Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 2 de 86
Desde esta perspectiva, el diseño del currículum tiene como esencia el liderazgo, el trabajo en
equipo, el acuerdo de los procesos y el pensamiento sistémico (Tobón, 2005), en la búsqueda de
lograr dar respuesta a las necesidades de las organizaciones que en nuestro medio, requieren
profesionales con competencias, habilidades y métodos que soporten la configuración y
proyección de los Sistemas de Gestión de Seguridad de la Información, con una perspectiva
Integral QHSE-SI. En términos generales, la función clave que se quiere promover para quien
curse la asignatura, corresponde a:
2
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 3 de 86
Este desafío que nos hemos trazado destaca la importancia de reforzar el pensamiento
sistémico, el enfoque de procesos y la focalización hacia los grupos de interés, como los
pilares fundamentales de todo SGSI, de tal manera que se promueva el fortalecimiento y
desarrollo de las competencias relacionadas con:
• COMPETENCIA INVESTIGATIVA: Gestionar el proceso de investigación para correlacionar los
principios y enfoque de las herramientas suministradas, con la realidad propia y la información
disponible, para aplicarla de manera coherente con las condiciones de la empresa seleccionada y
su SGSI.
• PROCESAMIENTO DE LA INFORMACIÓN Y CAPACIDAD DE PROPOSICIÓN: Procesar la
información obtenida a partir de la investigación y la aplicación de las herramientas y recursos
suministrados para formular alternativas de Implementación del SGSI en el contexto de la
organización seleccionada
• CONOCIMIENTO (SABER CONOCER): Adquisición de conocimientos relacionados con términos,
definiciones y requisitos de un Sistema de Gestión de Seguridad de la Información, teniendo en
cuenta las buenas prácticas planteadas en la familia de normas ISO 27000
• HABILIDADES (SABER HACER): Saber configurar un Modelo de Sistema de Gestión de la
Seguridad de la Información de una Institución Prestadora de Servicios de Salud, fundamentado en
la prevención y administración de los riesgos asociados a los activos de información.
• VALORES Y ACTITUDES (SABER SER): Formación en Valores y Principios Éticos, con
responsabilidad frente al cumplimiento de las normas locales e internacionales y su aplicación en
el contexto nacional para la seguridad de la información, tanto en las organizaciones del Sistema
Nacional de Salud, como en la interacción con los usuarios del servicio. Tiene Habilidades para el
Liderazgo. Maneja Buenas Relaciones Interpersonales Trabaja con otros de forma conjunta y de
manera participativa, integrando esfuerzos para la consecución de metas institucionales comunes.
Teniendo en cuenta estas premisas, el equipo de trabajo creado por el Ingeniero Pedro Pablo
Poveda Orjuela, con el apoyo de las firmas ASTEQ y QUARA TECH, y con una trayectoria de
más de 5 lustros en Consultoría, Formación y Sistemas de Gestión Empresarial en
Hispanoamérica, ha estructurado y puesto al servicio de la Universidad el presente programa.
En esta asignatura, nos ocuparemos de todo lo relacionado con el enfoque general de los
Sistemas de Gestión de Seguridad de la Información, observando los conceptos y los
principios que soportan su concepción, configuración, operación y despliegue empresarial, al
igual que la identificación de los diferentes grupos de interés y sus necesidades o
requerimientos particulares, para después abordar el tema correspondiente a la declaración y
cumplimiento del compromiso fundamental que deben asumir las organizaciones ante las
partes y ante sí mismas acerca de la prevención de los riesgos de seguridad de la información,
el cumplimiento de las obligaciones y los requisitos asociados, y la mejora continua en el
desempeño en seguridad de la información, fundamentado en la planificación directiva y
operacional .
NOTAS
Teniendo en cuenta esta temática y el desarrollo de los diferentes módulos del programa y de
la asignatura, es pertinente que los participantes adquieran a través de sus fuentes, bibliotecas
y bases de datos legales y laborales de sus empresas, y/o de las entidades de normalización
respectivas, las Normas ISO 9000:2015, ISO 9001:2015, ISO 27001, e ISO 31000.
Para efectos pedagógicos, los autores han puesto a disposición de los estudiantes una serie de
documentos, que fácilmente se consiguen en foros reconocidos de ISO como el foro 27k, o el
foro de gestión de riesgos, de los que se tiene autorización para tomar secciones básicas para
efectos de estudio, como son apartes de normas internacionales británicas BS-ISO, españolas
UNE, ecuatorianas, argentinas y australianas/neozelandesas como la serie AS NZ 4360, y
algunas de la familia ISO 31000 e ISO 27000, que dada su divulgación y disponibilidad en la
web se han adicionado al material de referencia, además de las herramientas y ejemplos de
ASTEQ y QUARA, puestos al servicio de los participantes.
3
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 4 de 86
4
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 5 de 86
5
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 6 de 86
Estas dos breves citas subrayan una realidad ya evidente: La gestión organizacional y de las
empresas se enmarca también dentro de unos principios básicos de Planificación, Operación,
Realimentación y Desempeño que comparten principios y elementos independientemente de
las disciplinas en las que nos desempeñemos por nuestras diferentes opciones profesionales
de vida. Sin embargo, en muy pocas ocasiones nos acercamos a apreciar de qué manera las
ecuaciones diferenciales pueden modelar cualquiera de estos comportamientos.
Si bien, este no es el campo de acción de este programa de formación, conviene citar a los
diferentes grupos de trabajo e investigación que desde la Universidad Nacional en su sede de
la Ciudad de Bogotá, en la década del 60, liderados y promovidos por el Gran Maestro Yu
Takeuchi en una de las primeras Facultades de Matemáticas de Latinoamérica, desarrollaron
modelos de ecuaciones diferenciales desde los que pudo acotarse, desde el ámbito de las
derivadas parciales y las ecuaciones diferenciales, el acontecer nacional en diversas
disciplinas, que derivaron posteriormente en fecundos y reconocidos grupos de investigación
a nivel nacional e internacional en varios campos del saber, desde la prevención de desastres
hasta los desarrollos genéticos. (Sánchez, 2009) Es muy interesante poder apreciar que
cualquiera sea el sistema que consideremos, las empresas, como organismos sociales por
excelencia, están constituidas por una serie de elementos que interactúan armónicamente,
que tienen unas entradas asociadas a información, materiales o recursos físicos, económicos,
logísticos y en general de la conjugación de tecnología y talento humano en acción.
Además, gracias a la interacción de estos elementos, transforman las entradas en salidas con
un propósito específico asociado a su razón de ser. Precisamente esta visión particular debe
ser el punto de referencia que nos invite a correlacionar los dos planteamientos que integra el
título de este bloque temático: Los Sistemas de Gestión en el contexto empresarial y la Teoría
General de Sistemas.
6
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 7 de 86
Iniciemos este breve análisis auscultando en el DRAE, las diferentes acepciones de la palabra
Sistema, proveniente del latín systēma, y este del griego σύστημα (Real Academia Española,
2001), con todo lo que estas raíces nos pueden evocar acerca de la generación del concepto
en las diferentes cunas de la civilización.
1. m. Conjunto de reglas o principios sobre una materia racionalmente enlazados entre sí.
2. m. Conjunto de cosas que relacionadas entre sí ordenadamente contribuyen a determinado
objeto.
3. m. Biol. Conjunto de órganos que intervienen en alguna de las principales funciones vegetativas.
Sistema nervioso.
4. m. Ling. Conjunto estructurado de unidades relacionadas entre sí que se definen por oposición;
p. ej., la lengua o los distintos componentes de la descripción lingüística.
Podemos afirmar entonces que en términos generales las empresas y las entidades que nos
ocupan son un tipo de organismo que en su esencia se constituye en un sistema al que le
corresponde la segunda categoría de la definición, desde una perspectiva general. A un
Sistema le pueden aplicar los siguientes principios que son adoptados por la Teoría General
de Sistemas, pero que igual corresponden a la lógica organizacional o al acervo del
conocimiento humano:
a. El enfoque reduccionista. Principio planteado por Renato Descartes en 1637, cuando
en su Discurso del Método, precisó este enfoque al señalar que “el primer momento del
método es el análisis, donde se trata de que ante una complejidad, planteado un
problema, es preciso ante todo considerarlo en bloque y dividirlo en tantas partes como
se pueda” (Descartes, 1637) o sea que para entender lo complejo debemos abordarlo
por sus partes constituyentes.
En el caso de las organizaciones, las analizamos considerando la interacción e
integración de sus macro-procesos, procesos, subprocesos y actividades.
b. El enfoque totalitario o generalizado. Se trata de observar que los elementos que
componen el Sistema, como por ejemplo los procesos y los macro-procesos, pueden
considerarse igualmente como sistemas o subsistemas, que pueden descomponerse
según su naturaleza.
c. El propósito de los Sistemas. Todo sistema tiene un propósito ligado a alcanzar uno o
varios objetivos.
Esto quiere decir que en el caso de un proceso, la interacción armónica de sus
actividades y subprocesos se da con el propósito de lograr el objetivo del proceso, y
que en un nivel superior, la integración de los procesos se constituye en el Sistema de
Gestión que soporta el logro de los objetivos empresariales.
d. La sinergia o Gestalt: En las organizaciones, la integración efectiva de todos los
componentes va mucho más allá que su simple suma. Estos es, 1 + 1 = 3
Por otra parte, haciendo eco de los planteamientos de Daniel Katz y Robert Kahn, podemos
hacer referencia a las cinco funciones que tienen lugar normalmente en un sistema abierto
viable (Katz & Kahn, 1995):
a. La Función de Dirección. Tiene a cargo la orientación, dirección y coordinación de las
actividades de cada uno de los demás elementos del Sistema, y en consecuencia la
toma de decisiones en los momentos en que se debe optar por una u otra alternativa.
b. Las Funciones de Operaciones. Tienen como propósito la transformación de las
corrientes de entrada, entendidas como recursos, energía, información y talento
humano del sistema, en las salidas, el(los) bien(es) y/o el(los) servicio(s) que lo
caracterizan y su objetivo es la efectividad operacional y/o técnica.
7
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 8 de 86
a. La Función de Dirección.
b. Las Funciones de Operaciones.
c. Las Funciones de Apoyo.
d. Las Funciones de Mantenimiento.
e. Las Funciones de Adaptación.
SISTEMA
Corriente Corriente
Proceso de Conversión
de Entrada de Salida
Corriente de Retroalimentación
8
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 9 de 86
Citamos nuevamente a Ludwig Von Bertalanffy en uno de sus párrafos memorables en donde
plantea que “La Teoría General de Sistemas es una ciencia de la globalidad, en la que las
ciencias rigurosas y exactas nacidas del paradigma cartesiano no sólo pueden convivir sino
que se potencian mutuamente. Esto obedece a que su relación con las llamadas ciencias
humanas, en las que la lógica disyuntiva formal, que va desde Aristóteles hasta nuestros días,
ha realizado enormes progresos y conducido a resultados espectaculares, y se da la mano con
las lógicas recursivas y las borrosas.
Si bien las normas sobre Sistemas de Gestión pusieron aún más en boga los principios de la
Teoría General de Sistemas aplicados a la dinámica empresarial, es evidente que dada su
trayectoria y aplicación generalizada, los conceptos de Sistemas de Gestión tienen lugar
desde que el hombre tuvo conciencia de los principios de organización e inició el desarrollo del
pensamiento administrativo.
9
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 10 de 86
En efecto, aunque la primera versión de ISO 9001 sobre Sistemas de Gestión de Calidad, vio
la luz en 1987, la OHSAS 18001 sobre Salud Ocupacional y Seguridad desde 1999, al igual
que ISO 14001 sobre Sistemas de Gestión Ambiental desde 1996, e ISO 26001 sobre
Responsabilidad Social Empresarial desde el primero de noviembre de 2010, ya los conceptos
de administración, organización y sistemas habían sido objeto de estudios formales, otros
relativamente formales y análisis generales en la historia del pensamiento y la gestión
empresarial en la humanidad, desde las cunas de la civilización que se remontan a la China,
Egipto, Grecia y Roma, la India, los Moros, los Persas y por supuesto toda la saga de culturas
Precolombinas, entre otras.
Abordemos entonces el análisis de cada uno de los conceptos asociados a los Sistemas de
Gestión Integral de manera General, apoyados en los referenciales ISO 9000, ISO 14050 y los
textos sobre Sistemas de Gestión Ambiental y de Calidad de Poveda y Cañón citados a lo largo
del capítulo.
Iniciemos con una serie de preguntas sucesivas que permitan ubicar de manera coloquial los
conceptos básicos claves:
¿Qué es la ISO?
“La ISO (International Organization for Standardization), es una federación mundial de
organismos de normalización, establecida para promover el desarrollo de Normas
Internacionales de fabricación, comercio y comunicación”. (Poveda Orjuela & Cañón Zabala,
2005, pág. 20)
Invitamos a los participantes a analizar los diferentes bloques de diagramas de conceptos que
trae la norma ISO 9000 y la norma ISO 27000:2014, a construir sus diagramas personales e
incluirlos en su archivo de bases de datos de los productos asociados a la generación personal
de conocimiento, y además a observar en un contexto más amplio, los siguientes conceptos.
10
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 11 de 86
11
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 12 de 86
El desarrollo sostenible puede considerarse como una vía para expresar las más amplias
expectativas de la sociedad en su conjunto. (International Standardization Organization ISO
26000, 2010, pág. 4)
Para efectos de tener la base de información necesaria, es importante ver, descargar y estudiar
los archivos anexos 1.1.b y 1.1.c, que corresponden a los diagramas de árbol, y
adicionalmente, para los temas que se presentan a continuación, dentro de esta unidad, es
importante reunir y organizar como bloque de información de base de la Unidad, los siguientes
archivos:
Se destaca que los documentos que presentan el vocabulario, los principios y los diagramas
de árbol de las normas ISO 27000 e ISO 9000, son documentos de estudio que por su carácter
pedagógico pueden ser consultados en las versiones aquí presentadas. Veamos a
continuación los conceptos más relevantes desde el punto de vista de vocabulario:
¿Qué es un Sistema de Gestión de Calidad, de Seguridad y Salud Ocupacional, de
Gestión Ambiental y/o un Sistema de Gestión en Responsabilidad Social Empresarial.
¿Qué es un Sistema de Gestión Integral QHSE – RSE?
Uniendo los dos conceptos anteriores, el Sistema de Gestión de Calidad, Salud Ocupacional
y Seguridad, Asuntos Ambientales y Responsabilidad Social Empresarial QHSE – RSE, como
comúnmente se le conoce por sus iniciales en inglés para el primer bloque y en español para
el segundo, es entonces la integración armónica de los elementos/procesos requeridos para
desarrollar una gestión enfocada en cumplir los acuerdos y compromisos establecidos ante los
clientes, los trabajadores y contratistas, el medio ambiente y la comunidad.
Y para cumplir también los requisitos y la legislación aplicable, prevenir la generación de fallas,
de accidentes de trabajo y enfermedades profesionales, gestionar la prevención de la
contaminación, desarrollar un comportamiento social y ambientalmente responsable para
promover el desarrollo sostenible y tener un enfoque proactivo que apunte hacia las causas de
falla, la gestión integral del riesgo, la transparencia, la rendición de cuentas, y mejorar
continuamente el desempeño en aras de la construcción de una cultura ciudadana
fundamentada en la equidad, los derechos humanos, la legalidad, el respeto a los intereses de
las partes y el comportamiento ético.
12
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 13 de 86
13
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 14 de 86
¿Qué es la transparencia?
Apertura respecto a las decisiones y actividades que afectan a la sociedad, la economía y el
medio ambiente, y voluntad de comunicarlas de manera clara, exacta, oportuna, honesta y
completa. (International Standardization Organization ISO 26000, 2010, pág. 5).
¿Qué tipos de Sistemas de Gestión existen en el contexto empresarial?
En el enfoque de este programa promulgamos que se debe hacer énfasis en tener un sistema
que integre las diferentes componentes en un solo paraguas que tiene su centro y su eje
principal alrededor del direccionamiento estratégico del negocio y que se soporta en dos
“motores fuera de borda” que corresponden a la gestión directiva y operacional de riesgos, al
igual que al enfoque de procesos para toda la organización, integrando tanto los procesos
operacionales, de dirección y apoyo, como los asociados al manejo particular de aspectos
directamente relacionados con los componentes del Sistema, según se requiera.
NOTA.
No existe un número particular de componentes dentro de un Sistema de Gestión, y se deben
determinar en función del tipo de riesgos y particularidades propias de la naturaleza de cada
organización.
El tipo de componentes que se puedan requerir, también está ligado a los requisitos puntuales del
mercado, como por ejemplo, además de los aquí considerados: BASC, SIPLA, INOCUIDAD,
BPA, TS 16949 o cualquier otro referencial que imponga el cliente o los sectores específicos del
mercado.
2.1 Control de acceso 2.5 Auditoría 2.3 Ataque 2.43 Proyecto SGSI
Términos f (CARACTERÍSTICAS DE SI)
2.4 Atributo 2.13 Conformidad 2.45 Probabilidad (likelihood) 2,82 Partes interesadas
Términos f (Gest RIESGOS / SI)
2.34 Continuidad en la SI 2.66 Objeto de revisión 2.75 Identificación de riesgos 2,48 Medición
2.40 Integridad 2.67 Objetivo de la revisión 2.76 Gestión del riesgo 2.49 Función de medición
2.62 Fiabilidad (reliability) 2.77 Proceso de gestión del riesgo. 2.54 No repudio (non-repudiation)
2,63 Requisito 2.78 Dueño del riesgo 2.50 Método de medición
2.79 Tratamiento de riesgos 2.86 Unidad de medida
2.51 Resultados de la medición
2.55 Objeto
2.56 Objetivo
Fig 1.1.2.2 a. Estructura General de Bloques de Términos de 2,52 Monitoreo
ISO 27000:2014. (Fuente: Adaptación de los Autores - ISO 27000:2014) 2.80 Escala
2.81 Estándar de Imp Seguridad
14
Maestría Virtual en Sistemas de Gestión Integral QHSE- RS para el Éxito Sostenible.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Unidad 1. Fundamentación, Conceptos y Principios sobre los Sistemas de Gestión en Salud.
Autor: Pedro Pablo Poveda Orjuela LIBRO DIGITAL – PRIMERA PARTE. Página 15 de 86
“2 TÉRMINOS Y DEFINICIONES
Para los fines de este documento se aplican los siguientes términos y definiciones.
2.1 activo: Cualquier cosa o bien que tiene valor para la organización.
2.2 control: Medio de gestión del riesgo, que incluye políticas, procedimientos, directrices, prácticas o
estructuras de la
Organización, y que pueden ser de naturaleza administrativa, técnica, de gestión o legal.
2.4 recursos de tratamiento de la información:
Cualquier sistema, servicio o infraestructura de tratamiento de la información, o bien las localizaciones físicas
que alojan dicho sistema, servicio o infraestructura.
2.5 seguridad de la información:
La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además,
abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.
2.6 evento de seguridad de la información:
La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política
de seguridad de la información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que
puede ser relevante para la seguridad. (ISO/IEC TR 18044:2004)
2.7 incidente de seguridad de la información: Un único evento o una serie de eventos de seguridad de la
información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las
operaciones empresariales y de amenazar la seguridad de la información. (ISO/IEC TR 18044:2004)
2.9 riesgo: Combinación de la probabilidad de un suceso y de su consecuencia.
2.10 análisis de riesgos: Utilización sistemática de la información disponible para identificar peligros y estimar
los riesgos.
2.11 evaluación de riesgos: El proceso general de análisis y estimación de los riesgos.
2.12 estimación de riesgos: El proceso de comparación del riesgo estimado con los criterios de riesgo, para así
determinar la importancia del riesgo.
2.13 gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto a los
riesgos. La gestión de riesgos habitualmente engloba la evaluación, el tratamiento, la aceptación y la comunicación
de los riesgos.
2.14 tratamiento de riesgos: El proceso de selección e implantación de las medidas encaminadas a modificar
los riesgos.
15
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 16 de 86
En la medida en que el Video integra, enfoca y resume la temática completa del Tema 1
de Fundamentos, conceptos y principios, es conveniente que tome notas en su cuaderno
físico o digital, para orientar la lectura del libro digital, y el uso de los recursos entregados,
Esta actividad tiene como propósito el estudio detallado y la apropiación de los conceptos
y términos presentados en la sección 1.1.1 Para este efecto es preciso:
4. Asegurar que en la medida en que configura los detalles del Mapa conceptual,
usted correlaciona y diferencia los términos, observando diferencias en cuanto a
propósitos, entradas, salidas o actores relacionados. Considere la posibilidad de
agrupar por bloques específicos y por secuencias. (En la medida en que es su
mapa personal, puede particularizarlo con vínculos, imágenes y notas).
16
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 17 de 86
17
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 18 de 86
ISO 27799 especifica los controles concretos que se han de implementar para gestionar la
seguridad de la información sanitaria, aportando recomendaciones relativas a las buenas
prácticas que hay que seguir al respecto para garantizar los niveles mínimos de seguridad.
Auditabilidad. Es preciso que como componente importante de esa protección sea posible
garantizar que durante todo el ciclo de vida de la información, sea totalmente auditable.
Los sistemas informáticos de salud deberían cumplir con las demandas únicas para seguir
funcionando en caso de catástrofes naturales, fallos del sistema y ataques de denegación de
servicio.
Las organizaciones de salud deberían tener una orientación clara, concisa y atención sanitaria
específica sobre la selección y aplicación de tales controles. Esta orientación debería ser
adaptable a la amplia gama de tamaños, ubicaciones y modelos de prestación de servicios que
se encuentra en la asistencia sanitaria. Por último, con el aumento de intercambio electrónico
de información de salud personal entre profesionales de la salud, hay un claro beneficio en la
adopción de una referencia común para la gestión de seguridad de la información en la
asistencia sanitaria.
18
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 19 de 86
Las organizaciones de la salud deberían tener una orientación clara, concisa y de atención
médica específica sobre la selección y aplicación de tales controles. Esta orientación debería
ser adaptable a la amplia gama de tamaños, ubicaciones y modelos de prestación de servicios
encontrados en la asistencia sanitaria. Por último, con el aumento de intercambio electrónico de
información personal de salud entre los profesionales de la salud, hay un beneficio claro en la
adopción de una referencia común para la gestión de seguridad de la información en la
asistencia sanitaria” (BS EN ISO 27799, 2008).
Por otra parte, es conveniente subrayar que desde un punto de vista general, “las instituciones
de todos los tipos y tamaños deben:
a. Recoger, procesar, almacenar y transmitir información.
b. Reconocer que el conocimiento, la información y los procesos relacionados, los
sistemas, las redes y las personas son activos importantes para el logro de objetivos de
la organización.
c. Enfrentarse a una serie de riesgos que pueden afectar el logro de sus propósitos, la
integridad de sus recursos, y la operación de sus activos.
d. Responder en consecuencia a su exposición al riesgo percibido, con la aplicación de
medidas de control para la seguridad de la información.
19
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 20 de 86
Como los riesgos de seguridad de la información y la eficacia de los controles de cambio varían
dependiendo de las circunstancias cambiantes del entorno, las organizaciones deben:
20
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 21 de 86
La información puede ser transmitida por diversos medios, entre ellos: mensajería,
comunicación electrónica o verbal. Cualquiera sea la forma de toma de información, o los
medios por los que se transmite, siempre se necesita una protección adecuada.
21
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 22 de 86
e. Enfoque de Procesos
Para poder funcionar con eficacia y eficiencia, las organizaciones deben identificar y
gestionar numerosas actividades. Cualquier actividad que utiliza recursos debe ser
gestionada para permitir la transformación de insumos en productos (entradas en salidas),
mediante un conjunto de actividades mutuamente relacionadas o que interactúan, - esto
también se conoce como un proceso. La salida de un proceso puede constituirse
directamente en la entrada a otro proceso y, en general esta transformación se lleva a cabo
bajo condiciones programadas y controladas. La aplicación de un sistema de procesos
dentro de una organización, junto con la identificación e interacción coordinada y armónica
de estos procesos, así como su gestión, puede denominarse como "enfoque basado en
procesos", y es un aspecto fundamental del SGSI. (International Organization for
Standardization ISO 27000 , 2014)
22
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 23 de 86
Esta actividad tiene como propósito el estudio detallado y la apropiación de los conceptos
relacionados con los principios y fundamentos del SGSI, presentados en la sección 1.2, y
contenidos en detalle en la norma ISO 27000:2014, Para este efecto es preciso que el
participante:
23
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 24 de 86
24
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 25 de 86
b) Los hospitales,
c) Las clínicas,
d) Los laboratorios,
e) Los centros de terapia y rehabilitación, y otras entidades que prestan directamente el
servicio a los usuarios y aportan todos los recursos necesarios para la recuperación de
la salud y la prevención de la enfermedad,
d) Los profesionales independientes de salud (médicos, enfermeras/os, etc.), y
e) Los transportadores especializados de pacientes (ambulancias).
El Sistema Nacional de Salud tiene un amplio sector de seguridad social y un decreciente sector
exclusivamente privado. Su eje central es el SGSSS con sus dos regímenes, contributivo (RC)
y subsidiado (RS).
En 2010 sólo 4.3% de la población permanecía fuera del sistema de seguridad social en salud.
El RC opera con base en una cotización de sus afiliados. El RS opera con base en un subsidio
cruzado del RC más otros fondos fiscales procedentes de impuestos generales.
Las EPS entregan los fondos reunidos de las cotizaciones al Fondo de Solidaridad y Garantía
(FOSYGA), el cual devuelve a las PS el monto equivalente a la unidad de pago por capitación/
(UPC) ajustado por riesgo, de acuerdo con el número de afiliados que tengan. El pago capitado
en el RS es análogo (aunque no se ajusta por riesgo) y se denomina UPC-S. (Capitación:
Repartimiento de tributos y contribuciones por cabeza.) Los proveedores de atención son las
instituciones prestadoras de servicios (IPS), que pueden estar o no integradas a las EPS, pero
que en todo caso son contratadas por éstas.
25
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 26 de 86
Para poder acceder a los beneficios de la seguridad social colombiana es obligatorio vincularse
a una empresa entidad promotora de salud (EPS), administradora de riesgos laborales (ARL) y
voluntariamente un fondo de pensiones (AFP) por medio de una afiliación.
Figura 1.3.1a. Actores del Sistema General de Seguridad Social en Salud (SGSSS)
Fuente: Guerrero (2011), en Salud Pública Vol 53
26
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 27 de 86
Nos apoyamos nuevamente en los planteamientos de Carlos Kerguelén, quien resume los
elementos del marco legal, a partir del enunciado de apartes legales que marcan el estado actual
del SCSSS y ayudan en la discusión sobre las funciones básicas que hay que desarrollar frente al
tema. Estas funciones, aun cuando el planteamiento puede resultar polémico, y adelantándonos a
algunas conclusiones, es factible que estén por encima del modelo de salud elegido, es decir, que
haya que hacerlas sin importar si el sistema de salud es eminentemente público o privado, de
mercado o no. Se parte de las bases contempladas en la ley 100 de 1993, para luego mirar el
contexto actual, en este caso, la ley 1122 del 9 de enero de 2007, la cual tiene como objeto realizar
ajustes al Sistema general de seguridad social en salud, y no derogarlo. En el ámbito de ley, las
primeras menciones que se encuentran sobre el tema están descritas en los fundamentos del
SGSSS (artículo 153 de la ley 100). Específicamente, se plantean las siguientes ideas:
En este numeral se habla de una serie de características que describen formas de cómo garantizar
el fundamento de la equidad. Uno de estos hace mención especial a la calidad: "el Sistema general
de seguridad social en salud proveerá gradualmente servicios de salud de igual calidad a todos los
habitantes en Colombia, independientemente de su capacidad de pago". Lo anterior plantea dos
ideas para explorar.
27
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 28 de 86
Predecir cuáles serán los resultados clínicos que se obtendrán una vez se atiendan las personas,
los cuales tendrán que ser iguales o con muy pocas variaciones entre grupos poblacionales con
características similares. He aquí el reto mayor.
Pero plantear las anteriores situaciones no significa que el trabajo sea fácil, por el contrario, tiende
a ser cada vez más complejo, ya que se abren otras discusiones no menos sencillas, como: ¿Quién
define los estándares? ¿Cómo se logran consensos alrededor de estos?, ¿Quién los audita?
¿Cómo se logra una independencia técnica entre el que presta el servicio y el que audita? ¿Cómo
se sabe que los resultados se están distribuyendo de igual manera? y ¿cuál es el nivel de calidad,
dentro de todo un gradiente de exigencia, que el Estado quiere para su sociedad?8 . Aquí,
posiblemente, el Estado no puede solo y tendrá que trabajar de la mano con la academia y con
organizaciones públicas y privadas.
28
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 29 de 86
Este artículo concuerda con el artículo 23 de la ley 1122, el cual resalta en las obligaciones de las
aseguradoras frente al tema de la calidad, el garantizar la integralidad y continuidad en la prestación
de los servicios, especialmente la asignación de las citas.
1.3.2.3 La calidad y el control (Numeral 9 artículo 153 ley 100, artículo 39 ley 1122)
“El sistema establecerá mecanismos de control a los servicios para garantizar a los usuarios la
calidad en la atención oportuna, personalizada, humanizada, integral, continua y de acuerdo con
estándares aceptados en procedimientos y prácticas profesionales. De acuerdo con la
reglamentación que expida el Gobierno, las instituciones prestadoras deberán estar acreditadas
ante las entidades de vigilancia”. En este aparte se plantean tres ideas:
La primera es la calidad atada a mecanismos de control. Sin entrar a discutir sobre cuál es
la acepción de control que se quiso plantear en este párrafo, implica un complemento a algo
que ya se discutió, que es cómo se realiza un mecanismo operativo de monitorización del
nivel de calidad obtenido frente a una atención. No puede haber control sin hechos, sin datos,
sin números. Es la esencia misma del control. Eso hace pensar un sistema explícito de
indicadores de monitorización de unos niveles de calidad que deben estar perfectamente
definidos de antemano. He aquí nuevamente el papel del Estado en sentar las reglas de
juego.
La segunda idea, de la mano del párrafo anterior, es que los servicios deben tener unas
guías o parámetros de calidad que deben ser soportados por un nivel de conocimiento
aceptado. Estos dos temas se pueden encontrar dentro del artículo 39 de la Ley 1122. Ahora
bien, Colombia debe definir cuál es ese nivel socialmente aceptado, cuál es la preferencia
social que quiere hacer frente a los niveles de calidad que desea o puede obtener. No sobra
recordar que la salud no tiene precio, pero su calidad tiene un costo.
La tercera, no menos importante, es que el gobierno tiene una responsabilidad frente a la
definición de mecanismos para que las instituciones del sistema se acrediten (tema que se
desarrolla en el capítulo 5. Esta última idea se complementa en la misma Ley 100 en el
artículo 186: “El gobierno nacional propiciará la conformación de un sistema de acreditación
de las instituciones prestadoras de servicios de salud, para brindar información a los usuarios
sobre su calidad y promover su mejoramiento”. Dos ideas que llaman la atención en la
descripción del artículo en mención: la acreditación como un mecanismo de información para
los usuarios de la calidad de las instituciones y la acreditación como un mecanismo de
promoción del mejoramiento.
29
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 30 de 86
De nuevo, aparece el tema de una serie de parámetros que deben ser únicos, de aplicación
nacional, de manera obligatoria, sustentados en una evidencia probada y validada y que
necesariamente están ligados con los resultados en salud de la población atendida. Sobra decir
que esto presenta un reto metodológico, no imposible por cierto con todo el advenimiento de la
evidencia científica en salud, para poner todas estos aspectos en funcionamiento, en de un orden
lógico.
Hay que puntualizar que el artículo incluye dos elementos de discusión: la relación entre la calidad
y un pago o reconocimiento económico a las EPS por cada uno de sus afiliados, el cual a su vez
está íntimamente ligado a una connotación de la calidad, descrita como "condiciones medias".
¿Qué es una condición media de calidad? ¿Un promedio igual (sin entrar en la discusión si el
promedio es alto o bajo frente a la evidencia) para todas las personas? o ¿debe entenderse una
condición media como lo mínimo posible frente a los recursos?
30
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 31 de 86
El anterior punto suscita discusiones producto de interpretaciones, comenzando por aquellos que
sostienen que la calidad no tiene precio. Si bien no tiene precio, es sabido que tiene un costo, que
no existen los recursos suficientes (en ninguna parte del mundo) para todas las necesidades en
salud; que si bien existe un mínimo de condiciones (que ameritan unos recursos) por debajo del
cual es inseguro prestar un servicio de salud tampoco es menos cierto que existe un nivel en el
cual más recursos no implica nada adicional para los resultados clínicos e, incluso, puede poner
en 40 Calidad de salud en Colombia – Los principios riesgo la salud10. En fin, lo anterior plantea
un adecuado y delicado balance de muchas variables, no siempre a favor de los intereses econó-
micos de algunos grupos.
De igual manera, la ley 1122, en su artículo 16, propone la contratación de un mínimo porcentual
asociado con el cumplimiento de unos indicadores de calidad, los cuales, por lógica, deben
establecerse y diseñar el sistema de monitoreo, exigencia de cumplimiento y acciones a tomar en
caso de su incumplimiento.
31
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 32 de 86
El segundo punto tiene que ver con la capacidad de control del ciudadano frente al sistema
de salud con el fin de garantizar calidad (artículo 231).
Aquí, la calidad es un instrumento que apoyaría unas labores de control social por parte
del ciudadano y de rendición de cuentas por parte de los involucrados en el sistema. Si
bien los ciudadanos colombianos han usado mecanismos constitucionales (la tutela, por
ejemplo) para obligar a las diferentes organizaciones del sector a cumplir con sus
responsabilidades, es poco lo que se sabe de la efectividad del uso intensivo de otras
posibilidades de control social (como la representación en las juntas directivas de los
prestadores públicos).
“Es facultad del Gobierno Nacional expedir las normas relativas a la organización de un sistema
obligatorio de garantía de calidad de la atención de salud, incluyendo la auditoría médica de
obligatorio desarrollo en las entidades promotoras de salud, con el objeto de garantizar la adecuada
calidad en la prestación de los servicios. La información producida será de conocimiento público”.
Este artículo es la esencia misma para arribar a una Garantía de Calidad Consistente e implica
varias cosas:
32
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 33 de 86
Este artículo ha sido uno de los pilares fundamentales que soportaron la expedición de
sucesivos decretos (2174 de 1996, 2309 de 2002 y 1011 de 2006), que han promovido el
desarrollo metodológico del sistema de garantía de calidad en Colombia.
33
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 34 de 86
preguntas base, útiles para realizar un diagnóstico del estado del SIG QHSE-SI, sin incluir
alusiones específicas a los numerales de las normas asociadas.
9.2. Transparencia
Las organizaciones deben operar con transparencia. Este imperativo ha ido ganando
relevancia en el ámbito de la Responsabilidad Social Empresarial.
Desde ISO 26000, y con mayor extensión para las empresas de servicios del Sector Salud,
se aconseja a las organizaciones a ser transparentes en aquellas actividades que desarrolla y
afectan a la sociedad y al medio ambiente. De este modo, sugiere que la organización debería
suministrar toda la información que requieran las partes interesadas, en un lenguaje accesible
e inteligible. El principio excluye, sin embargo, que se publique la información protegida por la
propiedad intelectual, los datos personales o la que pueda causar incumplimientos de
obligaciones legales.
34
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 35 de 86
35
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 36 de 86
Una organización debería revelar de forma clara, precisa y completa y en un grado razonable y
11 Transparencia suficiente la información sobre las políticas, decisiones y actividades de las que es responsable,
incluyendo sus impactos conocidos y probables sobre la sociedad y el medio ambiente.
Una organización debería respetar los derechos humanos y reconocer, tanto su importancia como
16 Respeto a los derechos humanos su universalidad. Respetar, promover y en situaciones donde los derechos humanos no se
protegen, dar pasos para respetar los derechos humanos y evitar beneficiarse de esas situaciones
36
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 37 de 86
1.b Investigar y entender las necesidades actuales y futuras, los intereses de los clientes y las partes.
Relacionar los objetivos de la organización y los Proyectos de DNN y DNP, con las necesidades e
1.c
intereses de las parte, y los frentes potenciales de acción para el rendimiento energético e hídrico.
Enfocar la gestión de inteligencia e innovación estratégica competitiva del DNN y DNP en la respuesta
1.d efectiva a las necesidades, e intereses de las partes, a partir del Diseño Transversal para la
Generación Integral de Valor y el rendimiento energético e hídrico.
Realizar medición y seguimiento a las Voces de las Partes Interesadas(satisfacción, aportes, quejas,
1.f
reclamos...)
Fortalecer las relaciones positivas con los clientes y las partes interesadas, bajo la perspectiva del
1.g
aporte común al éxito humano y sostenible colectivo.
1.h Mayor potenciación en el desarrollo de nuevos negocios (DNN) y de nuevos productos (DNP).
1.i Fortalecimiento de la cultura de generación integral de valor hacia las partes interesadas.
37
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 38 de 86
10. Se fortalecen las relaciones positivas con los clientes y las partes
interesadas relevantes, y estratégicas para la organización, bajo la 1 2 3 4 5
perspectiva del aporte común al éxito humano y sostenible colectivo.
38
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 39 de 86
Fomentar el compromiso y la coherencia en la acción con respecto a los principios de gestión integral en los
2.c procesos, en la interacción con las partes, y en la proyección humana de cada quién. (Hacerlo bien, Hacer
el bien, y Sentirse bien).
Asegurar que los líderes en todos los niveles son ejemplos positivos para las personas de la organización
2.d
(Palabra, Acto y Coherencia).
Configurar la Organización de manera armónica y congruente con los desarrollos del negocio, y
2.e proporcionar a las personas los recursos, la formación y la autoridad requerida para actuar con
responsabilidad y asumir la obligación de rendir cuentas.
39
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 40 de 86
40
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 41 de 86
Empoderar a las personas para determinar las restricciones que afectan al desempeño y para tomar
3.d iniciativas sin temor, alrededor de la seguridad de la información, el rendimiento hídrico y energético, y
la sostenibilidad.
Realizar encuestas para evaluar la satisfacción de las personas, comunicar los resultados y tomar las
3.g
acciones adecuadas.
41
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 42 de 86
Diagnostico del Estado de Aplicación del Principio TRES. COMPROMISO DE LAS PERSONAS,
a lo largo del SISTEMA INTEGRAL DE GESTIÓN
Calificación del Estado de Gestión - Perfil
Las acciones no se
Hay acciones Este aspecto se Este aspecto se
No tenemos desarrollan o los
puntuales o encuentra definido y encuentra
ASPECTO nada al
respecto
resultados
resultados no se
generan de manera
planificado, y se ha completamente
aislados iniciado su aplicación implementado.
sistemática
42
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 43 de 86
4.1 Aumento de la capacidad de centrar los esfuerzos en los procesos clave y en las oportunidades de mejora
Optimización del desempeño mediante la gestión eficaz del proceso, el uso eficiente de los recursos y la
4.3
reducción de las barreras interdisciplinarias
4.a Definir los objetivos del sistema y de los procesos necesarios para lograrlos;
Determinar las interdependencias del proceso y analizar el efecto de las modificaciones a los
4.d procesos individuales sobre el sistema como un todo, bajo un enfoque de generación integral de valor
desde cada proceso.
Gestionar los procesos y sus interrelaciones como un sistema para lograr los objetivos de la gestión
4.e
integral de la organización de una manera eficaz y eficiente;
Asegurar que la información necesaria está disponible para operar y mejorar los procesos y para
4.f
realizar el seguimiento, analizar y evaluar el desempeño del sistema global;
44
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 45 de 86
La mejora es esencial para que una organización mantenga los niveles actuales de desempeño, reaccione a los cambios
en sus condiciones internas y externas y cree nuevas oportunidades.
La Gestión de Mejora Continua integra los esfuerzos por generar más valor, disminuir la vulnerabilidad, responder de una
manera más ágil y rapida, y anticiparse a los eventos particulares del mercado, teniendo en cuenta las siguientes
componentes:
A. La dinámica empresarial de sus diferentes procesos, proyectos y lineas
de productos y servicios, alrededor de la mejora por reacción, corrección
y prevención, que integra la Gestión de Acciones Correctivas, Preventivas y de Mejora.
B. La mejora por innovación, creación y desarrollo que apalanca el desarrollo estratégico del negocio, los nuevos
negocios y los nuevos productos/servicios, sobre la base de proyectos corporativos.
Mejora del enfoque en la investigación y la determinación de la causa raíz, seguido de la prevención y las acciones
5.2 correctivas;
5.3 Aumento de la capacidad de verificar, auditar, anticiparse y reaccionar a los riesgos y oportunidades internas y externas;
Educar y formar a las personas en todos los niveles sobre cómo aplicar las herramientas básicas y las metodologías
5.b para lograr los objetivos de mejora;y para dar respuesta a no conformidades (Accion de Contención, Acción sobre el
Efecto/Responsabilidades y Acciones para evitar la recurrencia y para prevenir fallas).
Facilitar el diálogo abierto y que se compartan los conocimientos y la experiencia.Asegurarse de que las personas son
5.c
competentes para promover y completar los proyectos de mejora exitosamente;
Desarrollar y desplegar procesos para implementar los proyectos de mejora en toda la organización; bajo
5.d un enfoque centrado en los riesgos integrales, de seguridad de la información y el rendimiento hídrico y energético
QHSE3-SI
Realizar seguimiento, revisar y auditar la planificación, la implementación, la finalización y los resultados de los
5.e
procesos y de los proyectos particulares de mejora;
5.f Integrar las consideraciones de la mejora en el desarrollo de productos, servicios y procesos nuevos o modificados;
45
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 46 de 86
46
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 47 de 86
6.2 Mejora de la evaluación del desempeño del proceso y de la capacidad de lograr los objetivos;
6.4 Aumento de la capacidad de revisar, cuestionar y cambiar las opiniones y las decisiones;
Mejora de las competencias y la cultura para fundamentar la gestión del conocimiento de productos, procesos y
6.6
proyectos, a partir del procesamiento y análisis de evidencias, hechos y datos;
Determinar, medir y hacer el seguimiento de los indicadores clave para demostrar el desempeño de la
6.a
organización;
6.b Poner a disposición de las personas pertinentes todos los datos necesarios;
6.c Asegurarse de que los datos y la información son suficientemente precisos, fiables y seguros;
Asegurar que las personas sean competentes para analizar y evaluar los datos según sea
6.e
necesario y se requiera para la toma de decisiones y el conocimiento de los procesos;
Tomar decisiones y tomar acciones basadas en la evidencia, equilibrando la experiencia y la
6.f
intuición.
47
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 48 de 86
Diagnostico del Estado de Aplicación del Principio SEIS. TOMA DE DECISIONES BASADA EN LA EVIDENCIA,
a lo largo del SISTEMA INTEGRAL DE GESTIÓN
Calificación del Estado de Gestión - Perfil
48
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 49 de 86
Principio SIETE
Declaración:
Para el éxito continuo, las organizaciones gestionan sus relaciones con las
partes interesadas relevantes, tales como los proveedores, contratistas, ó
la comunidad en el área de influencia, entre otros, según sea necesario.
Gestión de las relaciones
GANAR - GANAR En función del contexto y las características del negocio, este aspecto
puede terminar siendo clave para el negocio, y requerir todos los recursos y
la profundidad, para asegurar la viabilidad y continuidad de la organización.
Mejora de la Visión integral del Negocio, ubicando los actores, y entendiendo sus roles, posibilidades e incidencia
7.1
en el negocio;
Aumento del desempeño de la organización y de sus partes interesadas respondiendo a las oportunidades
7.2
y restricciones relacionadas con cada parte interesada;
7.3 Entendimiento común de los objetivos y los valores entre las partes interesadas;
Aumento de la capacidad de crear valor para las partes interesadas compartiendo los recursos y la competencia y
7.4
gestionando los riesgos relativos a la gestión integral;
7.5 Una cadena de suministro bien gestionada que proporciona un flujo estable de productos y servicios;
Desarrollo de mecanismos de realimentación y plena sinergia con las redes de contratistas, proveeedores y
7.6
canales de distribución de producto.
Determinar las partes interesadas pertinentes (tales como proveedores, socios, clientes,
7.a
inversionistas, empleados y la sociedad en su conjunto) y su relación con la organización;
7.b Determinar y priorizar las relaciones con las partes interesadas que es necesario gestionar;
7.c Establecer relaciones que equilibren las ganancias a corto plazo con las consideraciones a largo plazo;
Reunir y compartir la información, la experiencia y los recursos con las partes interesadas
7.d
pertinentes;
Medir el desempeño y proporcionar retroalimentación del desempeño a las partes interesadas, cuando sea
7.e
apropiado, para aumentar las iniciativas de mejora;
Establecer actividades de desarrollo y mejora colaborativas con los proveedores, los socios y otras partes
7.f
interesadas;
7.g Fomentar y reconocer las mejoras y los logros de los proveedores y los socios.
49
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 50 de 86
Diagnostico del Estado de Aplicación del Principio SIETE. GESTIÓN DE LAS RELACIONES,
a lo largo del SISTEMA INTEGRAL DE GESTIÓN
Calificación del Estado de Gestión - Perfil
50
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 51 de 86
51
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 52 de 86
UNIDAD 1.
UNIDAD 2.
La familia de normas ISO 27000, y el Marco Regulatorio en el
Sector Salud.
UNIDAD 2. Actividad 2.0
LECCIÓN EN VIDEO – TEMA 2
52
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 53 de 86
53
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 54 de 86
27002:2005 TR 27008:2011
Buenas Practicas para los Controles de SI. Guía para la Auditoría de los Controles del SGSI.
ISO 22301-2012
27010:2012 Guía para la SI en Comunicaciones Inter TR 27015:2012
NORMAS GUIA Sectoriales e Inter - Organizacionales. Guía para la GSI en Servicios Financieros y Seguros.
(SECTORES
ESPECÍFICOS) 27011:2008 Guía para la SI en Telecomunicaciones TS 27017:2014
Inter - Organizacionales. Guía para la GSI en Cloud Computing
NORMAS GUIA
Controles en 2703x 2704x
Sectores Específicos
Cada una de las normas de la familia ISO 27000, asociada a los Sistemas de Gestión
de Seguridad de la Información SGSI se describe a continuación por su tipo (o papel)
dentro de la familia y su número de referencia:
54
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 55 de 86
Los objetivos de control y controles del Anexo A de ISO/IEC 27001 serán seleccionados como
parte del proceso de implementación del SGSI según se requiera para cubrir las necesidades
identificadas. Los objetivos de control y controles que figuran en la Tabla A.1 de ISO/IEC 27001
se derivan directamente de ISO/IEC 27002.
55
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 56 de 86
Esta norma internacional especifica los requisitos y proporciona una guía para los organismos
que realizan la auditoría y la certificación de SGSI según ISO / IEC 27001, además de los
requisitos contenidos en la norma ISO / IEC 17021. Se destina principalmente para apoyar la
acreditación de organismos que auditan y certifican SGSI según la norma ISO/IEC 27001.
Este Informe Técnico (TR Technical Report) ofrece orientación técnica para la auditoría y
realimentación (reviewing) sobre la implementación y operación de los controles del SGSI,
incluyendo la comprobación de la conformidad técnica de los controles del sistema de información,
de conformidad con las normas establecidas sobre seguridad de información de una organización.
56
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 57 de 86
57
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 58 de 86
58
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 59 de 86
Establecer los objetivos, las metas 6.1 Acciones para enfrentar los riesgos y las
6.1
y la estrategia y recursos para la oportunidades
seguridad de la informaciónl, a partir
6 PLANIFICACIÓN del análisis del desempeño y el
estudio del contexto, los riesgos, las
oportunidades y la interacción con 6.2 Objetivos de la Seguridad de Información y
las partes. 6.2
Planes para lograrlos
Administrar la gestión de no
conformidades y las acciones 10.1 10.1 No conformidad y acción correctiva
correctivas, preventivas y de
10 MEJORA mejora de los procesos y del
SGSI para garantizar su
conveniencia, adecuación y 10.2 10.2 Mejora continua
eficacia de manera sistemática,
59
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 60 de 86
4. CONTEXTO
4.1 Conocimiento de La organización determina los asuntos internos y externos que son relevantes
4.1 la organización y de para su propósito y que afectan su capacidad para lograr el, o los resultados
su contexto esperados de su SGSI.
4.2 Conocimiento de La Organización determina:
Comprender la las necesidades y a) Las partes interesadas que son relevantes para el SGSI; y
4.2
Organización, su rol y su expectativas de las b) Los requisitos de estas partes interesadas con respecto a la seguridad de la
contexto, los partes interesadas. información.
requerimientos y
4 CONTEXTO necesidades de las La organización determina los límites y la aplicabilidad del SGSI para establecer
partes, y emprender el su alcance.
desafío de establecer, 4.3 Determinación del
4.3 La determinación del alcance del SGSI considera: El contexto interno y externo,
implementar, mantener y alcance del SGSI
mejorar el SGSI. los requisitos, necesidades y expectativas de los grupos de interés, y las
interfaces y dependencias entre las actividades realizadas por la organización, y
aquellas que realizan otras organizaciones.
4.4 Sistema de
La organización establece, implementa, mantiene y mejora de manera continua
4.4 Gestión de Seguridad
su SGSI, de acuerdo con los requisitos de ISO 27001.
de la Información.
60
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 61 de 86
61
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 62 de 86
Acciones riesgos-oportunidad
7. SOPORTE
La organización planifica:
a) Las acciones destinadas a manejar los riesgos y oportunidades;
b) La manera de integrar e implementar estas acciones dentro de los
procesos del SGSI; y evaluar su efectividad.
62
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 63 de 86
6. PLANIFICACIÓN
8. OPERACIÓN 7. SOPORTE
Recursos – Conocimiento/Impl
Competencia
Toma de Conciencia
Comunicación (Internas / Ext)
Información documentada
63
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 64 de 86
Valoración de Riesgos de SI
64
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 65 de 86
La organización debe conservar la información documentada como evidencia de los resultados de las
46
revisiones por parte de la dirección.
65
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 66 de 86
Mejora
9. EVALUACIÓN
10.2 10.2 Mejora continua 50 La organización mejora de manera continua la idoneidad, adecuación y efectividad del SGSI
66
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 67 de 86
67
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 68 de 86
68
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 69 de 86
Previamente a este planteamiento, observemos los términos asociados a las palabras claves
de la frase anterior, apoyándonos en primera instancia en la Norma ISO 9000:2005
“Fundamentos y Vocabulario de los Sistemas de Gestión de Calidad”, que en la sección 3.2.6,
nos indica que:
o La gestión se define como las “actividades coordinadas para dirigir y controlar una
organización”, o el tema objeto de gestión, en tanto que en la sección 3.1.2,
o El termino requisito se definen como una “necesidad o expectativa establecida,
generalmente implícita u obligatoria”, o sea que “es una práctica común para la
organización, sus clientes y otras partes interesadas, que la necesidad o expectativa
bajo consideración esté implícita”. Adicionalmente, en las notas aclaratorias de la
misma sección de ISO 9001, se plantea lo siguiente:
o “Pueden utilizarse calificativos para identificar un tipo específico de requisito, por
ejemplo, requisito de un producto, requisito de la gestión de la calidad, requisito del
cliente.
o Un requisito especificado es aquel que está establecido, por ejemplo en un
documento.
o Los requisitos pueden ser generados por las diferentes partes interesadas (3.3.7)”
(International Organization for Standardization, ISO 9000, 2005).
Debemos complementar lo anterior, destacando cuatro términos adicionales: Requisito
Reglamentario, Ley, Doctrina, y Jurisprudencia:
o A diferencia del requisito legal que como su nombre lo indica, tiene como origen un
acto administrativo que se convierte en ley (Articulo de la Constitución, Ley, Decreto
o Resolución), que es generada por el poder legislativo o ejecutivo, en diferentes
niveles; un requisito reglamentario no necesariamente proviene de un acto
administrativo de este tipo, sino de un reglamento o código que se adopta al tema
objeto de análisis.
69
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 70 de 86
70
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 71 de 86
En línea con este punto de vista, movimientos como el Partido Verde y el Profesor Antanas
Mockus Cívicas proponen justamente un desarrollo curricular para la educación media y
superior, y una gestión cultural focalizada hacia la integración entre ética, moral, conocimiento
y cumplimiento de la ley y la reglamentación, como única alternativa para un futuro en
convivencia:
“Hoy estamos seguros de que mediante un ingenioso proceso educativo, mediante un gran
cambio cultural, es posible construir una democracia activa, deliberativa y pacífica, es posible
acabar con la influencia del narcotráfico y de la corrupción, es posible reducir drásticamente la
violencia y es posible lograr una sociedad mucho más igualitaria.
71
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 72 de 86
La unión nos ha permitido sumar experiencias, logros y conocimientos, que ahora debemos
multiplicar... Hace ya casi veinte años, los colombianos plasmamos en la Constitución un
proyecto de sociedad basado en el reconocimiento y el goce efectivo de los derechos, basado
en un cuidadoso equilibrio de los poderes, basado en la autonomía de las regiones y basado
en los deberes de cuyo cumplimiento somos corresponsables todos. Avanzar sustantivamente
en la realización de ese sueño, el sueño constitucional, es nuestro propósito para los próximos
años. Nuestra misión es clara: lograr que en esta etapa la historia se escriba con lápiz y
constitución, no con sangre”. (Mockus Cívicas, 2010)
.
DAR PRIORIDAD A LOS CASOS QUE IMPLICAN UNA
OBLIGACION SISTEMÁTICA ASOCIADA A LOS
SERVICIOS QUE OFRECE LA ORGANIZACIÓN
NORMAS GENERALES
Constitucion Nacional
Codigo Contencioso Administrativo
Codigo de Comercio
Codigo Sustantivo del Trabajo
LEYES
ASPECTO PROCESO QUE
No NOMBRE DEL DOCUMENTO No FECHA
REGULADO INVOLUCRA
1 Control fiscal y Financiero 42 01/26/93 Control fiscal y Control Interno
Estauto General de la contratacin Contratacion
2 80 10/28/93 Contratacion
publica Publica
Por el cual se dictan normas para el
3 87 11/29/93 Control Interno Control Interno
ejercicio del control interno
72
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 73 de 86
En línea con estos planteamientos, los documentos excel “2 3 a Enfoque General del Marco
Regulatorio Básico SGSS en Salud”, y “2 3 b Enfoque y Listado General Reglamentación
Seguridad Informática”, se constituyen en libros montado sobre el programa excel, en el que
para el caso del archivo 2 3 a, se tiene una sección preliminar que ilustra el concepto de la
Gestión de Requisitos Legales y en las hojas subsiguientes plantea ejemplos de los requisitos
que aplican a una organización particular, en diferentes tópicos relacionados con la gestión.
Por otra parte, el archivo 2 3 b, contiene:
HABEAS DATA y…
La Constitución Política de Colombia, dispone:
ARTÍCULO 15 DE LA CONSTITUCIÓN NACIONAL. Todas las personas tienen derecho a su intimidad personal yfamiliar y a su
buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
La correspondencia y demás formas de comunicación privada son inviolables.Sólo pueden ser interceptadas o registradas mediante
orden judicial, en los casos y con las formalidades que establezca la ley.
Para efectos tributarios o judiciales y para los casos de inspección, vigilancia eintervención del Estado podrá exigirse la
presentación de libros de contabilidad y demás documentos privados, en los términos que señale la ley.
73
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 74 de 86
74
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 75 de 86
75
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 76 de 86
76
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 77 de 86
Q
Procesos Personas
P HS
M H
V
Procedimientos Recursos E
RSE
77
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 78 de 86
78
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 79 de 86
Se trata entonces de visualizar que las partes o componentes del Sistema de Gestión
deben tener una convergencia e integración armónica alrededor de la estrategia que
pone la visión en acción y que busca la generación integral de valor para cada uno de
los actores asociados al negocio.
CLIENTES
Q: ISO 9000
Satisfacción, Valor Agregado
Empleados y
ACCIONISTAS Proveedores
ADMINISTRATIVO HS: OHSAS 18001.
Estrategia efectiva Salud, Bienestar,
Del Negocio… EVA Protección
Visión en Acción Generación de Valor
Éxito Sostenible del
Negocio.
Autoridades SOCIEDAD
(… Concurrencia) E: ISO 14000
Prevención de la Contaminación
Responsabilidad, ISO 14k RSE: ISO 26000,
Cumplimiento
Desarrollo Sostenible,
SI Seg de Inf. ISO
RSE: ISO 26000
27001 Calidad de Vida
79
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 80 de 86
CLIENTES
La componente de Calidad en los Sistemas de
Q: ISO 9000
Gestión está focalizada en los Clientes y Usuarios y
Satisfacción, Valor Agregado
busca analizar las necesidades, expectativas de los
clientes y condiciones del entorno asociado a
productos y servicios para traducirlos en requisitos de
productos y servicios que se deben generar a partir
de la Planificación, el Control, el Aseguramiento y la
Mejora Continua de los proceso.
Por otra parte, se tiene la Guía Técnica Sectorial OHSAS 18002, que explica los
principios fundamentales de la NTC OHSAS 18001 y describe el propósito, entradas
típicas, procesos y salidas típicas contra cada requisito de la NTC OHSAS 18001, con
el fin de facilitar su comprensión y aplicación.
80
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 81 de 86
81
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 82 de 86
82
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 83 de 86
PRODUCTO
MERCADO
COMPETENCIA
SUPERVIVENCIA
TECNOLOGIA
CAPITAL
PERSONAL
CRECIMIENTO INTERNO
CRECIMIENTO
CRECIMIENTO EXTERNO
83
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 84 de 86
UNIDAD 2
El tutor procede a cerrar los foros de comentarios y aportes a las secciones 2.1
a 2.4, ubicados en el Foro General de Contenidos, haciendo un balance y
comentario general sobre su desarrollo.
84
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 85 de 86
REFERENCIAS BIBLIOGRÁFICAS
85
Maestría en Calidad en Servicios de Salud.
Asignatura: SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS DE SALUD
Guías para la Implementación de un Sistema de Gestión Integral con perspectiva de
Seguridad de la Información.
Autor: Pedro Pablo Poveda Orjuela. LIBRO DIGITAL – PRIMERA PARTE. Página 86 de 86
86