PLANIFICACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN (SGSI), PARA EL PROCESO DE GESTIÓN DE REQUERIMIENTOS DE LA EMPRESA SITIS S.A.S., BASADO EN LA NORMA ISO/IEC 27001:2013

Abstract

SITIS Soluciones Informáticas Integrales en Salud SAS, es una empresa caucana que cuenta con una larga trayectoria en el desarrollo e implementación de sistemas que apoyan la optimización en el uso de la información y el mejoramiento de procesos en el sector salud. Posee un equipo experto y comprometido que tiene capacidades en el uso de herramientas informáticas que contribuyen a humanizar el cuidado de la salud. Ofrece servicios de Consultoría de Normatividad, Desarrollo de Software, Interoperabilidad, Expediente Clínico Electrónico e Integración de equipos Biomédicos en países como Colombia, México y Ecuador. Este documento propone la planificación del sistema de gestión de la seguridad de la información basado en la norma 27001:2013 y en la metodología de Magerit V3 Libro II, adaptada al proceso de gestión de requerimientos en la empresa SITIS S.A. como caso de estudio, ya que en la actualidad y a pesar de los años de experiencia que posee como organización de base tecnológica, tiene un cumplimiento parcial de sus políticas establecidas y no cuenta con un SGSI que contenga las medidas orientadas a proteger la información de sus diferentes áreas lo que ha conllevado a enfrentar incidentes como accesos no autorizados en sus procesos, generando perdida de la información. En la etapa inicial de este proyecto se realiza el conocimiento del contexto de la organización mediante visitas, entrevistas y el desarrollo de una encuesta acerca del conocimiento sobre la seguridad de la información por parte del equipo de trabajo del área de producto, con la cual se efectúa primer acercamiento a su problemática. Posteriormente se realiza el análisis del proceso para identificar el inventario de activos de información, los cuales se clasifican según la metodología escogida y se realiza la identificación de las amenazas, las vulnerabilidades y riesgos a los que está expuesto el proceso; de esta manera se plantea o establece los controles o mecanismos con los cuales se puede reducir el impacto y las probabilidades de ocurrencia de las incidencias de seguridad. Por último, se desarrolla la declaración de aplicabilidad, el plan de tratamiento y generación de la política de seguridad, los cuales son los entregables para la empresa SITIS SAS.