SlideShare una empresa de Scribd logo

REVISTA CISALUD Uso de estandares

Fabián Descalzo
Fabián Descalzo

A la búsqueda de estándares para una mejora del servicio La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender.

Liderazgo y gestión
1 de 5
Descargar para leer sin conexión
Procesos, Calidad y Cumplimiento A la búsqueda de estándares para una mejora del servicio La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender. El objetivo de conseguir mejores resultados en la prestación de servicios nace a partir de la planificación estratégica de la empresa, y para ello, esta planificación debe estar sustentada por una Política Corporativa que incluya en forma expresa las pautas de calidad, gobernabilidad de la tecnología y seguridad de la información. El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio ¿Nos permite ver en forma completa otros subprocesos asociados? ¿Necesariamente podré indicar que el proceso principal y cada uno de sus subprocesos están debidamente asegurados desde su funcionalidad hasta los servicios tecnológicos que le dan soporte, permitiendo alcanzar los objetivos de calidad y cumplimiento? Como principal ventaja, el empleo de estándares le permite revisar cada proceso de la Organización, ya sea funcional o tecnológico, ajustándolo así a las necesidades propias del Negocio en función de su entorno de gestión. Debido a ello, es que la decisión estratégica de adoptar estándares surge de la necesidad de mejorar los procesos de Negocio para facilitar el cumplimiento de leyes y regulaciones, ajustándolos a sus Políticas Corporativas. Los estándares son una herramienta que le Leyes y Regulaciones del Negocio permite contar con un Sistema de Gestión Integral, enfocado a la Calidad, Gobernabilidad y Adopción de estándares Seguridad. El Gobierno de IT y la Seguridad de la Políticas, Normas y Procedimientos Información son los principales servicios para obtener de forma indefectible Calidad en las prestaciones que brindamos a nuestros Proceso Funcional Pacientes y Afiliados y Calidad al brindar un entorno seguro de trabajo a nuestros Médicos y Proceso de Servicios Tecnológicos y de Seguridad al Negocio Prestadores referente a la información y procesos Áreas de Negocio funcionales claros y registrados adecuadamente. Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares. Para nuestro ejemplo podemos tomar tres estándares certificables que pueden ser implementados en cualquier tipo de organización elaborados por la Organización Internacional para la Estandarización (ISO), y utilizando su combinación le ayuda a “Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares.” © 2013 CYBSEC 1
cumplimentar un Sistema de Gestión Integral: ISO 9.001 Norma que permite establecer una gestión de la calidad bajo una estructura operacional de trabajo, bien documentada e integrada a los procedimientos técnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de la organización de manera práctica y coordinada y que asegure la satisfacción del cliente y bajos costos para la calidad. ISO/IEC 20.000 Orientada a una entrega efectiva de los servicios de TI como base crucial para el soporte a procesos de Negocio en las empresas, tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de Gestión de Servicios de IT (GSTI). ISO/IEC 27.001 Estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Involucra a todos los procesos, tecnológicos o no, en los cuales se tratan los datos abarcando todo su ciclo de vida. Cada una de estas Normas son aplicables a cualquier tipo de organización y de cualquier sector, y cuya estandarización organizativa se basa en el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer una diferencia entre estos estándares y otros indicadores de buenas prácticas, ya que en ellas se establecen controles y pautas de medición que permiten su auditabilidad y análisis de la madurez del Sistema de Gestión supervisando continuamente su rendimiento y mejora frente a un conjunto establecido de requisitos. Es importante que sepa que independientemente de elegir certificar en uno solo de los estándares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro ya que son complementarios desde una visión orientada al aseguramiento de la calidad en los procesos de negocio. Como muestra de ello podemos ver como la mayoría de los estándares se apoyan en los conceptos de documentación de 9001, y el COBIT en su versión 5 e ITIL 2011 han integrado a sus módulos la seguridad de la información relacionando la integridad y disponibilidad, además de los aspectos de confidencialidad de la misma. “El empleo de estándares En lo relacionado a los servicios de salud, e para normalizar nuestros independientemente de la responsabilidad a nivel legal procesos ayudará a ordenar respecto de la confidencialidad de los datos de los todas las actividades Afiliados, el empleo de estándares para normalizar asociadas a la Integridad y nuestros procesos ayudará a ordenar todas las Disponibilidad de la actividades asociadas a la Integridad y Disponibilidad de información médica” © 2013 CYBSEC 2
la información médica, permitiendo el tratamiento adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso de fallas en los procesos funcionales o tecnológicos que soportan al servicio médico. Implementar estándares asociados al Gobierno, Riesgo y Cumplimiento permite la integración y orquestación de Sistemas de Gestión que aporten valores de calidad y seguridad a los procesos funcionales y tecnológicos para convertir a la Institución más fiable, íntegra y con buena reputación. Esta implementación requiere de un apoyo concreto de la Dirección y Alta Gerencia no solo a través de las Políticas publicadas y la gestión diaria, sino también a través de un acompañamiento en cada una de las actividades relacionadas con los controles internos haciendo cumplir los requisitos de gestión y continuidad de la prestación de servicios y respetar las leyes y normativas que sean de aplicación para los servicios de salud, lo que permite demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su información es primordial. Bajo este apoyo es que iniciará las actividades relacionadas con la implementación, fijando el alcance que le dará al identificar aquel Servicio que quiera certificar o bien aplicarle un estándar para ponerlo bajo un Sistema de Gestión. Este alcance debe ser provisto por la Dirección y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en su Plan de Negocios. Como resultante de ello, definirá un Comité que tendrá a cargo la coordinación de las actividades de implementación. Como primera medida contemple dos hitos de definición importantes. Como primera medida, establecer un glosario o “idioma” a través del cual se convenga un vocabulario propio a utilizar tanto en los documentos como en las diferentes comunicaciones. Esto es importantísimo, ya que personalmente considero que gran parte del éxito está basado en que todos hablemos un mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en Normas, Procedimientos, mails de comunicación de políticas o de campañas de concientización, etc. Al momento de iniciar la implementación de estándares, la buena comunicación interna aporta un valor positivo (más que agregado) para: 1. Cumplir objetivos regulatorios del Negocio 2. Claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnológicos 3. Facilitar la coordinación de los diferentes equipos al establecer roles específicos ante proyectos de respuesta al Negocio y así crear ambientes colaborativos con pautas claras y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio. Recomendación; cada vez que decida iniciar un proyecto, identifique una fase de capacitación para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, © 2013 CYBSEC 3
comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática) El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y subprocesos involucrados en el Servicio a gestionar, y a partir de allí asociar los siguientes puntos clave: · Responsables dentro de cada proceso del Servicio · Relación funcional entre cada proceso, con sus puntos de contacto · Actividades principales involucradas en cada proceso del Servicio · Soporte de servicios tecnológicos utilizados para cada actividad principal identificada (aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir luego) · Identificación de riesgos asociados a cada proceso del Servicio, basado en cada una de sus actividades y servicios tecnológicos asociados que nos ayudará a desarrollar la Matriz de Riesgos vinculada directamente con el Servicio a gestionar. · Marco Normativo (Normas y procedimientos existentes) o documentación asociada a los procesos del Servicio Este relevamiento inicial le aporta la información necesaria para poder trazar un mapa integral relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan calidad, seguridad y gobernabilidad a través del empleo de los estándares adoptados. Este mapa puede asemejarse al gráfico que se acompaña, que responde al empleo de una solución integral de GRC (Governance, Risk & Compliance) como concepto de implementación de un Sistema de Gestión Integral orientada al Negocio. © 2013 CYBSEC 4
Una vez concebido este mapa y teniendo en claro con qué cuenta y con qué debería contar puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya que en el mapa puede relacionar ambos dominios con: · Una gestión de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada parte integrante del mismo, ya sea funcional o tecnológico; cuáles son los puntos de control; definir donde es necesario obtener registros/pistas de auditoría y de que tipo; identificar el tipo de servicio tecnológico para securitizarlo debidamente permitiendo la confidencialidad, integridad y disponibilidad de datos, verificar si la asignación de roles está debidamente segregada, · Si la documentación obtenida y utilizada es insuficiente para el cumplimiento legal y regulatorio, o bien si no es la adecuada para los procesos identificados; qué debe cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del proceso para que pueda ser gestionada adecuadamente y se alinee al estándar adoptado, adecuar los medios de capacitación al personal técnico y usuarios finales, fijar el método documental basado en el Servicio gestionado. Esta metodología de trabajo le permite minimizar el esfuerzo de reorganización o desarrollo para el alcance de los objetivos en la aplicación de un Sistema de Gestión Integral basado en estándares, le permite organizar mejor el proceso de evaluaciones a aquellas áreas dedicadas a la revisión de controles o auditorías internas y dar una respuesta más eficaz a las auditoría externas o de certificación. Y principalmente le permite asegurar a sus Afiliados y Prestadores que a través de su Institución brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la atención de la salud. Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3- 2011 y auditor ISO 20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio. CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com. © 2013 CYBSEC 5

Recomendados

Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...Fabián Descalzo
 
Sistemas de gestion de la calidad
Sistemas de gestion de la calidadSistemas de gestion de la calidad
Sistemas de gestion de la calidadJoatam Hernandez
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Christian Cruz
 
ISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TIISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TIascêndia reingeniería + consultoría
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL Carlos R. Adames B.
 
Cap16 eq7
Cap16 eq7Cap16 eq7
Cap16 eq7ereuff89
 
Res cap16 eq7
Res cap16 eq7Res cap16 eq7
Res cap16 eq7RUBYMARQUEZ
 
9-Unidad 3: Procesos TI-3.1 ISO 20000
9-Unidad 3: Procesos TI-3.1 ISO 200009-Unidad 3: Procesos TI-3.1 ISO 20000
9-Unidad 3: Procesos TI-3.1 ISO 20000Luis Fernando Aguas Bucheli
 

Recomendados

Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...
Revista CISALUD N°10 - Calidad y cumplimiento - Estandares para una mejora de...Fabián Descalzo
 
Sistemas de gestion de la calidad
Sistemas de gestion de la calidadSistemas de gestion de la calidad
Sistemas de gestion de la calidadJoatam Hernandez
 
Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Metodos ITIL, COBIT, BS15000
Metodos ITIL, COBIT, BS15000Christian Cruz
 
ISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TIISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TIascêndia reingeniería + consultoría
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL Carlos R. Adames B.
 
Cap16 eq7
Cap16 eq7Cap16 eq7
Cap16 eq7ereuff89
 
Res cap16 eq7
Res cap16 eq7Res cap16 eq7
Res cap16 eq7RUBYMARQUEZ
 
9-Unidad 3: Procesos TI-3.1 ISO 20000
9-Unidad 3: Procesos TI-3.1 ISO 200009-Unidad 3: Procesos TI-3.1 ISO 20000
9-Unidad 3: Procesos TI-3.1 ISO 20000Luis Fernando Aguas Bucheli
 
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Fabián Descalzo
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Rosmelys Ponce
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000ascêndia reingeniería + consultoría
 
“Normativas y Procesos”
“Normativas y Procesos”“Normativas y Procesos”
“Normativas y Procesos”Mxtel
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de procesoAutoridad Nacional de Asuntos Maritimos
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Marlon A. Molina
 
Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...Inteli
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Aranda Software
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Rubén Darío Layme Velásquez
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Universidad de Guadalajara
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGSPrimala Sistema de Gestion
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB
 
Iso's
Iso'sIso's
Iso'sBeto Vega
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000itService ®
 
Business Continuity Plan (BCP)
Business Continuity Plan (BCP)Business Continuity Plan (BCP)
Business Continuity Plan (BCP)SIA Group
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
ISO 20000
ISO 20000ISO 20000
ISO 20000Jan Sanchez
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itilfundamentosTI
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Marlon A. Molina
 
Sistema de gestión de la calidad
Sistema de gestión de la calidadSistema de gestión de la calidad
Sistema de gestión de la calidadGabriel Lopez
 
To Blog Or Not To Blog
To Blog Or Not To BlogTo Blog Or Not To Blog
To Blog Or Not To Blogguesta81bdc
 
Whitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurderWhitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurderPascal Hogenboom
 

Más contenido relacionado

La actualidad más candente

Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Fabián Descalzo
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Rosmelys Ponce
 
“Normativas y Procesos”
“Normativas y Procesos”“Normativas y Procesos”
“Normativas y Procesos”Mxtel
 
Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...Inteli
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Aranda Software
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Universidad de Guadalajara
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000itService ®
 
Business Continuity Plan (BCP)
Business Continuity Plan (BCP)Business Continuity Plan (BCP)
Business Continuity Plan (BCP)SIA Group
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadEdgardo Ortega
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itilfundamentosTI
 
Sistema de gestión de la calidad
Sistema de gestión de la calidadSistema de gestión de la calidad
Sistema de gestión de la calidadGabriel Lopez
 

La actualidad más candente (20)

Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
Sistema de Gestión de servicios de TI según la norma ISO/IEC 20000-1
 
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...Mejores Practicas para el manejo de Tecnología de Información en la organizac...
Mejores Practicas para el manejo de Tecnología de Información en la organizac...
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000
 
“Normativas y Procesos”
“Normativas y Procesos”“Normativas y Procesos”
“Normativas y Procesos”
 
Software de control de proceso
Software de control de procesoSoftware de control de proceso
Software de control de proceso
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...Ruta de implementación y principales novedades de la segunda edición de la No...
Ruta de implementación y principales novedades de la segunda edición de la No...
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.Estándares y mejores prácticas en el uso de TIC’s.
Estándares y mejores prácticas en el uso de TIC’s.
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGS
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
 
Iso's
Iso'sIso's
Iso's
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000
 
Business Continuity Plan (BCP)
Business Continuity Plan (BCP)Business Continuity Plan (BCP)
Business Continuity Plan (BCP)
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
ISO 20000
ISO 20000ISO 20000
ISO 20000
 
Tabla comparativa cobit vs itil
Tabla comparativa cobit vs itilTabla comparativa cobit vs itil
Tabla comparativa cobit vs itil
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Sistema de gestión de la calidad
Sistema de gestión de la calidadSistema de gestión de la calidad
Sistema de gestión de la calidad
 

Destacado

To Blog Or Not To Blog
To Blog Or Not To BlogTo Blog Or Not To Blog
To Blog Or Not To Blogguesta81bdc
 
Whitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurderWhitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurderPascal Hogenboom
 
Que hacer durante un sismo
Que hacer durante un sismo Que hacer durante un sismo
Que hacer durante un sismo Victor Zuñiga
 
Hacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidadHacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidadFabián Descalzo
 

Destacado (7)

To Blog Or Not To Blog
To Blog Or Not To BlogTo Blog Or Not To Blog
To Blog Or Not To Blog
 
Whitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurderWhitepaper tien topics voor de pensioenfondsbestuurder
Whitepaper tien topics voor de pensioenfondsbestuurder
 
P gs-01
P gs-01P gs-01
P gs-01
 
F1 !
F1 !F1 !
F1 !
 
Que hacer durante un sismo
Que hacer durante un sismo Que hacer durante un sismo
Que hacer durante un sismo
 
Hacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidadHacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidad
 
Tema 1 creatividad
Tema 1 creatividadTema 1 creatividad
Tema 1 creatividad
 

Similar a REVISTA CISALUD Uso de estandares

Diana plata tical uptc
Diana plata tical uptcDiana plata tical uptc
Diana plata tical uptcDiroplan
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitJackieHee27
 
08 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 200908 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 2009Pepe
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanasGloriaOrbegoso
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Sistema de gestión de calidad
Sistema de gestión de calidadSistema de gestión de calidad
Sistema de gestión de calidadEdwin Guzman
 
Introduccion
IntroduccionIntroduccion
Introduccionskywar
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoFabián Descalzo
 
Artículo Estándares de Calidad en los Sistemas de Información
Artículo Estándares de Calidad en los Sistemas de InformaciónArtículo Estándares de Calidad en los Sistemas de Información
Artículo Estándares de Calidad en los Sistemas de InformaciónArlu Flex
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadPedro Cobarrubias
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Pedro Cobarrubias
 

Similar a REVISTA CISALUD Uso de estandares (20)

Tarea-SGC
Tarea-SGCTarea-SGC
Tarea-SGC
 
Diana plata tical uptc
Diana plata tical uptcDiana plata tical uptc
Diana plata tical uptc
 
Ha2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobitHa2 cm40 morales m jacquelinne-cobit
Ha2 cm40 morales m jacquelinne-cobit
 
Modelos de Auditoría de Sistemas
Modelos de Auditoría de SistemasModelos de Auditoría de Sistemas
Modelos de Auditoría de Sistemas
 
Calidad en Proyectos de TI
Calidad en Proyectos de TICalidad en Proyectos de TI
Calidad en Proyectos de TI
 
08 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 200908 Global Knowledge Avanza 2009
08 Global Knowledge Avanza 2009
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanas
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
Sistema de gestión de calidad
Sistema de gestión de calidadSistema de gestión de calidad
Sistema de gestión de calidad
 
ITIL
ITILITIL
ITIL
 
Plantilla trabajo final
Plantilla trabajo finalPlantilla trabajo final
Plantilla trabajo final
 
ANALISIS COBIT
ANALISIS COBITANALISIS COBIT
ANALISIS COBIT
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
 
Introduccion
IntroduccionIntroduccion
Introduccion
 
La gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimientoLa gestión como apoyo al cumplimiento
La gestión como apoyo al cumplimiento
 
Artículo Estándares de Calidad en los Sistemas de Información
Artículo Estándares de Calidad en los Sistemas de InformaciónArtículo Estándares de Calidad en los Sistemas de Información
Artículo Estándares de Calidad en los Sistemas de Información
 
Modelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridadModelos y buenas prácticas de seguridad
Modelos y buenas prácticas de seguridad
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITIL
 
Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad Modelos y Buenas Prácticas de Seguridad
Modelos y Buenas Prácticas de Seguridad
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

REVISTA CISALUD Uso de estandares

  • 1. Procesos, Calidad y Cumplimiento A la búsqueda de estándares para una mejora del servicio La adopción de estándares nos permite disponer de una gestión que asegure nuestros procesos de Negocio y el tratamiento de los datos propios o de terceros. Su elección y como combinar sus bondades es el desafío a emprender. El objetivo de conseguir mejores resultados en la prestación de servicios nace a partir de la planificación estratégica de la empresa, y para ello, esta planificación debe estar sustentada por una Política Corporativa que incluya en forma expresa las pautas de calidad, gobernabilidad de la tecnología y seguridad de la información. El tener en claro esta necesidad y conocer el proceso funcional de nuestro Negocio ¿Nos permite ver en forma completa otros subprocesos asociados? ¿Necesariamente podré indicar que el proceso principal y cada uno de sus subprocesos están debidamente asegurados desde su funcionalidad hasta los servicios tecnológicos que le dan soporte, permitiendo alcanzar los objetivos de calidad y cumplimiento? Como principal ventaja, el empleo de estándares le permite revisar cada proceso de la Organización, ya sea funcional o tecnológico, ajustándolo así a las necesidades propias del Negocio en función de su entorno de gestión. Debido a ello, es que la decisión estratégica de adoptar estándares surge de la necesidad de mejorar los procesos de Negocio para facilitar el cumplimiento de leyes y regulaciones, ajustándolos a sus Políticas Corporativas. Los estándares son una herramienta que le Leyes y Regulaciones del Negocio permite contar con un Sistema de Gestión Integral, enfocado a la Calidad, Gobernabilidad y Adopción de estándares Seguridad. El Gobierno de IT y la Seguridad de la Políticas, Normas y Procedimientos Información son los principales servicios para obtener de forma indefectible Calidad en las prestaciones que brindamos a nuestros Proceso Funcional Pacientes y Afiliados y Calidad al brindar un entorno seguro de trabajo a nuestros Médicos y Proceso de Servicios Tecnológicos y de Seguridad al Negocio Prestadores referente a la información y procesos Áreas de Negocio funcionales claros y registrados adecuadamente. Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares. Para nuestro ejemplo podemos tomar tres estándares certificables que pueden ser implementados en cualquier tipo de organización elaborados por la Organización Internacional para la Estandarización (ISO), y utilizando su combinación le ayuda a “Satisfacción del Afiliado, Confiabilidad de Servicios y Eficiencia de los Procesos son los objetivos que deben movernos a la implementación de estándares.” © 2013 CYBSEC 1
  • 2. cumplimentar un Sistema de Gestión Integral: ISO 9.001 Norma que permite establecer una gestión de la calidad bajo una estructura operacional de trabajo, bien documentada e integrada a los procedimientos técnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de la organización de manera práctica y coordinada y que asegure la satisfacción del cliente y bajos costos para la calidad. ISO/IEC 20.000 Orientada a una entrega efectiva de los servicios de TI como base crucial para el soporte a procesos de Negocio en las empresas, tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de Gestión de Servicios de IT (GSTI). ISO/IEC 27.001 Estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Involucra a todos los procesos, tecnológicos o no, en los cuales se tratan los datos abarcando todo su ciclo de vida. Cada una de estas Normas son aplicables a cualquier tipo de organización y de cualquier sector, y cuya estandarización organizativa se basa en el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Esto permite establecer una diferencia entre estos estándares y otros indicadores de buenas prácticas, ya que en ellas se establecen controles y pautas de medición que permiten su auditabilidad y análisis de la madurez del Sistema de Gestión supervisando continuamente su rendimiento y mejora frente a un conjunto establecido de requisitos. Es importante que sepa que independientemente de elegir certificar en uno solo de los estándares mencionados, los otros dos deben formar parte para cubrir el cumplimiento del otro ya que son complementarios desde una visión orientada al aseguramiento de la calidad en los procesos de negocio. Como muestra de ello podemos ver como la mayoría de los estándares se apoyan en los conceptos de documentación de 9001, y el COBIT en su versión 5 e ITIL 2011 han integrado a sus módulos la seguridad de la información relacionando la integridad y disponibilidad, además de los aspectos de confidencialidad de la misma. “El empleo de estándares En lo relacionado a los servicios de salud, e para normalizar nuestros independientemente de la responsabilidad a nivel legal procesos ayudará a ordenar respecto de la confidencialidad de los datos de los todas las actividades Afiliados, el empleo de estándares para normalizar asociadas a la Integridad y nuestros procesos ayudará a ordenar todas las Disponibilidad de la actividades asociadas a la Integridad y Disponibilidad de información médica” © 2013 CYBSEC 2
  • 3. la información médica, permitiendo el tratamiento adecuado de los riesgos que ponen en peligro la vida de aquellos que debemos cuidar en caso de fallas en los procesos funcionales o tecnológicos que soportan al servicio médico. Implementar estándares asociados al Gobierno, Riesgo y Cumplimiento permite la integración y orquestación de Sistemas de Gestión que aporten valores de calidad y seguridad a los procesos funcionales y tecnológicos para convertir a la Institución más fiable, íntegra y con buena reputación. Esta implementación requiere de un apoyo concreto de la Dirección y Alta Gerencia no solo a través de las Políticas publicadas y la gestión diaria, sino también a través de un acompañamiento en cada una de las actividades relacionadas con los controles internos haciendo cumplir los requisitos de gestión y continuidad de la prestación de servicios y respetar las leyes y normativas que sean de aplicación para los servicios de salud, lo que permite demostrar a los Prestadores y Afiliados que la calidad de servicios y la seguridad de su información es primordial. Bajo este apoyo es que iniciará las actividades relacionadas con la implementación, fijando el alcance que le dará al identificar aquel Servicio que quiera certificar o bien aplicarle un estándar para ponerlo bajo un Sistema de Gestión. Este alcance debe ser provisto por la Dirección y Alta Gerencia como resultado de las diferentes estrategias adoptadas e incluidas en su Plan de Negocios. Como resultante de ello, definirá un Comité que tendrá a cargo la coordinación de las actividades de implementación. Como primera medida contemple dos hitos de definición importantes. Como primera medida, establecer un glosario o “idioma” a través del cual se convenga un vocabulario propio a utilizar tanto en los documentos como en las diferentes comunicaciones. Esto es importantísimo, ya que personalmente considero que gran parte del éxito está basado en que todos hablemos un mismo idioma y tengamos un mismo criterio para las definiciones y conceptos a expresar en Normas, Procedimientos, mails de comunicación de políticas o de campañas de concientización, etc. Al momento de iniciar la implementación de estándares, la buena comunicación interna aporta un valor positivo (más que agregado) para: 1. Cumplir objetivos regulatorios del Negocio 2. Claridad en los requerimientos operativos del Negocio y sus procesos manuales y tecnológicos 3. Facilitar la coordinación de los diferentes equipos al establecer roles específicos ante proyectos de respuesta al Negocio y así crear ambientes colaborativos con pautas claras y roles definidos que aporten a la concreción de los objetivos establecido por el Negocio. Recomendación; cada vez que decida iniciar un proyecto, identifique una fase de capacitación para el entendimiento de la operación, identificación de intervinientes, alcances y roles dentro del proyecto, necesidades de cumplimiento legal y de Negocio, y fundamentalmente las necesidades de servicio por parte de las áreas tecnológicas (IT, redes, © 2013 CYBSEC 3
  • 4. comunicaciones) y de seguridad (seguridad de la información, o bien seguridad física y seguridad informática) El otro gran punto es el identificar los recursos actuales estableciendo un mapa de procesos y subprocesos involucrados en el Servicio a gestionar, y a partir de allí asociar los siguientes puntos clave: · Responsables dentro de cada proceso del Servicio · Relación funcional entre cada proceso, con sus puntos de contacto · Actividades principales involucradas en cada proceso del Servicio · Soporte de servicios tecnológicos utilizados para cada actividad principal identificada (aplicativos inicialmente, lo relacionado con hardware y software de base va a surgir luego) · Identificación de riesgos asociados a cada proceso del Servicio, basado en cada una de sus actividades y servicios tecnológicos asociados que nos ayudará a desarrollar la Matriz de Riesgos vinculada directamente con el Servicio a gestionar. · Marco Normativo (Normas y procedimientos existentes) o documentación asociada a los procesos del Servicio Este relevamiento inicial le aporta la información necesaria para poder trazar un mapa integral relacionando cada proceso del Servicio con los servicios (valga la redundancia) que brindan calidad, seguridad y gobernabilidad a través del empleo de los estándares adoptados. Este mapa puede asemejarse al gráfico que se acompaña, que responde al empleo de una solución integral de GRC (Governance, Risk & Compliance) como concepto de implementación de un Sistema de Gestión Integral orientada al Negocio. © 2013 CYBSEC 4
  • 5. Una vez concebido este mapa y teniendo en claro con qué cuenta y con qué debería contar puede continuar con los siguientes dominios relacionados con Seguridad y Cumplimiento, ya que en el mapa puede relacionar ambos dominios con: · Una gestión de riesgos asociada al Servicio con una visibilidad amplia al reconocer cada parte integrante del mismo, ya sea funcional o tecnológico; cuáles son los puntos de control; definir donde es necesario obtener registros/pistas de auditoría y de que tipo; identificar el tipo de servicio tecnológico para securitizarlo debidamente permitiendo la confidencialidad, integridad y disponibilidad de datos, verificar si la asignación de roles está debidamente segregada, · Si la documentación obtenida y utilizada es insuficiente para el cumplimiento legal y regulatorio, o bien si no es la adecuada para los procesos identificados; qué debe cambiar o desarrollar para su Marco Normativo al documentar cada actividad y tarea del proceso para que pueda ser gestionada adecuadamente y se alinee al estándar adoptado, adecuar los medios de capacitación al personal técnico y usuarios finales, fijar el método documental basado en el Servicio gestionado. Esta metodología de trabajo le permite minimizar el esfuerzo de reorganización o desarrollo para el alcance de los objetivos en la aplicación de un Sistema de Gestión Integral basado en estándares, le permite organizar mejor el proceso de evaluaciones a aquellas áreas dedicadas a la revisión de controles o auditorías internas y dar una respuesta más eficaz a las auditoría externas o de certificación. Y principalmente le permite asegurar a sus Afiliados y Prestadores que a través de su Institución brinda servicios y condiciones de trabajo con la calidad y seguridad requerida para la atención de la salud. Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3- 2011 y auditor ISO 20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio. CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com. © 2013 CYBSEC 5