En todo el proyecto, Mutua ha confiado en VASS, consultora TI especializada en nuevas tecnologías e integradora de productos y servicios, responsable de ofrecer soporte de consultoría de Seguridad durante todo el proceso de obtención de la norma y de implantación del SGSI. Para ello, la consultora también ha contado con la experiencia de su partner Sequre, cuyo Director General, Leonardo Ramírez, ha conducido el proceso de Certificación ISO 27001 del propio Grupo VASS.
Como Mutua de Accidentes de Trabajo entre cuyas funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora, Fraternidad Muprespa maneja un volumen muy alto de historias clínicas de trabajadores accidentados y, en general, de pacientes atendidos en sus instalaciones sanitarias. La política de seguridad establecida por la Dirección identifica de un modo prioritario la protección de la información bajo los parámetros de autenticidad, confidencialidad, disponibilidad, integridad y trazabilidad. Esta acción extiende su alcance al resto de los datos y procedimientos de gestión automatizados, así como, al ámbito de prestación de servicios de información que se ofrecen tanto al propio personal como a los trabajadores asegurados que acceden a ella a través de una extranet.
La compañía cuenta con una plantilla de unos 2.000 trabajadores, con 162 centros de gestión repartidos por todo el territorio nacional (más de 100 centros asistenciales, dos hospitales y dos centros intermutuales) Todo ello le permite prestar un amplio servicio a las empresas con trabajadores desplazados o con centros de trabajo en distintas provincias.
Protección de la Información, un activo a asegurar
Desde su fundación en 1929, Fraternidad Muprespa se dedica a la cobertura de más de 1.500.000 trabajadores protegidos en accidentes de trabajo y enfermedades profesionales. En este punto, y aunque la seguridad de la información que gestiona siempre ha sido un valor prioritario, en 2010, la mutua se planteó lograr la certificación ISO 27001 para, de este modo, ratificar, de cara al exterior, toda la estrategia de seguridad que ya implementaban de puertas para dentro.
Asimismo, y, por cuestiones presupuestarias y optimización de recursos, se propusieron integrar todos sus procesos de seguridad, gestión ambiental y de calidad bajo un marco único, un Sistema de Gestión Integrado (SGI); con el propósito de reducir la complejidad final, los costes asociados a su mantenimiento y poder abarcar mejoras continuas de una manera más eficaz y rápida.
“Fraternidad Muprespa contaba con dos necesidades básicas: certificar su sistema de seguridad, adaptándose a las exigencias de la certificación, e implementar un Sistema de Gestión de la Seguridad de la Información. Para lograr esto último era necesario hacerlo de forma que la seguridad aportara valor a la tecnología y diera soporte a los objetivos de negocio de la organización, claramente definidos desde el principio”, explica Jorge Vidal Sanz, director del departamento de Seguridad de Sistemas de Información de Fraternidad Muprespa. “Además”, continúa, “era imprescindible definir el alcance del SGSI, incluyendo qué procesos, sistemas y personal estaban directamente involucrados, y la planificación de la implantación debía hacerse en función de dicho alcance. Asimismo, se tuvo en cuenta el nivel de madurez de la tecnología y de la seguridad de la empresa para cuantificar el esfuerzo y valorar el nivel de implantación del SGI”.
Con esta idea, un equipo de VASS conformado por dos profesionales (Jefe de Proyectos de Seguridad y Consultor Senior especializado en ISO 27001) se encargó de ofrecer soporte de consultoría de Seguridad durante todo el proceso de implantación y de adecuación a la norma. Junto a ellos, siete personas procedentes del Comité Técnico de Seguridad de Fraternidad Muprespa -siempre con el apoyo del Comité de Dirección- llevaron a cabo sus tareas asignadas de manera ágil y resolutiva. Igualmente, y dado que el proyecto se orientó a la certificación desde el principio, la entidad certificadora se involucró desde las primeras fases del proyecto
Un proyecto de envergadura estructurado en diferentes fases
Por su dimensión y alcance, el proyecto de obtención de la norma ISO 27001 y de implantación del Sistema de Gestión se estructuró en diferentes fases, necesarias para el éxito de la iniciativa. Así, como punto de partida, y una vez definido tanto el foco como los objetivos y los resultados a obtener, el equipo responsable del proyecto procedió a examinar el estado de la seguridad, realizando para ello un análisis de la situación de partida y un estudio de viabilidad del alcance propuesto.
Durante esta primera etapa, que se extendió a lo largo de 13 días, los esfuerzos se orientaron en la recepción de la documentación inicial necesaria para el proyecto y en el establecimiento del formato de plantillas de documentación a utilizar. Igualmente, se efectuó una entrevista preliminar -sobre la base del formulario general de toma de datos de AENOR- para evaluar el dimensionamiento, esfuerzo y coste posterior de la certificación; y un estudio de la documentación aportada (memoria corporativa, modelo organizativo, mapas de red, política de seguridad, informes previos de auditoría, etc.), entre otras.
Tras esta primera fase, y durante los 7 días posteriores, se dio paso a un proceso de consultoría de soporte a la implantación del SGSI, haciendo foco en los controles relacionados con el cuerpo normativo sobre la actualización de la documentación existente.
Como resultado de este trabajo, se generó una nueva documentación relativa al “soporte” para la Definición del alcance del SGSI, la Política de Seguridad existente, y la actualización del Plan de Tratamiento del Riesgo (PTR) De igual manera, se definieron las medidas a seguir en la Declaración de Aplicabilidad (Statement of Applicability), incluyendo los objetivos de control relevantes y aplicables al alcance del SGSI en función de la política y conclusiones del proceso de evaluación y tratamiento del riesgo.
Finalmente, se definieron otras medidas relacionadas con la seguridad, tales como: actualización de la definición de un Plan de Respuesta a Incidentes de Seguridad, y generación de un Informe de Recomendaciones de Mejora -en especial la eficiencia de los controles- encaminado a reducir esfuerzos y costes en la implementación y mantenimiento.
La última fase del proyecto correspondió a la puesta en marcha de un plan de evaluación y mejora (3 días), que conllevó la realización de una auditoría externa y la definición de un conjunto de medidas correctoras que constituyeron el Plan de Acciones Correctivas (PAC) Finalmente, se ejecutó un plan de Formación y Concienciación en Seguridad (2 días)
Cumplimiento con la seguridad: una inversión a rentabilizar
Obtenida la certificación de AENOR y concluida la implementación, Fraternidad Muprespa ha logrado cumplir y superar los objetivos que se había fijado al principio, esto es: certificar su sistema de seguridad, diferenciándose de otras empresas que no cuentan con dicha legitimación, e Implantar un SGSI como soporte en el control de las medidas técnicas y organizativas asociadas al cumplimiento de la Ley.
A este respecto, el Sistema de Gestión Integrado ha supuesto, entre otros beneficios, una mejora de la eficacia, y del análisis y la reducción de costes; además de una óptima utilización de los recursos, evitando la duplicidad de esfuerzos y mejorando la información y la comunicación. De igual forma, el Sistema permite la identificación y desarrollo de objetivos comunes, posibilita la participación de toda la Dirección y mandos, y racionaliza el programa de auditorías, entre otras.
Por su parte, con el Sistema de Gestión de Seguridad de la Información Fraternidad Muprespa ha conseguido múltiples ventajas, que van desde el establecimiento de una metodología de gestión de seguridad clara y estructurada a una reducción del riesgo de pérdida, robo o corrupción de información; sin olvidar, que los clientes pueden ahora acceder de forma segura a la información. Adicionalmente, y dado que el SGSI puede integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…), se ha logrado reducir los costes, mejorar los procesos y servicios, e incrementar la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías. Igualmente, su utilización permitirá a la mutua granjearse la confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.