Diseño de una metodología para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001 en la Unidad de Emergencia Adulto del Hospital Carlos Van Buren.

Abstract

A diario las instituciones de todo tipo están amenazadas por riesgos que ponen en peligro la integridad de la información y con ello la viabilidad de sus negocios y servicios. Riesgos que provienen no solo desde el exterior de las instituciones, sino que también desde el interior. Para poder trabajar en un entorno como este de forma segura, las instituciones pueden asegurar sus datos e información de valor con la ayuda de un Sistema de Gestión de Seguridad de la Información SGSI. La norma ISO/IEC 27001 entrega directrices, lineamientos y requerimientos necesarios para la implementación de un SGSI. En el caso del siguiente trabajo de título, se diseñó una metodología para la implementación de un SGSI, basado en la norma ISO/IEC 27001, en la Unidad de Emergencia Adulto (UEA) del Hospital Carlos Van Buren (HCVB). Para ello, se estudió la norma en cuestión, la cual utiliza el modelo PDCA (PHVA en español) aplicado a todos los procesos del SGSI. Se analizaron las 4 etapas que contiene este SGSI y se identificaron las actividades en cada una de ellas. Se buscó información relativa al Ministerio de Salud (MINSAL), quién se comprometió a gestionar la seguridad de la información como un proceso continuo en el tiempo, el cual se consolida el año 2014 en el nivel central, con las etapas de Implementación y Evaluación del Sistema. Además, el MINSAL realizó un diagnóstico a nivel nacional a todos los Servicios de Salud para conocer su nivel de seguridad de la información. Entre los resultados obtenidos se destaca la metodología para implementar las 4 fases del ciclo continuo siguiendo los requerimientos de la ISO/IEC 27001 en conjunto con los requerimientos de seguridad de la UEA. Estas cuatro fases son: PLANEAR, en la cual se establece el SGSI; HACER, en la cual se implementa y opera el SGSI; VERIFICAR, en la cual se monitorea y revisa el SGSI y finalmente la fase ACTUAR, en la que se debe mantener y mejorar el SGSI. Existen aspectos claves en la implementación del SGSI, como el compromiso y apoyo por parte de la Dirección de la institución; definición de un política de seguridad y normas, definir un alcance apropiado y limitado; concientización y formación del personal; evaluación de riesgos; compromiso de mejora continua por parte de la Dirección y todo el personal involucrado; organización y comunicación; gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal; mediciones de eficacia del SGSI, sus controles y objetivos de control; y de la integración del SGSI en la organización. Si bien es una metodología que pretende entregar los procedimientos que se deben seguir en la implementación del SGSI en la UEA del HCVB, es necesario considerar el alcance a procesos dentro de la misma institución, sobre todo procesos clínicos que requieran gestionar sus activos de información.