BIBLIOGRAFIA

1 Riesgo Definido en su forma ms simple como una situacin que expone a un objeto a que
pueda ser afectado o daado. Extendiendo ms el concepto de riesgo, se puede determinar que
sta situacin tiene cierto grado de probabilidad de generar un incidente en el cual el objeto de
estudio en el caso de un proyecto de SGSI sera el activo de informacin pueda resultar
afectado. De esta forma, en un sentido ms amplio, se puede definir al riesgo como la combinacin
de la probabilidad de que ocurra un incidente con las consecuencias que generara el mismo en el
caso de que se materialice. (CNB - INDECOPI, 2008) (ISO 27799, 2008) (TALABIS & Martin, 2012)
(ISACA, 2012) (PELTIER, 2005) (ISO 31000, 2013)

CNB - INDECOPI. (2008). NTP-ISO/IEC 27001:2008. EDI Tecnologa de la informacin. Tcnicas de

Seguridad. Sistemas de gestin de seguridad de la informacin. Requisitos. Lima.

PELTIER, T. R. (2005). Information Security Fundamentals. Florida: CRC Press.

TALABIS, M., & Martin, J. (2012). Information Security Risk Assessment Toolkit: Practical
Assessments through Data Collection and Data (Primera ed.). Massachusetts: Elsevier Science.

2 Seguridad de la Informacin Se denomina as al conjunto de polticas, estndares y controles que

se implementan en la organizacin con la finalidad de asegurar la preservacin de las siguientes
propiedades de la informacin: 1. Confidencialidad Proteccin de la informacin confidencial del
acceso o divulgacin por parte de entidades personas jurdicas o naturales no autorizadas al
mismo, tanto por parte del originario de la informacin como por parte de la entidad que maneja
la misma. 2. Integridad Proteccin de la informacin frente a la modificacin o eliminacin sin la
autorizacin o accesos necesarios. De esta forma se garantiza que la informacin sea la correcta en
todo momento. 3. Disponibilidad La informacin se encuentra accesible en todo momento, bajo
demanda de todo usuario que se encuentre autorizado a poder acceder a la misma. 4.
Autenticacin Mediante esta propiedad, se permite identificar a la persona o personas que han
generado la informacin que se est verificando, 36 permite una validacin en la autora de la
informacin por parte de un usuario especfico. 5. No repudio Permite que la informacin sea
validada a travs de algn mecanismo que compruebe su integridad y contenido, declarndola
como genuina. Estas propiedades son las mnimas que un SGSI debe proteger para asegurar la
informacin de la organizacin. (CNB - INDECOPI, 2008) (ISACA, 2012)

ISACA. (2012). CISM Certified Information Security Manager Review Manual 2013. ISACA.

Norma ISO/IEC 27001:2013 Estndar internacional desarrollado como una gua para el anlisis,
implementacin, control y mantenimiento de un Sistema de Gestin de Seguridad de la
Informacin, a travs del establecimiento de un grupo de requisitos a cumplir con este motivo.
Dado su enfoque orientado a los procesos de negocio, es una norma general aplicable a una gran
gama de empresas, adaptndose a los diferentes giros de negocio y activos de informacin que
stas puedan tener. La versin correspondiente al ao 2013 presenta una nueva estructura segn
el estndar definido por ISO/IEC para todas las normas referentes a sistemas de gestin, facilitando
la integracin y trabajo conjunto entre los diferentes estndares de gestin publicados por dicha
entidad.

Este estndar es de uso crtico en los proyectos de anlisis y diseo de SGSIs, dado que establece
concretamente los pasos implicados en este proceso. A diferencia de su versin anterior ISO/IEC
27001:2005 la norma actual no nombra el ciclo de Deming (Plan, Do, Check, Act) como
metodologa para definir el ciclo de vida y mejora continua del sistema de seguridad a
implementar, dejando abierta la posibilidad de la entidad a elegir un modelo de mejora continua
distinto y que se adapte mejor a sus necesidades. Sin embargo se utilizar el ciclo de Demming
para asegurar el cumplimiento de lo requerido en la Norma Tcnica Peruana NTP ISO/IEC
27001:2008 que utiliza la estructura de la norma ISO/IEC 27001:2005. Se requiere el uso de la
presente herramienta dado que la base para el proyecto de SGSI requiere que se establezca la
Poltica de Seguridad de la Informacin adems de servir como gua en los procesos que
establezcan finalmente los siguientes tems: - El alcance que tendr el SGSI sobre los procesos de la
empresa. - La poltica general de seguridad de la informacin - La identificacin y valoracin de los
activos de la informacin. - Los riesgos a los cuales los activos identificados se encuentran
expuestos. - La seleccin de los controles para mitigar los riesgos que se han detectado. Es
pertinente indicar que el alcance que se ha definido para el presente estudio slo abarca la fase de
Planificacin del ciclo de Deming, dado que no se pretende realizar la implantacin del SGSI que se
d como resultado del mismo. (ALEXANDER, 2007) (ISO 27001, 2013) (ORMELLA, 2013)

ALEXANDER, A. G. (2007). Diseo de un sistema de gestin de seguridad de

informacin: ptica ISO 27001:2005. Bogot: Alfaomega Colombiana.

ARCHIVO GENERAL DE LA NACIN. (2014). II Censo Nacional de Archivos -

Cdula Censal de Entidades Pblicas. Lima.

CNB - INDECOPI. (2008). NTP-ISO/IEC 27001:2008. EDI Tecnologa de la

informacin. Tcnicas de Seguridad. Sistemas de gestin de seguridad

de la informacin. Requisitos. Lima.

COLEGIO MDICO DEL PER. (2007). Cdigo de tica y Deontologa.

CONGRESO DE LA REPBLICA. (1997). Ley 26842. Ley general de salud.

Lima.

CONGRESO DE LA REPBLICA. (2002). Ley 27806. Ley de Transparencia y

Acceso a la Informacin Pblica. Lima.

CONGRESO DE LA REPBLICA. (2011). Ley 29733. Ley de proteccin de

datos personales. Lima.

FARN, K.-j., Hwang, J.-M., & Lin, S.-K. (2007). Study on Applying ISO/DIS 27799
to Healthcare Industry's ISMS. WSEAS Transactions on Biology and

Biomedicine, 4(8), 103-117.

GIBSON, J. (2010). Managing Risk in Information Systems. Massachusetts:

Jones & Bartlett Learning.

GIUDICE, O., Fauquex, J., Scotti, S., & Yelen, M. (3 de Agosto de 2011).

Proteccin de los Datos Personales de la historia clnica en Argentina y

Uruguay e IHE XDS. Journal of health Informatics, 81-86.

HITPASS, B. (2007). BPM: Business Process Management Fundamentos y

Conceptos de Implementacin (Segunda ed.). Santiago de Chile: BHH

Ltda.

HUERTA, L. A. (5 de Julio de 2011). Promulgan Ley de Proteccin de Datos

Personales (Ley N 29733). Recuperado el 6 de Junio de 2013, de

Temas de derechos fundamentales:

http://blog.pucp.edu.pe/item/137301/promulgan-ley-de-proteccion-dedatos-personales-ley-n-
29733

INFORMATION COMMISIONERS OFFICE. (29 de Noviembre de 2011). The

Guide to Data Protection. Recuperado el 7 de Abril de 2013, de Data

Protection and Freedom of Information advice - ICO:

http://ico.org.uk/for_organisations/data_protection/~/media/documents/libr

ary/Data_Protection/Practical_application/the_guide_to_data_protection.a

shx

INMP. (2012). Plan Estratgico Institucional Multianual 2012-2016.

ISACA. (2012). CISM Certified Information Security Manager Review Manual

2013. ISACA.

91

ISO 27001. (2013). ISO 27001:2013. Information technology Security

techniques Information Security management systems - Requirements.

ISO 27002. (2013). ISO 27002:2013. Information technology Security

techniques Code of practice for information security control.

ISO 27799. (2008). ISO 27799:2008. Health Informatics Information security

management in health using ISO/IEC 27002.

ISO 31000. (2013). ISO 31000:2009. Risk management Principles and

guidelines.

LEGISLATURA BI-CAMERAL JAPONESA. (2005). Act on the Protection of

Personal Information. Tokio.

MINISTERIO DE HACIENDA Y ADMINISTRACIONES PBLICAS. (2012).

MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos

de los Sistemas de Informacin. Libro I Mtodo. Madrid.

MINSA. (2005). N.T. N 022-MINSA/DGSP-V.02. Norma tcnica de la historia

clnica de los establecimientos del sector salud.

MINSA. (2006). R.M. 520-2006/MINSA. Lineamientos de poltica de seguridad de

la informacin del Ministerio de Salud. Lima.

ORMELLA, C. (Marzo de 2013). Normas ISO de Seguridad de la Informacin.

Recuperado el 30 de Mayo de 2013, de Criptored - Red temtica de

criptografa y seguridad de la informacin:

http://www.criptored.upm.es/guiateoria/gt_m327a.htm

PASSENHEIM, O. (2010). Enterprise Risk Management (Primera ed.). Ventus

Publishing ApS.

PELTIER, T. R. (2005). Information Security Fundamentals. Florida: CRC Press.

PODER EJECUTIVO. (1991). Cdigo Penal Peruano.

PRESIDENCIA DEL CONSEJO DE MINISTROS. (2012). R.M. 129-2012/PCM.

Aprobacin del uso obligatorio de la Norma Tcnica Peruana NTPISO/IEC

27001:2008 EDI Tecnologa de la informacin. Tcnicas de

Seguridad. Sistemas de gestin de seguridad de la informacin.

Requisitos. Lima.

SHONIREGUN, C., Dube, K., & Mtenzi, F. (2010). Electronic Healthcare

Information Security. Londres: Springer Science+Business Media.

TALABIS, M., & Martin, J. (2012). Information Security Risk Assessment Toolkit:

Practical Assessments through Data Collection and Data (Primera ed.).

Massachusetts: Elsevier Science.

UNITED STATES CONGRESS. (1996). Health Insurance Portability and

Accountability Act - HIPAA.