Caso Practico “Otros Modelos de Gestión” – LEPA 1

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

LUIS EDGAR PÉREZ AYALA

* DANIEL ANDRÉS RODRIGUEZ

CORPORACIÓN UNIVERSITARIA DE ASTURIAS

PROGRAMA ADMINISTRACIÓN Y DIRECCIÓN DE EMPRESAS
GESTIÓN POR PROCESOS Y OTROS MODELOS DE GESTIÓN
BOGOTÁ
2019
 Caso Practico “Otros Modelos de Gestión” – LEPA 2

Introducción

La información es el principal activo de muchas organizaciones y precisa ser protegida

adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio.

En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez
más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales
pueden dañar considerablemente tanto los sistemas de información como la información
procesada y almacenada

(ISO 27000.es, 2019)

 Caso Practico “Otros Modelos de Gestión” – LEPA 3

Enunciado.

Empresa certificada acorde a la norma ISO 9001:200/, ISO 14001:2004 y OHSAS

18001:2017, decide dar un paso más integrando un sistema de gestión para la gestión de
seguridad de la información.

FRATERNIDAD LA PAZ, Mutua de Accidentes de Trabajo y Enfermedades Profesionales

de la Seguridad Social quiere implantar un Sistema de Gestión de Seguridad de la Información
(SGSI) de acuerdo con la norma ISO UNE/IEC 27001:2007 que complemente a los ya obtenidos
de Calidad (ISO 9001:2008), Gestión ambiental (ISO 14001:2004) y Seguridad y Salud en el
Trabajo (OHSAS 18001: 2007) y que una empresa externa se lo Certifique.

Para ello celebraron una reunión en la que analizaron los pros y los contras de esta norma, y
entre los argumentos que se esgrimieron a favor estaban:

1. Ventaja de comercialización en el mundo de globalización pues asegura que la

organización administra información sensible de sus clientes.
2. Gestión empresarial eficiente pues controla los activos de la información, controla el
acceso a los sistemas de información, etc.
3. Disminución de costes derivados por incidentes en esta materia.
4. etc.

Pero surgió una discusión sobre que al ser una Mutua de Accidentes de Trabajo entre cuyas
funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora. Por tanto, uno de sus
activos más críticos es el conjunto de historias clínicas de los trabajadores accidentados y en
general pacientes atendidos en sus instalaciones sanitarias y se aseguraría más la confidencialidad
de dichos datos, puesto que ya tenían establecidas por la LOPD unas medidas de Seguridad de
Nivel Alto.
 Caso Practico “Otros Modelos de Gestión” – LEPA 4

Preguntas sobre el tema.

- ¿Sería factible la Integración de este Sistema de acuerdo con la norma ISO UNE/IEC
27001:2007 y con los otros referenciales ya certificados?
- ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?
- ¿Se aseguraría más la Confidencialidad de sus activos más críticos?
- ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la seguridad de la
información?

(Otros Modelos de Gestión, 2019)

 Caso Practico “Otros Modelos de Gestión” – LEPA 5

Solución.

- ¿Sería factible la Integración de este Sistema de acuerdo con la norma ISO UNE/IEC
27001:2007 y con los otros referenciales ya certificados?

ISO 27001 ha sido redactada de forma análoga a otros estándares, como ISO 9001 (Calidad),
ISO 14001 (Medio Ambiente) y OHSAS 18001 (prevención de riesgos), con el objetivo, entre
otros, de facilitar a las organizaciones la integración de todos ellos en un solo sistema de gestión.

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En
el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la
organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la
información, la calidad, el medio ambiente o cualquier otra.

(Blog SGSI, 2015)

- ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

FRATERNIDAD LA PAZ, si puede certificarse según la Norma UNE-ISO/IEC 27001, como

el resto de las normas aplicables a los sistemas de gestión, está pensada para que se emplee en
todo tipo de organizaciones (empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin
importar el tamaño o la actividad.

(AEC, 2019)

- ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

La seguridad de datos, también conocida como seguridad de la información o seguridad

informática, es un aspecto esencial de TI en organizaciones de cualquier tamaño y tipo, como
FRATERNIDAD LA PAZ. Se trata de un aspecto que tiene que ver con la protección de datos
contra accesos no autorizados y para protegerlos de una posible corrupción durante todo su ciclo
de vida.

(Seguridad de la Información, 2019)

 Caso Practico “Otros Modelos de Gestión” – LEPA 6

- ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la seguridad
de la información?
La seguridad de la información, según la ISO 27001, se basa en la preservación de su
confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento.
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de esta
por parte de los individuos o procesos autorizados cuando lo requieran.
Para ayudar a interpretarla la ISO 27001, existe la guía UNE-ISO/IEC 27002:2009 de
“Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de
la información”, que es su par coherente pero que no es certificable.
(MINTIC, 2018)
 Caso Practico “Otros Modelos de Gestión” – LEPA 7

Conclusiones.

La empresa FRATERNIDAD LA PAZ, al implementar el sistema de gestión de riesgos de la

información cumplirá con los estándares internacionales y certificará sus procesos de seguridad
dado que identifico, gestiono y minimizo los riesgos que posee la seguridad de la información.

Al implementar un SGSI no depende solo del cumplimiento de los parámetros brindados por
la ISO 27001 e ISO 27005, sino es fundamental la participación de la alta dirección de la
empresa, porque ellos son los principales interesados en que sus procesos cumplan con las
medidas de seguridad que se exige.

Es importante generar una cultura de seguridad en los miembros de la empresa, porque los
cambios no siempre son aceptados con facilidad, esto con el fin de que el SGSI genere un alto
nivel de seguridad en sus procesos.

(Gestión por Procesos y Otros Modelos de Gestión, 2019)

 Caso Practico “Otros Modelos de Gestión” – LEPA 8

Referencias.
Otros Modelos de Gestión. (28 de Septiembre de 2019). https://www.centro-
virtual.com/campus/mod/scorm/player.php?a=3350&currentorg=ORG-81B0313A-492F-10D3-
0AD3-906C6E5A2B8C&scoid=7294.

Blog SGSI. (23 de Abril de 2015). https://www.pmg-ssi.com/2015/04/la-importancia-de-la-norma-iso-

27001/.

AEC. (27 de Septiembre de 2019). https://www.aec.es/web/guest/centro-conocimiento/norma-une-

isoiec-27001.

ISO 27000.es. (27 de Septiembre de 2019). http://www.iso27000.es/iso27000.html.

Seguridad de la Información. (28 de Septiembre de 2019). https://www.uv.mx/celulaode/seguridad-

info/tema1.html.

MINTIC. (05 de Marzo de 2018). https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-

Seguridad/.

Gestión por Procesos y Otros Modelos de Gestión. (28 de Septiembre de 2019). https://www.centro-
virtual.com/campus/course/view.php?id=39.