Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

Transcripción

1 Cómo realizar una gestión eficaz de la seguridad de la información específica para los servicios sanitarios

2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Por qué seguridad de la información? La información es el activo más importante de la organización, su tratamiento adecuado deriva en un funcionamiento eficaz de los servicios. Es imposible garantizar la seguridad absoluta de un sistema informático, por ello nuestro objetivo es la gestión de la seguridad de la información. La seguridad es un proceso, no un producto.

3 ISO ISO es una norma internacional cuyo objetivo es garantizar una adecuada gestión de la seguridad de la información que trata una organización para poder prestar sus procesos de negocio. Su ámbito de aplicación son organizaciones que consideren que la información que gestionan es vital para un adecuado desarrollo de los servicios que prestan. Dimensiones de seguridad: Confidencialidad Integridad Disponibilidad

4 Factor competitivo ISO > Factor competitivo Actualmente son pocas las empresas certificadas en ISO 27001, lo cual hace que la certificación tenga aún más valor diferencial. Un SGSI aporta confianza sobre el tratamiento de la información, tanto a los clientes como de forma interna, lo que repercute en la calidad de los procesos de negocio. La mejora continua asociada a estos sistemas de gestión conlleva la consecución de un paso más en la madurez de su organización.

5 Necesidad Comienza a ser una necesidad Al igual que pasó con normas como ISO 9001 o ISO 14000, la ISO se está convirtiendo en una necesidad para aquellas organizaciones que quieren desarrollar su actividad dentro del panorama empresarial actual. Una consecuencia de la implantación del SGSI es el cumplimiento de la legislación vigente: Protección de datos de carácter personal, gestión de licencias de software, comercio electrónico, etc. El mercado exige demostrar que gestionamos la seguridad de la información que manejamos. Adicionalmente a la Administración Pública, hay empresas que ya lo exigen como condición para trabajar con ellas o llegar a acuerdos de partner.

6 Beneficios de la certificación ANTE EL MERCADO ANTE LOS CLIENTES GESTIÓN ORGANIZACIÓN Afianza la posición de su organización Factor competitivo Imagen de marca Cumplimiento legal Empieza a ser requisito o puntúa en pliegos de las AAPP Mayor confianza del cliente Aumenta satisfacción Mejor imagen y comunicación Confidencialidad, Integridad y Disponibilidad de la información Gestión de la continuidad de negocio Gestión de la seguridad orientada hacia el negocio Conocimiento de los riesgos de seguridad Concienciación de las personas Mejor gestión de privilegios Seguridad medida Mejora continua

7 ISO La norma ISO se complementa con la norma ISO 27002: ISO 27001: Requisitos - Describe las especificaciones del sistema de gestión. Norma certificable. ISO 27002: Código de buenas prácticas - Desarrolla las mejores prácticas y controles de seguridad para la implantación un Sistema de Gestión de la Seguridad de la Información.

8 ISO En el ámbito sanitario existe una norma específica para la gestión de la seguridad de la información, es la ISO Esta norma proporciona orientación a las organizaciones sanitarias y a empresas relacionadas con el sector sobre la mejor forma de gestionar la seguridad de la información con la implantación de los controles indicados en la norma ISO Una adecuada implantación de un Sistema de Gestión de Seguridad de la Información debe considerar las tres normas de referencia para lograr ser útil y eficaz.

9 ISO Principales amenazas consideradas dentro del ámbito sanitario: Suplantación de identidad. Gestión de proveedores de servicio. Gestión de privilegios en las aplicaciones. Incidencias de disponibilidad. Robos o daños premeditados. Errores humanos. Escasez de personal. Implantación n de un SGSI necesaria

10 Implantación ISO Beneficios de la implantación: Conocimiento de los riesgos de los sistemas de información: La organización será consciente de su situación respecto a cualquier tipo de amenazas, identificando los activos con mayor exposición. Plan de tratamiento de riesgos: Selección de controles a implementar para el tratamiento de riesgos sobre aquellos activos que superan el nivel aceptable. Este plan será acorde a los recursos y capacidades de la entidad. Cuadro de mando: Se implantarán una serie de métricas e indicadores que permitan monitorizar la eficacia de los controles.

11 Concienciación Uno de los beneficios principales de la implantación de un SGSI es la sensibilización de todos los trabajadores vinculados, consiguiendo: Reducción de incidentes debidos a errores humanos. Notificaciones tempranas de incidencias. Colaboración en la puesta en marcha de procedimientos. Mayor cuidado en el tratamiento de la información. Motivación del personal al implicarse con la seguridad interna de la organización. La Seguridad es Responsabilidad de TODOS

12 Audisec Enfoque de consultoría en Audisec Referencias en el sector sanitario. Profesionales con certificados CISA, CISM, Lead Auditor ISO e ITIL Foundations. Enfoque práctico y didáctico de los proyectos. Herramienta GlobalSuite Aplicación web que soporta toda la implantación del SGSI. Ahorro sustancial de tiempo de implantación y mantenimiento.

13 GlobalSGSI GlobalSGSI: herramienta Saas de apoyo a la implantación y mantenimiento de la norma ISO

14 Implantación ISO vs Implantación ISO La implantación de ambos sistemas de gestión es compatibley recomendada. La implantación de ambos sistemas de gestión se puede realizar simultáneamente si se disponen de los recursos adecuados. Ambos sistemas de gestión se crearán de forma integrada utilizando procedimientos comunes.

15 Retorno de inversión Retorno de la inversión de la implantación del SGSI

16 Retorno de la inversión Cómo podríamos aumentar el retorno de inversión? Utilizando GlobalSuite Qué beneficios aporta? 1. Menos horas de trabajo interno por parte de la organización. 2. Menos costes de consultoría de implantación. 3. El mantenimiento del sistema requiere muchos menos recursos internos al llevar todo el sistema de forma centralizada con una herramienta. 4. Un sistema automatizado hace que su uso se extienda más rápidamente, haya más implicacióny realmente se optimiceel SGSI. Si el sistema no es fácil de gestionar no se aprovecharán sus beneficios.

17 VI. Conclusiones Muchas gracias por la atención prestada