04a Libro Digital Curso SIGSI Primera Parte V Dic 31

Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD

Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 1 de 86
Seguridad de la Información en Servicios de Salud.

A. Presentación General. Objetivos y Saludo de Bienvenida.
El equipo docente y de producción de contenidos de esta Asignatura del Programa, se complace en
dar la bienvenida al proceso de formación y construcción de conocimiento de los participantes e invita
a cada uno a sacar el máximo provecho de los recursos pedagógicos y de la oportunidad única de
investigar y avanzar en el contexto de un trabajo colaborativo cuyos beneficios siempre trascienden
las expectativas, en la medida en que se profundicen y desarrollen los ejercicios de manera
personalizada, buscando la máxima rentabilidad en términos del retorno de la inversión traducido en
conocimientos, experiencias básicas de aplicación y perspectiva.
El curso (asignatura) presenta los principios, los conceptos, la

razón de ser y los elementos que fundamentan los Sistemas de
Gestión para la Seguridad de la Información, bajo un enfoque
que tiene en cuenta como fundamento las buenas prácticas y
directrices de la Familia de Normas ISO 27000, con una
perspectiva que incorpora el enfoque de procesos, la gestión de
riesgos de la Familia de Normas ISO 31000, y las
recomendaciones del estándar Británico e Internacional BS ISO
27799, con directrices específicas para el Sector Salud.
De esta manera la propuesta retoma los elementos de la

maestría asociados a los Sistemas de Gestión Integral,
proporcionando instrumentos, herramientas y medios para
facilitar la Planificación e Implementación de un Sistema de
Gestión de la Seguridad de la Información, que bajo el enfoque
estratégico único del negocio, y la administración integral de
riesgos, permita alinear el control y la dinámica de los procesos
de las organizaciones con los compromisos, políticas y
elementos de la filosofía de servicio que posibilitan una gestión
competitiva centrada en el éxito sostenible de los negocios, en
el ámbito de la Calidad, la Salud, la Seguridad Integral, el Medio
Ambiente y la Responsabilidad Social, y la Seguridad de la
Información QHSE - SI.
El diseño estructural de la asignatura considera cuatro bloques

de unidades temáticas que plantean la secuencia
correspondiente a:
1. La fundamentación, los conceptos, principios y elementos

básicos asociados a los Sistemas de Gestión, la
Seguridad de la Información, y el Sector Salud.
2. La familia de normas ISO 27000, La Acreditación y el
Marco Regulatorio en el Sector Salud.
3. La Gestión Integral de Riesgos y el enfoque por procesos,
como fundamento del SGSI.
4. La Implementación del SGSI en el contexto de un Sistema
Integral de Gestión para el Sector Salud.
Figura A.1 Blues para los Sistemas de Gestión
Integral y de Seguridad de la Información
Acrílico y Oleo, T. Torres y P. Poveda 2006
1
Unidad Temática 1: Fundamentación, Conceptos, Principios y Cronología asociada a los Sistemas

de Gestión y el Sector Salud. Tiene en cuenta los Términos y Definiciones generales, los Principios para
la Gestión de Seguridad de la Información, los Elementos de los Sistemas de Gestión y la Seguridad de la
información en la historia, la Gestión de Calidad en la Salud y los SGSI en Instituciones del Sector Salud, y
para terminar, un primer diagnóstico sin normas… pero fundamentado en los principios de los Sistemas
Integrales de Gestión y de la Seguridad de la Información.
Unidad Temática 2: La familia de normas ISO 27000, La Acreditación y el Marco Regulatorio en el
Sector Salud. Presentación de la Familia de Normas ISO 27000, teniendo en cuenta su Estructura Actual
y Proyecciones: Norma Base y Vocabulario, Normas de Requisitos. Normas Guía y Directrices, Normas
Guía de Aplicación Sectorial. Normas Guía Sectoriales. Norma ISO 27000:2014 Sistema de gestión de
seguridad de la información, Vocabulario y Resumen. Estructura Lógica de Requisitos de ISO 27001:2013,
y Marco de Certificación. Enfoque básico del Marco Regulatorio y Obligaciones del Sector Salud en cuanto
a Acreditación, Sistemas de Gestión y SI. El Imperativo racional de los Sistemas Integrales de Gestión.
Unidad Temática 3: La Gestión Integral de Riesgos y el enfoque por procesos, como fundamento
del SGSI: La perspectiva integral: Estrategia – Procesos – Riesgos. ISO 31000:2009 para la Gestión del
Riesgo. ISO 27005 de 2011como modelo particular de aplicación de la Gestión de Riesgos a los Sistemas
de Gestión de Seguridad de la Información. Herramientas para la Implementación de la Gestión del Riesgo
Unidad Temática 4: La Implementación del Sistema de Gestión de Seguridad de la Información, en
el contexto de un Sistema Integral de Gestión: La Ruta y las Herramientas para Implementar un SGSI.
ISO 27003:2010. Guía para la Implementación del SGSI. BS 27799:2008 Guía para la GSI en el Sector
Salud. Formulación del Proyecto de Implementación del SGSI: El Problema, los Entregables, la EDT, el
Cronograma, y las Herramientas. • Balance de Lecciones Aprendidas.
B. DESARROLLO Y EXPLICACIÓN DEL TEMA DE ESTUDIO

1. Introducción
Este programa de formación ha sido diseñado aplicando la metodología DACUM que por sus
siglas en inglés corresponde a “Developing an Curriculum”. En esta metodología, se configura
la estructura curricular de los programas objeto de formación, a partir de la identificación de las
funciones principales que debe asumir y por ende las competencias que debe desarrollar el
Magister, o el Especialista, para posteriormente, de acuerdo con estas competencias formular
la estructura de asignaturas y contenidos que den respuesta a este planteamiento.
Desde esta perspectiva, el diseño del currículum tiene como esencia el liderazgo, el trabajo en
equipo, el acuerdo de los procesos y el pensamiento sistémico (Tobón, 2005), en la búsqueda de
lograr dar respuesta a las necesidades de las organizaciones que en nuestro medio, requieren
profesionales con competencias, habilidades y métodos que soporten la configuración y
proyección de los Sistemas de Gestión de Seguridad de la Información, con una perspectiva
Integral QHSE-SI. En términos generales, la función clave que se quiere promover para quien
curse la asignatura, corresponde a:
Estar en capacidad de estructurar un Sistema de Gestión de la Seguridad de la Información

SGSI, de una Institución Prestadora de Servicios de Salud, a partir del Direccionamiento:
diagnóstico, planeación, realización de seguimiento y mejoramiento a los procesos del Sistema
de Gestión SGSI, fundamentado en la aplicación de las Buenas Prácticas de las Normas
Internacionales de la serie ISO 27000, para asegurar su adecuada configuración, y
proporcionar medidas de identificación y administración de los riesgos relacionados con la
seguridad de la información, en cuanto a confidencialidad, integridad y disponibilidad para los
activos de información que pueden ser empleados, generados o intervenidos desde los
diferentes procesos de la organización.
2
Este desafío que nos hemos trazado destaca la importancia de reforzar el pensamiento
sistémico, el enfoque de procesos y la focalización hacia los grupos de interés, como los
pilares fundamentales de todo SGSI, de tal manera que se promueva el fortalecimiento y
desarrollo de las competencias relacionadas con:
• COMPETENCIA INVESTIGATIVA: Gestionar el proceso de investigación para correlacionar los
principios y enfoque de las herramientas suministradas, con la realidad propia y la información
disponible, para aplicarla de manera coherente con las condiciones de la empresa seleccionada y
su SGSI.
• PROCESAMIENTO DE LA INFORMACIÓN Y CAPACIDAD DE PROPOSICIÓN: Procesar la
información obtenida a partir de la investigación y la aplicación de las herramientas y recursos
suministrados para formular alternativas de Implementación del SGSI en el contexto de la
organización seleccionada
• CONOCIMIENTO (SABER CONOCER): Adquisición de conocimientos relacionados con términos,
definiciones y requisitos de un Sistema de Gestión de Seguridad de la Información, teniendo en
cuenta las buenas prácticas planteadas en la familia de normas ISO 27000
• HABILIDADES (SABER HACER): Saber configurar un Modelo de Sistema de Gestión de la
Seguridad de la Información de una Institución Prestadora de Servicios de Salud, fundamentado en
la prevención y administración de los riesgos asociados a los activos de información.
• VALORES Y ACTITUDES (SABER SER): Formación en Valores y Principios Éticos, con
responsabilidad frente al cumplimiento de las normas locales e internacionales y su aplicación en
el contexto nacional para la seguridad de la información, tanto en las organizaciones del Sistema
Nacional de Salud, como en la interacción con los usuarios del servicio. Tiene Habilidades para el
Liderazgo. Maneja Buenas Relaciones Interpersonales Trabaja con otros de forma conjunta y de
manera participativa, integrando esfuerzos para la consecución de metas institucionales comunes.
Teniendo en cuenta estas premisas, el equipo de trabajo creado por el Ingeniero Pedro Pablo
Poveda Orjuela, con el apoyo de las firmas ASTEQ y QUARA TECH, y con una trayectoria de
más de 5 lustros en Consultoría, Formación y Sistemas de Gestión Empresarial en
Hispanoamérica, ha estructurado y puesto al servicio de la Universidad el presente programa.
En esta asignatura, nos ocuparemos de todo lo relacionado con el enfoque general de los
Sistemas de Gestión de Seguridad de la Información, observando los conceptos y los
principios que soportan su concepción, configuración, operación y despliegue empresarial, al
igual que la identificación de los diferentes grupos de interés y sus necesidades o
requerimientos particulares, para después abordar el tema correspondiente a la declaración y
cumplimiento del compromiso fundamental que deben asumir las organizaciones ante las
partes y ante sí mismas acerca de la prevención de los riesgos de seguridad de la información,
el cumplimiento de las obligaciones y los requisitos asociados, y la mejora continua en el
desempeño en seguridad de la información, fundamentado en la planificación directiva y
operacional .
NOTAS
 Teniendo en cuenta esta temática y el desarrollo de los diferentes módulos del programa y de
la asignatura, es pertinente que los participantes adquieran a través de sus fuentes, bibliotecas
y bases de datos legales y laborales de sus empresas, y/o de las entidades de normalización
respectivas, las Normas ISO 9000:2015, ISO 9001:2015, ISO 27001, e ISO 31000.
 Para efectos pedagógicos, los autores han puesto a disposición de los estudiantes una serie de
documentos, que fácilmente se consiguen en foros reconocidos de ISO como el foro 27k, o el
foro de gestión de riesgos, de los que se tiene autorización para tomar secciones básicas para
efectos de estudio, como son apartes de normas internacionales británicas BS-ISO, españolas
UNE, ecuatorianas, argentinas y australianas/neozelandesas como la serie AS NZ 4360, y
algunas de la familia ISO 31000 e ISO 27000, que dada su divulgación y disponibilidad en la
web se han adicionado al material de referencia, además de las herramientas y ejemplos de
ASTEQ y QUARA, puestos al servicio de los participantes.
3
Objetivo General de la Asignatura

Presentar y desarrollar los conceptos, elementos y principios fundamentales de los Sistemas de
Gestión de la Seguridad de la Información SGSI, y ofrecer las directrices y herramientas para el
diagnóstico, planeación, implementación realización de seguimiento y mejoramiento a los procesos
del Sistema de Gestión SGSI, fundamentado en la aplicación de las Buenas Prácticas de las
Normas Internacionales de la serie ISO 27000, en un contexto integral QHSE – SI considerando
la presentación de elementos, métodos y herramientas que faciliten la configuración y aplicación
del direccionamiento de la gestión integral, haciendo referencia a la estrategia competitiva para el
éxito sostenible.
Objetivos específicos: Propiciar el desarrollo de habilidades y competencias en cuanto a:
a. Conocer y comprender los conceptos, elementos y principios de los Sistemas de
Gestión de Seguridad de la Información, bajo el enfoque integral de la Gestión para el
éxito sostenible.
b. Estar en capacidad de identificar los grupos de interés y orientar el proceso para la
realización del inventario correspondiente a sus necesidades, expectativas y
compromisos asumidos o establecidos entre las partes.
c. Conocer la metodología y analizar casos de aplicación relativos a la formulación,
despliegue, apropiación y mantenimiento de la(s) política(s) de la organización en su
contexto competitivo integral QHSE - SI
Figura B.1 Mapa de la Estructura Temática de la Asignatura
4
B. Desarrollo General de la Asignatura.

UNIDAD 1. Fundamentos, Principios y Conceptos de los
Sistemas de Gestión y La Gestión de la Seguridad de
la Información.
UNIDAD 1. ACTIVIDAD 1.0.1
ESTUDIO DEL CONTENIDO GENERAL
Lo invitamos a estudiar el contenido general del curso y a dar un “tour” y una

observación preliminar por los elementos estructurales de la asignatura, y a dar una primera
lectura a los recursos pedagógicos entregados, con énfasis en la Temática de la Unidad 1.
1. Inicie desde este mismo momento la organización de su biblioteca y archivo “reservorio”

de los recursos bibliográficos y objetos de aprendizaje a los que va a acceder y va a
desarrollar. Esto es, inicie el proceso de Organizar la información y los productos
generados en esta materia en su Base de datos de información de referencias,
bibliografía, direcciones URL y links (“Vademécum”), al igual que en su archivo de
herramientas, ejemplos de sus compañeros, ejemplos suministrados por el tutor, y
productos generados. (Banco del Conocimiento).
2. Organice su cuaderno digital o físico de notas y destaque en el los puntos en los que quiere
profundizar o hacer énfasis, al igual que los puntos en los que tiene inquietudes y desea
formularlas luego de tener una visión más cercana del tema.
3. Coloque sus comentarios resultantes del tour y la observación de los recursos
pedagógicos, antes y/o después de haber realizado su evaluación inicial de entrada.
4. Comente, responda y/o debata los planteamientos de sus compañeros.

EVALUACIÓN INICIAL DE ENTRADA
Lo invitamos a acceder al aula virtual en la sección de evaluaciones y a realizar la

Evaluación Preliminar del Curso. Se trata de 25 preguntas de selección múltiple
que pretenden cubrir el enfoque general de los temas tratados en cada unidad.
Para este efecto:
1. Estudie las instrucciones relativas a la manera de iniciar, responder, registrar y culminar la
evaluación preliminar, teniendo en cuenta los ejemplos asociados a la manera de escoger
entre las diferentes alternativas asociadas a la selección múltiple.
2. Recuerde que esta segunda actividad se realiza con el propósito de tener una línea base
de referencia contra la cual usted se va a comparar al finalizar la asignatura.
3. Tenga en cuenta que para aprobar la asignatura, además de realizar sus tareas, y trabajos
conforme a las directrices del tutor, se plantea como requisito obligatorio que usted debe
aprobar esta misma evaluación, cuando culmine la asignatura.
4. Recuerde que usted está en libertad de tomar nota acerca de los puntos y temas en los
que presentó una mayor vulnerabilidad, o donde más vacíos o dudas tuvo en el momento
de responder.
5
1.1 Principios y Conceptos Básicos.

1.1.1 Teoría General de Sistemas y Sistemas Integrales de Gestión.
Como lo plantea el Profesor Ludwig Von Bertalanffy, la Teoría General de Sistemas se

propone replantear el enfoque mecanicista de muchas disciplinas al observar el
comportamiento de cualquier entidad, “adoptando un enfoque que abogara por una concepción
organísmica que hiciera hincapié en la consideración del organismo como un todo o sistema y
viese el objetivo principal de las ciencias biológicas en el descubrimiento de los principios de
organización a sus diversos niveles… En muchos fenómenos biológicos, pero también de las
ciencias sociales y del comportamiento, resultan aplicables expresiones y modelos, que en
diferentes campos se hicieron cada vez más explícitos” a través de la historia del pensamiento.
(Bertalanffy, 1976)
“La teoría general de los sistemas es una ciencia general de la “totalidad”, aplicable a las varias
ciencias empíricas. El enfoque matemático adoptado en la teoría general de los sistemas no
es el único posible ni el más general. Hay otra serie de enfoques modernos afines, tales como
la teoría de la información, la cibernética, las teorías de los juegos, la teoría de decisiones y
las redes, los modelos estocásticos, la investigación de operaciones -por sólo mencionar los
más importantes. Sin embargo, el hecho de que las ecuaciones diferenciales cubran vastas
arcas en las ciencias físicas, biológicas, económicas, y probablemente también las ciencias
del comportamiento, las hace vía apropiada de acceso al estudio de los sistemas
generalizados”. (Bertalanffy, 1976)
Estas dos breves citas subrayan una realidad ya evidente: La gestión organizacional y de las
empresas se enmarca también dentro de unos principios básicos de Planificación, Operación,
Realimentación y Desempeño que comparten principios y elementos independientemente de
las disciplinas en las que nos desempeñemos por nuestras diferentes opciones profesionales
de vida. Sin embargo, en muy pocas ocasiones nos acercamos a apreciar de qué manera las
ecuaciones diferenciales pueden modelar cualquiera de estos comportamientos.
Si bien, este no es el campo de acción de este programa de formación, conviene citar a los
diferentes grupos de trabajo e investigación que desde la Universidad Nacional en su sede de
la Ciudad de Bogotá, en la década del 60, liderados y promovidos por el Gran Maestro Yu
Takeuchi en una de las primeras Facultades de Matemáticas de Latinoamérica, desarrollaron
modelos de ecuaciones diferenciales desde los que pudo acotarse, desde el ámbito de las
derivadas parciales y las ecuaciones diferenciales, el acontecer nacional en diversas
disciplinas, que derivaron posteriormente en fecundos y reconocidos grupos de investigación
a nivel nacional e internacional en varios campos del saber, desde la prevención de desastres
hasta los desarrollos genéticos. (Sánchez, 2009) Es muy interesante poder apreciar que
cualquiera sea el sistema que consideremos, las empresas, como organismos sociales por
excelencia, están constituidas por una serie de elementos que interactúan armónicamente,
que tienen unas entradas asociadas a información, materiales o recursos físicos, económicos,
logísticos y en general de la conjugación de tecnología y talento humano en acción.
Además, gracias a la interacción de estos elementos, transforman las entradas en salidas con
un propósito específico asociado a su razón de ser. Precisamente esta visión particular debe
ser el punto de referencia que nos invite a correlacionar los dos planteamientos que integra el
título de este bloque temático: Los Sistemas de Gestión en el contexto empresarial y la Teoría
General de Sistemas.
6
Iniciemos este breve análisis auscultando en el DRAE, las diferentes acepciones de la palabra
Sistema, proveniente del latín systēma, y este del griego σύστημα (Real Academia Española,
2001), con todo lo que estas raíces nos pueden evocar acerca de la generación del concepto
en las diferentes cunas de la civilización.
1. m. Conjunto de reglas o principios sobre una materia racionalmente enlazados entre sí.
2. m. Conjunto de cosas que relacionadas entre sí ordenadamente contribuyen a determinado
objeto.
3. m. Biol. Conjunto de órganos que intervienen en alguna de las principales funciones vegetativas.
Sistema nervioso.
4. m. Ling. Conjunto estructurado de unidades relacionadas entre sí que se definen por oposición;
p. ej., la lengua o los distintos componentes de la descripción lingüística.
Podemos afirmar entonces que en términos generales las empresas y las entidades que nos
ocupan son un tipo de organismo que en su esencia se constituye en un sistema al que le
corresponde la segunda categoría de la definición, desde una perspectiva general. A un
Sistema le pueden aplicar los siguientes principios que son adoptados por la Teoría General
de Sistemas, pero que igual corresponden a la lógica organizacional o al acervo del
conocimiento humano:
a. El enfoque reduccionista. Principio planteado por Renato Descartes en 1637, cuando
en su Discurso del Método, precisó este enfoque al señalar que “el primer momento del
método es el análisis, donde se trata de que ante una complejidad, planteado un
problema, es preciso ante todo considerarlo en bloque y dividirlo en tantas partes como
se pueda” (Descartes, 1637) o sea que para entender lo complejo debemos abordarlo
por sus partes constituyentes.
En el caso de las organizaciones, las analizamos considerando la interacción e
integración de sus macro-procesos, procesos, subprocesos y actividades.
b. El enfoque totalitario o generalizado. Se trata de observar que los elementos que
componen el Sistema, como por ejemplo los procesos y los macro-procesos, pueden
considerarse igualmente como sistemas o subsistemas, que pueden descomponerse
según su naturaleza.
c. El propósito de los Sistemas. Todo sistema tiene un propósito ligado a alcanzar uno o
varios objetivos.
Esto quiere decir que en el caso de un proceso, la interacción armónica de sus
actividades y subprocesos se da con el propósito de lograr el objetivo del proceso, y
que en un nivel superior, la integración de los procesos se constituye en el Sistema de
Gestión que soporta el logro de los objetivos empresariales.
d. La sinergia o Gestalt: En las organizaciones, la integración efectiva de todos los
componentes va mucho más allá que su simple suma. Estos es, 1 + 1 = 3
Por otra parte, haciendo eco de los planteamientos de Daniel Katz y Robert Kahn, podemos
hacer referencia a las cinco funciones que tienen lugar normalmente en un sistema abierto
viable (Katz & Kahn, 1995):
a. La Función de Dirección. Tiene a cargo la orientación, dirección y coordinación de las
actividades de cada uno de los demás elementos del Sistema, y en consecuencia la
toma de decisiones en los momentos en que se debe optar por una u otra alternativa.
b. Las Funciones de Operaciones. Tienen como propósito la transformación de las
corrientes de entrada, entendidas como recursos, energía, información y talento
humano del sistema, en las salidas, el(los) bien(es) y/o el(los) servicio(s) que lo
caracterizan y su objetivo es la efectividad operacional y/o técnica.
7
c. Las Funciones de Apoyo. Buscan proveer al subsistema de Operaciones, con

elementos necesarios para desarrollar la transformación que lo caracteriza.
d. Las Funciones de Mantenimiento. Encargadas de lograr que las partes del sistema
permanezcan dentro del organismo.
e. Las Funciones de Adaptación. Buscan llevar a cabo los cambios necesarios.
a. La Función de Dirección.
b. Las Funciones de Operaciones.
c. Las Funciones de Apoyo.
d. Las Funciones de Mantenimiento.
e. Las Funciones de Adaptación.
SISTEMA
Corriente Corriente
Proceso de Conversión
de Entrada de Salida
Corriente de Retroalimentación
Figura 1.1.1.a Elementos, Funciones y Corrientes del Sistema

Fuente: (Katz & Kahn, 1995)
Los sistemas también se rigen por las Leyes de la Termodinámica, particularmente en lo

relacionado con la conservación de la energía. Se señala adicionalmente que al hablar de la
información y entenderla como un tipo particular de “energía”, la información que permanece
en el sistema no es igual a la diferencia entre la que entra y la que sale. Es igual a la que
existe más la que entra, es decir, hay una agregación neta en la entrada, y además, la salida
no elimina información del sistema. (Johansen Bertoglio, 2004)
La Teoría General de Sistemas se ve enriquecida en su aplicación al universo empresarial y

organizacional al considerar las siguientes vertientes del saber:
o Teoría de la Cibernética (automatiza y predice eventos futuros),
o Teoría de la Información,
o Teoría de juegos (competidores, escenarios y posibilidades),
o Teoría de Decisiones, asociadas al día a día de los administradores,
o Topología o Análisis Matemático Relacional entre Sistemas,
o Análisis factorial del fenómeno organizacional por factores,
o Ingeniería de Sistemas,
o Ingeniería de Operaciones y Cadena de Abastecimiento.
8
Citamos nuevamente a Ludwig Von Bertalanffy en uno de sus párrafos memorables en donde
plantea que “La Teoría General de Sistemas es una ciencia de la globalidad, en la que las
ciencias rigurosas y exactas nacidas del paradigma cartesiano no sólo pueden convivir sino
que se potencian mutuamente. Esto obedece a que su relación con las llamadas ciencias
humanas, en las que la lógica disyuntiva formal, que va desde Aristóteles hasta nuestros días,
ha realizado enormes progresos y conducido a resultados espectaculares, y se da la mano con
las lógicas recursivas y las borrosas.
Es a través de esta posibilidad de integración como la sistémica, el paradigma de la

complejidad, mezcla de arte, ciencia, intuición y heurística, que permite modelar sistemas
complejos, es hoy un sistema y una filosofía de pensamiento en plena expansión en cuanto a
las ciencias que confluyen en él: desde los campos del conocimiento tradicionalmente
asociados a ella, como son las ciencias de la ingeniería y la organización, a las que, aunque
no tan jóvenes, se van incorporando, como las ciencias políticas y morales, la sociología, y la
biología, entre otras.
Todo sistema, para sobrevivir, necesita realimentación interna e intercambio de flujos de muy
variada naturaleza con su entorno a fin de evitar el crecimiento constante de su entropía, que
lo llevaría a su muerte térmica. Este intercambio de flujos debería permitir la admisión de
variedad para reducir la entropía. La negativa a asumir esta incorporación de variedad en
sistemas sociales y organizaciones suele conducir también a graves problemas políticos y
económicos…”(Bertalanffy, 1976)
En este punto es preciso observar que este es particularmente un aspecto crítico que en
muchas latitudes del planeta y en nuestra región se presenta con un marcado acento: Las
entidades organizadas tales como la familia, las empresas, los sectores del arte, la industria,
la economía y aún el mismo estado, llegan en un buen número de casos a hacer causa común
llevando a extremos neuróticos y enfermizos el aforismo célebre “El que no está conmigo, está
contra mí”, al no respetar las diferencias del otro y aceptarlo como es, al llevar el
fundamentalismo a un punto en el que es imposible convivir con nuestros semejantes porque
son de un color de piel diferente, piensan diferente, aman diferente o se adhieren a un partido
o estilo de vida diferente al nuestro.
Cerramos aquí los planteamientos acerca de la Teoría de Sistemas, que se retomarán
directamente desde la sección de los conceptos, observando que los manuales de convivencia
que siguen nuestros hijos en sus escuelas y colegios, deben proyectarse a las familias, a las
empresas, los gremios y a los países, desde cada uno de los Sistemas que lo componen, para
evitar la “muerte térmica” por la incapacidad de desarrollar una competencia fundamental
adicional a las relacionadas con el saber, el saber hacer y el saber ser: Saber Convivir.
1.1.2 Elementos Conceptuales que fundamentan los Sistemas Integrales de Gestión

y la Gestión de la Seguridad de la Información.
1.1.2.1 Conceptos de orden general sobre Sistemas de Gestión.
Si bien las normas sobre Sistemas de Gestión pusieron aún más en boga los principios de la
Teoría General de Sistemas aplicados a la dinámica empresarial, es evidente que dada su
trayectoria y aplicación generalizada, los conceptos de Sistemas de Gestión tienen lugar
desde que el hombre tuvo conciencia de los principios de organización e inició el desarrollo del
pensamiento administrativo.
9
En efecto, aunque la primera versión de ISO 9001 sobre Sistemas de Gestión de Calidad, vio
la luz en 1987, la OHSAS 18001 sobre Salud Ocupacional y Seguridad desde 1999, al igual
que ISO 14001 sobre Sistemas de Gestión Ambiental desde 1996, e ISO 26001 sobre
Responsabilidad Social Empresarial desde el primero de noviembre de 2010, ya los conceptos
de administración, organización y sistemas habían sido objeto de estudios formales, otros
relativamente formales y análisis generales en la historia del pensamiento y la gestión
empresarial en la humanidad, desde las cunas de la civilización que se remontan a la China,
Egipto, Grecia y Roma, la India, los Moros, los Persas y por supuesto toda la saga de culturas
Precolombinas, entre otras.
Así, la mayoría de los planteamientos formulados en la sección previa tuvieron una

fundamentación generada con bastante anterioridad a los planteamientos de los modelos de
referencia que nos ocupan, que fue tenida en cuenta de manera directa e indirecta al formular
los conceptos, las definiciones y los bloques de términos desde las comisiones de vocabulario
que lideran los temas en el seno de las Organizaciones ISO y OHSAS.
Abordemos entonces el análisis de cada uno de los conceptos asociados a los Sistemas de
Gestión Integral de manera General, apoyados en los referenciales ISO 9000, ISO 14050 y los
textos sobre Sistemas de Gestión Ambiental y de Calidad de Poveda y Cañón citados a lo largo
del capítulo.
Iniciemos con una serie de preguntas sucesivas que permitan ubicar de manera coloquial los
conceptos básicos claves:
¿Qué es la ISO?
“La ISO (International Organization for Standardization), es una federación mundial de
organismos de normalización, establecida para promover el desarrollo de Normas
Internacionales de fabricación, comercio y comunicación”. (Poveda Orjuela & Cañón Zabala,
2005, pág. 20)
¿Qué es Gestión. Qué un Sistema de Gestión?

La Gestión es el “conjunto de actividades coordinadas para dirigir y controlar una organización”.
Estas actividades se desarrollan en una secuencia lógica que comprende la planificación, la
ejecución según lo planificado, la retroalimentación y las acciones de ajuste o mejora
requeridas para el cumplimiento de los objetivos previstos.
El Sistema es el “conjunto de elementos mutuamente relacionados, o que interactúan entre

sí”. Normalmente estos elementos se refieren a los procesos, la estructura organizacional,
los procedimientos y los recursos asignados, que se integran con un propósito definido.
(Poveda Orjuela & Cañón Zabala, 2005, pág. 18). Ahora, haciendo referencia al anexo A de
la norma ISO 9000:2015, podemos traer el Diagrama de Conceptos relacionados con Gestión,
que corresponden a la sección A-6 de la citada norma, para ilustrar en primera instancia los
términos aquí contemplados y algunos otros relacionados.
Invitamos a los participantes a analizar los diferentes bloques de diagramas de conceptos que
trae la norma ISO 9000 y la norma ISO 27000:2014, a construir sus diagramas personales e
incluirlos en su archivo de bases de datos de los productos asociados a la generación personal
de conocimiento, y además a observar en un contexto más amplio, los siguientes conceptos.
10
Figura 1.1.2.a Diagrama de Conceptos relativos a Actividad y Gestión.

Fuente: (International Standardization Organization ISO 9000, 2015, págs. Anexo A-6)
¿Qué es el desarrollo sostenible?

Desarrollo que satisface las necesidades del presente sin comprometer la capacidad de las
generaciones futuras para satisfacer sus propias necesidades
NOTA: El desarrollo sostenible se refiere a la integración de las metas de una calidad de vida
elevada, la salud y la prosperidad con justicia social y al mantenimiento de la capacidad de la
tierra para conservar la vida en toda su diversidad. Estas metas sociales, económicas y
ambientales son interdependientes y se refuerzan mutuamente.
11
El desarrollo sostenible puede considerarse como una vía para expresar las más amplias
expectativas de la sociedad en su conjunto. (International Standardization Organization ISO
26000, 2010, pág. 4)
Para efectos de tener la base de información necesaria, es importante ver, descargar y estudiar
los archivos anexos 1.1.b y 1.1.c, que corresponden a los diagramas de árbol, y
adicionalmente, para los temas que se presentan a continuación, dentro de esta unidad, es
importante reunir y organizar como bloque de información de base de la Unidad, los siguientes
archivos:
 11 b Árboles de conceptos Anexo de ISO 9000 DIS 2015

 11 b Complemento Árboles de conceptos Anexo de ISO 9000 2005
(Para comparar con la norma en su versión anterior)
 11 c Documentos de estudio de los principios de la Norma ISO 27000 2014
 12 b Documentos de estudio de los conceptos de la Norma ISO 27000 2014
 12 c Ejemplos de Mapas X-Mind
 13 b Documentos básicos de Presentación del Sector Salud Manual Acreditación
 14 a Herramienta de Diagnóstico del SGSI fundamentada en los Principios G
Se destaca que los documentos que presentan el vocabulario, los principios y los diagramas
de árbol de las normas ISO 27000 e ISO 9000, son documentos de estudio que por su carácter
pedagógico pueden ser consultados en las versiones aquí presentadas. Veamos a
continuación los conceptos más relevantes desde el punto de vista de vocabulario:
¿Qué es un Sistema de Gestión de Calidad, de Seguridad y Salud Ocupacional, de
Gestión Ambiental y/o un Sistema de Gestión en Responsabilidad Social Empresarial.
¿Qué es un Sistema de Gestión Integral QHSE – RSE?
Uniendo los dos conceptos anteriores, el Sistema de Gestión de Calidad, Salud Ocupacional
y Seguridad, Asuntos Ambientales y Responsabilidad Social Empresarial QHSE – RSE, como
comúnmente se le conoce por sus iniciales en inglés para el primer bloque y en español para
el segundo, es entonces la integración armónica de los elementos/procesos requeridos para
desarrollar una gestión enfocada en cumplir los acuerdos y compromisos establecidos ante los
clientes, los trabajadores y contratistas, el medio ambiente y la comunidad.
Y para cumplir también los requisitos y la legislación aplicable, prevenir la generación de fallas,
de accidentes de trabajo y enfermedades profesionales, gestionar la prevención de la
contaminación, desarrollar un comportamiento social y ambientalmente responsable para
promover el desarrollo sostenible y tener un enfoque proactivo que apunte hacia las causas de
falla, la gestión integral del riesgo, la transparencia, la rendición de cuentas, y mejorar
continuamente el desempeño en aras de la construcción de una cultura ciudadana
fundamentada en la equidad, los derechos humanos, la legalidad, el respeto a los intereses de
las partes y el comportamiento ético.
De esta manera el Sistema de Gestión Integral es un instrumento clave de la organización y

se constituye en la integración armónica de los procesos, o bien, en la suma de todo lo que
tenemos que hacer para cumplir los requisitos y compromisos consignados en la(s) política(s)
y los objetivos corporativos, y asumidos ante los diferentes grupos de interés y ante los mismos
miembros de la organización.
12
¿Qué es la política en un Sistema de Gestión?

La política en un sistema de gestión, cualquiera que sea su enfoque particular o integral
corresponde al compromiso que asume la dirección y la empresa de manera explícita con
respecto a la prevención de los riesgos asociados, el cumplimiento de los requisitos y las
obligaciones acogidas de manera voluntaria, la mejora en el desempeño, y en el caso de la
componente RSE, es preciso adicionar los compromisos con la transparencia, la equidad, los
derechos humanos y de los niños, la rendición de cuentas y la construcción de ciudadanía, el
respeto a los intereses de las partes y a la normativa internacional de comportamiento.
¿Qué son los objetivos en un Sistema de Gestión?

De acuerdo con el enfoque de ISO 9000, los objetivos de calidad son “algo ambicionado o
pretendido, relacionado con la calidad” que permiten concretar y materializar los compromisos
de la política. Si lo generalizamos, se relacionaría entonces con un fin general que tiene su
origen en la política y en los propósitos estratégicos de la organización a nivel global del
negocio o específico de la componente QHSE – RSE que se considere.
¿Qué es la responsabilidad social?
Responsabilidad de una organización ante los impactos que sus decisiones y actividades
ocasionan en la sociedad y el medio ambiente, mediante un comportamiento ético y
transparente que:
 contribuya al desarrollo sostenible, incluyendo la salud y el bienestar de la sociedad;
 tome en consideración las expectativas de sus partes interesadas
 cumpla con la legislación aplicable y sea coherente con la normativa internacional de
comportamiento;
 esté integrada en toda la organización y se lleve a la práctica en sus relaciones.
NOTA 1 Las actividades incluyen productos, servicios y procesos.

NOTA 2 Las relaciones se refieren a las actividades de una organización dentro de su esfera
de influencia. (International Standardization Organization ISO 26000, 2010, pág. 4).
¿Qué es la rendición de cuentas?
Condición de responder por decisiones y actividades ante los órganos de gobierno de la
organización, autoridades competentes y, más ampliamente, ante sus partes interesadas.
(International Standardization Organization ISO 26000, 2010, pág. 2)
¿Qué es el comportamiento ético?
Comportamiento acorde con los principios de correcta o buena conducta aceptados en el
contexto de una situación determinada y que es coherente con la normativa internacional de
comportamiento, que corresponde a las expectativas de comportamiento organizacional
socialmente responsable derivadas del derecho internacional consuetudinario, principios de
derecho internacional generalmente aceptados o acuerdos intergubernamentales, reconocidos
de manera universal o casi universal.
NOTA 1 Los acuerdos intergubernamentales incluyen tratados y convenciones.
NOTA 2 Si bien el derecho internacional consuetudinario, los principios de derecho internacional
generalmente aceptados y los acuerdos intergubernamentales están dirigidos principalmente a los
Estados, expresan metas y principios a los que pueden aspirar todas las organizaciones.
NOTA 3 La normativa internacional de comportamiento evoluciona a lo largo del tiempo. (International
Standardization Organization ISO 26000, 2010, pág. 2).
13
¿Qué es la transparencia?
Apertura respecto a las decisiones y actividades que afectan a la sociedad, la economía y el
medio ambiente, y voluntad de comunicarlas de manera clara, exacta, oportuna, honesta y
completa. (International Standardization Organization ISO 26000, 2010, pág. 5).
¿Qué tipos de Sistemas de Gestión existen en el contexto empresarial?
En el enfoque de este programa promulgamos que se debe hacer énfasis en tener un sistema
que integre las diferentes componentes en un solo paraguas que tiene su centro y su eje
principal alrededor del direccionamiento estratégico del negocio y que se soporta en dos
“motores fuera de borda” que corresponden a la gestión directiva y operacional de riesgos, al
igual que al enfoque de procesos para toda la organización, integrando tanto los procesos
operacionales, de dirección y apoyo, como los asociados al manejo particular de aspectos
directamente relacionados con los componentes del Sistema, según se requiera.
NOTA.
No existe un número particular de componentes dentro de un Sistema de Gestión, y se deben
determinar en función del tipo de riesgos y particularidades propias de la naturaleza de cada
organización.
El tipo de componentes que se puedan requerir, también está ligado a los requisitos puntuales del
mercado, como por ejemplo, además de los aquí considerados: BASC, SIPLA, INOCUIDAD,
BPA, TS 16949 o cualquier otro referencial que imponga el cliente o los sectores específicos del
mercado.
2.1 Control de acceso 2.5 Auditoría 2.3 Ataque 2.43 Proyecto SGSI
Términos f (CARACTERÍSTICAS DE SI)
Términos f (ACTORES / SI)

2.2 Modelo analítico 2.6 Alcance de la auditoría 2.44 Nivel de riesgo 2.46 Sistema de gestión
Términos f (Ciclo PHVA DE SI)
2.4 Atributo 2.13 Conformidad 2.45 Probabilidad (likelihood) 2,82 Partes interesadas
Términos f (Gest RIESGOS / SI)
2.7 Autenticación 2.14 Consecuencia 2.25 Evento 2.84 Alta dirección

2.8 Autenticidad (authenticity) 2.15 Mejora continua 2.35 Eventos de SI 2.85 Entidad de confianza para CI
2.9 Disponibilidad (availability) 2.16 Control 2.36 Incidente de SI 2.11 Competencia
2.10 Medida de base 2.17 Objetivo de control 2.37 Gestión de incidentes de SI 2.26 Alta Dirección.
2.12 Confidencialidad 2.18 Corrección 2.64 Riesgo residual 2.27 Contexto externo
2.20 Datos 2.19 Acción correctiva 2.83 Amenaza 2.29 Órgano de gobierno
2.21 Criterios de decisión 2.24 Efectividad 2.89 Vulnerabilidad 2.28 Gobernanza de la SI
2.22 Medida derivada 2,87 Validación 2,68 Riesgo 2.38 Comunidad que comparte I
2.23 Información documentada 2.88 Verificación 2.69 Aceptación del riesgo 2.41 Parte interesada
2.30 Indicador 2.53 No conformidad 2.70 Análisis de riesgos 2.42 Contexto interno
2.31 Necesidad de información 2.59 Desempeño 2.71 Evaluación de riesgos 2,57 Organización
2.39 Sistema de información 2.60 Política 2.72 Com y consulta en G Riesgos 2.58 Tercerizar
2.32 Instal procesam información 2.61 Proceso 2.73 Criterios de riesgo
2.33 Seguridad de la información 2.65 Revisión 2.74 Evaluación del riesgo 2,47 Medida
Términos f(Medición)
2.34 Continuidad en la SI 2.66 Objeto de revisión 2.75 Identificación de riesgos 2,48 Medición
2.40 Integridad 2.67 Objetivo de la revisión 2.76 Gestión del riesgo 2.49 Función de medición
2.62 Fiabilidad (reliability) 2.77 Proceso de gestión del riesgo. 2.54 No repudio (non-repudiation)
2,63 Requisito 2.78 Dueño del riesgo 2.50 Método de medición
2.79 Tratamiento de riesgos 2.86 Unidad de medida
2.51 Resultados de la medición
2.55 Objeto
2.56 Objetivo
Fig 1.1.2.2 a. Estructura General de Bloques de Términos de 2,52 Monitoreo
ISO 27000:2014. (Fuente: Adaptación de los Autores - ISO 27000:2014) 2.80 Escala
2.81 Estándar de Imp Seguridad
14
1.1.2.2 Relación de los Términos planteados en la sección 2 de ISO 27000:2014 y

en ISO 27002:2009
Una de las particularidades interesantes de la reciente versión de la norma que presenta el
vocabulario y los principios de la Gestión de Seguridad de la Información, es que se extiende
en la amplitud de conceptos de riesgos tomados de la Guía ISO – IEC 73 y de la norma ISO
31000:2009, de características de seguridad. No obstante, la amplitud es tal, que el lector se
puede perder dentro de tanta información. Por esta razón, hemos preparado el diagrama de
la página anterior, en el que se pueden apreciar de un solo golpe de vista los diferentes bloques
de términos asociados al tema.
Reiteramos nuestra invitación a consultar el documento de referencia, y el libro Excel en que
se agrupan los términos aquí indicados. Además, para dar otra perspectiva específica al texto
de los conceptos más relevantes, citamos a continuación el texto de la norma UNE ISO-IEC
27002:2009, en su sección 2:
“2 TÉRMINOS Y DEFINICIONES
Para los fines de este documento se aplican los siguientes términos y definiciones.
2.1 activo: Cualquier cosa o bien que tiene valor para la organización.
2.2 control: Medio de gestión del riesgo, que incluye políticas, procedimientos, directrices, prácticas o
estructuras de la
Organización, y que pueden ser de naturaleza administrativa, técnica, de gestión o legal.
2.4 recursos de tratamiento de la información:
Cualquier sistema, servicio o infraestructura de tratamiento de la información, o bien las localizaciones físicas
que alojan dicho sistema, servicio o infraestructura.
2.5 seguridad de la información:
La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además,
abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
2.6 evento de seguridad de la información:
La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política
de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que
puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004)
2.7 incidente de seguridad de la información: Un único evento o una serie de eventos de seguridad de la
información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las
operaciones empresariales y de amenazar la seguridad de la información. (ISO/IEC TR 18044:2004)
2.9 riesgo: Combinación de la probabilidad de un suceso y de su consecuencia.
2.10 análisis de riesgos: Utilización sistemática de la información disponible para identificar peligros y estimar
los riesgos.
2.11 evaluación de riesgos: El proceso general de análisis y estimación de los riesgos.
2.12 estimación de riesgos: El proceso de comparación del riesgo estimado con los criterios de riesgo, para así
determinar la importancia del riesgo.
2.13 gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto a los
riesgos. La gestión de riesgos habitualmente engloba la evaluación, el tratamiento, la aceptación y la comunicación
de los riesgos.
2.14 tratamiento de riesgos: El proceso de selección e implantación de las medidas encaminadas a modificar
los riesgos.
Ver además el archivo Excel “1 1 d Documento de clasificación y presentación en bloques de los

conceptos ISO 27000”, entregado como recurso adicional de soporte.
15
Maestría en Calidad en Servicios de Salud.
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 16 de 86

LECCIÓN EN VIDEO – TEMA 1
Lo invitamos a observar la Lección en Video Tema 1, y a participar en

el foro de Discusión de Contenidos, en donde puede realizar sus aportes y formular
inquietudes sobre el tema. Durante el desarrollo de toda la Unidad 1 debe hacer como
mínimo una participación en la que sea evidente su aporte a la temática.
En la medida en que el Video integra, enfoca y resume la temática completa del Tema 1
de Fundamentos, conceptos y principios, es conveniente que tome notas en su cuaderno
físico o digital, para orientar la lectura del libro digital, y el uso de los recursos entregados,

MAPA DE LOS CONCEPTOS DE SEGURIDAD
DE LA INFORMACIÓN.
Esta actividad tiene como propósito el estudio detallado y la apropiación de los conceptos
y términos presentados en la sección 1.1.1 Para este efecto es preciso:
1. Descargar de la web el software libre X-Mind en el sitio www.xmind.net/download/

Este es un software muy sencillo, amigable y útil que será empleado a lo largo de
toda la materia por su versatilidad para la elaboración de mapas mentales y
organizar ideas. En la página siguiente puede ver una imagen asociada a uno de
los archivos de ejemplo entregados como recurso pedagógico de la unidad.
2. Dar un repaso al Libro digital en la sección 1.1.1 y a los siguientes documentos:

1.1. b Árboles de conceptos y Anexo A de la Norma ISO DIS 9000: 2015
1.1. c Documentos de estudio de los conceptos de la Norma ISO 27000:2014.
1.1. d Documento de clasificación y presentación en bloques de los conceptos ISO
27000
3. Observar los detalles de la primera hoja Excel del documento 1.1.d, que coincide
con la figura 1.1.2.2 a de la página 14, e iniciar la configuración de su versión del
mapa mental que relaciona los diferentes términos.
4. Asegurar que en la medida en que configura los detalles del Mapa conceptual,
usted correlaciona y diferencia los términos, observando diferencias en cuanto a
propósitos, entradas, salidas o actores relacionados. Considere la posibilidad de
agrupar por bloques específicos y por secuencias. (En la medida en que es su
mapa personal, puede particularizarlo con vínculos, imágenes y notas).
5. Subir su trabajo al foro que se ha establecido para sus trabajos, recibir

realimentación de los participantes y del tutor. Hacer como mínimo realimentación
a trabajos similares de sus compañeros, y realizar los ajustes a su trabajo, según
se requiera.
16
1.2 Los Principios para la Gestión de Seguridad de la Información.

Los textos de esta sección se plantean como un condensado de los planteamientos de
BS-ISO 27799, enmarcados en el contexto dado a la planificación curricular de la
Asignatura, en conjugación con la sección 3 preliminar de ISO 27000:2014,
que es de libre acceso para el público en
http://www.iso27001security.com/html/27000.html
1.2.1 Enfoque General de los SGSI.

“De moda o no, la Gestión de la Seguridad de la Información es uno de los puntos claves para
cualquier organización hoy en día. El sector sanitario es más crítico, y desde muchos puntos de
vista, más sensible. La norma ISO/IEC 27799 es una contribución importante a la hora de
implantar los sistemas de gestión de la información (SGSI) en los centros sanitarios, y
organizaciones del sector de la salud, y con ello asegurar la protección de la información de los
pacientes gestionada por las diferentes entidades sanitarias.
17
ISO 27799 especifica los controles concretos que se han de implementar para gestionar la
seguridad de la información sanitaria, aportando recomendaciones relativas a las buenas
prácticas que hay que seguir al respecto para garantizar los niveles mínimos de seguridad.
La norma se ocupa de las necesidades especiales de gestión de seguridad de la información

del sector de la salud y sus entornos operativos únicos. Si bien la protección y seguridad de la
información personal es importante para todas las personas, empresas, instituciones y
gobiernos, existen requisitos especiales en el sector de la salud que deberían cumplirse para
asegurar la confidencialidad, integridad, auditabilidad y la disponibilidad de información de salud
personal. La protección de la confidencialidad, integridad y disponibilidad de la información de
salud, requiere por tanto de conocimientos específicos para el sector salud.
Confidencialidad. La información de asistencia en salud es considerada por muchos como el

tipo más confidencial de información personal. La protección de esta confidencialidad es
esencial para que la privacidad de los sujetos de atención se pueda mantener.
Integridad. La integridad de la información de salud debería ser protegida para garantizar la

seguridad del paciente.
Auditabilidad. Es preciso que como componente importante de esa protección sea posible
garantizar que durante todo el ciclo de vida de la información, sea totalmente auditable.
Disponibilidad. La disponibilidad de información de salud es también fundamental para la

asistencia sanitaria eficaz.
Los sistemas informáticos de salud deberían cumplir con las demandas únicas para seguir
funcionando en caso de catástrofes naturales, fallos del sistema y ataques de denegación de
servicio.
La necesidad de una gestión eficaz de la seguridad de TI en la asistencia sanitaria se hace más

urgente por el creciente uso de las tecnologías inalámbricas y de Internet en la prestación de la
asistencia sanitaria. Si no se aplican adecuadamente, estas tecnologías complejas aumentarán
los riesgos para la confidencialidad, integridad y disponibilidad de la información de salud. Sin
importar el tamaño, la ubicación y el modelo de prestación de servicios, todas las organizaciones
de salud necesitan tener controles estrictos para proteger la información de salud que se les
confía. Sin embargo, muchos profesionales de la salud trabajan como proveedores de salud en
solitario o en clínicas pequeñas que carecen de los recursos de TI dedicados a la gestión de
seguridad de la información.
Las organizaciones de salud deberían tener una orientación clara, concisa y atención sanitaria
específica sobre la selección y aplicación de tales controles. Esta orientación debería ser
adaptable a la amplia gama de tamaños, ubicaciones y modelos de prestación de servicios que
se encuentra en la asistencia sanitaria. Por último, con el aumento de intercambio electrónico
de información de salud personal entre profesionales de la salud, hay un claro beneficio en la
adopción de una referencia común para la gestión de seguridad de la información en la
asistencia sanitaria.
18
La disponibilidad de información sobre la salud es también fundamental para la prestación

efectiva de la asistencia sanitaria. Los sistemas de informática de la salud deberían cumplir con
las demandas únicas de permanecer en funcionamiento de cara a potenciales desastres
naturales, fallos del sistema y ataques de denegación de servicio.
La protección de la confidencialidad, integridad y la disponibilidad de información sobre la salud,

requiere por tanto, experiencia en el sector de salud específico.
La necesidad de una gestión eficaz de la seguridad de TI en la asistencia sanitaria se hace tanto

más urgente por el creciente uso de tecnologías inalámbricas y de Internet en la prestación de
la asistencia sanitaria. Si no se implementa correctamente, estas complejas tecnologías en
boga, aumentarán los riesgos. Independientemente del tamaño, la ubicación y el modelo de
prestación de servicios, todas las organizaciones de salud necesitan tener rigurosos controles
para proteger la información de salud que se les confía. Sin embargo, muchos profesionales de
la salud trabajan como proveedores de salud en solitario o en clínicas pequeñas que carecen
de los recursos de TI dedicados a la gestión de seguridad de la información.
Las organizaciones de la salud deberían tener una orientación clara, concisa y de atención
médica específica sobre la selección y aplicación de tales controles. Esta orientación debería
ser adaptable a la amplia gama de tamaños, ubicaciones y modelos de prestación de servicios
encontrados en la asistencia sanitaria. Por último, con el aumento de intercambio electrónico de
información personal de salud entre los profesionales de la salud, hay un beneficio claro en la
adopción de una referencia común para la gestión de seguridad de la información en la
asistencia sanitaria” (BS EN ISO 27799, 2008).
Por otra parte, es conveniente subrayar que desde un punto de vista general, “las instituciones
de todos los tipos y tamaños deben:
a. Recoger, procesar, almacenar y transmitir información.
b. Reconocer que el conocimiento, la información y los procesos relacionados, los
sistemas, las redes y las personas son activos importantes para el logro de objetivos de
la organización.
c. Enfrentarse a una serie de riesgos que pueden afectar el logro de sus propósitos, la
integridad de sus recursos, y la operación de sus activos.
d. Responder en consecuencia a su exposición al riesgo percibido, con la aplicación de
medidas de control para la seguridad de la información.
Toda la información en poder y procesada por una organización es objeto de amenazas de

ataque, de error, y de desastre natural (por ejemplo, inundación o incendio, entre otros), y está
sujeta a las vulnerabilidades inherentes a su uso. El término seguridad de la información
generalmente se refiere a la información que se considera como un activo y que por el valor que
representa, requiere una protección adecuada, por ejemplo, contra la pérdida de disponibilidad,
confidencialidad e integridad. Consolidar la capacidad de manejar información precisa,
completa, que esté disponible de manera oportuna a las personas autorizadas que la requieran
es un catalizador para la eficiencia empresarial.
19
La protección de los activos de información a través de la definición, el logro, el mantenimiento

y la mejora de seguridad de la información es efectivamente esencial para que una organización
logre sus objetivos, y mantener y mejorar su imagen y blindaje legal. Estas actividades
coordinadas que dirigen la implementación de controles adecuados y el tratamiento de los
riesgos de seguridad de información inaceptable son generalmente conocidas como elementos
de gestión de seguridad de la información” (International Organization for Standardization ISO
27000 , 2014)
Como los riesgos de seguridad de la información y la eficacia de los controles de cambio varían
dependiendo de las circunstancias cambiantes del entorno, las organizaciones deben:
a. supervisar y evaluar la eficacia de los controles y procedimientos implementados;

b. identificar los riesgos emergentes a tratar; y
c. seleccionar, implementar y mejorar los controles apropiados, según sea necesario.
Para interrelacionar y coordinar dichas actividades de seguridad de la información, cada

organización necesita establecer su política y objetivos de seguridad de la información y lograr
eficazmente esos objetivos mediante el uso de un sistema de gestión. (International
Organization for Standardization ISO 27000 , 2014).
1.2.2 Principios básicos para los SGSI.

Los siguientes principios fundamentales contribuyen a la exitosa implementación de un SGSI:
a. La toma de conciencia acerca de la necesidad de seguridad de la información;

b. La asignación coherente de responsabilidades acerca de la seguridad de la
información;
c. La incorporación del compromiso de la dirección y el conocimiento y respuesta
consistente a los intereses de las partes interesadas;
d. El refuerzo de los principios y valores institucionales asociados con la SI;
e. La evaluación sistemática del riesgo y la determinación de las medidas de control
adecuadas para llegar a niveles aceptables de riesgo;
f. La apropiación de la seguridad como elemento clave de las redes y sistemas de
información;
g. La detección, respuesta y prevención de incidentes de seguridad de la información
activa;
h. La aplicación de un enfoque integral de gestión para la seguridad de la información;
i. La reevaluación sistemática de la seguridad de la información y la toma de las acciones
de cambio y prospección apropiadas en consecuencia.
1.2.3 Elementos estructurales de los SGSI.

a. La Información.
La información, al igual que otros activos comerciales importantes, es fundamental para el
negocio de una organización y en consecuencia debe ser protegido adecuadamente. La
información puede ser almacenada en muchas formas, incluyendo: forma digital (por ejemplo,
archivos de datos almacenados en medios electrónicos u ópticos), forma material (por ejemplo
en el papel), así como la información representada por el conocimiento de los empleados.
20
La información puede ser transmitida por diversos medios, entre ellos: mensajería,
comunicación electrónica o verbal. Cualquiera sea la forma de toma de información, o los
medios por los que se transmite, siempre se necesita una protección adecuada.
En muchas organizaciones la naturaleza y características de la información dependen de la

tecnología de la información y las comunicaciones que se adopte en función de las
necesidades y condiciones de la institución. Esta tecnología es a menudo un elemento esencial
en la organización y ayuda a facilitar la creación, procesamiento, almacenamiento,
transmisión, protección y destrucción de la información.
b. Seguridad de la Información.
La Seguridad de la Información incluye tres dimensiones principales: confidencialidad,
disponibilidad e integridad. La Seguridad de la Información consiste en la aplicación y gestión
de las medidas de seguridad apropiadas que implica considerar y dar respuesta a una amplia
gama de amenazas, con el objetivo de garantizar el éxito empresarial sostenido y la
continuidad, y la minimización de los impactos de los incidentes de seguridad de la
información.
c. Gestión
La gestión involucra las actividades para dirigir, controlar y mejorar continuamente la
organización dentro de las estructuras adecuadas. Las actividades de manejo incluyen las
acciones, métodos y prácticas de la organización, al igual que las disposiciones para dirigir,
supervisar y controlar los recursos. Las estructuras de gestión se extienden desde una persona
en una organización pequeña hasta jerarquías complejas de gestión configuradas con varios
individuos, dependiendo del tamaño de la organización.
En términos de un SGSI, la gestión consiste en planificación, monitoreo y toma de decisiones
necesarias para lograr los objetivos de negocio a través de la protección de los activos de
información de la organización. La Gestión de la Seguridad de la Información se expresa a
través de la formulación y el uso de las políticas de seguridad de la información,
procedimientos y directrices, que luego se aplican en toda la organización y por las partes
interesadas ligadas a la operación de la organización, según sea el caso.
d. Sistema de gestión
Un sistema de gestión integra de manera armónica los procesos de una organización y utiliza
los recursos y la infraestructura requerida para alcanzar los objetivos institucionales. El
sistema de gestión incluye la estructura organizativa, las políticas, la planificación de
actividades, responsabilidades, prácticas, procedimientos, procesos y recursos. En cuanto a
la seguridad de la información, un sistema de gestión permite a la organización:
 Soportar el cumplimiento de los requisitos de seguridad de la información de los
clientes y otras partes interesadas;
 Promover la mejora de los planes y actividades de una organización;
 Alcanzar los objetivos de seguridad de la información de la organización;
 Cumplir con los reglamentos, la legislación y los mandatos propios del sector;
 Gestionar los activos de información de una manera organizada que facilita la mejora
continua y la adaptación a los objetivos organizacionales actuales.
21
e. Enfoque de Procesos
Para poder funcionar con eficacia y eficiencia, las organizaciones deben identificar y
gestionar numerosas actividades. Cualquier actividad que utiliza recursos debe ser
gestionada para permitir la transformación de insumos en productos (entradas en salidas),
mediante un conjunto de actividades mutuamente relacionadas o que interactúan, - esto
también se conoce como un proceso. La salida de un proceso puede constituirse
directamente en la entrada a otro proceso y, en general esta transformación se lleva a cabo
bajo condiciones programadas y controladas. La aplicación de un sistema de procesos
dentro de una organización, junto con la identificación e interacción coordinada y armónica
de estos procesos, así como su gestión, puede denominarse como "enfoque basado en
procesos", y es un aspecto fundamental del SGSI. (International Organization for
Standardization ISO 27000 , 2014)
22

TABLA DE ANÁLISIS DE APLICACIÓN DE LOS PRINCIPIOS
Esta actividad tiene como propósito el estudio detallado y la apropiación de los conceptos
relacionados con los principios y fundamentos del SGSI, presentados en la sección 1.2, y
contenidos en detalle en la norma ISO 27000:2014, Para este efecto es preciso que el
participante:
1. Estudie el enfoque y estructura del documento “00b Principios y Fundamentos

de ISO 27000:2014”, observando su aplicación en la empresa del Sector Salud
que ha seleccionado para aplicar los conocimientos del curso.
2. Prepare un cuadro básico en el que resume en dos columnas:
Los temas básicos de las secciones del Aplicación en la empresa

Documento 00b Principios y Fundamentos de la GSI
- Sección I. NATURALEZA y Razón de ser de la SI. Reflexión acerca de su aplicación en la

- Sección III. POR QUÉ ES IMPORTANTE UN SGSI empresa escogida.
- Sección IV. Apartado 4.9 BENEFICIOS
- Sección II. Numeral 2.3 (a al d) Que particularidades tendrían estos

ELEMENTOS ESTRUCTURALES DE LOS SGSI. elementos en la entidad del sector salud
escogida por usted.
- Sección II. Numeral 2.2 Análisis detallado de la manera en que

PRINCIPIOS BASICOS PARA LA aplican los principios a) hasta el i), al
IMPLEMENTACIÓN EXITOSA DE UN SGSI. interior de la empresa seleccionada.
- Sección IV. Numeral 4.1 a 4.8 Análisis detallado de la manera en que

CICLO DE PLANIFICACIÓN, ESTABLECIMIENTO, aplican los planteamientos de las
MANTENIMIENTO Y MEJORA DEL SGSI. secciones 4.1 a 4.8 en el proceso de
implementación del SGSI en la empresa.
3. Sube su versión elaborada de la tabla de aplicación, al foro específicamente

asignado a cada participante, realimenta como mínimo a dos de sus compañeros
y recibe realimentación de otros participantes y del tutor.
4. Realiza las mejoras y correcciones a su trabajo, según se requiera.
23
1.3 Introducción a la Gestión de Calidad en la Salud y los SGSI en Instituciones

del Sector Salud.
1.3.1 El Sistema Nacional de Seguridad Social en Salud.

Actores y Enfoque General.
El Sistema Nacional de Seguridad Social en Salud SNSSS se ha estructurado sobre la base

del marco legal y regulatorio establecido en la Ley 100, expedida el 23 de diciembre de 1993,
y se coordina desde los Ministerios del Trabajo, y de la Salud y la Protección Social, con
delegación parcial al sector privado, con fundamento en estándares asistenciales relacionados
con:
 Derechos de los pacientes
 Seguridad del paciente
 Referencia y contra-referencia
 Acceso Registro e ingreso
 Salida y seguimiento
 Evaluación de la atención
 Direccionamiento
 Ambiente físico
 Gerencia de la información
 Evaluación de necesidades al ingreso
 Planeación de la atención
 Gestión de tecnología
Actores del Sistema General de Seguridad Social en Salud (SGSSS)
El diagrama de la página 25, tomado del Vol 53 de la Revista Salud Pública, ilustra los actores
del SGSSS, detallando las cuatro grandes categorías que corresponden a los siguientes grupos
de interés:
 Los ciudadanos, en términos de la sociedad beneficiaria del Sistema.
 El estado, que como ente de coordinación, dirección y control, opera a través de los
siguientes tipos de organismos: a) El Ministerio de la Salud y Protección Social
(Colombia), b) El Ministerio del Trabajo, c) La Comisión de Regulación en Salud (CRES)
que reemplazó al Consejo Nacional de Seguridad Social en Salud (CNSSS) por la Ley
1122 de 2007, y d) La Superintendencia Nacional de Salud que vigila y controla a los
actores del sistema.
 Los aseguradores: Son entidades privadas que aseguran a la población, y actúan
como intermediarias y administradoras de los recursos que provee el estado en forma
de prima anual denominada Unidad de Pago por Capitación -UPC-. Se dividen en dos
grandes grupos: a) Las entidades promotoras de salud (EPS) y b) Las administradoras
de riesgos laborales(ARL).
 Los prestadores del servicio: son:
a) Las instituciones prestadoras de salud (IPS),
24
b) Los hospitales,
c) Las clínicas,
d) Los laboratorios,
e) Los centros de terapia y rehabilitación, y otras entidades que prestan directamente el
servicio a los usuarios y aportan todos los recursos necesarios para la recuperación de
la salud y la prevención de la enfermedad,
d) Los profesionales independientes de salud (médicos, enfermeras/os, etc.), y
e) Los transportadores especializados de pacientes (ambulancias).
Se destaca además, el empleo de las siguientes siglas en el gráfico:

SOAT: Seguro Obligatorio de Accidentes de Tránsito
Regímenes especiales: fuerzas militares, Policía Nacional, Empresa Colombiana de
Petróleos, magisterio, universidades
EPS: entidades promotoras de salud
IPS: instituciones prestadoras de servicios
El Sistema Nacional de Salud tiene un amplio sector de seguridad social y un decreciente sector
exclusivamente privado. Su eje central es el SGSSS con sus dos regímenes, contributivo (RC)
y subsidiado (RS).
 El RC afilia a los trabajadores asalariados y pensionados y a los trabajadores

independientes con ingresos iguales o superiores a un salario mínimo.
 El RS afilia a todas las personas sin capacidad de pago. En 2010 las coberturas fueron
de 39.7% y 51.4% de la población total, respectivamente.
En 2010 sólo 4.3% de la población permanecía fuera del sistema de seguridad social en salud.
El RC opera con base en una cotización de sus afiliados. El RS opera con base en un subsidio
cruzado del RC más otros fondos fiscales procedentes de impuestos generales.
La afiliación al SGSSS es obligatoria y se hace a través de las entidades promotoras de salud

(EPS), públicas o privadas, que se encargan de ofrecer, como mínimo, el Plan Obligatorio de
Salud (POS) o bien el POS-S para los afiliados al RS.
Las EPS entregan los fondos reunidos de las cotizaciones al Fondo de Solidaridad y Garantía
(FOSYGA), el cual devuelve a las PS el monto equivalente a la unidad de pago por capitación/
(UPC) ajustado por riesgo, de acuerdo con el número de afiliados que tengan. El pago capitado
en el RS es análogo (aunque no se ajusta por riesgo) y se denomina UPC-S. (Capitación:
Repartimiento de tributos y contribuciones por cabeza.) Los proveedores de atención son las
instituciones prestadoras de servicios (IPS), que pueden estar o no integradas a las EPS, pero
que en todo caso son contratadas por éstas.
La Superintendencia Nacional de Salud es el organismo que formula, dirige y coordina la

política de inspección, vigilancia y control del sector salud y del sistema general de seguridad
social en salud, además liquida y recaudar la tasa que corresponde sufragar a las entidades
sometidas a su vigilancia, autoriza la constitución o habilitación de EPS e IPS, y supervisa el
monopolio rentístico de juegos de suerte y azar y de licores; así como a la oportuna, eficiente
explotación, administración y aplicación del IVA cedido al sector salud entre otros.
25
Para poder acceder a los beneficios de la seguridad social colombiana es obligatorio vincularse
a una empresa entidad promotora de salud (EPS), administradora de riesgos laborales (ARL) y
voluntariamente un fondo de pensiones (AFP) por medio de una afiliación.
Figura 1.3.1a. Actores del Sistema General de Seguridad Social en Salud (SGSSS)
Fuente: Guerrero (2011), en Salud Pública Vol 53
26
1.3.2 Gestión de Calidad y Garantía de Calidad en los Servicios de Salud.

Principios.
A comienzos de la década del 2000, como iniciativa del Ministerio de Salud, apoyada con
recursos del Banco Interamericano de Desarrollo BID-FOMIN, se planteó el concurso de
méritos y el proyecto para constituir el SISTEMA OBLIGARORIO DE GARANTÍA DE CALIDAD
SOGC.
Como lo plantea Carlos Alfonso Kerguelén, “los instrumentos del SOGC fortalecen los pilares
del Sistema de seguridad social en salud colombiano, y ayudan a que opere la lógica del
sistema con los incentivos de calidad implícitos en el marco de competencia regulada. De este
modo, son varios los principios que fundamentan la operación de las herramientas del sistema
(Kerguelén Botero , 2008):
a. El Sistema único de habilitación apoya la libre concurrencia de actores y defiende a los

prestadores de calidad frente a la aparición de instituciones llamadas "clínicas de
garaje".
b. Los requisitos de habilitación, así como los estándares de acreditación y la definición
de calidad deseada que promueve la auditoría, permiten que exista información sobre
calidad, que se disemina a través del sistema de información a usuarios.
c. El instrumento de auditoría fortalece la capacidad de vigilancia y control, donde la
información y la vigilancia y control son los vehículos para que los incentivos
económicos y de prestigio muevan a las instituciones a competir por calidad.
d. Los requisitos de habilitación, la acreditación y la auditoría ofrecen a las instituciones
modelos para mejorar y fortalecen su capacidad de respuesta a incentivos de calidad.
El Marco Legal y los Principios. Algunos hitos de la calidad en la reglamentación
Nos apoyamos nuevamente en los planteamientos de Carlos Kerguelén, quien resume los
elementos del marco legal, a partir del enunciado de apartes legales que marcan el estado actual
del SCSSS y ayudan en la discusión sobre las funciones básicas que hay que desarrollar frente al
tema. Estas funciones, aun cuando el planteamiento puede resultar polémico, y adelantándonos a
algunas conclusiones, es factible que estén por encima del modelo de salud elegido, es decir, que
haya que hacerlas sin importar si el sistema de salud es eminentemente público o privado, de
mercado o no. Se parte de las bases contempladas en la ley 100 de 1993, para luego mirar el
contexto actual, en este caso, la ley 1122 del 9 de enero de 2007, la cual tiene como objeto realizar
ajustes al Sistema general de seguridad social en salud, y no derogarlo. En el ámbito de ley, las
primeras menciones que se encuentran sobre el tema están descritas en los fundamentos del
SGSSS (artículo 153 de la ley 100). Específicamente, se plantean las siguientes ideas:
1.3.2.1 La calidad como un atributo igualitario de la equidad

(Numeral 1 artículo 153)
En este numeral se habla de una serie de características que describen formas de cómo garantizar
el fundamento de la equidad. Uno de estos hace mención especial a la calidad: "el Sistema general
de seguridad social en salud proveerá gradualmente servicios de salud de igual calidad a todos los
habitantes en Colombia, independientemente de su capacidad de pago". Lo anterior plantea dos
ideas para explorar.
27
 La primera es un principio de gradualidad en las metas de prestación de servicios, lo que

implica la definición y exigencia escalonada en el tiempo de unos mecanismos para
garantizar la calidad y el nivel de calidad provisto.
 La segunda, es la igualdad en la calidad. Esta última es posiblemente la que más retos
plantea, tanto conceptuales como metodológicos. ¿Qué implica servicios de igual calidad?
En aras de la discusión se podrían explorar alternativas como:
 Estándares de calidad uniformes que se aplicarán a todas las organizaciones y personas

que prestan servicios de salud, que ayuden a definir unos criterios uniformes de entrada y
permanencia en el sistema de salud, tanto de estructura como de procesos mismos de
atención.
 Definir guías de atención, con criterios explícitos de pertinencia clínica, administrativas y
financieras, que ayuden a garantizar que la atención se hará de igual manera,
independientemente del sitio, prestador o persona.
 Definir procesos de atención uniformes, que sean conocidos e implementados por igual en
todas las organizaciones.
 Generar indicadores explícitos de medición de la prestación de los servicios, con el fin de
conocer si la mencionada igualdad se encuentra a través de estratos sociales, etnias, sitios
geográficos
Predecir cuáles serán los resultados clínicos que se obtendrán una vez se atiendan las personas,
los cuales tendrán que ser iguales o con muy pocas variaciones entre grupos poblacionales con
características similares. He aquí el reto mayor.
Pero plantear las anteriores situaciones no significa que el trabajo sea fácil, por el contrario, tiende
a ser cada vez más complejo, ya que se abren otras discusiones no menos sencillas, como: ¿Quién
define los estándares? ¿Cómo se logran consensos alrededor de estos?, ¿Quién los audita?
¿Cómo se logra una independencia técnica entre el que presta el servicio y el que audita? ¿Cómo
se sabe que los resultados se están distribuyendo de igual manera? y ¿cuál es el nivel de calidad,
dentro de todo un gradiente de exigencia, que el Estado quiere para su sociedad?8 . Aquí,
posiblemente, el Estado no puede solo y tendrá que trabajar de la mano con la academia y con
organizaciones públicas y privadas.
1.3.2.2 La calidad y sus atributos como garantía de integralidad de la atención

(Numeral 3 artículo 153 ley 100, artículo 23 ley 1122)
“El Sistema general de seguridad social en salud brindará atención en salud integral a la población
en sus fases de educación, información y fomento de la salud y la prevención, diagnóstico,
tratamiento y rehabilitación en cantidad, oportunidad, calidad y eficiencia, de conformidad con lo
previsto en el artículo 162 respecto del Plan obligatorio de salud”. De esta manera, la norma plantea
la necesidad de garantizar la calidad a través de un flujo continuo de la atención en salud, basado
en un enfoque sistémico e integral de la misma. Esto refuerza la idea, de que en un sistema
altamente fragmentado desde el punto de vista de prestación de servicios, el Estado debe
propender por una serie de señales para garantizar al usuario un flujo coordinado por el sistema
de prestación de servicios, independientemente de cuántos necesite y de qué tipo.
28
Este artículo concuerda con el artículo 23 de la ley 1122, el cual resalta en las obligaciones de las
aseguradoras frente al tema de la calidad, el garantizar la integralidad y continuidad en la prestación
de los servicios, especialmente la asignación de las citas.
1.3.2.3 La calidad y el control (Numeral 9 artículo 153 ley 100, artículo 39 ley 1122)
“El sistema establecerá mecanismos de control a los servicios para garantizar a los usuarios la
calidad en la atención oportuna, personalizada, humanizada, integral, continua y de acuerdo con
estándares aceptados en procedimientos y prácticas profesionales. De acuerdo con la
reglamentación que expida el Gobierno, las instituciones prestadoras deberán estar acreditadas
ante las entidades de vigilancia”. En este aparte se plantean tres ideas:
 La primera es la calidad atada a mecanismos de control. Sin entrar a discutir sobre cuál es
la acepción de control que se quiso plantear en este párrafo, implica un complemento a algo
que ya se discutió, que es cómo se realiza un mecanismo operativo de monitorización del
nivel de calidad obtenido frente a una atención. No puede haber control sin hechos, sin datos,
sin números. Es la esencia misma del control. Eso hace pensar un sistema explícito de
indicadores de monitorización de unos niveles de calidad que deben estar perfectamente
definidos de antemano. He aquí nuevamente el papel del Estado en sentar las reglas de
juego.
 La segunda idea, de la mano del párrafo anterior, es que los servicios deben tener unas
guías o parámetros de calidad que deben ser soportados por un nivel de conocimiento
aceptado. Estos dos temas se pueden encontrar dentro del artículo 39 de la Ley 1122. Ahora
bien, Colombia debe definir cuál es ese nivel socialmente aceptado, cuál es la preferencia
social que quiere hacer frente a los niveles de calidad que desea o puede obtener. No sobra
recordar que la salud no tiene precio, pero su calidad tiene un costo.
 La tercera, no menos importante, es que el gobierno tiene una responsabilidad frente a la
definición de mecanismos para que las instituciones del sistema se acrediten (tema que se
desarrolla en el capítulo 5. Esta última idea se complementa en la misma Ley 100 en el
artículo 186: “El gobierno nacional propiciará la conformación de un sistema de acreditación
de las instituciones prestadoras de servicios de salud, para brindar información a los usuarios
sobre su calidad y promover su mejoramiento”. Dos ideas que llaman la atención en la
descripción del artículo en mención: la acreditación como un mecanismo de información para
los usuarios de la calidad de las instituciones y la acreditación como un mecanismo de
promoción del mejoramiento.
1.3.2.4 La calidad y las funciones de los órganos de dirección del sistema

(Artículo 172 ley 100)
En las funciones de los órganos rectores descritas por la ley, se encuentra que existen
responsabilidades que inherentemente se relacionan con la calidad. Uno de los primeros llamados
de atención se encuentra en las funciones del Consejo Nacional de Seguridad Social en Salud
(CNSS) (artículo 172, parágrafo 1), y la tutela que ejerce el ministro del ramo sobre las decisiones
de este Consejo, cuando dichas decisiones tenga alguna implicación sobre la calidad del servicio
público.
Es igualmente función del Ministerio dictar las normas científicas que regulan la calidad de los
servicios y el control de los factores de riesgo, que son de obligatorio cumplimiento por las
entidades promotoras de salud y por las instituciones prestadoras de servicios de salud del Sistema
general de seguridad social en salud y por las direcciones seccionales, distritales y locales de salud
(artículo 173).
29
De nuevo, aparece el tema de una serie de parámetros que deben ser únicos, de aplicación
nacional, de manera obligatoria, sustentados en una evidencia probada y validada y que
necesariamente están ligados con los resultados en salud de la población atendida. Sobra decir
que esto presenta un reto metodológico, no imposible por cierto con todo el advenimiento de la
evidencia científica en salud, para poner todas estos aspectos en funcionamiento, en de un orden
lógico.
1.3.2.5 La calidad y las instituciones del sistema

(Artículos 178 y 180 ley 100, artículo 185 ley 1122)
Así como se encuentran funciones de dirección del sistema, y específicamente algunas de ellas
directamente relacionadas con el tema de calidad, es necesario plantear la delegación de estas
funciones hacia las organizaciones del sector. Se encuentran, por ejemplo, que el control sobre la
calidad de la prestación de servicios (mencionado anteriormente) es delegado a las entidades
promotoras de salud (artículos 178 y 180):
 Las EPS tienen la obligación de establecer los procedimientos para controlar y evaluar
sistemáticamente la atención integral, eficiente, oportuna y de calidad de los servicios
prestados por las instituciones prestadoras de servicios de salud.
 Esta idea se refrenda en el artículo 14 de la ley 1122, que refuerza en la organización del
aseguramiento, la garantía de la calidad.
 Si se integran estas ideas con las responsabilidades de tutela de las EPS sobre el estado
de salud de los afiliados, no es de extrañar el advenimiento de las metodologías de control
por pares en la utilización de recursos para los cuidados en salud.
 Pero así como existe una delegación de funciones hacia las EPS, también los prestadores
tienen una serie de responsabilidades frente a la calidad (artículo 185), que están,
posiblemente, más ligadas a la responsabilidad ética histórica de la prestación misma de
servicios de salud, que a la obligatoriedad contemplada dentro de una ley. Programa de
Apoyo a la Reforma de Salud/PARS
1.3.2.6 Calidad y financiación

(Artículo 182 ley 100, artículo 16 ley 1122)
En la misma línea del último párrafo, y dentro de los procesos de establecer relaciones entre los
diferentes niveles del sistema, se encuentra un tema que en Colombia siempre ha suscitado
discusiones: el dinero y la calidad. En el artículo 182 de la ley 100 se establece que “Por la
organización y garantía de la prestación de los servicios incluidos en el plan de salud obligatorio
para cada afiliado, el Sistema general de seguridad social en salud reconocerá a cada entidad
promotora de salud un valor per cápita, que se denominará unidad de pago por capitación, UPC.
Esta Unidad se establecerá en función del perfil epidemiológico de la población relevante, de los
riegos cubiertos y de los costos de prestación del servicio en condiciones medias de calidad,
tecnología y hotelería, y será definida por el Consejo nacional de seguridad social en salud, de
acuerdo con los estudios técnicos del Ministerio de Salud”.
Hay que puntualizar que el artículo incluye dos elementos de discusión: la relación entre la calidad
y un pago o reconocimiento económico a las EPS por cada uno de sus afiliados, el cual a su vez
está íntimamente ligado a una connotación de la calidad, descrita como "condiciones medias".
¿Qué es una condición media de calidad? ¿Un promedio igual (sin entrar en la discusión si el
promedio es alto o bajo frente a la evidencia) para todas las personas? o ¿debe entenderse una
condición media como lo mínimo posible frente a los recursos?
30
El anterior punto suscita discusiones producto de interpretaciones, comenzando por aquellos que
sostienen que la calidad no tiene precio. Si bien no tiene precio, es sabido que tiene un costo, que
no existen los recursos suficientes (en ninguna parte del mundo) para todas las necesidades en
salud; que si bien existe un mínimo de condiciones (que ameritan unos recursos) por debajo del
cual es inseguro prestar un servicio de salud tampoco es menos cierto que existe un nivel en el
cual más recursos no implica nada adicional para los resultados clínicos e, incluso, puede poner
en 40 Calidad de salud en Colombia – Los principios riesgo la salud10. En fin, lo anterior plantea
un adecuado y delicado balance de muchas variables, no siempre a favor de los intereses econó-
micos de algunos grupos.
De igual manera, la ley 1122, en su artículo 16, propone la contratación de un mínimo porcentual
asociado con el cumplimiento de unos indicadores de calidad, los cuales, por lógica, deben
establecerse y diseñar el sistema de monitoreo, exigencia de cumplimiento y acciones a tomar en
caso de su incumplimiento.
1.3.2.7 Calidad e incentivos

(Artículos 184 y 193 ley 100)
Un tema adicional descrito en la Ley 100, y relacionado con la calidad, es el de los incentivos
(relacionados en los artículos 184 y 193, por ejemplo). Normalmente, se relacionan los incentivos
con el dinero, cosa que si bien es importante, es solo parcialmente cierta. Si bien en los artículos
mencionados se habla de los incentivos, estos se describen más en función de los resultados que
espera obtener (calidad y eficiencia en la provisión de los servicios de salud, control de costos,
aumento de productividad, asignación de recursos utilizando criterios de costo-eficiencia,
racionalización del sistema de referencia y contra-referencia de pacientes, ampliación del
conocimiento y manejo del sistema de parte de los beneficiarios y promoción de un servicio de
mayor calidad al usuario), que de la forma como estos se organizan. Especial mención se hace
sobre el incentivo que potencialmente se podría introducir para mejorar la calidad y la eficiencia a
través de nuevos y diferentes sistemas de contratación a prestadores de servicios de salud, tema
hasta hoy inexplorado, no solo en Colombia, sino en gran parte del mundo.
1.3.2.8 Calidad e información a usuarios

Este aparte, que se encuentra en el artículo 199 como: “El Ministerio de Salud definirá normas de
calidad y satisfacción del usuario, pudiendo establecer medidas como tiempos máximos de espera
por servicios y métodos de registro en listas de espera, de acuerdo con las patologías y
necesidades de atención del paciente” y en su parágrafo: “El Ministerio de Salud solicitará la
información que estime necesaria con el objeto de establecer sistemas homogéneos de registro y
análisis que permitan periódicamente la evaluación de la calidad del servicio y la satisfacción del
usuario”, plantea unos retos metodológicos importantes. Uno de estos retos es, nuevamente, la
definición de un conjunto de normas universales y explícitas que determinen qué cosas, y en qué
cantidad, modulan la satisfacción de los usuarios, que para ciertos tipos de prestaciones están
descritos y probados en la literatura desde hace bastante tiempo. Pero, a la par de esta definición,
hay que implementar un sistema periódico y disciplinado de medición de ese juego de atributos
(sin importar en este nivel si la medición la realiza el Ministerio o un ente independiente), para
establecer comparaciones que sean metodológicamente válidas y, posteriormente establecer
mecanismos de difusión de resultados cuya información sea de manejo público. Nada de lo anterior
es fácil pero tampoco imposible. Solo se necesita direccionamiento del ente rector y disciplina,
tanto de este último para darle un uso adecuado a los datos, como de todos aquellos que estarían
obligados a reportar.
31
1.3.2.9 La calidad y el derecho del usuario

(Artículos 216 y 231 ley 100)
Bajo este título se encuentran dos menciones, que aunque no definen elementos directamente
relacionados con la calidad, potencialmente se constituyen en una herramienta de control social:
 El primero de ellos (mencionado en el artículo 216, numeral 4) hace un nexo entre la
caducidad de los contratos de administración del régimen subsidiado por un potencial
incumplimiento de 42 Calidad de salud en Colombia – Los principios normas de calidad
(las que posiblemente le corresponda definir al Estado y cuya discusión está planteada en
los apartes anteriores).
 El segundo punto tiene que ver con la capacidad de control del ciudadano frente al sistema
de salud con el fin de garantizar calidad (artículo 231).
Aquí, la calidad es un instrumento que apoyaría unas labores de control social por parte
del ciudadano y de rendición de cuentas por parte de los involucrados en el sistema. Si
bien los ciudadanos colombianos han usado mecanismos constitucionales (la tutela, por
ejemplo) para obligar a las diferentes organizaciones del sector a cumplir con sus
responsabilidades, es poco lo que se sabe de la efectividad del uso intensivo de otras
posibilidades de control social (como la representación en las juntas directivas de los
prestadores públicos).
1.3.2.10 La Calidad y un Sistema Obligatorio de Garantía de Calidad

Por último, y sin pretender que existe un aparte más importante frente al tema de calidad, se
encuentra el artículo 227 que dice:
“Es facultad del Gobierno Nacional expedir las normas relativas a la organización de un sistema
obligatorio de garantía de calidad de la atención de salud, incluyendo la auditoría médica de
obligatorio desarrollo en las entidades promotoras de salud, con el objeto de garantizar la adecuada
calidad en la prestación de los servicios. La información producida será de conocimiento público”.
Este artículo es la esencia misma para arribar a una Garantía de Calidad Consistente e implica
varias cosas:
 La primera de ellas es que hace responsable al gobierno de liderar el tema de la calidad,

por lo menos en la expedición de las normas y en su organización global, para que las
organizaciones del sistema lo apliquen.
 También implicaría, si se quisiera, que estas organizaciones no necesariamente estén
restringidas solo al cumplimiento de estas normas expedidas por el Estado, sino que
también podrían buscar establecer mecanismos complementarios de calidad a motu propio.
Dicho de otra manera, el Estado plantea una serie de medidas básicas y las organizaciones
pueden explorar mecanismos complementarios de calidad.
 Una tercera idea se refiere a que dichas normas deben dar paso a un sistema obligatorio
de garantía de calidad, tema de por si complejo, dado que cada una de esas palabras
implica una serie de ideas, que serán desarrolladas en el capítulo 4.
32
Este artículo ha sido uno de los pilares fundamentales que soportaron la expedición de
sucesivos decretos (2174 de 1996, 2309 de 2002 y 1011 de 2006), que han promovido el
desarrollo metodológico del sistema de garantía de calidad en Colombia.
La temática regulatoria y legal, se verá complementada en lo específicamente relacionado con la

Seguridad de la Información, en la sección 2.4 de la siguiente unidad, donde se observará en
detalle uno de los aspectos más críticos que tiene que ver con la reglamentación y las disposiciones
de carácter obligatorio aplicable a la protección de la información y los datos personales, y el
manejo de la información de las Historias Clínicas, en el contexto de la Ley del Habeas Data y su
reglamentación.
1.4 Un primer diagnóstico sin normas… pero fundamentado en los principios

de los Sistemas Integrales de Gestión y de la Seguridad de la Información.
1.4.1 Los principios universales para los Sistemas de Gestión.
Por la década final de milenio o sea por los años 1990, los Principios para la Gestión de Calidad
tuvieron una enorme divulgación en todo el mundo, agenciados por los movimientos de la
Calidad Total y la divulgación del Modelo Japonés. Por ese entonces, los principios de gestión
eran ocho, en lugar de los siete que plantea la Comisión TC 176 en la Revisión de los
modelos de Gestión adelantada en el 2015. Por ese entonces, los principios eran:
1) Enfoque al Cliente, 2) Liderazgo,
3) Compromiso de las Personas, 4) Enfoque a Procesos,
5) Mejora, 6) Toma de Decisiones Basada en la Evidencia,
7) Gestión de las Relaciones y 8) Enfoque Sistémico.
En ese entonces (1999), durante el proceso de producción de una publicación de divulgación
masiva sobre los Sistemas de Gestión Ambiental y de Calidad, enmarcada en un Proyecto
BID-FOMIN-ICONTEC, con el equipo de trabajo de mi empresa ASTEQ, decidimos preparar
una aplicación en Excel para diagnosticar un Sistema Integral de Gestión, en la que no se
hablara de la norma, ni se tomaran secciones específicas de su contenido o títulos, pero que
fundamentado en los principios, permitiera hacer el ejercicio de evaluar el estado del SIG
QHSE, sin tener que explicar a los directivos de las empresas la estructura y elementos de la
norma. Al desarrollar en el año 2000 este diagnóstico e incluir la aplicación informática en el
CD que acompañaba el libro, concluimos que trabajaríamos solo con siete secciones, en la
medida en que el octavo principio estaba inmerso en la integración de los otros siete, alrededor
del Sistema de Gestión. Hoy vemos con satisfacción que el TC 176 llegó a una conclusión
similar de solo siete principios, planteando también un enfoque amplio y propicio para abordar
una visión integral y holística de los Sistemas de Gestión, articulada en la Gestión de Riesgos.
Planteamos en la página 34 una primera tabla que resume los 8 principios y adiciona un
noveno principio llamado “Maximización de la Contribución al Desarrollo Sostenible”, que
soportado en los elementos de Responsabilidad Social Empresarial, adiciona como extensión
los siguientes principios complementarios propios del contexto RSE (International
Standardization Organization ISO 26000, 2010). Luego, de la página 35 a la página 48,
planteamos el detalle del enfoque de los siete principios, bajo la propuesta de Germán Cañón
y Pedro Pablo Poveda, que según ISO 9000:2015, y para cada principio, formulan además 10
33
preguntas base, útiles para realizar un diagnóstico del estado del SIG QHSE-SI, sin incluir
alusiones específicas a los numerales de las normas asociadas.
9.1. Rendición de cuentas

La rendición de cuentas es una cuestión fundamental para poder llevar a cabo una correcta
integración de la RS. El principio invita a la organización a rendir cuentas por los impactos
económicos, sociales y ambientales de su actuación, lo cual también implica asumir
responsabilidad por sus impactos negativos y el compromiso de tomar las medidas pertinentes
para repararlos y evitar repetirlos. Este enfoque también invita a las organizaciones a aceptar
el escrutinio público de sus actividades y a asumir un papel activo en responder ante dicho
escrutinio.
9.2. Transparencia
Las organizaciones deben operar con transparencia. Este imperativo ha ido ganando
relevancia en el ámbito de la Responsabilidad Social Empresarial.
Desde ISO 26000, y con mayor extensión para las empresas de servicios del Sector Salud,
se aconseja a las organizaciones a ser transparentes en aquellas actividades que desarrolla y
afectan a la sociedad y al medio ambiente. De este modo, sugiere que la organización debería
suministrar toda la información que requieran las partes interesadas, en un lenguaje accesible
e inteligible. El principio excluye, sin embargo, que se publique la información protegida por la
propiedad intelectual, los datos personales o la que pueda causar incumplimientos de
obligaciones legales.
9.3. Comportamiento ético

La Responsabilidad Social de una organización tiene mucho que ver con la ética de su
comportamiento. Por ello, se plantea que, para tener un impacto verdaderamente positivo en
el desarrollo sostenible, la organización debería regirse por criterios de honestidad, equidad e
integridad, lo que significa que la empresa no debería perseguir únicamente el beneficio
económico, sino también tratar de maximizar los impactos positivos en su entorno social y
medioambiental, y minimizar los negativos.
9.4. Respeto a los intereses de las partes interesadas

La organización debería respetar y atender los intereses y requerimientos de las partes
interesadas. Esto es así porque, aun cuando los objetivos de una empresa puedan
circunscribirse a los intereses de sus dueños, existe un conjunto de actores o partes
interesadas que, si bien no forman parte de la empresa, tienen unas necesidades y unos
intereses legítimos que pueden verse afectados por las actividades de la empresa. Se
recomienda tener en cuenta a estos grupos de interés, sus necesidades, expectativas,
requisitos, y compromisos adquiridos, a la hora de planificar, operar y tomar decisiones.
9.5. Respeto al principio de legalidad

Respetar el principio de legalidad o supremacía del derecho, implica reconocer de entrada,
que ningún individuo u organización tiene la potestad de actuar fuera de la ley. En el ámbito
de la RS, el respeto al principio de legalidad significa que la organización debería respetar y
cumplir las leyes y regulaciones aplicables y, por tanto, debería tomar las medidas necesarias
para estar al corriente y cumplir la legislación vigente en materia de RS.
34
9.6. Respeto a la normativa internacional de comportamiento

Yendo más allá del cumplimiento de la ley de los países en los que opera, este principio invita
a respetar la normativa internacional de comportamiento aun cuando la normativa nacional, a
la que esté sujeta, no contemple las salvaguardas sociales técnicas y medioambientales. Y
para el caso de que la ley de su jurisdicción entre en colisión con la normativa internacional, la
organización debería revisar la naturaleza de sus relaciones y actividades en esa jurisdicción
y evitar ser cómplice de comportamientos que no sean compatibles con la normativa
internacional de RS.
9.7. Respeto a los derechos humanos

La organización debería respetar los derechos humanos, así como reconocer su importancia
y universalidad, es decir, que estos derechos son aplicables a todos los individuos de todos
los países y culturas. Y, en el caso de que los derechos humanos no sean garantizados en su
ámbito de actuación, bien sea por un vacío legal o por prácticas inadecuadas, la organización
debería hacer todo lo que esté a su alcance para respetar y proteger esos derechos.
(International Standardization Organization ISO 26000, 2010)
35
Principio Guía Descripción

Las organizaciones dependen de sus clientes y también, en cierta medida, de los grupos de
Enfoque hacia el cliente y los grupos
1 interés, por lo tanto deberían comprender sus necesidades actuales y futuras s, satisfacer los
de interés
requisitos y esforzarse en exceder sus expectativas.
Los líderes establecen la unidad de propósito y la orientación de la organización. Ellos deberían
2 Liderazgo crear y mantener un ambiente interno, en el cual el personal pueda llegar a involucrarse totalmente
en el logro de los objetivos de la organización.
El personal, a todos los niveles, es la esencia de una organización, y su total compromiso posibilita
3 Participación del personal
que sus habilidades sean usadas para el beneficio de la organización
Un resultado deseado se alcanza más eficientemente cuando las
4 Enfoque basado en procesos
actividades y los recursos relacionados se gestionan como un proceso
Identificar, entender y gestionar los procesos interrelacionados como un sistema, contribuye a la
5 Enfoque de sistema para la gestión
eficacia y eficiencia de una organización en el logro de sus objetivos
La mejora continua del desempeño global de la organización debería ser un objetivo permanente
6 Mejora continua
de ésta.
Enfoque basado en hechos para la
7 Las decisiones eficaces se basan en el análisis de los datos y la información
toma de decisión
Relaciones mutuamente beneficiosas
Una organización y sus grupos de interés y proveedores son interdependientes, y una relación
8 con el proveedor y los grupos de
mutuamente beneficiosa aumenta la capacidad de ambos para crear valor.
interés.
Maximizarción de la contribución al Como prinicipio, este elemento integra y reune los propósitos de los siete que se plantean a
9
desarrollo sostenible continuación.
La rendición de cuentas por el impacto global de sus decisiones y actividades sobre la sociedad y el
medio ambiente implica que el grado en que la organización debe responder ante aquellos
10 Rendición de cuentas afectados por sus decisiones y actividades, así como ante la sociedad en general. Para este
efecto, se debe aceptar un escrutinio adecuado y, además, aceptar el
deber de responder a ese escrutinio.
Una organización debería revelar de forma clara, precisa y completa y en un grado razonable y
11 Transparencia suficiente la información sobre las políticas, decisiones y actividades de las que es responsable,
incluyendo sus impactos conocidos y probables sobre la sociedad y el medio ambiente.
El comportamiento de una organización debería basarse en los valores de la honestidad, equidad e

integridad. Estos valores implican la preocupación por las personas, animales y medio ambiente, y
12 Comportamiento ético
un compromiso de tratar el impacto de sus actividades y decisiones en los intereses de las partes
interesadas.
Aunque los objetivos de la organización podrían limitarse a los intereses de sus dueños, socios,
clientes o integrantes, otros individuos o grupos, también podrían tener derechos, reclamaciones o
13 Respeto a los intereses de las partes.
intereses específicos que deberían tenerse en cuenta. Colectivamente, estas personas o grupos
constituyen las partes interesadas de una organización.
El principio de legalidad se refiere a la supremacía del derecho y, en particular, a la idea de que
ningún individuo u organización está por encima de la ley y de que los gobiernos también están
sujetos a la ley. El principio de legalidad se contrapone con el ejercicio arbitrario del poder.
14 Respeto al principio de legalidad
Generalmente, está implícito en el principio de legalidad que las leyes y regulaciones estén escritas,
difundidas públicamente y se hagan cumplir de manera justa, de acuerdo con procedimientos
establecidos.
Respeto a la normativa internacional Una organización debería respetar la normativa internacional de comportamiento, a la vez que
15
de comportamiento acatar el principio de respeto al principio de legalidad.
Una organización debería respetar los derechos humanos y reconocer, tanto su importancia como
16 Respeto a los derechos humanos su universalidad. Respetar, promover y en situaciones donde los derechos humanos no se
protegen, dar pasos para respetar los derechos humanos y evitar beneficiarse de esas situaciones
Figura 1.4.1 a Principios asociados al Sistema de Gestión Integral. Fuentes:

Adaptación de (International Standardization Organization ISO 9000, 2015, pág. vi) e
(International Standardization Organization ISO 26000, 2010, págs. 11-14)
36
Principio UNO. ENFOQUE AL CLIENTE.

(Fuente: Poveda y Cañón, 2015)
Principio UNO Declaración:
El enfoque principal de la gestión integral y de
Enfoque al Cliente rendimiento energético es cumplir los requisitos de las
partes, generar valor, y ser ecoeficientes.
Base Racional y Enfoque Integral para la Competitividad:

El éxito continuo se alcanza cuando una organización atrae y conserva la confianza de los clientes
y de otras partes interesadas. Cada aspecto de la interacción del cliente proporciona una oportunidad
de crear más valor para el cliente. Entender las necesidades actuales y futuras de los clientes
y de otras partes interesadas contribuye al éxito continuo de la organización.
El enfoque de la Gestión ligada a este principio apunta hacia el cumplimiento de los requisitos
de las partes, la comprensión de sus intereses, necesidades y expectativas actuales y futuras,
y la generación de respuestas positivas acordes con el enfoque para el éxito humano
y sostenible del negocio, bajo el contexto de:
A. Proyectos para el Desarrollo y Consolidación del Rendimiento Energético e Hídrico.
B. Proyectos para el Desarrollo y Consolidación de Nuevos Productos y Negocios.
Beneficios e Impacto esperado con su aplicación:

Impacto esperado en el Tablero de Indicadores, mediante su aplicación.
1.1 Mayor Generación Integral de Valor. (EVA++)
1.2 Mayor Satisfacción de las Partes.
1.3 Mayor visibilidad positiva y reputación.
1.4 Mayor tasa de retorno y fidelización de clientes.
1.5 Ampliación de la base de clientes y de la participación en el mercado.
1.6 Aumento en las utilidades y en la rentabilidad .

Disminución de la vulnerabilidad en la interacción crítica con las partes a partir de la administración integral de
1.7 riesgos QHSE3-SI (Calidad, Seguridad y Salud Ocupacional, Medio Ambiente, Eficiencia Energética, y Seguridad
de la Información).
Mayor potenciación en el desarrollo de proyectos para la eficiencia energética, nuevos negocios (DNN) y de
1.8
nuevos productos (DNP).
1.9 Fortalecimiento de la cultura de generación integral de valor hacia las partes interesadas.
Actividades Clave Asociadas a su Aplicación:

Líneas Principales de Acción asociadas a la aplicación del Principio UNO en el SIG QHSE3 SI.
Identificar las partes interesadas, y los clientes directos e indirectos de la organización como
1.a
aquellos que reciben valor de la organización.
1.b Investigar y entender las necesidades actuales y futuras, los intereses de los clientes y las partes.
Relacionar los objetivos de la organización y los Proyectos de DNN y DNP, con las necesidades e
1.c
intereses de las parte, y los frentes potenciales de acción para el rendimiento energético e hídrico.
Enfocar la gestión de inteligencia e innovación estratégica competitiva del DNN y DNP en la respuesta
1.d efectiva a las necesidades, e intereses de las partes, a partir del Diseño Transversal para la
Generación Integral de Valor y el rendimiento energético e hídrico.
1.e Generar conocimiento decisional para el éxito sostenible.
Realizar medición y seguimiento a las Voces de las Partes Interesadas(satisfacción, aportes, quejas,
1.f
reclamos...)
Fortalecer las relaciones positivas con los clientes y las partes interesadas, bajo la perspectiva del
1.g
aporte común al éxito humano y sostenible colectivo.
1.h Mayor potenciación en el desarrollo de nuevos negocios (DNN) y de nuevos productos (DNP).
1.i Fortalecimiento de la cultura de generación integral de valor hacia las partes interesadas.
37
Diagnostico del Estado de Aplicación del Principio UNO. ENFOQUE AL CLIENTE,

a lo largo del SISTEMA INTEGRAL DE GESTIÓN
Calificación del Estado de Gestión - Perfil
Las acciones no se Este aspecto se
Este aspecto se
No tenemos Hay acciones desarrollan o los encuentra definido y
encuentra
ASPECTO nada al puntuales o resultados no se planificado, y se ha
completamente
respecto resultados aislados generan de manera iniciado su
implementado.
sistemática aplicación
1. Se ha determinado quiénes son los clientes y las partes interesadas

relevantes para la organización (autoridades, sociedad, empleados, 1 2 3 4 5
usuarios, comunidad, proveedores, propietarios)
2. Se han identificado las necesidades y expectativas prioritarias,

requisitos aplicables, intereses y compromisos de y ante los clientes y
las partes interesadas relevantes relacionadas con la gestión integral, la 1 2 3 4 5
seguridad de la información y otros riesgos clave asociados a la naturaleza
de la organización, observando además tendencias y proyecciones.
3. Se ha evaluado la satisfacción de los clientes y las partes

interesadas relevantes de manera sistemática, con relación el
desempeño de la organización en cuanto a los riesgos de gestión integral, 1 2 3 4 5
seguridad de la información y otros riesgos clave asociados a la naturaleza
de la organización
4. Se han identificado y se ha dado respuesta a los reclamos más

significativos de los clientes y las partes interesadas relevantes, en
1 2 3 4 5
lo relacionado con la gestión integral y los aspectos relevantes y
estratégicos de la organización.
5. Se dispone de métodos para identificar, tener acceso, asegurar el

cumplimiento y responder a nuevos requisitos de tipo legal relacionados
1 2 3 4 5
con la gestión integral, seguridad de la información y otros riesgos clave
asociados a la naturaleza de la organización
6. Se relacionan los Objetivos de la Organización y los Proyectos de
Desarrollo de Nuevos Negocios, DNN y el Desarrollo de Nuevos
Productos DNP, con las necesidades e intereses de las partes, desde la
1 2 3 4 5
perspectiva de la gestión integral, seguridad de la información y otros
riesgos clave estratégicos, aplicables a las actividades, productos y
servicios de la organización.
7. Se tienen definidas especificaciones, o fichas técnicas para los
productos y servicios generados y empleados, que incluyen los 1 2 3 4 5
requisitos de gestión integral y otros pertinentes.
8. Se dispone de métodos para informar, recibir, dar trámite,

respuesta y resolución a discrepancias ligadas a las solicitudes de los
clientes y partes interesadas clave relacionadas con la gestión integral, la 1 2 3 4 5
seguridad dela información y otras componentes de riesgo clave para la
organización. (Voces de las Partes Interesadas)
9. Se dispone de métodos para precisar y confirmar los términos

ligados a los pedidos y solicitudes de los clientes, en relación con la
1 2 3 4 5
gestión integral, la seguridad de la información y otras componentes de
riesgo clave para la organización.
10. Se fortalecen las relaciones positivas con los clientes y las partes
interesadas relevantes, y estratégicas para la organización, bajo la 1 2 3 4 5
perspectiva del aporte común al éxito humano y sostenible colectivo.
38
Principio DOS. LIDERAZGO

Principio DOS Declaración:
Liderazgo. Los líderes en todos los niveles establecen la unidad de propósito y

EMPRENDIMIENTO, EJEMPLO Y la dirección, y crean condiciones en las que las personas se
LIDERAZGO PARA LA GESTIÓN implican en el logro de los objetivos de la gestión integral de la
EMPRESARIAL SOSTENIBLE GEES. organización.

La creación de la unidad de propósito y la dirección y gestión de las personas permiten a una organización
alinear sus estrategias, políticas, procesos y recursos para lograr sus objetivos.
Este enfoque y direccionamiento debe permitir potenciar la empresa
hacia el éxito humano y sostenible, a partir de:
A. El Ejemplo Integral.
B. La pasión traducida en ideario y acciones en coherencia.
C. La efectividad del líder emprendedor, en el despliegue estratégico,
la gestión de riesgos y la administración de proyectos..

2.1 Mayor efectividad en la ejecución y despliegue de las estrategias y los planes y proyectos corporativos.
Mayor integración, unidad, coordinacción y comunicación entre funciones y procesos de la organización,
alrededor del logro de los propósitos estratégicos del negocio, con un enfoque que considere la gestión de
2.2
riesgos integrales, de seguridad de información y de eficiencia hídrica y energética, en su formulación y
control.
Desarrollo de una cultura empresarial focalizada en objetivos, resultados, prevención y generación integral de
2.3
valor.
Fortalecimiento de la cultura empresarial para la planificación de proyectos, objetivos, indicadores y para

2.4
promover la sinergia, la integración y el reconocimiento.

Líneas Principales de Acción asociadas a la aplicación del Principio DOS en el SIG QHSE3 SI.
Realizar la formulación y el despliegue de los principios, propósitos, valores y desafíos que asume la
2.a organización, al igual que la política, los objetivos y los procesos, con un enfoque corporativo de riesgos
integrales.
Promover y desarrollar una cultura institucional fundamentada en valores compartidos, y en principios éticos
2.b para el comportamiento, el respeto a la dignidad humana y las diferencias, la convivencia ciudadana, la
confianza, la integridad, y el compromiso con el éxito humano y sostenible del negocio.
Fomentar el compromiso y la coherencia en la acción con respecto a los principios de gestión integral en los
2.c procesos, en la interacción con las partes, y en la proyección humana de cada quién. (Hacerlo bien, Hacer
el bien, y Sentirse bien).
Asegurar que los líderes en todos los niveles son ejemplos positivos para las personas de la organización
2.d
(Palabra, Acto y Coherencia).
Configurar la Organización de manera armónica y congruente con los desarrollos del negocio, y
2.e proporcionar a las personas los recursos, la formación y la autoridad requerida para actuar con
responsabilidad y asumir la obligación de rendir cuentas.
Inspirar, fomentar y reconocer la importancia y contribución de las personas en la realización de los

2.f proyectos y el logro de los propósitos estratégicos para el éxito humano y sostenible con una perspectiva de
rendimiento hídrico y energético..
39
Diagnostico del Estado de Aplicación del Principio DOS. LIDERAZGO,

Las acciones no se
Hay acciones Este aspecto se Este aspecto se
No tenemos desarrollan o los
puntuales o encuentra definido y encuentra
ASPECTO nada al
respecto
resultados
resultados no se
generan de manera
planificado, y se ha completamente
aislados iniciado su aplicación implementado.
sistemática
1. Se evidencia el convencimiento y compromiso gerencial con la

gestión de gestión integral y otras factores críticos asociados al éxito
1 2 3 4 5
humano y sostenible de la organización, con una perspectiva de seguridad
TIC, protección de la información, y rendimiento hídrico y energético.
2. Se analiza periodicamente el entorno, el contexto y las

condiciones de la organización considerando las condiciones relativas a 1 2 3 4 5
la gestión de gestión integral y el direccionamiento estratégico del negocio.
3. Se definen estrategias para la mejora de la competitividad de la

organización enfocadas en la gestión de gestión integral con una
perspectiva de rendimiento hídrico y energético y otros aspectos
estratégicos clave, a partir del análisis del entorno y las condiciones de la 1 2 3 4 5
organización, y se aseegura que los líderes en todos los niveles son
ejemplos positivos para las personas de la organización (Palabra, Acto y
Coherencia)
4. Se realiza la formulación y el despliegue de los principios,

propósitos, valores, políticas y desafíos que asume la organización en 1 2 3 4 5
sus procesos y portafolio de productos y servicios.
5. Se han definido y se realiza seguimiento a los objetivos, metas e

indicadores de carácter estratégico relacionados con la mejora del
desempeño en gestión integral y los riesgos asociados, el cumplimiento de
1 2 3 4 5
los requisitos, el bienestar de los empleados y la mejora en la interacción
con los clientes, usuarios y grupos de interés relevantes, con una
perspectiva de rendimiento hídrico y energético.
6. Se ha configurado la Organización de manera armónica y
congruente con los desarrollos del negocio, y se proporcionan a las
personas los recursos, la formación y la autoridad requerida para actuar 1 2 3 4 5
con responsabilidad y asumir la obligación de rendir cuentas y administrar
los riesgos integrales..
7. Se fomenta el compromiso y la coherencia en la acción con
respecto a los principios de gestión integral en los procesos, en la
1 2 3 4 5
interacción con las partes, y en la proyección humana de cada quién.
(Hacerlo bien, Hacer el bien, y Sentirse bien)
8. Se han establecido indicadores para evaluar el logro de los

objetivos y metas de gestión integral, bajo el enfoque estratégico y de 1 2 3 4 5
riesgos del negocio.
9. Se revisa periódicamente a nivel gerencial el desempeño del SIG

QHSE3 SI, y desde la Dirección se Inspira, fomenta y reconoce la
importancia y contribución de las personas en la realización de los 1 2 3 4 5
proyectos y el logro de los propósitos estratégicos para el éxito humano y
sostenible.
10. Se promueve y desarrolla una cultura institucional

fundamentada en valores compartidos, y en principios éticos para el
comportamiento, el respeto a la dignidad humana y las diferencias, la 1 2 3 4 5
convivencia ciudadana, la confianza, la integridad, y el compromiso con el
éxito humano y sostenible del negocio.
40
Principio TRES. COMPROMISO DE LAS PERSONAS.

Principio TRES Declaración:
Para gestionar una organización de manera eficaz y eficiente,

es importante respetar e implicar activamente a todas las
Compromiso de las Personas. personas en todos los niveles. El reconocimiento, el
empoderamiento y la mejora de la competencia facilitan el
compromiso de las personas en el logro de los objetivos de la
gestión integral de la organización.

Para gestionar una organización de manera eficaz y eficiente, es importante respetar e implicar activamente a todas
las personas en todos los niveles. Para este efecto es preciso conjugar el desarrollo humano, organizacional y la
cultura institucional, considerando::
A. El reconocimiento por los logros y el cumplimiento de los objetivos.
B. La Promoción de una cultura ligada al empoderamiento y el compromiso con los logros.
C. El Desarrollo de las competencias en línea con la dinámica y los propósitos estratégicos de la
Organización.

Mejorar el nivel de comprensión y apropiación de la comprensión de los objetivos de la gestión integral
3.1
de la organización por parte de las personas de la organización y aumento de la motivación para lograrlos.
3.2 Aumento de la participación activa de las personas en las actividades de mejora.
3.3 Aumento en el desarrollo, iniciativa y creatividad de las personas.
3.4 Aumento de la satisfacción de las personas.
3.5 Aumento de la confianza y colaboración en toda la organización
3.6 Aumento de la atención a los valores compartidos y a la cultura en toda la organización.

Líneas Principales de Acción asociadas a la aplicación del Principio TRES en el SIG QHSE3 SI.
Comunicarse con las personas para promover la comprensión de la importancia de su contribución

3.a
individual.
3.b Promover la colaboración en toda la organización.
3.c Facilitar el diálogo abierto y que se compartan los conocimientos y la experiencia.
Empoderar a las personas para determinar las restricciones que afectan al desempeño y para tomar
3.d iniciativas sin temor, alrededor de la seguridad de la información, el rendimiento hídrico y energético, y
la sostenibilidad.
3.e Reconocer y agradecer la contribución, el aprendizaje y la mejora de las personas.
3.f Posibilitar la autoevaluación del desempeño frente a los objetivos personales.
Realizar encuestas para evaluar la satisfacción de las personas, comunicar los resultados y tomar las
3.g
acciones adecuadas.
41
Diagnostico del Estado de Aplicación del Principio TRES. COMPROMISO DE LAS PERSONAS,
Las acciones no se
ASPECTO nada al
respecto
resultados
resultados no se
generan de manera
sistemática
1. Se ha identificado el personal cuyo trabajo incide de manera crítica

en la gestión integral y otras componentes de riesgo aplicables al enfoque 1 2 3 4 5
estratégico del negocio.
2. Se encuentran definidas las responsabilidades (lo que debe hacer) y

1 2 3 4 5
la autoridad (lo que puede decidir) para este personal crítico
3. Se han establecido los criterios de educación, entrenamiento y

1 2 3 4 5
experiencia, entre otros, que debe cumplir este personal crítico.
4. Se desarrollan acciones para promover la toma de conciencia del

personal con respecto a la satsfacción de las necesidades de los
1 2 3 4 5
grupos de interés y la administración integral de riesgos, incluyendo
la seguridad de la información y el rendimiento hídrico y energético.
5. Se identifican permanentemente los requerimientos de nuevos

conocimientos, o competencias del personal para mejorar el
1 2 3 4 5
desempeño, se planifican, ejecutan y evalúan las acciones en
consecuencia.
6. Se han establecido canales y métodos de comunicación interna
para controlar el flujo de la información relacionada con la gestión de
1 2 3 4 5
gestión integral y otras componentes de riesgos estratégicos del negocio
que sean relevantes.
7. Se han establecido mecanismos para promover, facilitar y

reconocer la participación del personal en la mejora continua del 1 2 3 4 5
desempeño de productos, procesos y negocios.
8. Se dispone de métodos para promover la autoevaluación del

1 2 3 4 5
desempeño frente a los objetivos personales.
9. Se dispone de mecanismos para evaluar el clima, el nivel de

satisfacción del personal y sus necesidades particulares , y desarrrollar 1 2 3 4 5
las acciones en consecuencia para fortalecer la comunicación y la mejora.
10. Se promueve el diálogo y la comunicación para divulgar el

1 2 3 4 5
conocimiento y las lecciones aprendidas .
42
Principio CUATRO ENFOQUE A PROCESOS.

Principio CUATRO
Declaración:
Se alcanzan resultados coherentes y previsibles de
manera más eficaz y eficiente cuando las actividades se
Enfoque a Procesos. entienden y gestionan como procesos interrelacionados
que funcionan como un sistema coherente, como un
todo focalizado alrededor de unos propósitos y
objetivos estratégicos concretos.
El SIG QHSE3 SI consta de procesos interrelacionados que se integran de manera armónica

alrededor del propósito de satisfacer las necesidades de los clientes con un portafolio de productos y
servicios, bajo un enfoque de negocios que busca el éxito humano y sostenible.
Entender cómo este sistema produce los resultados permite a una organización
optimizar el sistema y su desempeño. , considerando::
A. El mapeo de los procesos requeridos para lograr los propósitos estratégicos
previstos en el contexto del negocio.
B. La planificación, gestión e integración armónica de los procesos, fundamentada en la
determinación de sus ciclos PHVA, sus riesgos, oportunidades y en la prevención de resultados o eventos
no deseados.

4.1 Aumento de la capacidad de centrar los esfuerzos en los procesos clave y en las oportunidades de mejora
4.2 Rresultados coherentes y previsibles mediante un sistema de procesos alineados
Optimización del desempeño mediante la gestión eficaz del proceso, el uso eficiente de los recursos y la
4.3
reducción de las barreras interdisciplinarias
Posibilidad de que la organización proporcione confianza a las partes interesadas en lo relativo a su

4.4
coherencia, eficacia y eficiencia.
4.5 Aumento de la atención a los valores compartidos y a la cultura en toda la organización.

Líneas Principales de Acción asociadas a la aplicación del Principio CUATRO en el SIG QHSE3 SI.
4.a Definir los objetivos del sistema y de los procesos necesarios para lograrlos;
Establecer la autoridad, la responsabilidad y la responsabilidad y obligación de rendir cuentas para la

4.b
gestión de los procesos y el cumplimiento de requisitos.
Entender las capacidades de la organización y determinar las restricciones de recursos antes de

4.c
actuar;
Determinar las interdependencias del proceso y analizar el efecto de las modificaciones a los
4.d procesos individuales sobre el sistema como un todo, bajo un enfoque de generación integral de valor
desde cada proceso.
Gestionar los procesos y sus interrelaciones como un sistema para lograr los objetivos de la gestión
4.e
integral de la organización de una manera eficaz y eficiente;
Asegurar que la información necesaria está disponible para operar y mejorar los procesos y para
4.f
realizar el seguimiento, analizar y evaluar el desempeño del sistema global;
Gestionar los riesgos integrales, de seguridad de la información, y de rendimiento hídrico y energético,

4.g que pueden afectar a las salidas de los procesos y a los resultados globales del SIG QHSE3 SI, y
asegurar del desempeño eficaz y la mejora soportada en la evaluación de los datos y la información.
43
Diagnostico del Estado de Aplicación del Principio CUATRO. ENFOQUE A PROCESOS,

Las acciones no se
ASPECTO nada al
resultados
resultados no se
respecto generan de manera
sistemática
1. Se han identificado los procesos clave de la organización que tienen

incidencia en la gestión integral y otras componentes de riesgo relevantes 1 2 3 4 5
aplicables al negocio MIPY ME
2. Se han establecido los objetivos, requisitos y criterios que deben

cumplir los procesos para asegurar su efectividad y excelencia 1 2 3 4 5
operacional
3. Se han identificado los requisitos legales, contratuales, e internos,

relacionados con la gestión integral y otras componentes de riesgo
1 2 3 4 5
aplicables, que debe cumplir los procesos del SIG QHSE3 SI, con particular
énfasis en los procesos de realización de los productos y servicios.
4. Se han identificado y evaluado las pérdidas relacionadas con la

gestión integral y otras componentes de riesgo aplicables (reclamos-no
conformes, reprocesos, tiempos muertos, seguridad de la información, 1 2 3 4 5
perdidas por errores o pérdidas por mal uso de los recursos hídricos o
enegéticos), en los procesos clave.
5. Se han identificado y evaluado los riesgos relacionados con la

gestión integral y otras componentes de riesgo aplicables, en los procesos 1 2 3 4 5
clave
6. Se han identificado y evaluado las oportunidades de mejora del

desempeño de los procesos, en lo relacionado con la gestión integral, la
1 2 3 4 5
seguridad de la información, el rendimiento hídrico y energético, y otras
componentes de riesgo aplicables, en los procesos clave
7. Se han establecido indicadores de gestión integral para medir y

hacer seguimiento a los procesos clave, en línea con las pérdidas, los
1 2 3 4 5
riesgos y las oportunidades de mejora identificadas y los objetivos
estratégicos del negocio
8. Se han han establecido planes de control para la prevención de los

riesgos, el monitoreo de las variables críticas y la formulación de 1 2 3 4 5
medidas de contingencia en los procesos clave
9. Se han planificado los métodos y las disposiciones propias de la

operación y el control de los procesos clave, al igual que el flujo de 1 2 3 4 5
información, documentos y recursos entre los distintos procesos.
10. Se aplican acciones para mejorar continuamente el desempeño

1 2 3 4 5
de los procesos clave
44
Principio CINCO. MEJORA

Principio CINCO
Declaración:
Las organizaciones con éxito tienen un enfoque continuo hacia la
mejora de su portafolio de negocios y productos, al igual que de sus
Mejora procesos, proyectos y elementos culturales de su Desarrollo
Organizacional
La mejora es esencial para que una organización mantenga los niveles actuales de desempeño, reaccione a los cambios
en sus condiciones internas y externas y cree nuevas oportunidades.
La Gestión de Mejora Continua integra los esfuerzos por generar más valor, disminuir la vulnerabilidad, responder de una
manera más ágil y rapida, y anticiparse a los eventos particulares del mercado, teniendo en cuenta las siguientes
componentes:
A. La dinámica empresarial de sus diferentes procesos, proyectos y lineas
de productos y servicios, alrededor de la mejora por reacción, corrección
y prevención, que integra la Gestión de Acciones Correctivas, Preventivas y de Mejora.
B. La mejora por innovación, creación y desarrollo que apalanca el desarrollo estratégico del negocio, los nuevos
negocios y los nuevos productos/servicios, sobre la base de proyectos corporativos.

Mejora del desempeño del proceso, de las capacidades de la organización, del tratamiento y respuesta a no conformes, y de
5.1 la satisfacción del cliente;
Mejora del enfoque en la investigación y la determinación de la causa raíz, seguido de la prevención y las acciones
5.2 correctivas;
5.3 Aumento de la capacidad de verificar, auditar, anticiparse y reaccionar a los riesgos y oportunidades internas y externas;
5.4 Mayor atención tanto a la mejora progresiva como a la mejora abrupta;
5.5 Mejor uso del aprendizaje para la mejora;
5.6 Aumento de la promoción de la innovación.

Líneas Principales de Acción asociadas a la aplicación del Principio CINCO en el SIG QHSE3 SI.
5.a Promover el establecimiento de objetivos de mejora en todos los niveles de la organización;
Educar y formar a las personas en todos los niveles sobre cómo aplicar las herramientas básicas y las metodologías
5.b para lograr los objetivos de mejora;y para dar respuesta a no conformidades (Accion de Contención, Acción sobre el
Efecto/Responsabilidades y Acciones para evitar la recurrencia y para prevenir fallas).
Facilitar el diálogo abierto y que se compartan los conocimientos y la experiencia.Asegurarse de que las personas son
5.c
competentes para promover y completar los proyectos de mejora exitosamente;
Desarrollar y desplegar procesos para implementar los proyectos de mejora en toda la organización; bajo
5.d un enfoque centrado en los riesgos integrales, de seguridad de la información y el rendimiento hídrico y energético
QHSE3-SI
Realizar seguimiento, revisar y auditar la planificación, la implementación, la finalización y los resultados de los
5.e
procesos y de los proyectos particulares de mejora;
5.f Integrar las consideraciones de la mejora en el desarrollo de productos, servicios y procesos nuevos o modificados;
5.g Promover, Demostrar y Reconocer la mejora.
45
Diagnostico del Estado de Aplicación del Principio CINCO. MEJORA,

Hay acciones Las acciones no se Este aspecto se
Este aspecto se
No tenemos desarrollan o los encuentra definido y
puntuales o encuentra
ASPECTO nada al
resultados
resultados no se planificado, y se ha
generan de manera iniciado su
completamente
respecto implementado.
aislados sistemática aplicación
1. Se han establecido los métodos y las disposiciones para identificar,

reportar, dar respuesta ante las partes y tratar en cuanto a contención,
responsabilidad y acción sobre el efecto, las no conformidades 1 2 3 4 5
relacionadas con gestión integral, la seguridad de información, el
rendimiento hídrico o energético, u otro aspecto determinante del negocio
2. Se han establecido planes para el manejo de contingencias,

emergencias y continuidad del negocio, considerando acciones de
1 2 3 4 5
control y mitigación relativas a la gestión integral y otras componentes de
riesgo aplicables desde el punto de vista estratégico.

reportar, dar respuesta ante las partes, investigar las causas y
desarrollar acciones para prevenir la recurrencia de fallas y no 1 2 3 4 5
conformidades relacionadas con gestión integral u otro aspecto
determinante del negocio

reportar, dar respuesta ante las partes, analizar, tratar y evaluar los riesgos
para desarrollar acciones preventivas que eviten la ocurrencia de fallas y no 1 2 3 4 5
conformidades relacionadas con gestión integral u otro aspecto
determinante del negocio
5. Se han establecido mecanismos para aplicar acciones de mejora

que generen valor, incrementando la ecoeficiencia, el bienestar de los 1 2 3 4 5
empleados y la efectividad de los procesos clave de la organización
6. Se integran de manera efectiva y se revisa la efectividad de todas

las acciones sobre los efectos, las causas raíz y los riesgos (preventivas y
1 2 3 4 5
de mejora), bajo un enfoque corporativo de administración desde el SIG
QHSE3 SI.
7. Se controla, actualiza y administra el conocimiento y el mejor saber

hacer de la organización con base en métodos y sistemas efectivos
para la administración de los documentos en los que se establecen las 1 2 3 4 5
disposiciones propias de la definición y planificación de los productos,
procesos y proyectos.
8. Se ha estructurado y se mantiene vigente un tablero de indicadores

que facilite la retroalimentación y la toma de decisiones a nivel
gerencial, con un enfoque que integra alrededor del rumbo estratégico, las 1 2 3 4 5
componentes de riesgo de gestión integral y otros aspectos críticos del
negocio
9. Se desarrollan auditorías internas de gestión integral y otros

mecanismos de realimentación y monitoreo, para identificar
1 2 3 4 5
oportunidades de mejora en los procesos claves del negocio, incluyendo la
autoevaluación sobre los objetivos personales.
10. Se realizan periódicamente revisiones gerenciales del SIG QHSE3

SI, como base para su ajuste y mejora continua de acuerdo con el 1 2 3 4 5
desempeño logrado y las condiciones del entorno de la organización
46
Principio SEÍS. TOMA DE DECISIONES BASADA EN LA EVIDENCIA

Principio SEIS Declaración:

Las decisiones basadas en el análisis y la evaluación de datos e
información tienen mayor probabilidad de producir los resultados
deseados.
Toma de decisiones basada El conocimiento sobre el mejor saber hacer, las tendencias, y vulnerabilidad
en la evidencia en cuanto al desempeño de los procesos, los productos, los proyectos y la
cultura, solamente se pueden fundamentar en una base sólida de hechos y
datos.

La toma de decisiones puede ser un proceso complejo, y siempre implica cierta incertidumbre. Con frecuencia implica
múltiples tipos y fuentes entradas, así como su interpretación, que puede ser subjetiva. Es importante entender las
relaciones de causa y efecto y las consecuencias potenciales no previstas.
El análisis de los hechos, las evidencias y los datos conduce a una mayor objetividad y confianza en la toma
de decisiones y debe estar fundamentado en:
A. Una disciplina y una cultura que fortalezcan el pensamiento analítico y deductivo, soportadas siempre en la
curiosidad constructiva, la objetividad, el rigor y lo concreto de las evidencias.
B. La aplicación de métodos, herramientas e instrumentos alternativos que faciliten el registro, tratamiento,
correlación y análisis de la información.
C. El desarrollo efectivo de las competencias para disponer de herramientas que orienten y faciliten la Gestión de
Hechos y Datos para el conocimiento y la toma de decisiones.

6.1 Mejora de los procesos de toma de decisiones;
6.2 Mejora de la evaluación del desempeño del proceso y de la capacidad de lograr los objetivos;
6.3 Mejora de la eficacia y eficiencia operativas;
6.4 Aumento de la capacidad de revisar, cuestionar y cambiar las opiniones y las decisiones;
6.5 Aumento de la capacidad de demostrar la eficacia de las decisiones previas;
Mejora de las competencias y la cultura para fundamentar la gestión del conocimiento de productos, procesos y
6.6
proyectos, a partir del procesamiento y análisis de evidencias, hechos y datos;
Apropiación y despliegue de herramientas y métodos para el registro, correlación, procesamiento, validación,

6.7
estudio y análisis de la información.

Líneas Principales de Acción asociadas a la aplicación del Principio SEIS en el SIG QHSE3 SI.
Determinar, medir y hacer el seguimiento de los indicadores clave para demostrar el desempeño de la
6.a
organización;
6.b Poner a disposición de las personas pertinentes todos los datos necesarios;
6.c Asegurarse de que los datos y la información son suficientemente precisos, fiables y seguros;
6.d Analizar y evaluar los datos y la información utilizando métodos adecuados;
Asegurar que las personas sean competentes para analizar y evaluar los datos según sea
6.e
necesario y se requiera para la toma de decisiones y el conocimiento de los procesos;
Tomar decisiones y tomar acciones basadas en la evidencia, equilibrando la experiencia y la
6.f
intuición.
47
Diagnostico del Estado de Aplicación del Principio SEIS. TOMA DE DECISIONES BASADA EN LA EVIDENCIA,
Hay acciones Las acciones no se Este aspecto se Este aspecto se

ASPECTO nada al
resultados
completamente
respecto generan de manera iniciado su
aislados implementado.
1. Se dispone de información actualizada y completa sobre el

comportamiento y las tendencias del mercado, del sector y de los 1 2 3 4 5
competidores.
2. Se dispone de información actualizada sobre el desarrollo del

conocimiento científico, industrial y tecnológico relacionado con la gestión 1 2 3 4 5
integral y otras componentes de riesgo aplicables.
3. Se llevan y analizan registros e indicadores de las necesidades,

satisfacción y los reclamos de gestión integral y temas afines al enfoque 1 2 3 4 5
estratégico del negocio, en la interacción con las partes interesadas.
4. Se llevan y analizan registros e indicadores de las pérdidas de gestión

integral, al igual que de los incidentes, fallas, reprocesos, tiempos muertos 1 2 3 4 5
o condiciones que afecten la competitividad.
5. Se llevan y analizan registros e indicadores de los incidentes, fallas

potenciales o elementos que determinen vulnerabilidad o riesgos de
1 2 3 4 5
incumplimiento de los objetivos o deterioro en cuanto a la integridad de los
recursos del negocio.
6. Se llevan registros e indicadores del desempeño operativo de los

1 2 3 4 5
procesos clave
7. Se llevan registros e indicadores relacionados la calificación y el

desempeño de la red de contratistas, canales de distribución y
1 2 3 4 5
proveedores criticos para la gestión integral y otras componentes de riesgo
aplicables a las condiciones estratégicas del negocio.
8. Se ha establecido un plan para asegurar que todas las mediciones

de gestión integral son realizadas con equipos confiables, que estan 1 2 3 4 5
cubiertos por un Plan de Aseguramiento Metrológico.
9. Se llevan registros e indicadores de las acciones aplicadas para

mejorar el desempeño de gestión integral y las proyecciones estratégicas 1 2 3 4 5
del negocio.
10. Se han establecido los métodos, disposiciones y aplicaciones

tecnológicas, según se requiera, para el control de los registros, datos e 1 2 3 4 5
información de gestión integral estratégica para el negocio.
48
Principio SIETE. GESTIÓN DE LAS RELACIONES GANAR - GANAR.

Principio SIETE
Declaración:
Para el éxito continuo, las organizaciones gestionan sus relaciones con las
partes interesadas relevantes, tales como los proveedores, contratistas, ó
la comunidad en el área de influencia, entre otros, según sea necesario.
Gestión de las relaciones
GANAR - GANAR En función del contexto y las características del negocio, este aspecto
puede terminar siendo clave para el negocio, y requerir todos los recursos y
la profundidad, para asegurar la viabilidad y continuidad de la organización.

Las partes interesadas pertinentes influyen en el desempeño de una organización.
Es más probable lograr el éxito continuo cuando una organización gestiona las relaciones
con sus partes interesadas para optimizar el impacto en su desempeño.
Es particularmente importante la gestión de las relaciones con la red de proveedores, contratistas y socios, los
trabajadores, la comunidad, los bancos, las autoridades, y en algunas ocasiones hasta con la competencia.
Mejora de la Visión integral del Negocio, ubicando los actores, y entendiendo sus roles, posibilidades e incidencia
7.1
en el negocio;
Aumento del desempeño de la organización y de sus partes interesadas respondiendo a las oportunidades
7.2
y restricciones relacionadas con cada parte interesada;
7.3 Entendimiento común de los objetivos y los valores entre las partes interesadas;
Aumento de la capacidad de crear valor para las partes interesadas compartiendo los recursos y la competencia y
7.4
gestionando los riesgos relativos a la gestión integral;
7.5 Una cadena de suministro bien gestionada que proporciona un flujo estable de productos y servicios;
Desarrollo de mecanismos de realimentación y plena sinergia con las redes de contratistas, proveeedores y
7.6
canales de distribución de producto.

Líneas Principales de Acción asociadas a la aplicación del Principio SEIS en el SIG QHSE3 SI.
Determinar las partes interesadas pertinentes (tales como proveedores, socios, clientes,
7.a
inversionistas, empleados y la sociedad en su conjunto) y su relación con la organización;
7.b Determinar y priorizar las relaciones con las partes interesadas que es necesario gestionar;
7.c Establecer relaciones que equilibren las ganancias a corto plazo con las consideraciones a largo plazo;
Reunir y compartir la información, la experiencia y los recursos con las partes interesadas
7.d
pertinentes;
Medir el desempeño y proporcionar retroalimentación del desempeño a las partes interesadas, cuando sea
7.e
apropiado, para aumentar las iniciativas de mejora;
Establecer actividades de desarrollo y mejora colaborativas con los proveedores, los socios y otras partes
7.f
interesadas;
7.g Fomentar y reconocer las mejoras y los logros de los proveedores y los socios.
49
Diagnostico del Estado de Aplicación del Principio SIETE. GESTIÓN DE LAS RELACIONES,
Hay acciones Las acciones no se Este aspecto se Este aspecto se

ASPECTO nada al
resultados
completamente
respecto generan de manera iniciado su
aislados implementado.
1. Se han identificado los suministros, servicios críticos y otros

factores o elementos de entrada relacionados con los grupos de
1 2 3 4 5
interés, que incidan sensiblemente en la gestión integral y otras
componentes de riesgo aplicables al contexto estratégico del negocio.
2. Se han identificado los proveedores, contratistas, canales de

distribución o grupos de interés críticos cuyos suministros, servicios o
1 2 3 4 5
actividades incidan sensiblemente en la gestión integral y otras
componentes de riesgo aplicables
3. Se tienen definidas especificaciones, o fichas técnicas para los

suministros y servicios críticos que incluyen los requisitos de gestión 1 2 3 4 5
integral, y otros pertinentes, en el contexto estratégico del negocio MIPYME.
4. Se tienen críterios y metodos establecidos para evaluar y

seleccionar a los proveedores, canales y contratistas, acorde al
1 2 3 4 5
impacto que el producto adquirido pueda tener sobre el producto final, así
como sobre otros factores críticos del negocio.
5. Se mantienen informados y capacitados los proveedores, contratistas

o canales de distribución que tienen alta incidencia en la gestión integral, y 1 2 3 4 5
otros factores críticos del negocio.
6. Los documentos de compra y términos contractuales relacionados

con los suministros y servicios críticos, establecen requisitos para los
1 2 3 4 5
proveedores relacionados con gestión integral, el ambiente, las seguridad y
la salud ocupacional, y otros aspectos regulatorios pertinentes.
7. Se tienen métodos establecidos para controlar a los proveedores,

contratistas, canales u otros, en función del impacto que el producto
1 2 3 4 5
adquirido pueda tener sobre el producto final, o sobre aspectos
críticos del negocio.
8. Los suministros y servicios adquiridos son verificados teniendo en

cuenta los requisitos y condiciones aplicables de gestión integral, y 1 2 3 4 5
otros aspectos regulatorios clave.
9. Se aplican metodologías de re-evaluación periódica del desempeño

de los contratistas, canales y proveedores, considerando los aspectos 1 2 3 4 5
de gestión integral y otros regulatorios pertinentes.
10. Se han establecido acuerdos para la mejora de gestión integral con

los proveedores, contratistas y canales pertinentes, con base en los 1 2 3 4 5
resultados de la re-evaluación
50
UNIDAD 1. ACTIVIDADES 1.3.1 y 1.4.1

ESTUDIO DEL CONTENIDO GENERAL y REALIZACIÓN DEL DIAGNÓSTICO
Lo invitamos a retomar el contenido general de las secciones 1.3 y 1.4 de la presente

unidad, y a observar los archivos de los recursos asociados a estos temas. No olvide
tomar notas en su cuaderno digital o en su cuaderno físico de los aspectos más relevantes,
al igual que de las inquietudes o de los puntos para investigar o profundizar. A
continuación, adelante las siguientes acciones:
1. Con respecto a la temática, coloque sus comentarios o inquietudes en el foro
de contenidos y considere la posibilidad de aportar, cuestionar o comentar los
planteamientos de sus compañeros. En total debe tener en este foro y para los
temas 1.3 y 1.4, un mínimo de tres participaciones con aportes efectivos que
complementen y agreguen valor.
2. Con respecto al Diagnóstico de su empresa, basado en principios:
 Recuerde que usted va a tomar una empresa para la aplicación de cada uno de
los temas y herramientas del curso. Ratifique su selección, la línea de servicios
que va a escoger y el alcance que va a tener en cuenta para los ejercicios.
 Lea nuevamente las secciones 1.3 y 1.4 de los contenidos, pensando en las
características de su empresa, Cuando no sepa cómo aplicaría un tema a la
empresa, asuma una condición y continúe, pero tome nota para asegurar
consistencia. Recuerde que es un ejercicio para usted mismo, como principal
beneficiario, y que es importante que los resultados sean cercanos a la realidad,
pero no necesariamente exactos, dado que se trata de una práctica
pedagógica.
 Prepare una tabla Excel, en la que coloque en la primera columna los Principios
Guía de la Tabla ubicada en la página 34 de este documento, y en la siguiente
columna, proceda a escribir para cada principio, en cuáles son los aspectos en
los que aplica en su empresa el enfoque de este principio, con mayor
trascendencia. Procure que en cada fila o principio, coloque como mínimo tres
aspectos importantes de aplicación en su empresa. (Recuerde que para saltar
en una celda Excel de un renglón a otro, se emplean simultáneamente los
comandos Alt, y Enter.)
 Lleve la hoja que generó en el punto anterior, al archivo Excel “1 4 a
Herramienta de Diagnóstico del SGSI fundamentada en los Principios G”,
y proceda a particularizar las 10 preguntas de cada principio, a la realidad de
su empresa. El archivo suministrado es solamente un punto de referencia.
Usted va a preparar su versión, ajustando las preguntas y los términos al sector
de la empresa con la que está haciendo el ejercicio.
 Una vez haya comprendido y apropiado las 70 preguntas, proceda a calificar
cada una en la escala presentada de 1(lo mínimo) a 5 (lo máximo).
 Elabore un perfil, califique porcentajes de cumplimiento, prepare las gráficas
que lo ilustran, y presente sus conclusiones y lecciones aprendidas en el mismo
libro Excel. Suba el archivo con el trabajo realizado a su foro personal.
 Comente, responda y/o debata los planteamientos de realimentación de sus
compañeros acerca de su diagnóstico según sea pertinente, y proceda a
realizar realimentación a los diagnósticos de por lo menos dos compañeros
suyos.
51
UNIDAD 1.
EVALUACIÓN DE LOS PRODUCTOS GENERADOS EN LA UNIDAD 1.
Temas 1.1 a 1.4

Fundamentación, Conceptos y Principios.
 El tutor procede a cerrar los foros de comentarios y aportes a las secciones 1.1
a 1.4, ubicados en el Foro General de Contenidos, haciendo un balance y
comentario general sobre su desarrollo.
 Para cerrar la unidad 1, el tutor realiza la realimentación sobre los trabajos de
cada uno de los participantes, y finalmente, luego de correcciones, si se llegaran
a requerir, presenta la calificación parcial correspondiente a la Unidad 1. En
este punto, el tutor realiza un balance en el que da mayor preponderancia en
los comentarios, a los resultados y desarrollos propios del ejercicio de
Diagnóstico fundamentado en los Principios.
UNIDAD 2.
La familia de normas ISO 27000, y el Marco Regulatorio en el
Sector Salud.
UNIDAD 2. Actividad 2.0
LECCIÓN EN VIDEO – TEMA 2
 Lo invitamos a observar la Lección en Video - Tema 2, y a participar en el foro

de Discusión de Contenidos, en donde puede realizar
sus aportes y formular inquietudes sobre los temas
ligados a la Familia de Normas ISO 27000 y el Marco
Regulatorio. Durante el desarrollo de toda la Unidad 2,
debe hacer como mínimo una participación en la que
sea evidente su aporte a la temática.
 En la medida en que el Video integra, enfoca y resume
la temática completa del Tema 2, es conveniente que
tome notas en su cuaderno físico o digital, para orientar
la lectura del libro de contenidos, y el uso de los
recursos entregados.
52
UNIDAD 2. ACTIVIDAD 2.1
ESTUDIO DEL CONTENIDO GENERAL
 Avance en el estudio del contenido general del curso en la Temática

de la Unidad 2, en las secciones 2.1 a 2.4, y continúe con la organización
de su biblioteca y del “reservorio” de los recursos bibliográficos y objetos de
aprendizaje a los que va a acceder y va a desarrollar: Continúe el proceso de
Organizar la información y los productos generados en esta materia en su
Base de datos de información de referencias, bibliografía, direcciones URL
y links (“Vademécum”), al igual que en su archivo de herramientas, ejemplos
de sus compañeros, ejemplos suministrados por el tutor, y productos
generados. (Banco del Conocimiento).
 Organice su cuaderno digital o físico de notas y destaque en el los puntos en

los que quiere profundizar o hacer énfasis, al igual que los puntos en los que
tiene inquietudes y desea formularlas luego de tener una visión más cercana
del tema.
 Comente, responda y/o debata los planteamientos de sus compañeros en el

foro de contenidos.
2.1 Presentación de la Familia de Normas ISO 27000.

Estructura Actual y Proyecciones.
Condensado de (International Organization for Standardization ISO 27000 , 2014)
2.1.1 Información general
“La familia ISO 27000 es un grupo interrelacionados de normas ya publicadas o en fase de

desarrollo, y contiene una serie de componentes estructurales importantes. Estos
componentes se centran en los estándares normativos que describen los requisitos de los
Sistemas de Gestión de Seguridad de la Información SGSI (ISO / IEC 27001) y los requisitos
aplicables a organismos de certificación en SGSI (ISO / IEC 27006). Otras normas
proporcionan una guía para los diversos aspectos de la implementación de SGSI,
considerando directrices genéricas, y orientaciones específicas de carácter sectorial. Ver la
figura 2.1.1.a.
53
NORMA BASE Y 27000:2014

VOCABULARIO Resumen y Vocabulario
Business Continuity Management Systems

27006:2011
NORMAS - 27001:2013
Requisitos para Organismos Auditores y de
REQUISITOS SGSI. Requisitos. (Marco de Certificación)
Certificación de SGSI
Familia de Normas ISO 27000
27002:2005 TR 27008:2011
Buenas Practicas para los Controles de SI. Guía para la Auditoría de los Controles del SGSI.
27003:2010 27013:2012 Guía para la Implementación

Guía para la Implementación del SGSI Integrada de ISO 27001 e ISO 20000 (Servicios TIC)
NORMAS - GUÍA 27004:2009 27014: 2013

(DIRECTRICES) Gestión de SI - Medición Gobernanza en la Seguridad de la Información
27005:2011 TR 27016:2014 Guia sobre Aspectos

Gestión de Riesgos de SI Financieros en la Seguridad de Información
27007:2011 27799:2008 Guía para la GSI

Directrices para la auditoría de un SGSI en el Sector Salud
ISO 22301-2012
27010:2012 Guía para la SI en Comunicaciones Inter TR 27015:2012
NORMAS GUIA Sectoriales e Inter - Organizacionales. Guía para la GSI en Servicios Financieros y Seguros.
(SECTORES
ESPECÍFICOS) 27011:2008 Guía para la SI en Telecomunicaciones TS 27017:2014
Inter - Organizacionales. Guía para la GSI en Cloud Computing
NORMAS GUIA
Controles en 2703x 2704x
Sectores Específicos
Figura 2.1.1.a Familia de Normas ISO 27000 – SEGURIDAD EN LA INFORMACIÓN

Fuente: (International Organization for Standardization ISO 27000 , 2014)
Cada una de las normas de la familia ISO 27000, asociada a los Sistemas de Gestión
de Seguridad de la Información SGSI se describe a continuación por su tipo (o papel)
dentro de la familia y su número de referencia:
i. Norma Base y Vocabulario: Corresponde a la Norma ISO 27000:2014, que presenta

una visión general de la familia, los principios básicos y estructurales, y el vocabulario.
ii. Normas - Requisitos: En la familia se plantean dos Normas de requisitos, la principal
que se constituye en el marco de certificación para los SGSI, que es ISO 27001:2013, y
la Norma de Requisitos para la Acreditación de Organismos Auditores y de Certificación,
ISO 27006:2011.
54
iii. Normas Guía – Directrices Generales: En esta categoría se tiene:

a) ISO 27002:2005 - Buenas Practicas para los Controles en SI,
b) ISO 27003:2010 - Guía para la Implementación del SGSI,
c) ISO 27004:2009 - Guía para la Medición en la Gestión de SI.
d) ISO 27005:2011 - Guía para la Gestión de Riesgos en SI.
e) ISO 27007:2011 - Guía para la Auditoría de un SGSI.
iv. Normas Guía – Directrices Específicas: En esta categoría se tiene:
a) ISO TR 27008:2011 – Auditoría de los Controles en SI,
b) ISO 27013:2012 - Guía Integrada de ISO 27001 e ISO 20000 (TIC)
c) ISO 27014:2013 - Gobernanza en la Seguridad de la Información.
d) TR 27016:2014 - Guía sobre Aspectos Financieros en SI.
e) ISO 27799:2008 Guía para la GSI en el Sector Salud.
v. Normas Guía para Sectores Específicos: Se han desarrollado:
a) 27010:2012 Guía - SI en Comunicaciones Inter Sectoriales / Organizacionales.
b) 27011:2008 Guía - SI en Telecomunicaciones Inter Organizacionales.
vi. Normas Guía especializadas.
TS 27017:2014 Guía - GSI en Servicios Financieros y Seguros
TR 27015:2012 Guía - GSI en Cloud Computing
Se han previsto los códigos 2703x para el desarrollo de normas guía en sectores
específicos, y 2704x, en campos especializados. Se destaca adicionalmente la Norma
ISO 22301:2012 Sobre la Continuidad del Negocio y su trascendencia estratégica en
todas las organizaciones.
2.1.2 ISO / IEC 27000. Sistemas de gestión de seguridad de la información.

Información general y Vocabulario.
Esta norma proporciona una introducción a los sistemas de gestión de seguridad de la
información (SGSI). Describe los fundamentos de los sistemas de gestión de seguridad de la
información, que constituyen el tema de la familia de normas de SGSI, y define los términos
relacionados. (Se analizó en detalle en la Unidad Temática Número 1).
2.1.3 ISO / IEC 27001. Sistemas de gestión de seguridad de la información - Requisitos

Esta norma especifica los requisitos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar los sistemas de gestión de seguridad de la información (SGSI), en el
contexto de los riesgos globales de negocio de la organización. Especifica los requisitos para la
aplicación de los controles de seguridad de la información a medida de las necesidades de las
organizaciones individuales o partes de los mismos. Puede ser utilizada por todas las
organizaciones, independientemente de su tipo, tamaño y naturaleza. ISO/IEC 27001
proporciona requisitos normativos para el desarrollo y operación de un SGSI, incluyendo un
conjunto de controles para el control y la mitigación de los riesgos asociados a los activos de
información que la organización pretende proteger mediante la operación de su SGSI.
Los objetivos de control y controles del Anexo A de ISO/IEC 27001 serán seleccionados como
parte del proceso de implementación del SGSI según se requiera para cubrir las necesidades
identificadas. Los objetivos de control y controles que figuran en la Tabla A.1 de ISO/IEC 27001
se derivan directamente de ISO/IEC 27002.
55
2.1.4 ISO/IEC 27006. Tecnología de la información - Técnicas de seguridad -

Requisitos para los organismos que realizan la auditoría y certificación de SGSI
Esta norma internacional especifica los requisitos y proporciona una guía para los organismos
que realizan la auditoría y la certificación de SGSI según ISO / IEC 27001, además de los
requisitos contenidos en la norma ISO / IEC 17021. Se destina principalmente para apoyar la
acreditación de organismos que auditan y certifican SGSI según la norma ISO/IEC 27001.
2.1.5 Normas Guía que describen directrices generales

ISO / IEC 27002. Código de práctica para los controles de seguridad de la información.
Esta Norma proporciona una lista de objetivos de control comúnmente aceptados y las mejores
prácticas para su control. Puede ser utilizada como una guía en la selección e implementación de
los controles para la seguridad de la información.
ISO / IEC 27003. Guía de implementación del SGSI

Proporciona orientación práctica e información para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un SGSI, a partir de un enfoque orientado a procesos para la
implementación exitosa del SGSI según los requisitos de ISO/IEC 27001.
ISO / IEC 27004. Gestión de la seguridad de la información – Medición.

Proporciona orientación y asesoramiento sobre el desarrollo y uso de las mediciones con el fin de
evaluar la eficacia del SGSI y de los controles utilizados para implementar y administrar la seguridad
de la información, tal como se especifica en la norma ISO/IEC 27001.
ISO / IEC 27005. Gestión de Riesgos de Seguridad de la Información.

Presenta directrices para la gestión de riesgos de seguridad de la información. El método descrito
en esta norma internacional es compatible con los conceptos generales especificados en la norma
ISO/IEC 27001 y con ISO 31000.
ISO/IEC 27007. Directrices para la auditoría de SGSI

Proporciona orientación sobre la realización de auditorías del SGSI, así como orientación sobre la
competencia de los auditores, en línea con las directrices de ISO 19011, que es aplicable a los
sistemas de gestión en general, en auditorías internas o externas de un SGSI o para administrar un
programa de auditoría SGSI contra los requisitos especificados en la norma ISO/IEC 27001.
ISO/IEC TR 27008. Tecnología de la información. Técnicas de seguridad

Guía para las auditorías sobre los controles del SGSI.
Este Informe Técnico (TR Technical Report) ofrece orientación técnica para la auditoría y
realimentación (reviewing) sobre la implementación y operación de los controles del SGSI,
incluyendo la comprobación de la conformidad técnica de los controles del sistema de información,
de conformidad con las normas establecidas sobre seguridad de información de una organización.
Este TR no tiene la intención de proporcionar una orientación específica sobre el cumplimiento de la

comprobación en relación con la medición (ISO/IEC 27004), la gestión de riesgos (ISO/IEC 27005)
o la auditoría de un SGSI (ISO/IEC 27007), pues no está diseñado para las auditorías de sistemas
de gestión.
56
ISO/IEC 27013. Directrices sobre la aplicación integrada de ISO/IEC 27001 e ISO/IEC

20000-1.
Proporciona orientación sobre la aplicación integrada de ISO/IEC 27001 e ISO/IEC 20000-1 (Gestión
de Servicios TI), para las organizaciones que pretenden:
a) Implementar la norma ISO/IEC 27001, cuando ya se ha aprobado ISO/IEC 20000-1 o
viceversa;
b) Aplicar las normas ISO/IEC 27001 e ISO/IEC 20000-1 juntos;
c) Alinear ISO IEC 27001 e ISO/IEC 20000-1 con el Sistema de Gestión ya existente.
ISO/IEC 27014. Directrices para el Gobierno Corporativo de la Seguridad de la

Información
Plantea los principios y procesos para la Gobernanza en Seguridad de la Información, entendida
como subconjunto del gobierno corporativo que provee direccionamiento estratégico para asegurar
que los objetivos sean obtenidos, se administre el riesgo apropiadamente, y se utilicen los recursos
de la organización de manera responsable, considerando el seguimiento al desempeño del
programa corporativo de seguridad de la información.
2.1.6 Normas Guía con directrices sectoriales específicas

ISO/IEC 27010. Gestión de seguridad de la información para las comunicaciones inter-
sectoriales e inter-organizacionales
Proporciona directrices que complementan las orientaciones de la familia de normas ISO 27000, en
la aplicación de la gestión de seguridad de la información dentro de comunidades que comparten la
información, a partir de controles y orientaciones relativas específicamente a iniciar, implementar,
mantener y mejorar la seguridad de la información en las diferentes formas de intercambio y difusión
de información sensible, tanto públicas como privadas, a nivel nacional e internacional, dentro de la
misma industria o mercado del sector o entre sectores.
ISO/IEC 27011. Técnicas de seguridad - Directrices de GSI para organizaciones de

telecomunicaciones, basadas en la norma ISO/IEC 27002
Esta Norma proporciona directrices que fomentan la aplicación de la Gestión de la Seguridad de la
Información en las organizaciones de telecomunicaciones, mediante la adaptación de ISO/IEC
27002 con pautas particulares adicionales para el cumplimiento de los requisitos de la norma
ISO/IEC 27001 y su anexo A.
ISO/IEC TR 27015. Directrices para la Gestión de Seguridad de la Información en Servicios

Financieros.
Este Informe Técnico proporciona directrices complementarias a la orientación dada en la familia de
normas ISO/IEC 27000, para planificar, implementar, mantener y mejorar la seguridad de la
información dentro de las organizaciones que prestan servicios financieros.
ISO 27799. Directrices para la Gestión de Seguridad de la Información en el Sector

Salud.
Esta norma es una contribución importante a la hora de implantar los sistemas de gestión de la
información (SGSI) en los centros sanitarios, y organizaciones del sector de la salud, para contribuir
en la mejora de los niveles de protección de la información de los pacientes, gestionada por las
diferentes entidades sanitarias. ISO 27799 especifica los controles concretos que se han de
implementar para gestionar la seguridad de la información sanitaria, aportando recomendaciones
relativas a las buenas prácticas que hay que seguir al respecto para garantizar los niveles mínimos
de seguridad. (International Organization for Standardization ISO 27000 , 2014)
57
2.2 Estructura Lógica de Requisitos de ISO 27001.

Condensado de (International Organization for Standardization ISO 27000 , 2014)
La siguiente figura ilustra la estructura, correlación y enfoque de las diferentes secciones de la

Norma ISO 27001:2013, que está alineada con la estructura de alto nivel jerárquico HLS dado
a las normas sobre Sistemas de Gestión, a partir de las revisiones adelantadas en el año 2015.
Figura 2.2.a Modelo PHVA para la Estructura Lógica de ISO 27001:2013

Fuente: Adaptación del Autor, (International Organization for Standardization ISO 27001, 2013)
La Norma ISO 27001:2013 especifica los requisitos para el establecimiento, implementación,

mantenimiento y mejora continua del sistema de seguridad de la información dentro del
contexto de la organización. Incluye los requisitos para la valoración y el tratamiento de los
riesgos de seguridad de la información adaptados a las necesidades de la organización. Los
requisitos establecidos en esta Norma son genéricos y han sido elaborados para ser aplicables
a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza. Cuando una
organización declare conformidad con esta Norma no es aceptable excluir cualquiera de los
requisitos especificados en los numerales 4 al 10.
58
Después de las secciones preliminares de alcance, objetivos, normas de referencia y

definiciones, que cubren los capítulos 1 al 3, la norma aborda los capítulos 4 al 10, en la
secuencia del gráfico, que también se ilustra en la siguiente tabla:
LISTA DE CHEQUEO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2015
CAP COMPONENTE ENFOQUE Numeral REQUISITO
4.1 Conocimiento de la organización y de su

4.1
Comprender la Organización, su rol
contexto
y su contexto, los requerimientos y 4.2 Conocimiento de las necesidades y
4.2
necesidades de las partes, y expectativas de las partes interesadas.
4 CONTEXTO
emprender el desafío de
establecer, implementar, mantener y 4.3 4.3 Determinación del alcance del SGSI
mejorar el SGSI.
4.4 Sistema de Gestión de Seguridad de la
4.4
Información.
5.1 5.1 Liderazgo y compromiso.

Asumir el compromiso y liderazgo
con el SGSI, formular y desplegar
5 LIDERAZGO la política, los objetivos y las metas 5.2 5.2 Política
de calidad, y trabajo en equipo por
el logro de las metas y desafíos. 5.3 Roles organizacionales, responsabilidades y
5.3
autoridad en la organización
Establecer los objetivos, las metas 6.1 Acciones para enfrentar los riesgos y las
6.1
y la estrategia y recursos para la oportunidades
seguridad de la informaciónl, a partir
6 PLANIFICACIÓN del análisis del desempeño y el
estudio del contexto, los riesgos, las
oportunidades y la interacción con 6.2 Objetivos de la Seguridad de Información y
las partes. 6.2
Planes para lograrlos
7.1 7.1 Recursos

Asegurar la integración armónica de
los procesos de soporte del SGSI, 7.2 7.2 Competencias
teniendo en cuenta la coordinación,
los recursos, competencias,
7 SOPORTE
comunicaciones y toma de
7.3 7.3 Toma de Conciencia
conciencia del talento humano, al
igual que los flujos de información 7.4 7.4 Comunicación
documentada y conocimiento.
7.5 7.5 Información documentada
Planificar y ejecutar los procesos 8.1 8.1 Planificación y control operacional

del SGSI, bajo condiciones
controladas que incluyen el control
8.2 Valoración de riesgos de seguridad de la
de cambios y la gestión con 8.2
8 OPERACIÓN
proveedores y contratistas y la
información
planificación y administración de
Planes de Gestión de Riesgos
8.3 Tratamiento de los riesgos de seguridad de
8.3
sobre los activos de SI la Información
Monitorear, medir, auditar, 9.1 9.1 Seguimiento, medición, análisis y evaluación

evaluar los procesos, investigar
EVALUACIÓN DEL accidentes e incidentes y revisar
9 9.2 9.2 Auditoría interna
DESEMPEÑO la adecuación y desempeño
general del SGSI y los procesos
asociados. 9.3 9.3 Revisión por la dirección
Administrar la gestión de no
conformidades y las acciones 10.1 10.1 No conformidad y acción correctiva
correctivas, preventivas y de
10 MEJORA mejora de los procesos y del
SGSI para garantizar su
conveniencia, adecuación y 10.2 10.2 Mejora continua
eficacia de manera sistemática,
Figura 2.2.b Estructura Lógica de ISO 27001:2013 Bloques y Requisitos

59
2.2.1 Sección 4. Contexto

Contexto organizacional Necesidades interesados Alcance del SGSI Sistema - Procesos
4. CONTEXTO
CAP COMPONENTE ENFOQUE No REQUISITO BUENAS PRÁCTICAS
4.1 Conocimiento de La organización determina los asuntos internos y externos que son relevantes
4.1 la organización y de para su propósito y que afectan su capacidad para lograr el, o los resultados
su contexto esperados de su SGSI.
4.2 Conocimiento de La Organización determina:
Comprender la las necesidades y a) Las partes interesadas que son relevantes para el SGSI; y
4.2
Organización, su rol y su expectativas de las b) Los requisitos de estas partes interesadas con respecto a la seguridad de la
contexto, los partes interesadas. información.
requerimientos y
4 CONTEXTO necesidades de las La organización determina los límites y la aplicabilidad del SGSI para establecer
partes, y emprender el su alcance.
desafío de establecer, 4.3 Determinación del
4.3 La determinación del alcance del SGSI considera: El contexto interno y externo,
implementar, mantener y alcance del SGSI
mejorar el SGSI. los requisitos, necesidades y expectativas de los grupos de interés, y las
interfaces y dependencias entre las actividades realizadas por la organización, y
aquellas que realizan otras organizaciones.
4.4 Sistema de
La organización establece, implementa, mantiene y mejora de manera continua
4.4 Gestión de Seguridad
su SGSI, de acuerdo con los requisitos de ISO 27001.
de la Información.
Figura 2.2.1 a Enfoque y Requisitos Bloque 4.

A título de ejemplo, planteamos a continuación el texto de los requisitos, para observar la
formulación de cada debe, y su equivalencia en las frases de la lista de chequeo. Para los
siguientes bloques de requisitos, solo se incluye la lista de chequeo y el gráfico de bloques.
“4 Contexto de la Organización (4 Bloques, 6 debe)
4.1 Conocimiento de la organización y de su contexto
La organización debe determinar los asuntos internos y externos que sean relevantes para su
propósito y que afectan su capacidad para lograr el o los resultados esperados de su Sistema
de Gestión de Seguridad de la Información (SGSI).
NOTA: Esta determinación implica establecer el contexto interno / externo de la organización.
4.2 Conocimiento de las necesidades y expectativas de las partes interesadas.
La Organización debe determinar:
a) Las partes interesadas que sean relevantes para el SGSI; y
b) Los requisitos de estas partes interesadas con respecto a la seguridad de la información.
NOTA: Los requisitos de las partes interesadas deben incluir los requisitos legales y
regulatorios y las obligaciones contractuales.
4.3 Determinación del alcance del SGSI
La organización debe determinar los límites y la aplicabilidad del SGSI para establecer su
alcance.
Al determinar este alcance, la organización debe considerar:
a) Los asuntos internos y externos mencionados en el numeral 4.1 (contexto);
b) Los requisitos referidos en el numeral 4.2 (necesidades y expectativas); y
c) Las interfaces y dependencias entre las actividades realizadas por la organización,
y aquellas que realizan otras organizaciones.
El alcance debe estar disponible como información documentada.
4.4 Sistema de Gestión de la Seguridad de la Información
La organización debe establecer, implementar, mantener y mejorar de manera continua un
SGSI, de acuerdo con los requisitos de esta Norma” (International Organization for
Standardization ISO 27001, 2013).
60
2.2.2 Sección 5. Liderazgo. 4. CONTEXTO
10. MEJORA 5. LIDERAZGO 6. PLANIFICACIÓN

Liderazgo y compromiso
Política de calidad
Roles, resp, autoridad
La alta dirección hace evidente su compromiso con el SGSI:

a) Asegurando que se establezcan la política y objetivos de SI en coherencia
con la estrategia corporativa;
b) Asegurando la integración de los requisitos del SGSI dentro de los procesos
de la organización;
c) Asegurando la disponibilidad de los recursos para el SGSI;
5.1 Liderazgo y
5.1 d) Comunicando la importancia de una gestión efectiva de seguridad de la
compromiso.
información y de la conformidad con los requisitos del SGSI;
e) Asegurando que el SGSI logre sus resultados esperados;
f) Motivando a las personas en su aporte a la efectividad del SGSI;
g) Promoviendo la mejora continua; y
h) Apoyando otros roles pertinentes de la dirección para demostrar el liderazgo
en sus áreas de responsabilidad, vs el SGSI.
Asumir el compromiso y
liderazgo con el SGSI,
formular y desplegar la La Alta Dirección ha establecido una política de seguridad de la información que:
política, los objetivos y a) Es adecuada al propósito de la organización;
5 LIDERAZGO
las metas de calidad, y b) Incluye los objetivos de seguridad de la información (ver 6.2) o proporciona un
trabajo en equipo por el esquema para la determinación de los objetivos SI
logro de las metas y c) Incluye el compromiso de cumplir los requisitos aplicables relacionados con la
desafíos. seguridad de la información; y
5.2 5.2 Política
d) Incluya el compromiso con la mejora continua del SGSI.
La política de seguridad de la información:

a) Está disponible como información documentada;
b) Es comunicada dentro de la organización; y
c) Está disponible para las partes interesadas, según sea apropiado.
La Alta Dirección asegura que la responsabilidad y autoridad para los roles

5.3 Roles pertinentes a la seguridad de la información se asignen y comuniquen.
organizacionales,
5.3 responsabilidades y La Alta Dirección ha asignado la responsabilidad y autoridad para:
autoridad en la a) Garantizar que el SGSI se adapte a los requisitos de ISO 27001
organización b) Informar acerca del desempeño del SGSI a la Alta Gerencia.

61
2.2.3 Sección 6. Planificación. 5. LIDERAZGO 6. PLANIFICACIÓN
Acciones riesgos-oportunidad
Objetivos SI y Planes / Proyectos
(Gestión del Cambio) / Implícito
7. SOPORTE
Al planificar el SGSI, la organización considera los temas referidos en el numeral

4.1 (contexto) y los requisitos del item 4.2 (necesidades y expectativas), y
determinar los riesgos y oportunidades que se orientarse a:
a) Asegurar que el SGSI logre los resultados esperados;
b) Evitar o reducir efectos no deseados;
c) Lograr la mejora continua
La organización planifica:
a) Las acciones destinadas a manejar los riesgos y oportunidades;
b) La manera de integrar e implementar estas acciones dentro de los
procesos del SGSI; y evaluar su efectividad.
La organización define y aplica un proceso de valoración de los riesgos de SI

que permite:
a) Establecer y mantener criterios para el análisis de los riesgos de SI con
criterios para su valoración y aceptación;
b) Asegurar que las valoraciones repetidas de los riesgos SI generen resultados
válidos, consistentes y comparativos;
c) Identificar los riesgos de SI asociados a la pérdida de la confidencialidad,
integridad y disponibilidad de la información dentro del alcance del SGSI,
considerando la identificación de los procesos “responsables/dueños” del riesgo.
d) Analizar los riesgos de SI, valorando consecuencias potenciales, probabilidad
6.1 Acciones para realista, y niveles del riesgo.
6.1 enfrentar los riesgos y e) Evaluar los riesgos de SI, comparando los resultados del análisis con los
las oportunidades criterios de riesgos establecidos, para priorizar y determinar cuáles requieren
tratamiento.
La organización conserva la información documentada acerca del proceso de

Establecer los objetivos, valoración de riesgos SI
las metas y la estrategia
y recursos para la La organización define y aplica el proceso de tratamiento de los riesgos de SI
seguridad vial, a partir con la finalidad de:
del análisis del a) Seleccionar las opciones apropiadas de tratamiento de los riesgos SI en
6 PLANIFICACIÓN función de la valoración realizada;
desempeño y el estudio
del contexto, los riesgos, b) Determinar todos los controles que sean necesarios para implementar la
las oportunidades y la opción u opciones seleccionadas de tratamiento;
interacción con las c) Comparar los controles determinados en el punto contra el Anexo A, verificar
partes. que no se haya omitido ningún control necesario y tomar las medidas
pertinentes
d) Realizar una Declaración de Aplicabilidad (SOA) que contenga los controles
necesarios, y la argumentación de las inclusiones, si se aplicaran o no, como
también la justificación de las exclusiones de los controles del Anexo A
(normativo);
e) Formular el tratamiento de los riesgos de seguridad de la información;
f) Obtener de parte de los dueños de los riesgos, la aprobación del plan de
tratamiento de riesgos de SI y la aceptación de los riesgos residuales.
La organización conserva la información documentada acerca del proceso de
tratamiento de riesgos SI
La organización establece los objetivos de seguridad de la información en las
funciones y niveles pertinentes.
Los objetivos de SI son consistentes con la política de seguridad de la
información; medibles y tienen en cuenta los requisitos SI, los resultados de la
valoración y del tratamiento de riesgos. Además, son comunicados y se
actualizan, según sea apropiado.
6.2 Objetivos de la La organización conserva la información documentada sobre los objetivos de
Seguridad de seguridad de la información.
6.2
Información y Planes
para lograrlos Al planificar cómo alcanzar sus objetivos de seguridad de la información, la
organización determina:
a) Qué debe hacer;
b) Qué recursos necesitará;
c) Quién será el responsable;
d) Cuándo será alcanzado dicho objetivo; y
e) Cómo medirá los resultados.

62
6. PLANIFICACIÓN
2.2.4 Sección 7. Soporte.
8. OPERACIÓN 7. SOPORTE
Recursos – Conocimiento/Impl
Competencia
Toma de Conciencia
Comunicación (Internas / Ext)
Información documentada
La organización determina y proporciona los recursos necesarios para el

7.1 7.1 Recursos
establecimiento, implementación, mantenimiento y mejora continua del SGSI.
La organización:
a) Determina la competencia necesaria de las personas que realizan, bajo su
control, trabajos que afecten el desempeño de su SI
b) Asegura que estas personas sean competentes, basándose en su
7.2 7.2 Competencias educación, formación o experiencia.
c) Realiza cuando sea aplicable las acciones para adquirir las competencias
necesarias y evalua la efectividad de las acciones tomadas; y
d) Conserva una adecuada documentación de las evidencia de estas
competencias
Las personas que realizan el trabajo bajo el control de la organización son

conscientes de:
7.3 Toma de a) Los compromisos ligados a la política de seguridad de la información;
7.3
Conciencia b) Su aporte y contribución a la efectividad del SGSI, incluyendo los beneficios
de una mejora en el desempeño de la seguridad de la información; y
c) Las implicaciones de la no conformidad con los requisitos del SGSI.
La organización identifica las necesidades de comunicaciones internas y

externas pertinentes al SGSI, y determina:
Asegurar la integración
a) Qué se debe comunicar (contenido de la comunicación);
armónica de los
7.4 7.4 Comunicación b) Cuándo se debe comunicar;
procesos de soporte
c) A quién se debe comunicar;
del SGSI, teniendo en
d) Quién debe comunicar ; y
cuenta la
e) Los procesos para llevar a cabo la comunicación
coordinación, los
recursos,
7 SOPORTE competencias, El SGSI incluye:
comunicaciones y a) La información documentada requerida por esta Norma,
toma de conciencia del b) La información documentada que la organización ha determinado que es
talento humano, al necesaria para la efectividad del SGSI.
igual que los flujos de Cuando se crea y actualiza información documentada, la organización asegurar
información una apropiada:
documentada y a) Identificación y descripción (Por ejemplo título, fecha, autor o número de
conocimiento. referencia);
b) Definición y Aplicación del formato (Por ejemplo: idioma, versión del software,
gráficos), y de los medios de soporte (papel, electrónico); y
c) Revisión y aprobación en cuanto a adecuación e idoneidad.
La información documentada requerida por el SGSI y por la presente Norma

Internacional es objeto de controles que permiten asegurar:
7.5 Información
7.5 a) La disponibilidad e idoneidad para su uso, donde y en el momento que sea
documentada
necesario; y
b) Su adecuada protección (en cuanto a pérdida de confidencialidad, uso
inadecuado o pérdida de integridad)
Para el control de la información documentada, la organización aplica controles

específicos en las siguientes actividades, según sea aplicable:
a) Distribución, acceso, recuperación y uso;
b) Almacenamiento y conservación, incluyendo la conservación de la legibilidad;
c) Control de cambios (Por ejemplo control de versión); y
d) Retención y disposición final.
La organización identifica y controla, según sea adecuado, la información

documentada de origen externo, que se determine necesaria para la
planificación y operación del SGSI.

63
2.2.5 Sección 8. Operación.

9. EVALUACIÓN 8. OPERACIÓN 7. SOPORTE
Planificación y control operacional

(Condiciones y Cambios Controlados)
Valoración de Riesgos de SI
Tratamiento de los Riesgos de SI
La organización planifica, implementa y controla los procesos necesarios para

cumplir los requisitos de seguridad de la información y para implementar las
acciones determinadas en el numeral 6.1.
La organización implementa planes efectivos para lograr los objetivos de

8.1 Planificación y seguridad de la información señalados en el numeral 6.2.
8.1
control operacional
Se mantiene información documentada en la medida necesaria para tener
confianza en que los procesos se han llevado a cabo según lo planificado.
Planificar y ejecutar los La organización asegura que los procesos contratados externamente estén
procesos del SGSI, bajo controlados.
condiciones controladas
8 OPERACIÓN que incluyen el control La organización lleva a cabo valoraciones de riesgos de seguridad de la
de cambios y la información a intervalos planificados o cuando se proponen o se dan
preparación y respuesta 8.2 Valoración de cambios, tomando en cuenta los criterios establecidos en el punto 6.1.2 a.
ante emergencias. 8.2 riesgos de seguridad
de la información
La organización conserva información documentada de los resultados de la
valoración de los riesgos de seguridad de la información.
La organización debe implementar el plan de tratamiento de los riesgos de

8.3 Tratamiento de los seguridad de la información
8.3 riesgos de seguridad
de la Información La organización conserva información documentada acerca del proceso de
tratamiento de riesgos SI

64
2.2.6 Sección 9. Evaluación.

CAP COMPONENTE ENFOQUE Numeral REQUISITO ID BUENAS PRÁCTICAS
38 La organización evalua el desempeño de la seguridad de la información y la efectividad del SGSI.
La organización determina:
a) A qué es necesario realizar seguimiento y qué se necesita medir, incluidos los procesos y controles de
9.1 Seguimiento, seguridad de la información;
9.1 medición, análisis y 39 b) Los métodos de seguimiento, medición, análisis y evaluación, que permiten generar resultados
evaluación comparables y reproducibles.
c) Las frecuencias y responsabilidades para realizar el seguimiento y la medición; y para analizar y
evaluar los resultados.
La organización conserva información documentada acerca de las actividades de seguimiento, medición,
40
análisis y evaluación de resultados.
La organización lleva a cabo auditorías internas a intervalos planificados con la finalidad de proporcionar
información de que el SGSI:
41 a) es conforme con los requisitos propios de la organización para su SGSI; y con los requisitos de esta
Norma.
b) se implementa y mantiene de manera efectiva.
La organización:
Monitorear, medir,
9.2 Auditoría interna a) Planifica, establece, implementa y mantiene uno o varios programas de auditoría, incluyendo la
auditar, evaluar
frecuencia, métodos, responsabilidades, requisitos de planificación y la elaboración de informes. La
los procesos,
planificación tiene en cuenta la importancia de los procesos y los resultados de las auditorías previas;
investigar
accidentes e
42 b) Define para cada auditoría los criterios y el alcance respectivos;
EVALUACIÓN c) Selecciona los auditores y dirige auditorías para asegurar la objetividad e imparcialidad del proceso
incidentes y
9 DEL de auditoría;
revisar la
DESEMPEÑO d) Asegura que los resultados de la auditoría se informen a la dirección pertinente, y conserva
adecuación y
información documentada como evidencia de los programas y de los resultados de la auditoría
desempeño
general del SGSI y La Alta Dirección revisa el sistema de gestión de seguridad de la información a intervalos
43
los procesos planificados para asegurar su continua conveniencia, adecuación y efectividad.
asociados. La revisión por parte de la Dirección considera el análisis de:
a) El estado de las acciones con relación a las revisiones previas
b) Los cambios externos e internos que sean pertinentes al SGSI;
c) La retroalimentación sobre el desempeño de la gestión de seguridad de la información,
incluyendo la tendencia en:
i. Las no conformidades y las acciones correctivas;
44 ii. Resultados del seguimiento y medición;
Revisión por la iii. Resultados de la auditoría; y
9.3
dirección iv. Cumplimiento de los objetivos de seguridad de la información;
d) La Retroalimentación por parte de las partes interesadas;
e) Los Resultados de la valoración de riesgos y el estado de ejecución y efectividad del (los) Plan(es) de
Tratamiento; y
f) Oportunidades de mejora continua.
Los elementos de salida de la revisión por parte de la dirección incluyen las decisiones con
45
respecto a las oportunidades de mejora continua y cualquier necesidad de cambios en el SGSI.
La organización debe conservar la información documentada como evidencia de los resultados de las
46
revisiones por parte de la dirección.

65
2.2.7 Sección 10. Mejora.
10. MEJORA 5. LIDERAZGO

No conformidad y
Acciones correctivas
Mejora
9. EVALUACIÓN

CAP COMPONENTE ENFOQUE Numeral REQUISITO ID BUENAS PRÁCTICAS
Cuando ocurre una no conformidad, la organización:
a) Reacciona ante la no conformidad, y según corresponda:
i. Toma acción para controlarla y corregirla; y
ii. Hace frente a las consecuencias;
Administrar la
b) Evalua la necesidad de emprender acciones para eliminar las causas de la no conformidad,
gestión de no
con la finalidad de evitar la recurrencia o la ocurrencia en cualquier otro lugar, mediante:
conformidades y
47 i. La revisión de la no conformidad;
las acciones
ii. La determinación de las causas de la no conformidad; y
correctivas,
iii. La verificación de si existe una no conformidad similar, o podría darse;
preventivas y de 10.1 No conformidad y
10.1 c) Determina e Implementa las acciones necesarias a partir de la evaluación descrita en el
mejora de los acción correctiva
10 MEJORA anterior ítem;
procesos y del
d) Revisa la efectividad de las acciones correctivas tomadas; y
SGSI para
e) Realiza, según sea necesario cambios al SGSI.
garantizar su
conveniencia, 48 Las acciones correctivas son acordes a los efectos de las no conformidades encontradas.
adecuación y
eficacia de manera La organización conserva inform. documentada como evidencia de:
sistemática, 49 a) La naturaleza de las no conformidades y cualquier acción tomada posteriormente, y
b) Los resultados de las acciones correctivas.
10.2 10.2 Mejora continua 50 La organización mejora de manera continua la idoneidad, adecuación y efectividad del SGSI

66
UNIDAD 2. ACTIVIDAD 2.2 (Incluye las actividades 2.2.1 y 2.2.2):

2.2.1 ESTUDIO ANALÍTICO DE ISO 27001 y DE ISO 27799.
2.2.2 DIAGNÓSTICO DEL SGSI APLICANDO LA LISTA DE CHEQUEO
Lo invitamos a retomar el contenido general de la sección 2.2, observando los gráficos y las tablas
de las páginas precedentes. Si tiene dudas acerca de los términos, consulte la norma ISO
27000:2014, y los documentos Excel relacionados. No olvide tomar notas en su cuaderno digital o
en su cuaderno físico, acerca de sus inquietudes, y si persisten después de haber leído y
consultado las normas, las herramientas Excel, o de consultar en la web, preséntelas en el foro de
contenidos. Adopte también la buena práctica de registrar en sus notas los aspectos más
relevantes o sinópticos de cada tema, al igual que los aspectos clave para el SGSI de su empresa,
que deben ser puntos para investigar o profundizar, y de organizar los archivos de su reservorio. A
continuación, adelante las siguientes acciones:
1. Con respecto al estudio analítico de ISO 27001 y del Draft DIS - BS ISO 27799:
o Retome el software X-Mind ya descargado y elabore el Mapa Conceptual ISO 27k, en su
versión personal. (Observe el gráfico general de la página 55 y la tabla de la página 56, y
proceda a detallar cada numeral específico apoyándose, en el texto de la Lista de chequeo de
ISO 27001, con la norma planteada como “Buenas Prácticas”.
o Después de haber considerado en su Mapa todas las 50 secciones de la lista de chequeo,
adicione la información que para su empresa sea pertinente, a partir del estudio del documento
original “2 3 b Draft DIS - BS ISO 27799 SGSI in Health”, y del documento “2 3 b 1 Draft DIS -
BS ISO 27799 SGSI in Health - Documento de estudio”, La idea es que su mapa quede con
comentarios para el Sector Salud, y que sean aplicables y útiles para su institución. Vuelva a
revisar su mapa, consolide su presentación y toda la información. Recuerde que es SU
HERRAMIENTA… y proceda a subirlo al foro que tiene asignado para ubicar sus trabajos.
o Comente, responda y/o debata los planteamientos de realimentación de sus compañeros
acerca de su Mapa Conceptual, según sea pertinente, y proceda a realizar realimentación a los
Mapas de por lo menos dos compañeros suyos. Si es pertinente, ajuste, actualice y ¡mejore!
2. Con respecto al Diagnóstico basado en la Lista de Chequeo e ISO 27799:
o Recuerde que usted ha seleccionado una empresa para la aplicación de cada uno de los temas
y herramientas del curso. Tenga en cuenta las líneas de servicios y el alcance previsto para el
ejercicio, y trabaje simultáneamente con el Mapa construido en la primera parte de esta
actividad como fuente de consulta, e inicie el diligenciamiento de la hoja 3 del archivo Excel
“2 3 a Lista de chequeo de la Norma ISO 27001 2013”.
o Observe cada una de las hojas que conforman el libro xls. A continuación, inicie el registro de
la calificación y de sus observaciones para cada uno de los 50 ítems. Establezca sus propias
macros y configure sus propias escalas y gráficas. Las que están planteadas son tan solo un
ejemplo no concluido ni parametrizado. Considere la posibilidad de adicionar secciones o
complementar preguntas basado en la Norma BS ISO EN 27799.
o Revise y culmine su Libro Excel particularizado para su empresa. Compare los resultados
contra el anterior diagnóstico de la Unidad 1 ligado a principios y prepare sus conclusiones.
Suba el archivo con el trabajo, las gráficas y las conclusiones gerenciales a su foro personal,
para la revisión del Diagnóstico por parte de la “Junta Directiva” (Juego de Roles en el que
usted como gerente presenta el Diagnóstico y las Conclusiones).
o Comente, responda y/o debata los planteamientos de realimentación de los compañeros de la
Junta. Corrija o mejore su diagnóstico según sea pertinente, y proceda a realizar
realimentación a los diagnósticos de por lo menos dos compañeros suyos.
67
SEGUNDO ESTUDIO DE LOS CONTENIDOS Y LOS RECURSOS DE LOS

TEMAS 2.3 Y 2.4. PARTICIPACIÓN EN EL FOROS DE CONTENIDOS.
 Retome el estudio del contenido general del curso en las Temáticas
correspondientes a las Unidades 2.3 y 2.4, y continúe con la organización de
su biblioteca y del “reservorio” de los recursos bibliográficos y objetos de
aprendizaje a los que va a acceder y va a desarrollar, en su Base de datos de
información de referencias, bibliografía, direcciones URL
y links (“Vademécum”), al igual que en su archivo de
herramientas, ejemplos de sus compañeros, ejemplos
suministrados por el tutor, y productos generados. (Banco
del Conocimiento).
 Retome las notas de su cuaderno digital o físico de notas
con respecto a lo observado en la Lección de Video y en el
Cuaderno Digital, en los temas relacionados con el Marco Regulatorio y el
Imperativo de los Sistemas Integrales de Gestión. Destaque en el los puntos
en los que quiere profundizar o hacer énfasis, al igual que los puntos en los
que tiene inquietudes y desea formularlas luego de tener una visión más
cercana del tema.
 Comente, responda y/o debata los planteamientos de sus compañeros en el
foro de contenidos.
2.3 El Marco Regulatorio y las Obligaciones del Sector Salud en cuanto a
Sistemas de Gestión y Seguridad de la Información.
2.3.1 Enfoque general y rol del participante.
La Gestión de Requisitos Legales y Reglamentarios aplicables al Sector Salud en materia de
Seguridad de la Información y Sistemas de Gestión, está directamente relacionada con la
Interacción Integral que tienen las organizaciones con sus Grupos de Interés, en donde la
función clave del Maestrante es identificar los actores, sus necesidades, y requisitos y
gestionar la interacción con los grupos de interés enfocado hacia el cumplimiento de los
requisitos, la relación de aprendizaje y la generación integral de valor, teniendo en cuenta:
o La visualización del panorama General de los Requisitos Legales, Reglamentarios y

otros Requisitos de Calidad, Salud, Seguridad, Medio Ambiente y Seguridad de la
Información QHSE – SI, bajo el marco regulatorio del Sistema de Seguridad Social del
estado, y dentro de él, del Sistema Nacional de Salud; los requerimientos para
acreditarse dentro de este sistema como entidad prestadora de servicios y los
requisitos específicos asociados a la información, con énfasis en la seguridad de la
información ligada a los datos personales de salud.
o La gestión de requisitos legales bajo las frases de un proceso que debe tener en cuenta
de manera secuencial: Identificación, Acopio, Análisis y Evaluación, Evidencias de
Conformidad y Formulación de Acciones de Mejora. Este ciclo coincide con el PHVA
de los procesos de la organización observado en la Unidad 2 en la estructura lógica
de la norma ISO 27001, y nos debe hacer pensar en que cada proceso tiene bloques
diferentes de requisitos legales, reglamentarios y otros, que dependen del tipo de
organización, la naturaleza de los servicios y productos ofrecidos, y el proceso en
mención.
68
o La Evaluación interna y externa del estado de cumplimiento de los requisitos QHSE -

SI. Y la percepción de los Grupos de Interés, considerando el análisis de qué les gusta,
qué no les gusta y qué les gustaría (Metodología de Incidentes Críticos).
o La Estrategia de Comunicaciones con los Grupos de Interés, acerca del cumplimiento
de los requisitos. En el caso del sector salud, la naturaleza pública de los servicios
asociados, determina que la comunicación acerca de los requisitos legales aplicables,
el estado de cumplimiento y cualquier falla, o acción de corrección, incluyendo por
ejemplo el despliegue de la política de seguridad de la información y el manejo de los
datos personales, haría parte de esta componente, que tiene como eje fundamental la
claridad y la transparencia.
2.3.2 Gestión de requisitos Legales. (Identificación, Acopio, Análisis,

Evidencias de Conformidad y Formulación de Acciones de Mejora).
Teniendo en cuenta la importancia que reviste el conocimiento, dominio, consulta, evaluación

y cumplimiento de la legislación y los requisitos aplicables en materia de inocuidad para todas
las orgalnizaciones, y con un mayor grado de particularidad y énfasis, para las empresas del
Sector Slalud, hemos considerado pertinente adicionar en este apartado una Herramienta
Sencilla para la Gestión de Requisitos Legales y Reglamentarios.
Previamente a este planteamiento, observemos los términos asociados a las palabras claves
de la frase anterior, apoyándonos en primera instancia en la Norma ISO 9000:2005
“Fundamentos y Vocabulario de los Sistemas de Gestión de Calidad”, que en la sección 3.2.6,
nos indica que:
o La gestión se define como las “actividades coordinadas para dirigir y controlar una
organización”, o el tema objeto de gestión, en tanto que en la sección 3.1.2,
o El termino requisito se definen como una “necesidad o expectativa establecida,
generalmente implícita u obligatoria”, o sea que “es una práctica común para la
organización, sus clientes y otras partes interesadas, que la necesidad o expectativa
bajo consideración esté implícita”. Adicionalmente, en las notas aclaratorias de la
misma sección de ISO 9001, se plantea lo siguiente:
o “Pueden utilizarse calificativos para identificar un tipo específico de requisito, por
ejemplo, requisito de un producto, requisito de la gestión de la calidad, requisito del
cliente.
o Un requisito especificado es aquel que está establecido, por ejemplo en un
documento.
o Los requisitos pueden ser generados por las diferentes partes interesadas (3.3.7)”
(International Organization for Standardization, ISO 9000, 2005).
Debemos complementar lo anterior, destacando cuatro términos adicionales: Requisito
Reglamentario, Ley, Doctrina, y Jurisprudencia:
o A diferencia del requisito legal que como su nombre lo indica, tiene como origen un
acto administrativo que se convierte en ley (Articulo de la Constitución, Ley, Decreto
o Resolución), que es generada por el poder legislativo o ejecutivo, en diferentes
niveles; un requisito reglamentario no necesariamente proviene de un acto
administrativo de este tipo, sino de un reglamento o código que se adopta al tema
objeto de análisis.
69
Figura 2.3.2 a. Requisitos Ligados al SGSI.

Fuente: Adaptación del Autor, (Poveda Orjuela & Cañón Zabala, 2006)
De esta manera, el requisito reglamentario se constituye en especificaciones y
obligaciones que le son aplicables a la organización de manera muy particular por su
misma naturaleza. En algunas ocasiones pueden ser obligatorios por términos
contractuales o acuerdos de la organización como las partes, como por ejemplo el
Reglamento de los Entes Certificadores. En otras ocasiones, pueden ser adoptados
por la misma organización y se vuelven obligatorios desde el punto de vista
corporativo. También se debe señalar que algunos requisitos reglamentarios pueden
ser convertidos en leyes, en cuyo caso un requisito reglamentario es también un
requisito legal.
o Según el Diccionario de la Real Academia DRA, en una de sus acepciones, la Ley es
un “Precepto dictado por la autoridad competente, en que se regula, manda o prohíbe
algo en consonancia con la justicia y para el bien de los gobernados” (Real Academia
Española, 2001). En todos los casos, la ley desde un punto de vista general es emitida
por una autoridad del poder legislativo, pero se tienen casos en los que después del
nivel del Senado o el Congreso de la República, pueden haber poderes ejecutivos
como los ministerios, superintendencias, comisiones reguladoras, las gobernaciones,
las alcaldías u otras autoridades locales, que también pueden expedir actos
administrativos como resoluciones o decretos, que se constituyen en requisito legal.
70
o La Jurisprudencia es el conjunto de las sentencias impartidas por los tribunales,

donde las sentencias se constituyen en la declaración del juicio y resolución del juez,
o bien, la decisión de cualquier controversia o disputa extrajudicial, que da la persona
a quien se ha hecho árbitro de ella para que la juzgue o componga. (Real Academia
Española, 2001) En este orden de ideas, la Jurisprudencia traza un criterio de
interpretación de un problema jurídico, y de aplicación de las leyes asociadas, a partir
de fallos formales previos.
o La Doctrina es el conjunto de juicios emitidos por los juristas en su tarea de encontrar
la verdad jurídica. Este conjunto de opiniones emitidas por los estudiosos del derecho
se manifiestan a través de medios de comunicación formales y terminan siendo un
conjunto de opiniones que sirven de guía para ejercer el derecho. Nunca se impone
por sí misma, ni tiene un carácter obligatorio.(Real Academia Española, 2001) En
conclusión, la Doctrina es un criterio, punto de vista o juicio de una autoridad
reconocida y no necesariamente se constituye en requisito obligatorio.
Por otra parte, es importante señalar algo fundamental que se constituye en una falla constante
observada en empresas del sector industrial y en entidades de salud, al igual que en una
buena parte de sus cuadros profesionales: El desconocimiento de los requisitos legales y
reglamentarios aplicables a los productos y procesos, y la ausencia de una cultura proactiva
focalizada hacia la investigación, acopio, estudio, dominio, determinación de los requisitos
específicos aplicables a su contexto, al igual que a la evaluación y a la dinámica requerida
para asegurar su cumplimiento sistemático.
La Gestión de los Requisitos Legales y Reglamentarios en cuanto a la inocuidad, o a cualquier
otro tópico que nos aplique, se constituye entonces en algo tan elemental como el ciclo de
Planear, Hacer, Verificar y Tomar Acciones de Ajuste, Mantenimiento y Mejora, para saber
qué se debe cumplir, estar al día en las novedades y actualizaciones sobre el tema, evaluar
y desarrollar planes para prepararse, asegurar el cumplimiento de la legislación y
reglamentación y mejorar el desempeño al respecto.
Desafortunadamente este planteamiento tan vital, sencillo y trascendente, no lo aprendemos
desde la escuela, y en la mayoría de los casos, nuestro acercamiento a la legislación, a la
reglamentación y a sus requisitos solamente se da en el momento que se tienen crisis
patrimoniales de pareja, cuando entramos en conflicto con nuestros socios, vecinos o
compañeros, o bien, cuando ocurre algún evento crítico en contra de nuestro capital, activos
o nuestros propios derechos. (Poveda Orjuela & Cañón Zabala, Herramientas para
implementar un Sistema de Gestión Ambiental fundamentado en ISO 14001. Guía para los
empresarios comprometidos con el futuro, 2005).
En línea con este punto de vista, movimientos como el Partido Verde y el Profesor Antanas
Mockus Cívicas proponen justamente un desarrollo curricular para la educación media y
superior, y una gestión cultural focalizada hacia la integración entre ética, moral, conocimiento
y cumplimiento de la ley y la reglamentación, como única alternativa para un futuro en
convivencia:
“Hoy estamos seguros de que mediante un ingenioso proceso educativo, mediante un gran
cambio cultural, es posible construir una democracia activa, deliberativa y pacífica, es posible
acabar con la influencia del narcotráfico y de la corrupción, es posible reducir drásticamente la
violencia y es posible lograr una sociedad mucho más igualitaria.
71
La unión nos ha permitido sumar experiencias, logros y conocimientos, que ahora debemos
multiplicar... Hace ya casi veinte años, los colombianos plasmamos en la Constitución un
proyecto de sociedad basado en el reconocimiento y el goce efectivo de los derechos, basado
en un cuidadoso equilibrio de los poderes, basado en la autonomía de las regiones y basado
en los deberes de cuyo cumplimiento somos corresponsables todos. Avanzar sustantivamente
en la realización de ese sueño, el sueño constitucional, es nuestro propósito para los próximos
años. Nuestra misión es clara: lograr que en esta etapa la historia se escriba con lápiz y
constitución, no con sangre”. (Mockus Cívicas, 2010)
.
DAR PRIORIDAD A LOS CASOS QUE IMPLICAN UNA
OBLIGACION SISTEMÁTICA ASOCIADA A LOS
SERVICIOS QUE OFRECE LA ORGANIZACIÓN
Tenemos requisitos contractuales ?

(Por ejemplo Contratos o Acuerdos con Clientes
Corporativos
Qué otros requisitos nos pueden aplicar en el

contexto HSEQ del servicio que ofrecemos
(Requisitos internos … )
Cuáles son los requisitos corporativos que nos

aplican. Cómo demostramos su cumplimiento
Qué compromisos hemos suscrito con las partes

interesadas. Qué obligaciones implican (Evaluación,
Resp, Frecuencias, Registros …)
NORMAS GENERALES
Constitucion Nacional
Codigo Contencioso Administrativo
Codigo de Comercio
Codigo Sustantivo del Trabajo
LEYES
ASPECTO PROCESO QUE
No NOMBRE DEL DOCUMENTO No FECHA
REGULADO INVOLUCRA
1 Control fiscal y Financiero 42 01/26/93 Control fiscal y Control Interno
Estauto General de la contratacin Contratacion
2 80 10/28/93 Contratacion
publica Publica
Por el cual se dictan normas para el
3 87 11/29/93 Control Interno Control Interno
ejercicio del control interno
Evaluación del Cumplimiento

FRECUENCIA
DEPENDEN REQUISITO(S) ESPECIFICO(S) QUE OBSERVA-
SI NO Parcialmente Responsable DE
CIA NOS APLICAN CIONES
EVALUACION
Control
Interno
Secretaria
General
Figura 2.3.2 b. Ilustración del Enfoque de la Herramienta de Gestión de Requisitos.

72
En línea con estos planteamientos, los documentos excel “2 3 a Enfoque General del Marco
Regulatorio Básico SGSS en Salud”, y “2 3 b Enfoque y Listado General Reglamentación
Seguridad Informática”, se constituyen en libros montado sobre el programa excel, en el que
para el caso del archivo 2 3 a, se tiene una sección preliminar que ilustra el concepto de la
Gestión de Requisitos Legales y en las hojas subsiguientes plantea ejemplos de los requisitos
que aplican a una organización particular, en diferentes tópicos relacionados con la gestión.
Por otra parte, el archivo 2 3 b, contiene:
o En la primera hoja y en secuencia cronológica, la relación de los actos administrativos

que enmarcan la legislación en Seguridad Informática en Colombia, desde la Ley 74
de 1968, que incorpora a la legislación interna, los Pactos Internacionales de Derechos
Económicos, Sociales y Culturales, de Derechos Civiles de la ONU; hasta el Decreto
1377/2013, que reglamenta la Ley de Proyección de Datos Personales. (En algunos
casos se incluyen los link y los URL en los que se pueden consultar o descargar los
documentos respectivos).
o En la segunda hoja, se incluye la Resolución 1995 de Julio 8 de1999, en la que se
establecen normas para el manejo de la Historia Clínica.
o En la tercera hoja se incluye la información y los link asociados a la Ley de HABEAS
DATA, teniendo en cuenta además el marco constitucional que la soporta.
HABEAS DATA y…
La Constitución Política de Colombia, dispone:
ARTÍCULO 15 DE LA CONSTITUCIÓN NACIONAL. Todas las personas tienen derecho a su intimidad personal yfamiliar y a su
buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables.Sólo pueden ser interceptadas o registradas mediante
orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia eintervención del Estado podrá exigirse la
presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
Ver además la sentencia de la Corte Constitucional C-748/11 sobre el HABEAS DATA

http://www.corteconstitucional.gov.co/relatoria/2011/c-748-11.htm
MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

DECRETO NÚMERO 1317 DE Junio 21 de 2013 (Reglamentación parcial HABEAS DATA)
Por el cual se reglamenta parcialmente la L 1581 / 2012

Régimen General de los Datos Personales
El PRESIDENTE DE LA REPÚBLICA DE COLOMBIA, En uso de sus atribuciones constitucionales, y en particular las previstas en el
numeral 11 del artículo 189 de la Constitución Política y en la Ley 1581 de 2012 y, CONSIDERANDO:
 Que mediante la Ley 1581 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad
con su artículo 1, tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías
constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo
20 de la misma.
Figura 2.3.2 c. Ilustración del Enfoque del Recurso 2.3.b

73
2.3.3 Líneas de Acción.

A partir de los planteamientos formulados previamente, debemos hacer hincapié en:
i. La Gestión de Requisitos Legales asociada a la Seguridad de la Información, se enmarca
dentro de los siguientes principios y artículos de la constitución nacional, en el contexto del
Sistema Nacional de Seguridad Social:
 Artículo 48.
“La Seguridad Social es un servicio público de carácter obligatorio que se prestará bajo la
dirección, coordinación y control del Estado, en sujeción a los principios de eficiencia,
universalidad y solidaridad, en los términos que establezca la Ley. Se garantiza a todos los
habitantes el derecho irrenunciable a la Seguridad Social. El Estado, con la participación de los
particulares, ampliará progresivamente la cobertura de la Seguridad Social que comprenderá la
prestación de los servicios en la forma que determine la Ley. La Seguridad Social podrá ser
prestada por entidades públicas o privadas, de conformidad con la ley”. (Asamblea Nacional
Constituyente - Congreso de la República, 1991).
 La Salud es un derecho inalienable que consagra la constitución y como tal requiere especial
atención. Su trasgresión atenta directamente contra el derecho a la vida, no sólo en lo relacionado
con la existencia de la persona sino en la calidad de vida que la misma debe tener, con especial
atención a las niñas y los niños, como lo expresa la CPN en su Artículo 44.
 Artículo 15 de la CPN, que ha sido modificado en el 2005, así:
“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre,
y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos
de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y
circulación de datos se respetarán la libertad y demás garantías consagradas en la
Constitución.
La correspondencia y demás formas de comunicación privada son inviolables. Sólo pueden ser
interceptados o registrados mediante orden judicial, en los casos y con las formalidades que
establezca la ley.
Con el fin de prevenir la comisión de actos terroristas, una ley estatutaria reglamentará la forma
y condiciones en que las autoridades que ella señale, con fundamento en serios motivos, puedan
interceptar o registrar la correspondencia y demás formas de comunicación privada, sin previa
orden judicial, con aviso inmediato a la Procuraduría General de la Nación y control judicial
posterior dentro de las treinta y seis (36) horas siguientes. Al iniciar cada período de sesiones el
Gobierno rendirá informe al Congreso sobre el uso que se haya hecho de esta facultad. Los
funcionarios que abusen de las medidas a que se refiere este artículo incurrirán en falta gravísima,
sin perjuicio de las demás responsabilidades a que hubiere lugar”. (Sentencia C-816 de 2004, de
la Corte Constitucional).
ii. El marco regulatorio de las entidades de salud y el asociado a la Gestión de la Seguridad de
la Información está determinado por leyes específicas que así lo establecen, y otras que lo
regulan, en cuanto a:
o Disponibilidad, (Sentencia SU 487/1997 y Artículo 165 de la L100/1993),
o Acceso, (CPN y Regulación del Sistema Nacional de Seguridad Nacional en Salud, que
establece el Régimen Contributivo y el Régimen Subsidiado),
o Aceptabilidad asociada a la capacidad de escoger, decidir y no ser objeto de
experimentos.
o Calidad de la Salud (Ley 100, Artículo 153 Numeral 19 y subsiguientes).
(Ver los archivos excel 2.3.a y 2.3.b).
iii. En materia de seguridad de la información, el marco legal está asociado a la protección de
la intimidad, y al manejo de las Historias Clínicas, que se regula desde la Ley de Habeas
Data.
74
Esta es precisamente la Ley 1581 de 2012 sobre la Protección de Datos Personales y

Decreto 1377 de junio de 2013, que reglamenta la Ley 1581 de 2012 sobre la Protección
de Datos Personales), en conjunto con la Ley que regula el manejo de las Historias
Clínicas: (Resolución 1995 de 1999, emitida por el Ministerio de Salud).
iv. A diferencia de los Sistemas de Gestión en componentes QHSE, el marco regulatorio en
materia de SI obliga a que la respuesta a los requisitos en cuanto a la formulación y el
despliegue de la Política de Seguridad de la Información y de Protección de Datos, sea
mucho más operativa y específica. Bajo esta premisa, en la Unidad 4, se plantearán
ejemplos de Política en este sentido.
v. La determinación de los requisitos legales específicos aplicables demanda:
 La identificación de la ubicación de la organización en el Sistema de Seguridad Social
en Salud,
 La consideración de los grupos de interés y las partes relacionadas, al igual que los
compromisos, acuerdos y obligaciones asociados al QUE USO, QUÉ HAGO y
QUÉ GENERO, de cada proceso,
 El inventario de los actos administrativos de las autoridades locales, tales como
permisos y licencias relacionados con la operación y prestación de los servicios en
salud, y las diferentes obligaciones y condiciones de vigencia ligadas a su
expedición y aplicación, que se constituyen en requisitos.
 Las leyes, decretos y normativas aplicables, con el detalle de los requisitos
específicos aplicables, las condiciones de vigencia, las evidencias existentes y el
status de cumplimiento.
ii. Una vez identificadas las partes interesadas, y a partir de su identificación, los
compromisos y obligaciones de orden corporativo, se debe:
 Determinar cuáles son las obligaciones ante estas autoridades sanitarias, locales
o ambientales, precisando los rangos previstos legalmente como requisito.
 Realizar un seguimiento al estado de cumplimiento y a la disponibilidad de
evidencias al respecto.
 Llevar un control consecutivo sobre el estado de vigencia y plazo próximo de
expiración, incluyendo secciones de menos de 0 a 3 meses, 4 a 12 meses y más
de un año.
iii. Con el inventario consolidado de todas las obligaciones, y la lista condensada de los
aspectos específicos que esto implica, con su frecuencia, requisitos técnicos, límites,
procesos relacionados y status de cumplimiento, se trata ahora de evaluar el estado
de cumplimiento, las evidencias disponibles o requeridas que demuestran el
cumplimiento, al igual que la formulación de planes, acciones y metas, para resolver la
brecha y blindar la organización al respecto.
Este es el propósito fundamental de la siguiente actividad… La aplicación del enfoque, los

instrumentos y los ejemplos, para tener el mapa conceptual que identifica estructuralmente
qué le aplica, y qué evidencias de cumplimiento se tienen, para posteriormente proceder a
identificar prioridades en cuanto a brechas y formular planes de acción para asegurar el pleno
cumplimiento de los requisitos y la adopción de mecanismos de prevención y control que
garanticen el blindaje de la organización al respecto. Este es el valor agregado que debe
generar su estudio de la unidad: Determinar qué aplica, conocer cómo aplica específicamente
a su organización y cuáles son los requisitos particulares, disponer de las evidencias de
cumplimiento y en caso contrario formular los planes de acción en consecuencia.
75

ELABORACIÓN DEL MAPA CONCEPTUAL DEL MARCO REGULATORIO
APLICABLE A SU EMPRESA. EVALUACIÓN DEL STATUS Y FORMULACIÓN
DE ACCIONES EN CONSECUENCIA.
a. Retome el software X-Mind ya descargado, los recursos pedagógicos de la sección

2.3 y sus notas relacionadas con el Marco Regulatorio aplicable al SGSI.
b. Estudie la estructura del Mapa Conceptual ISO 27k, en su versión personal final y
el que considere más completo de sus compañeros, al igual que los temas más
relevantes de su lista de chequeo por principios o por 27k. Considere esta
información como elementos de entrada para definir los ramales
y la estructura de su Mapa Conceptual del Marco Regulatorio
del SGSI. (Recuerde la importancia de este mapa para los
propósitos correspondientes a su proyecto final de
implementación del SGSI de la empresa que ha seleccionado.
c. Una vez considerada esta estructura, inicie la consulta detallada
de la información y los recursos pedagógicos y bibliográficos
suministrados, al igual que de la información disponible en la web, para ir
preparando su mapa conceptual, La idea es que su mapa quede con comentarios
para el Sector Salud, y que sean aplicables, útiles y específicos para su institución.
d. Vuelva a revisar su mapa, e inicie la evaluación del estado de cumplimiento y el
registro de las evidencias que permiten demostrar el estado de cumplimiento,
mediante ramales ligados a cada sección de requisitos.
e. Califique la prioridad vs gravedad y viabilidad de implementación.
f. Establezca un nuevo árbol o un ramal adicional principal, en el que desagregue los
elementos vitales de un plan de acción para resolver la condición de vulnerabilidad.
g. Consolide su presentación y toda la información. Recuerde que es SU
HERRAMIENTA… y proceda a subirlo al foro que tiene asignado para ubicar
sus trabajos.
h. Comente, responda y/o debata los planteamientos de realimentación de sus
compañeros acerca de su Mapa Conceptual, según sea pertinente, y proceda
a realizar realimentación a los Mapas de por lo menos dos compañeros suyos.
Si es pertinente, ajuste, actualice y ¡mejore su trabajo!
76
2.4 El Imperativo de los Sistemas Integrales de Gestión.

2.4.1 Para qué un Sistema Integral de Gestión SIG.
Un SIG reúne de manera armónica los procesos de una institución y a partir de la
planificación, la ejecución y el control asegura el cumplimiento de la política integral y
sus metas relacionadas, en línea con los propósitos estratégicos de la institución.
El propósito fundamental de un Sistema de Gestión desde un punto de vista
operacional está ligado a tres componentes:
 Formular y asumir un compromiso: La Política de Gestión, o de manera general,

la política integral, en términos de cumplir las obligaciones, la legislación y los
requisitos, prevenir la recurrencia de fallas, gestionar los riesgos de problemas,
escenarios o situaciones adversas y mejorar el desempeño.
 Concretar el compromiso con objetivos, metas y acciones estructuradas en
planes específicos
 Lograr los objetivos y metas previstas, y de esta manera prevenir los riesgos,
mejorar el desempeño ambiental, la toma de conciencia y la cultura integral en
pro de la equidad, el desarrollo sostenible, la transparencia y la construcción
de ciudadanía para un futuro posible
Q
Procesos Personas
P HS
M H
V
Procedimientos Recursos E
RSE
PRINCIPIOS, POLÍTICAS Y OBJETIVOS
Los Clientes La Los Empleados y

Sociedad Otras Grupos de Interés
Figura 2.4.1 Propósitos y Enfoque del Sistema Integral de Gestión.

Fuente: Adaptación (Poveda Orjuela & Cañón Zabala, Herramientas para
implementar un Sistema de Gestión Ambiental fundamentado en ISO 14001. Guía
para los empresarios comprometidos con el futuro, 2005, págs. 18 -20)
77
Desde un punto de vista estratégico, el Sistema de Gestión Integral debe constituirse

en el instrumento o en el vehículo que permita soportar el cumplimiento de los objetivos,
al igual que el salir avante en los desafíos trazados por el equipo de dirección ante las
exigencias del mercado y la concurrencia.
2.4.2 Beneficios asociados a la Configuración, Implementación y Mantenimiento de un

Sistema Integral de Gestión.
 Generar beneficios económicos a partir de:

 El dominio y la gestión eficaz de los requisitos y compromisos legales,
reglamentarios y otros requisitos.
 El ahorro y racionalización en el consumo energético, de agua o
materiales.
 La disminución de los costos ocasionados por incumplimientos de
obligaciones, indemnizaciones y seguros, entre otros, relacionados con
riesgos QHSE – SI u otro tipo de riesgos.
 Una cultura de gestión de riesgos integrales, proclive al desarrollo
sostenible.
 Facilitar las actividades de planificación, control, vigilancia, corrección, auditoría y
revisión para asegurar al mismo tiempo que la política integral se aplica y que el
sistema de gestión sigue siendo adecuado.
 Identificar las prioridades y fijar los objetivos apropiados para la empresa. De esta
forma, se refuerza el conocimiento de los propósitos estratégicos corporativos
expresados en términos de eficacia, eficiencia y efectividad, y en términos
generales de continuidad del negocio y de su éxito sostenible.
 Mejorar las relaciones con los grupos de interés a partir del conocimiento de sus
características, necesidades e intereses y de acciones para el beneficio común.
 La seguridad, entendida como reducción del riesgo y la vulnerabilidad, observando
la respuesta a las condiciones adversas de los procesos y los activos de
información, y a la preparación para darles respuesta en el evento en que se
manifiesten, de interrupciones indeseables, de sanciones o conflictos con las
autoridades o con los diferentes grupos de interés.
 Soportar el conocimiento y respuesta a los requisitos, necesidades y expectativas
de las partes interesadas
 Consolidar una cultura institucional para la seguridad, la prevención de los riesgos
SI y QHSE la promoción de un estilo de vida en armonía con el entorno, y
proyectado hacia la construcción del desarrollo sostenible y el beneficio mutuo.
 Asegurar las competencias y la gestión proactiva y de mejora, con respecto a los
riesgos estratégicos y operacionales del negocio.
 Ser capaz de adaptarse al cambio de las circunstancias y acceder a las exigencias
de mercados particulares que exigen la operación dentro de un marco consistente
con el desarrollo sostenible.
 Adquirir conciencia, competencias y cultura para tener comportamientos en
armonía con el entorno y los grupos de interés en pro del desarrollo sostenible.
(Poveda Orjuela & Cañón Zabala, 2005, págs. 18 -19).
78
2.4.3 Los Sistemas de Gestión y su focalización hacia los grupos de interés.

En la siguiente ilustración resumimos el enfoque del Sistema de Gestión Integral y de
sus componentes en cuanto a su focalización hacia los grupos de interés. Veamos:
El Corazón del Sistema de Gestión Integral se encuentra ilustrado en la figura mediante
el pentágono que propone centrarse alrededor de poner la Visión en Acción y lograr el
Éxito Sostenible del Negocio, apalancados en la integración armónica de los procesos
y los riesgos, considerando en las diferentes puntas los distintos grupos de interés y
ligados a ellos sus necesidades o expectativas predominantes y el referencial más
directamente relacionado con cada parte. Obsérvese que los competidores están
planteados de manera implícita al lado de las autoridades, bajo la acepción de la
palabra concurrencia asociada al mercado.
Se trata entonces de visualizar que las partes o componentes del Sistema de Gestión
deben tener una convergencia e integración armónica alrededor de la estrategia que
pone la visión en acción y que busca la generación integral de valor para cada uno de
los actores asociados al negocio.
CLIENTES
Q: ISO 9000
Satisfacción, Valor Agregado
Empleados y
ACCIONISTAS Proveedores
ADMINISTRATIVO HS: OHSAS 18001.
Estrategia efectiva Salud, Bienestar,
Del Negocio… EVA Protección
Visión en Acción Generación de Valor
Éxito Sostenible del
Negocio.
Autoridades SOCIEDAD
(… Concurrencia) E: ISO 14000
Prevención de la Contaminación
Responsabilidad, ISO 14k RSE: ISO 26000,
Cumplimiento
Desarrollo Sostenible,
SI Seg de Inf. ISO
RSE: ISO 26000
27001 Calidad de Vida
SISTEMA DE GESTIÓN INTEGRAL….

Procesos y Productos Puros, Buenos, Eficientes, Sanos, Seguros, Limpios,
Transparentes y Socialmente Responsables
Figura 2.4.3 Intereses, Interesados y Referenciales

Fuentes: Adaptación de (Poveda Orjuela & Cañón Zabala, Formación de Consultores
ASTEQ en Sistemas de Gestión BID CADIN, 2002)
79
De esta manera, no se deben tener diferentes centros y simplemente las

intersecciones de cada componente, No. Se trata de que se tenga convergencia y que
cada círculo o componente sean concéntricas, esto es: Alineación de los procesos y
de cada componente, alrededor de los propósitos estratégicos, la Visión en Acción y la
Generación Integral de Valor.
a. Componente Q de Calidad:
Clientes y Usuarios.
CLIENTES
La componente de Calidad en los Sistemas de
Q: ISO 9000
Gestión está focalizada en los Clientes y Usuarios y
Satisfacción, Valor Agregado
busca analizar las necesidades, expectativas de los
clientes y condiciones del entorno asociado a
productos y servicios para traducirlos en requisitos de
productos y servicios que se deben generar a partir
de la Planificación, el Control, el Aseguramiento y la
Mejora Continua de los proceso.
Esta Componente está soportada en el referencial ISO 9001 para efectos de

certificación y en las normas ISO 9000 para el vocabulario e ISO 9004 para la Calidad
y el Éxito Sostenible del Negocio. La principal necesidad de estos grupos de interés
se concentra alrededor de la satisfacción de las necesidades, el cumplimiento de
requisitos y el valor agregado determinado por las soluciones y alternativas que debe
ofrecer el producto/servicio.
b. Componente HS de Seguridad y Salud Ocupacional:

Empleados, Proveedores y Trabajadores.
Empleados y La componente de Seguridad y Salud Ocupacional,

Proveedores está focalizada en la prevención de los accidentes de
trabajo y las enfermedades profesionales para los
HS: OHSAS 18001.
Salud, Bienestar, Trabajadores y Empleados que desarrollen
Protección actividades a nombre de la organización o para ella a
Generación de Valor través de subcontrataciones.
Las necesidades y expectativas de estas partes interesadas están directamente

relacionadas con la Salud, el Bienestar, la Protección y la Prevención de los Riesgos
en Materia de Seguridad y Salud Ocupacional. Esta Componente está soportada en el
referencial OHSAS 18001 preparado por la BSI (British Standard Institution), y la sigla
OHSAS corresponden a Occupational Health and Safety Assessment Series, que para
el 2016 se convertirá en ISO 45001.
Por otra parte, se tiene la Guía Técnica Sectorial OHSAS 18002, que explica los
principios fundamentales de la NTC OHSAS 18001 y describe el propósito, entradas
típicas, procesos y salidas típicas contra cada requisito de la NTC OHSAS 18001, con
el fin de facilitar su comprensión y aplicación.
80
c. Componente E de Asuntos Ambientales:

Sociedad y Medio Ambiente
La componente de Asuntos Ambientales, está
SOCIEDAD focalizada en la prevención de la contaminación
E: ISO 14000 y cubre la totalidad de procesos y el entorno de
Prevención de la Contaminación la organización donde tienen lugar sus
ISO 14k RSE: ISO 26000
actividades, con lo que esto implica en cuanto
a uso de recursos materiales, agua, energía,
elementos abióticos o elementos bióticos, al igual que con la transformación del
paisaje, el suelo o las componentes bióticas, a sí como también la generación de
emisiones, radiaciones, vibraciones, vertimientos y residuos sólidos.
Esta Componente está soportada en el referencial ISO 14001 que tiene como propósito
permitir que una organización desarrolle e implemente una política y unos objetivos,
teniendo en cuenta los requisitos legales y otros requisitos que la organización suscriba
y la información relativa a los impactos ambientares significativos. Es aplicable a
aquellos aspectos ambientares que la organización puede controlar y sobre los que
puede esperarse que tenga influencia.
d. Componente SI de Seguridad de la Información.
Sociedad y Autoridades
La componente de Seguridad de la Información, así
llamada ahora para dar más énfasis a su carácter
Autoridades integral de aplicación en todos los procesos, sectores
(… Concurrencia) y grupos de interés, está focalizada en la Respuesta a
la Regulación y la Generación de Valor Integral a las
Responsabilidad, partes interesadas, fundamentados en los principios
Cumplimiento de Rendición de cuentas, Transparencia,
RSE: ISO 26000 Comportamiento ético, Respeto a los intereses de las
partes, Respeto a la privacidad y a las normativas
internacional de protección a los datos.
Esta Componente está soportada en el referencial ISO 27001:2013, que tiene como
propósito establecer los requisitos para la certificación del Sistema de Gestión de
Seguridad de la Información, o de su componente respectiva, y hace énfasis en la
gestión de riesgos sobre los activos de información y la interacción con los grupos de
interés.
e. Componente Gerencial Estratégico.
El Grupo Directivo y Los Accionistas.
La componente Gerencial Estratégica tiene en

ACCIONISTAS cuenta el grupo de interés que aporta su capital
ADMINISTRATIVO de riesgo al negocio. Se trata de los accionistas,
Estrategia efectiva
quienes tienen como interés fundamental la
Del Negocio… EVA
Generación de Riqueza y la Generación de Valor
Económico Agregado para el Negocio, a partir
de la formulación y el despliegue de una
estrategia efectiva y acorde con las condiciones
del mercado y la concurrencia.
81
Si bien, esta componente no está soportada por alguno de los documentos de

referencia antes descritos, se constituye en el eje fundamental y tronco común
alrededor del cual deben alinearse los diferentes procesos y componentes del Sistema
de Gestión.
Es preciso considerar que cada una de estas categorías de grupos de interés, a saber,
Clientes y Usuarios, Proveedores, Empleados, Sociedad y Comunidad, Autoridades,
Competidores y Accionistas, pueden subdividirse en grupos adicionales según su
naturaleza y las particularidades de cada negocio, como por ejemplo: nacionales,
internacionales, corporativos, institucionales, personales, o en función de su rol:
Mayoristas, Distribuidores, Contratistas, Interventores… entre otros.
Lo anterior nos lleva a la necesidad de precisar conceptos y categorías, y a considerar
la necesidad de establecer en las empresas u organizaciones un “Directorio de
Intereses vs Grupos de Interés”, en el que se definan y clasifiquen cada una de estas
categorías y subgrupos, empezando por la precisión en las diferencias asociadas a
determinar cuáles son los clientes, cuáles los usuarios, cuáles los clientes canal, entre
otras particularidades, según sea el caso.
2.4.4 Los Sistemas Integrales de Gestión. Una necesidad imperativa.
Con las diferentes obligaciones que debe atender una entidad de salud entorno a la regulación
QHSE - SI, u otras y la necesidad de asegurar su cumplimiento de manera transversal desde
todos los procesos, el mejor camino para lograrlo con mayor sinergia es recurrir a un Sistema
Integral de Gestión.
Esto se constituye en un imperativo, en la medida en que bajo el enfoque de procesos, riesgos

y una orientación estratégico, puede ser posible atender a los diferentes requisitos que debe
atender una entidad de salud en términos de SI, Calidad, Asuntos Ambientales, Seguridad y
Bioseguridad de las partes, o cualquier otro requisito específico que exijan las autoridades o
el mercado, con el propósito de asegurar:
 La “supervivencia”, entendida desde la perspectiva del mantenimiento, desempeño,

fidelidad, actualización y comportamiento de:
o El portafolio de productos de la empresa (Nadie es eterno en el mundo, y los

productos en el mercado mucho menos, aún en sectores con marcado monopolio,
como el sector salud…),
o El mercado con todos sus avatares y su naturaleza volátil en la dinámica cambiante
de las necesidades, expectativas, preferencias y perspectiva de los usuarios o
compradores, y con mayor grado las necesidades de incorporar portales y
tecnologías TIC en la operación y en la interacción con las partes.
o Las competencias y la tecnología apropiada, desarrollada y disponible por parte de
la empresa, considerando también la rapidez con que tanto el software, como el
hardware se hacen obsoletos en nuestro mundo posmoderno, al igual que las
necesidades cambiantes en el desarrollo de los procesos.
o El capital económico y el capital humano
82
o La rentabilidad, que incluye tanto el concepto en su marco económico como social

en una buena cantidad de organizaciones del estado o de fundaciones con un
propósito misional enfocado hacia el servicio a las partes interesadas “sin ánimo de
lucro, pero también, sin ánimo de quiebra”, que se refiere en su campo económico
a la obtención de más ganancias que pérdidas en un campo determinado (afán de
lucro), teniendo en cuenta su valoración en función del capital o del patrimonio.
o La rentabilidad como una proporción de las utilidades (ganancia que deja el negocio
en un período dado del ejercicio) vs la inversión, dado que la rentabilidad también
hace referencia a que el proyecto de inversión de una empresa pueda generar
suficientes beneficios para recuperar lo invertido y generar la tasa deseada por el
inversionista en proporción a su inversión.
o La rentabilidad social, planteada como la necesidad de generar a la sociedad, a
las partes interesadas o a la comunidad con quien se interactúa o que está en el
área de influencia de las empresas, más beneficios que pérdidas.
o El crecimiento interno y externo de la organización, referido al desarrollo de sus
competencias y habilidades al igual que al fortalecimiento de su tecnología dura y
blanda, tanto al interior de la organización, como en la interacción con el entorno
en donde se desempeña.
El éxito del negocio.

Cuál es el propósito de una empresa?
PRODUCTO
MERCADO
COMPETENCIA
SUPERVIVENCIA
TECNOLOGIA
CAPITAL
PERSONAL
RENTABILIDAD DEL ACTIVO

RENTABILIDAD
RENTABILIDAD DEL
PATRIMONIO
CRECIMIENTO INTERNO
CRECIMIENTO
CRECIMIENTO EXTERNO
Figura 2.4.4 Éxito y Competitividad del Negocio

Fuentes: (Poveda Orjuela & Cañón Zabala, Formación de Consultores ASTEQ en Sistemas
de Gestión BID CADIN, 2002)
83
UNIDAD 2
EVALUACIÓN DE LOS PRODUCTOS GENERADOS EN LA UNIDAD 2.
Temas 2.1 a 2.4
La familia de normas ISO 27000, y el Marco Regulatorio en el Sector Salud.
 El tutor procede a cerrar los foros de comentarios y aportes a las secciones 2.1
a 2.4, ubicados en el Foro General de Contenidos, haciendo un balance y
comentario general sobre su desarrollo.
 Para cerrar la Unidad 2, el tutor procede a realizar la realimentación sobre los

trabajos de cada uno de los participantes, y finalmente, luego de correcciones,
si se llegaran a requerir, procede a presentar la calificación parcial
correspondiente a la Unidad 2.
En este punto, el tutor realiza un balance en el que da mayor preponderancia

en los comentarios, a los resultados y desarrollos propios del ejercicio del Mapa
de Requisitos, la evaluación del estatus de cumplimiento, y de la formulación
de los Planes para lograrlo.
84
REFERENCIAS BIBLIOGRÁFICAS
 Asamblea Nacional Constituyente - Congreso de la República. (1991). Constitución

Política de Colombia. Bogotá: Imprenta Nacional.
 Bertalanffy, L. V. (1976). Teoría General de Sistemas. México: Fondo de Cultura
Económica.
 BS EN ISO 27799. (2008). Health informatics — Information security management in
health using ISO/IEC 27002 (ISO 27799:2008). London, UK: BS.
 Descartes, R. (1637). El Discurso del Método. Leiden (Holanda): Leiden.
 International Organization for Standardization ISO 27000 . (15 de 01 de 2014).
Information Security Management Systems. Overview and Vocabulary. Geneve, Swiss:
ISO.
 International Organization for Standardization ISO 27001. (2013). Sistema de Gestión
de Seguridad de la Información. Requisitos. Geneve, Swiss: ISO IEC.
 International Organization for Standardization, ISO 9000. (2005). ISO 9000:2005
Vocabulario y Presentación de la Familia de Normas ISO 9000. Geneve, Swiss.
 International Standardization Organization ISO 26000. (2010). ISO 26000. Guía de
Responsabilidad Social. Geneve: ISO.
 International Standardization Organization ISO 9000. (2015). ISO 9000. Sistemas de
Gestión de la Calidad. Fundamentos y Vocabulario, Anexo A3. Geneve, Suiza: ISO.
 International Standardization Organization, ISO 14004. (2004). Sistemas de Gestión
Ambiental. Directrices Generales sobre Principios, Sistemas y Técnicas de Apoyo.
Geneve: ISO.
 International Standardization Organization, ISO 14050. (2003). Gestión Ambiental.
Vocabulario. Geneve: ISO.
 International Standardization Organization, Central Secretariat. (2010). ISO Survey
2009. Geneve, Switzerland: ISO Forum.
 International Standardization Organization, ISO 22000. (2005). Sistema de Gestión en
Seguridad Alimentaria. Requisitos para empresas de la Cadena Alimentaria. Geneve,
Suiza: ISO.
 International Standardization Organization, ISO 9001. (17 de Noviembre de 2008).
Sistemas de Gestión de Calidad. Requisitos. Geneve, Suiza: ISO.
 International Standardization Organization, ISO 9004. (2000). Sistemas de gestión de
la calidad - Directrices para la mejora del desempeño. ISO 9004:2000. Ginebra, Suiza.
 Johansen Bertoglio, O. (2004). Introducción a la Teoría General de Sistemas. México
D.F.: Limusa.
 Kerguelén Botero , C. A. (2008). Calidad en salud en Colombia. Los principios. Bogotá,
Colombia: PARS Ministerio de Protección Social.
 Ley9-RepúblicadeColombia. (1979). Ley 9a de 1979 de la República de Colombia.
Bogotá, Colombia.
 Mockus Cívicas, A. (30 de Mayo de 2010). Discurso 30-05-2010. Discurso Plan de
Gobierno Movimiento Político PV. Bogotá.
 Mockus Civicas, A. (30 de Mayo de 2010). Partido Verde Colombia. Recuperado el 21
de Septiembre de 2010, de Discurso de Antanas Mockus 30 05 2010:
www.partidoverde.org.co
85
 NESTLE S.A. (Noviembre de 2004). Site Corporativo. Recuperado el 19 de Noviembre

de 2010, de www.nestle.com.co: www.nestle.com.co/Institucional/.../Principios.htm
 NTC-5254. (2007). Directrices para la Gestión de Riesgos. Bogotá, Colombia:
ICONTEC.
 Poveda Orjuela, P. P. (2009). Herramientas para Implementar un Sistema de Gestión
de Calidad (Tercera ed.). (P. P.-A.-I. Ltda., Ed.) Bogotá, Colombia: CYGA - ICONTEC.
 Poveda Orjuela, P. P., & Cañón Zabala, G. (Mayo de 2002). Formación de Consultores
ASTEQ en Sistemas de Gestión BID CADIN. Managua, Nicaragua.
 Poveda Orjuela, P. P., & Cañón Zabala, G. (2005). Herramientas para implementar un
Sistema de Gestión Ambiental fundamentado en ISO 14001. Guía para los empresarios
comprometidos con el futuro. Santafé de Bogotá: ICONTEC, CYGA.
 Poveda Orjuela, P. P., & Cañón Zabala, G. (Julio de 2006). Gestión de Calidad en la
Cadena Alimentaria. Material Didáctico Diplomado en Gestión de Inocuidad
Alimentaria. El Salvador, San Salvador: FEPADE.
 Poveda Orjuela, P., Cañón Zabala, G., & García Díaz, J. C. (2015). Guía para la
Gestión Integral de Riesgos. Bogotá D.E.: ICONTEC, ISBN 978-958-8585-51-2.
 Real Academia Española. (2001). Diccionario de la lengua española. Madrid: ESPASA
Calpe.
 RMA-RiskManagementAssociation. (06 de 08 de 2007). http://www.businesswire.com.
Recuperado el 08 de 05 de 2010, de http://www.afsvision.com:
http://www.businesswire.com/portal/site/home/permalink/?ndmViewId=news_view&ne
wsId=20090206005714&newsLang=es
 Sánchez, C. H. (2009). Forjadores del desarrollo de las Matemáticas: Yu Takeuchi. 50
años formando matemáticos en Colombia. Lecturas Matemáticas, Volumen 30, 87 -
110.
 Tobón, S. (2005). Formación basada en competencias. Pensamiento complejo, diseño
curricular y didáctica. Bogotá: ECOE Ediciones.
86

04a Libro Digital Curso SIGSI Primera Parte V Dic 31

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

04a Libro Digital Curso SIGSI Primera Parte V Dic 31

Caricato da

Copyright:

Formati disponibili

Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.

Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD

Seguridad de la Información en Servicios de Salud.

El curso (asignatura) presenta los principios, los conceptos, la

De esta manera la propuesta retoma los elementos de la

El diseño estructural de la asignatura considera cuatro bloques

1. La fundamentación, los conceptos, principios y elementos

Unidad Temática 1: Fundamentación, Conceptos, Principios y Cronología asociada a los Sistemas

B. DESARROLLO Y EXPLICACIÓN DEL TEMA DE ESTUDIO

Estar en capacidad de estructurar un Sistema de Gestión de la Seguridad de la Información

Objetivo General de la Asignatura

Figura B.1 Mapa de la Estructura Temática de la Asignatura

B. Desarrollo General de la Asignatura.

Lo invitamos a estudiar el contenido general del curso y a dar un “tour” y una

1. Inicie desde este mismo momento la organización de su biblioteca y archivo “reservorio”

UNIDAD 1. ACTIVIDAD 1.0.2

Lo invitamos a acceder al aula virtual en la sección de evaluaciones y a realizar la

1.1 Principios y Conceptos Básicos.

Como lo plantea el Profesor Ludwig Von Bertalanffy, la Teoría General de Sistemas se

c. Las Funciones de Apoyo. Buscan proveer al subsistema de Operaciones, con

Figura 1.1.1.a Elementos, Funciones y Corrientes del Sistema

Los sistemas también se rigen por las Leyes de la Termodinámica, particularmente en lo

La Teoría General de Sistemas se ve enriquecida en su aplicación al universo empresarial y

Es a través de esta posibilidad de integración como la sistémica, el paradigma de la

1.1.2 Elementos Conceptuales que fundamentan los Sistemas Integrales de Gestión

1.1.2.1 Conceptos de orden general sobre Sistemas de Gestión.

Así, la mayoría de los planteamientos formulados en la sección previa tuvieron una

¿Qué es Gestión. Qué un Sistema de Gestión?

El Sistema es el “conjunto de elementos mutuamente relacionados, o que interactúan entre

Figura 1.1.2.a Diagrama de Conceptos relativos a Actividad y Gestión.

¿Qué es el desarrollo sostenible?

 11 b Árboles de conceptos Anexo de ISO 9000 DIS 2015

De esta manera el Sistema de Gestión Integral es un instrumento clave de la organización y

¿Qué es la política en un Sistema de Gestión?

¿Qué son los objetivos en un Sistema de Gestión?

NOTA 1 Las actividades incluyen productos, servicios y procesos.

Términos f (ACTORES / SI)

2.7 Autenticación 2.14 Consecuencia 2.25 Evento 2.84 Alta dirección

1.1.2.2 Relación de los Términos planteados en la sección 2 de ISO 27000:2014 y

Ver además el archivo Excel “1 1 d Documento de clasificación y presentación en bloques de los

UNIDAD 1. ACTIVIDAD 1.1.1

Lo invitamos a observar la Lección en Video Tema 1, y a participar en

UNIDAD 1. ACTIVIDAD 1.1.2

1. Descargar de la web el software libre X-Mind en el sitio www.xmind.net/download/

2. Dar un repaso al Libro digital en la sección 1.1.1 y a los siguientes documentos:

5. Subir su trabajo al foro que se ha establecido para sus trabajos, recibir

1.2 Los Principios para la Gestión de Seguridad de la Información.

1.2.1 Enfoque General de los SGSI.

La norma se ocupa de las necesidades especiales de gestión de seguridad de la información

Confidencialidad. La información de asistencia en salud es considerada por muchos como el

Integridad. La integridad de la información de salud debería ser protegida para garantizar la

Disponibilidad. La disponibilidad de información de salud es también fundamental para la

La necesidad de una gestión eficaz de la seguridad de TI en la asistencia sanitaria se hace más

La disponibilidad de información sobre la salud es también fundamental para la prestación

La protección de la confidencialidad, integridad y la disponibilidad de información sobre la salud,

La necesidad de una gestión eficaz de la seguridad de TI en la asistencia sanitaria se hace tanto

Toda la información en poder y procesada por una organización es objeto de amenazas de

La protección de los activos de información a través de la definición, el logro, el mantenimiento

a. supervisar y evaluar la eficacia de los controles y procedimientos implementados;

Para interrelacionar y coordinar dichas actividades de seguridad de la información, cada

1.2.2 Principios básicos para los SGSI.

a. La toma de conciencia acerca de la necesidad de seguridad de la información;