacin del plan.
Desarrollar el plan estratgico y el plan de Se cuenta con un plan
seguridad de informacin que abarque el estratgico de informacin,
proceso y comunicarlo a los stakeholders pero no un plan de

seguridad
Desarrollar el plan de comunicacin de acuerdo
a pblico objetivo identificando los canales de Cumple
comunicacin y horarios disponibles.
Obtener realimentacin y actualizar el plan de
Cumple, pero no se alinea
a estrategias de seguridad
informacin segn sea necesario para
de informacin
mantener el impulso.
Tabla 10.1.38 - Identificacin. Evaluacin de cumplimiento para proceso habilitador APO02

evidencia y cantidad de actividades que han sido aplicadas, el nivel de madurez
del proceso habilitador es igual a cero (0) dado la falta de la funcin de seguridad
de informacin. No obstante, realizando la evaluacin interna, el habilitador tiene
un logro parcial para el actual nivel de madurez.
309

requerimientos de seguridad de informacin y alinear el proceso a la ley de

actividad.
Asegurar que los requisitos de seguridad se No cumple, no hay
Mantener la dotacin del personal
incorporan en el proceso de contratacin. requerimientos de

suficiente y adecuada
seguridad
Asegurar la existencia de capacitaciones y que
existe personal capaz de cubrir funciones
Cumple
crticas de otro para reducir la dependencia.

Cumple

clave de TI
Identificar y ejecutar acciones de acuerdo a los

cambios laborales relacionados a los actores Cumple
del proceso de identificacin.
Mantener las habilidades y competencias del

Cumple
de alto nivel.
personal

competencias de los recursos. Identificar si se
Cumple
requieren habilidades adicionales para cubrir el
proceso y ejecutar el plan de accin para
desarrollarlas.
laboral de los
desempeo
empleados
Evaluar el

Proporcionar instrucciones para uso y Cumple
310
almacenamiento de informacin personal dentro
medida el personal alcance el compromiso y Cumple
logre sus objetivos.
Planificar y realizar un seguimiento del
uso de recursos humanos de TI y del
recursos humanos involucrados dentro del

proceso de identificacin para apoyar el logro
de objetivos de TI y necesidades operativas del
negocio
Cumple
da a da.

No cumple

proceso.
Implementar polticas o procedimientos que
Cumple, pero las polticas
describan como gestionar al personal que
no estn formalizadas
ejecuta el proceso
Asegurar que el personal cumple con sus
funciones y desempeo esperado en la Cumple
ejecucin del proceso.
Nivel de madurez actual: Proceso Incompleto (0) L
De acuerdo a la norma y a las actividades definidas para este proceso habilitador,

el nivel de madurez identificado es de uno (1), debido a la falta de aplicacin a la
seguridad de informacin lo cual impide tener polticas formales para gestin y
seguridad sobre recursos humanos.
El nivel interno alcanzado califica a un proceso Largely Achieved, el cual debido

a que son actividades manuales derivadas de otros procesos de mayor gestin
est por completar al siguiente nivel Full Achieved, logrando el escalamiento al
siguiente nivel de madurez.
311
El nivel de madurez objetivo establecido por la organizacin es llegar a un proceso

ejecutado. Aunque la brecha no es muy grande, falta formalizar la iniciativa de
seguridad de informacin y priorizar el enfoque hacia actividades cuya distancia
es mayor y tienen sobre esta necesidad de cumplimiento regulatorio.

actividad.
Identificar y recolectar datos para la No cumple, la gestin de
identificacin, anlisis y comunicacin de los riesgos forma parte de un
riesgos de seguridad de informacin. proyecto futuro.
Recopilar datos

materializ el riesgo. Identificar el impacto en el No cumple
negocio.
Cumple
factores de riesgo asociados al proceso.
No cumple
Analizar el riesgo
proceso e identificar cules de ellos puedan No cumple

requerir una repuesta al riesgo
No cumple
Definir e implementar evaluaciones y
estrategias de respuesta frente a los riesgos del No cumple
Expresar el riesgo
Informar los resultados del anlisis de riesgos a

los stakeholders sobre el proceso en trminos
No cumple
adecuados y entendibles para soportar
Informar el perfil del riesgo a los stakeholders No cumple
312
junto con la efectividad del proceso de
identificacin y los controles asociados.
Identificar oportunidades de TI para aceptar un
mayor riesgo e incrementar la capacidad de
gestin.
Monitorear continuamente los riesgos de
seguridad de informacin del proceso y verificar

No cumple
que el riesgo este alineado con el apetito y
gestin de riesgos
tolerancia al riesgo.
Definir conjunto de propuestas para reducir el
riesgo o proyectos para incrementar las
No cumple
oportunidades estratgicas y retorno de
beneficios.
Responder al

riesgo
No cumple
recomienda aplicar en este caso la norma
ISO/IEC 27002:2013.
Tabla 10.1.40 Identificacin. Evaluacin de cumplimiento para proceso habilitador APO12



313

actividad.
mantener un
Establecer y
SGSI. En este caso determinar cmo alinea el

SGSI
No cumple
proceso de identificacin con los que soportan
el SGSI.
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de informacin

proceso.
No cumple
y supervisin de procedimientos se seguridad y
de eventos dentro del proceso de egreso y la
respuesta No cumple a incidentes.

igual a cero (0).
314
El objetivo establecido para la siguiente iteracin es un proceso ejecutado, debido

a que sobre este proceso de negocio no forma parte del SGSI, pero si debe de
tomarse en cuenta la declaracin de aplicabilidad y estrategias para la gestin de
los requerimientos de seguridad de informacin que aplican sobre l.

actividad.

al proceso de identificacin.
Asegurar que los stakeholders se comprometan

a supervisar proyectos enfocados a la No cumple
proyectos y aplicar las mejoras que se
Cumple
que incluya los controles que deben ser

No cumple
implementados. Asignar a los responsables que
los implementen en el proceso de identificacin.
identificar e implementar requerimientos de No cumple
actualizacin de acuerdo al proyecto y el Cumple
proceso asociado.
Integrar la seguridad de informacin al proyecto
proyectos
Planificar
e identificar medidas u oportunidades No cumple

tecnolgicas.
315
Cumple
dependencias, asegurando que los cambios en Cumple
uno se reflejen en los dems.
Registrar los riesgos de seguridad de Cumple, se gestionan con
informacin y las acciones correctivas. Revisar una matriz de riesgo para
y actualizarlos peridicamente. el mbito de proyectos

al programa y proceso de identificacin.
No cumple
Alinearlos a procedimientos y estndares de
gestin de proyectos.

No cumple
de forma efectiva.
requerimientos de desempeo para verificar el Cumple
avance.
Tabla 10.1.42 - Identificacin. Evaluacin de cumplimiento para proceso habilitador BAI01
Nivel de madurez actual Proceso Incompleto (0) P
Segn la norma ISO/IEC 15504 se determina un nivel de madurez igual a cero (0)
producto de la falta de un enfoque de seguridad de informacin que abre una
brecha respecto de cmo gestionar los proyectos de acuerdo a un requerimiento
de seguridad de informacin. Se evidencia la aplicacin de sub-actividades de
gestin y mejoras en el proceso. Por ello su calificacin es Partially Achieved.

prcticas de gestin dentro de la cartera de proyectos.
316

actividad.
Asegurar que los cambios dentro del proceso No cumple, no hay
de identificacin se alinean a las polticas de requerimientos de
seguridad de informacin y de acuerdo a la ley seguridad ni alineamiento
Evaluar, priorizar y autorizar peticiones de cambio
de proteccin de datos personales y la ley de con la ley de proteccin de

emergencia. datos personales
cambios dentro del proceso y verificar cmo No cumple
estos afectan a la seguridad de informacin.
los dueos del proceso de negocio de
Cumple
identificacin del paciente. Evaluar los tipos de
cambios para esta validacin.
Considerar el impacto de los cambios en el
proceso de acuerdo a los requerimientos de No cumple
Desarrollar medidas para atender cambios de No cumple, pero se
emergencia en el proceso de identificacin a identifican medidas de
nivel de la seguridad de informacin. cambio de emergencia.

Registrar y mantener un registro de riesgos de
Supervisar los cambios de emergencia en el
proceso de identificacin y realizar las No cumple
revisiones post-implantacin.
Hacer seguimiento e informar

No cumple
cambios de estado
cambio dentro del proceso de acuerdo a las

Elaborar informes respecto a los cambios en
seguridad de informacin a nivel de proceso. No cumple
317
De acuerdo a la norma ISO/IEC 15504, se determina que el nivel de madurez para

este proceso habilitador es igual a cero (0), debido a las fallas producto de la falta
de la formalizacin de estrategias y funciones de seguridad de informacin
incluyendo los anlisis de riesgos.
Tomando en cuenta la evidencia recolectada sobre el cumplimento de las sub-

actividades se determina que el nivel interno de madurez califica a un proceso
Not Achieved.
El nivel de madurez objetivo para este proceso habilitador es de uno (1), el cual
ser revisado en la siguiente iteracin de gobierno de TI, esperando formalizar las
prioridades y autorizaciones de cambio de acuerdo a la seguridad de informacin.

actividad.
Identificar los activos del proceso de Cumple, pero no se enfoca
identificacin del paciente y los requerimientos a la seguridad de
de seguridad asociados. informacin

Identificar la criticidad de los activos dentro del
Cumple
proceso.
Identificar si los activos del proceso cumplen
No cumple
con los aspectos de seguridad de informacin.
encuentran en condiciones tiles para soportar Cumple. El valor se
dicho proceso y si es que genera valor al muestra a nivel contable.
negocio.
Identificar qu activos del proceso pueden ser
Gestionar
crticos
activos
considerados como crticos. Supervisar su Cumple

rendimiento por medio de evaluaciones o
318
planes en los que se definan las polticas de
reparacin o reemplazo.
cumplan los niveles de seguridad de No cumple
informacin establecidos para el proceso.
Establecer las polticas para el cambio de estos
activos crticos de acuerdo a los riesgos de
No cumple
seguridad de informacin previamente
identificados.
de informacin relacionados a los activos que
No cumple
soportan el proceso de identificacin del

paciente hospitalizado.
Gestionar activos desde su adquisicin hasta Se gestionan los activos
su eliminacin de forma segura y con la pero no se siguen
aprobacin de los interesados, siguiendo los lineamientos de seguridad
lineamientos de seguridad de informacin. de informacin
informacin se apliquen a los activos durante No cumple
Segn los requerimientos de la norma ISO/IEC 15504 y la evaluacin de este

proceso habilitador, se seala que alcanza un nivel de madurez igual a cero (0),
ya que no existe un alineamiento entre los requerimientos de seguridad de
informacin y la gestin de activos que manejan informacin sensible, adems de
la falta de aplicacin a la ley de proteccin de datos personales.

319

alinear los requerimientos de seguridad de informacin a los activos del proceso
de negocio.

actividad.
Definir esquemas de clasificacin
de incidentes y solicitudes de

reconocimiento del impacto en caso se
servicio
materialicen dentro del proceso. No cumple

Registrar, clasificar y priorizar
relacionados a seguridad de informacin del

solicitudes e incidentes
No cumple

e incidentes para elementos frecuentes de

manera que sean atendidos en menor tiempo.
No cumple
Identificar posibles soluciones temporales o

diagnosticar y
Investigar,
incidentes
permanentes para los incidentes de seguridad No cumple, no se

localizar
de informacin, asignar su tratamiento a los documentan

especialistas respectivos.
320

restablecer el proceso de identificacin Cumple
completamente.
Documentar la resolucin e identificar si es
temporal o permanente para tomarlo en cuenta No cumple
a futuro.
Seguir el estado y emitir informes
informacin, el anlisis y seguimiento de estos,

No cumple
existentes.
Cumple, pero solo se
comunica a gerencia
continua.
Tabla 10.1.45 - Identificacin. Evaluacin de cumplimiento para proceso habilitador DSS02

habilitador, es igual a (cero), debido a que no se identifica ni clasifican los
incidentes de seguridad de informacin ni medidas para mitigacin o investigacin
alrededor de estos.

de sus actividades entregadas, es Not Achieved.

funcin.
321

actividad.
Mantener una estrategia de
eventos de informacin que afecten la Cumple

continuidad del proceso.
continuidad

No cumple
resiliencia.
Definir los procedimientos de recuperacin
respuesta a la continuidad de negocio
para reanudar el proceso de identificacin y

Desarrollar e implementar una
que cumpla con los requerimientos de

seguridad de informacin definidos.
No cumple

Revisar, mantener y
mejorar el plan de

continuidad
del negocio, por ello se debe incrementar el No cumple


establecer polticas para su gestin de acuerdo No cumple
a la ley de proteccin de datos personales.
recientes, y aquellas archivadas, de manera
No cumple
Evaluar la efectividad de las estrategias de
reanudacin
revisiones
Ejecutar
post-
acuerdo a los tiempos definidos en el anlisis No cumple

de impacto de negocio.
322
No cumple
proceso podr llevarse a cabo sin
inconvenientes ante cualquier evento.


Cabe resaltar que este proceso es transversal al proceso de admisin, atencin y
egreso, por lo tanto algunas estrategias de estos tres aplicarn sobre este ltimo.


actividad.
frente a software malicioso las estaciones o

malicioso
identificacin. Concientizar al usuario sobre el

empleo de estas.
Filtrar el trfico entrante de informacin como Cumple
323
correos electrnicos y descargas para
Gestionar la seguridad de los puestos de usuario final

criticidad.
correcta y segura en las estaciones del
Cumple
personal que ejecuta el proceso de
identificacin.
Implementar mecanismos de bloqueo en los
Cumple
dispositivos.
Cumple
de forma segura.
Segn los requerimientos del proceso,
del usuario y el acceso
Gestionar la identidad
mantener los derechos de acceso Cumple

lgico

Cumple
privilegiadas.
eliminacin y destruccin de los brazaletes de No cumple

identificacin.
identificacin.
involucrados durante el proceso.
apropiadas sobre documentos y activos No cumple
sensibles empleados para identificar pacientes.
Nivel de madurez actual: Proceso Incompleto (0) - L

324
entregados no se alinean ni responden de acuerdo a necesidades formalizadas y
establecidas de seguridad de informacin y la ley de proteccin de datos
personales.

de sus actividades entregadas, es Largely Achieved, debido a la capacidad de
mejora del proceso.

325

Lepage Diana Modelo Gobierno Ti Seguridad Informacion Empresas Prestadoras Servicios Salud Cobit 5.0 Anexos PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Lepage Diana Modelo Gobierno Ti Seguridad Informacion Empresas Prestadoras Servicios Salud Cobit 5.0 Anexos PDF

Загружено:

Авторское право:

Доступные форматы

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

DISEO DE UN MODELO DE GOBIERNO DE TI CON

Tesis para optar el Ttulo de Ingeniera Informtica que presenta el bachiller:

Diana Estefana Lepage Hoces

ASESOR: Moiss Antonio Villena Aguilar

Lima, Abril del 2014

ANEXO A: CARTA DE CONFORMIDAD DE LA EMPRESA ...................................................... 1

1.1 CARTA ............................................................................................................................... 1

2.1 COBIT 5.0: DESCRIPCIN DE FASES DE GOBIERNO DE TI .................................................... 2

3.1 MAPEO DE OBJETIVOS ORGANIZACIONALES CON OBJETIVOS DE TI ....................................... 25

4.1 MAPEO DE OBJETIVOS DE TI Y SUS PROCESOS HABILITADORES ........................................... 38

5.1 PROCESO: ADMISIN DE PACIENTES .................................................................................. 59

6.1 DOCUMENTOS APROBADOS ............................................................................................... 67

7.1 ACTIVIDADES DE GESTIN COBIT 5.0 BAJO EL ENFOQUE DE SEGURIDAD DE INFORMACIN .. 82

8.1 MAPEO ACTIVIDADES DE GESTIN A NORMA ISO/IEC 27002:2013 ................................... 184

9.1 ESTRUCTURA ................................................................................................................. 189

10.1 EVALUACIN DE NIVEL DE MADUREZ DE LOS PROCESOS HABILITADORES ....................... 224

Tabla 3.1.1 - Objetivos de TI identificados para objetivo organizacional 2 ................................................. 27

Figura 1.1.1 - Copia de carta de conformidad y evidencia de trabajo de campo .......................................... 1

Figura 1.1.1 - Copia de carta de conformidad y evidencia de trabajo de campo

2.1 COBIT 5.0: Descripcin de fases de Gobierno de TI

Estas siete fases se describen a continuacin [ISACA, 2012c]:

Fase 2 - Dnde nos encontramos ahora?: Alinea los objetivos relacionados

Fase 3 - Dnde queremos estar?: Establece un objetivo de mejora seguido de

Fase 5 - Qu hacer para llegar ah?: En esta fase se prev la implementacin

Fase 6 - Llegamos ah?: Esta fase se centra en la transicin sostenible de la

Fase 7 - Cmo podemos mantener el impulso?: Comprende la revisin sobre

2.2 COBIT 5.0: Descripcin de procesos habilitadores

Figura 2.2.1 COBIT 5.0. Procesos habilitadores. [ISACA, 2012b]

Alinear, Planear y Organizar (APO)

Construir, Adquirir e Implementar (BAI)

Entrega, Servicio y Soporte (DSS)

Monitorear, Evaluar y Medir

2.3 COBIT 5.0: Descripcin de niveles de madurez

3.1 Caso de Negocio

Las empresas prestadoras de servicio de salud, en particular con la cual se desarrolla

La necesidad del negocio es encontrar los recursos y capacidades necesarias para

Los drivers1 del cambio identificados son:

Entre las necesidades de negocio y entregables deseados se tienen:

Para llevar a cabo la nueva solucin, se requiere segn el contexto, desarrollar el

Anlisis de costos e inversin: Resumen

Consideraciones y otros datos a asumir:

Hora de consultora 80 100 90

Criterios Opcin 1 Opcin 2 Opcin 3

Se recomienda que se realice una evaluacin exhaustiva a travs de cuadros de

Considerando la necesidad de llevar a cabo planes estratgicos y se busca una

El proyecto debe gestionarse a lo largo de su duracin. Se estima que la

Los riesgos son gestionados dentro de un sistema de gobierno de TI cumpliendo con

Finalmente, para medir el rendimiento de la inversin realizada y del proyecto en

4.1 Mapeo de fases de Gobierno de TI

4.1.1 Fase 1: Cules son los drivers?

Gestin del Programa de gobierno: Inicio

Se establece el comit estratgico responsables de esta iniciativa as como se

Habilitar el cambio: Establecer el deseo de cambio

Entre los principales stakeholders, se reconoce la necesidad de establecer un comit

Mejora continua del ciclo de vida: Reconocer la necesidad de actuar

El comit reconoce que es necesario aplicar medidas y nuevas polticas para la

Recabando la informacin sobre los las necesidades de los stakeholders, documentos

Recursos: Necesidad de integrar servicios que cubran las necesidades y de

Tabla 4.1.1 - Mapeo Fase 1 del ciclo de vida de gobierno

4.1.2 Fase 2: Dnde estamos?

Gestin del Programa de gobierno: Describir los problemas y oportunidades