Asegurar la protección de su información y cumplir con la legislación vigente, es lo que ha llevado a Fraternidad Muprespa, Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social Nº 275, a liderar un proyecto de optimización de sus procesos de seguridad.
Dicha iniciativa ha dado como resultado la obtención de la certificación UNE-ISO/IEC 27001 y la instauración de un Sistema de Gestión de la Seguridad de la Información (SGSI). En todo el proyecto, la Mutua ha confiado en VASS, consultora TI especializada en nuevas tecnologías e integradora de productos y servicios, y responsable de ofrecer soporte de consultoría de Seguridad durante todo el desarrollo. Para ello, la consultora también ha contado con la experiencia de su partner Sequre, cuyo Director General, Leonardo Ramírez, ha conducido el proceso de Certificación ISO 27001 del propio Grupo VASS.
Como Mutua de Accidentes de Trabajo entre cuyas funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora, Fraternidad Muprespa maneja un volumen muy alto de historias clínicas de trabajadores accidentados y, en general, de pacientes atendidos en sus instalaciones sanitarias. La política de seguridad establecida por la Dirección identifica de un modo prioritario la protección de la información bajo los parámetros de autenticidad, confidencialidad, disponibilidad, integridad y trazabilidad. Esta acción extiende su alcance al resto de los datos y procedimientos de gestión automatizados, así como, al ámbito de prestación de servicios de información que se ofrecen tanto al propio personal como a los trabajadores asegurados que acceden a ella a través de una extranet.
Información protegida, ahí empieza todo
Desde su fundación en 1929, Fraternidad Muprespa se dedica a la cobertura de más de 1.500.000 trabajadores protegidos en accidentes de trabajo y enfermedades profesionales. En este punto, y aunque la seguridad de la información que gestiona siempre ha sido un valor prioritario, en 2010, la mutua se planteó lograr la certificación ISO 27001 para, de este modo, ratificar, de cara al exterior, toda la estrategia de seguridad que ya implementaban de puertas para dentro.
Asimismo, y, con el propósito de reducir la complejidad final, los costes asociados a su mantenimiento y poder abarcar mejoras continuas de una manera más eficaz y rápida, se propusieron integrar todos sus procesos de seguridad, gestión ambiental y de calidad bajo un marco único, un Sistema de Gestión Integrado (SGI).
Un proyecto de implantación y de adecuación
Por su dimensión y alcance, el proyecto de obtención de la norma ISO 27001 y de implantación del Sistema de Gestión se estructuró en diferentes fases, necesarias para el éxito de la iniciativa. Dichos puntos abarcaron desde el examen del estado de la seguridad, consultoría de soporte a la implantación del SGSI, y definición de un Plan de Respuesta a Incidentes de Seguridad hasta la generación y puesta en marcha de un plan de evaluación y mejora, y de un plan de Formación y Concienciación en Seguridad.
Durante todo el proceso de implantación y adecuación a la norma, un equipo de VASS conformado por dos profesionales se encargó de ofrecer soporte de consultoría de Seguridad. Junto a ellos, siete personas procedentes del Comité Técnico de Seguridad de Fraternidad Muprespa -siempre con el apoyo del Comité de Dirección- se involucraron desde el principio, al igual que la entidad certificadora.
Cumplimiento con la seguridad: una inversión a rentabilizar
Obtenida la certificación de AENOR y concluida la implementación, Fraternidad Muprespa ha logrado cumplir y superar los objetivos que se había fijado al principio: certificar su sistema de seguridad, diferenciándose de otras empresas que no cuentan con dicha legitimación, e Implantar un SGSI como soporte en el control de las medidas técnicas y organizativas asociadas al cumplimiento de la Ley.
Por su parte, con el Sistema de Gestión de Seguridad de la Información, Fraternidad Muprespa ha conseguido establecer una metodología de gestión de seguridad clara y estructurada, reduciendo el riesgo de pérdida, robo o corrupción de información. Adicionalmente, y dado que el SGSI puede integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…), se ha logrado reducir los costes, mejorar los procesos y servicios, e incrementar la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
