Casos Prácticos / Servicios y Suministros

Unión de Mutuas apuesta por la seguridad de la información

La seguridad de la información y el respeto a la confidencialidad de los datos de sus pacientes y usuarios es una de las principales prioridades de Unión de Mutuas. Por ello, ha apostado  por la certificación ISO/IEC 27001 y el Esquema Nacional de Seguridad como herramientas de gestión. Estas certificaciones realizadas por AENOR tienen un alcance global para todos sus servicios y centros.

  • Facebook
  • Twitter
  • Pinterest
  • LinkedIn
Pilar Jiménez
Responsable de la Implementación de los Sistemas ISO/IEC 27001 y Esquema Nacional de Seguridad
Unión de Mutuas MCSS N.º 267

Unión de Mutuas es una asociación de empresas, sin ánimo de lucro ni de captación de empresas o autónomos, que colabora en la gestión de la Seguridad Social conforme a lo establecido en la legislación vigente, prestando sus servicios a sus empresas asociadas, trabajadores y trabajadoras por cuenta propia adheridos y trabajadores y trabajadoras por cuenta ajena protegidos. Todo ello basado en un modelo de gestión de la excelencia y buen gobierno, contribuyendo de esta manera a la mejora de la salud del colectivo protegido y la gestión de las prestaciones económicas, en términos de sostenibilidad.

 

Cuenta con 31 centros propios, entre ellos un hospital. La mayor parte están ubicados en la Comunidad Valenciana, aunque Unión de Mutuas tiene presencia en diez Comunidades Autónomas y puede prestar asistencia en cualquier parte del territorio español gracias a los convenios firmados con otras entidades.

 

Los centros asistenciales de Unión de Mutuas están equipados para atender urgencias y primeras visitas, radiodiagnóstico, traumatología, rehabilitación y fisioterapia. La Mutua ha puesto también en marcha unidades médicas especializadas y ha implementado tratamientos innovadores.

Desde sus inicios, Unión de Mutuas ha apostado por buscar la excelencia en la gestión, basada en criterios de buen gobierno. En su gestión ha integrado el modelo EFQM y diversos sistemas basados en normas relacionados con aspectos clave para la entidad. Entre estos últimos se encuentra la seguridad de la información y el respeto a la confidencialidad de los datos de sus pacientes y usuarios. En 2014 se inició el proyecto de implantación de un Sistema de Gestión de Seguridad de la Información basado en la Norma UNE-ISO/IEC 27001. La certificación, con un alcance global en todos sus servicios y para todos sus centros, se consiguió en 2016.

Adicionalmente, como mutua colaboradora con la Seguridad Social, Unión de Mutuas está obligada al cumplimiento del Esquema Nacional de Seguridad (ENS). Por ello, en 2017, se certificó en el ENS, en su nivel alto (el más exigente) igualmente con un alcance global para todos sus servicios y centros.

 

Ambos esquemas pueden ir de la mano y complementarse en algunos aspectos que han permitido fortalecer, aún más, la gestión de la seguridad en Unión de Mutuas y la confianza de sus grupos de interés en ella. De hecho, la Norma ISO/IEC 27001 permite profundizar en la gestión de la seguridad y el ENS amplía y desarrolla la seguridad con medidas específicas, incrementando aún más la protección de los sistemas cuando los riesgos y su impacto así lo requieren.

Evolutivo de la seguridad

Evolutivo de la seguridad

Gestión integral de la seguridad

Gestión integral de la seguridad

La certificación ISO/IEC 27001 facilitó la adecuación al riguroso marco normativo del ENS, muy exigente y de obligado cumplimiento. Estos sistemas se basan en estructuras de gestión integral de la seguridad. Su implementación se fundamenta en la inserción de múltiples líneas de defensa, en la función diferenciada como requisito, una adecuada gestión de los riesgos y en la reevaluación periódica.

 

Por ello, Unión de Mutuas ha establecido todas las medidas de seguridad asociadas a los 114 controles de la ISO/IEC 27001 y las 75 medidas de seguridad del ENS, llevando una declaración de aplicabilidad conjunta que ha mejorado la gestión y facilitado el proceso de certificación de ambos sistemas, por llevar un control unificado del cumplimiento y del estado de la seguridad de los sistemas de la información y los servicios.

En el informe INES de 2019 del Centro Criptológico Nacional sobre el estado de seguridad de Unión de Mutuas, el nivel de madurez adquirido en la categoría alta por esta entidad es de un 97,60 %, con datos de la declaración de aplicabilidad e indicadores revisados en las auditorías de AENOR con resultados altamente satisfactorios.

 

Encajar estos nuevos modelos de gestión en la estructura interna de Unión de Mutuas podía haber sido muy complicado, pero la existencia previa de otros sistemas normalizados en la entidad facilitó su perfecta integración, ya que Unión de Mutuas lleva alineada su actividad con modelos normalizados desde los años 90.

Recomendaciones disponibles en el blog interno SegurData

Receta para un entorno de teletrabajo seguro

Receta para un entorno de teletrabajo seguro

Los certificados ISO/IEC 27001 y ENS se fundamentan en estructuras de gestión integral de la seguridad basadas en la implementación de múltiples líneas de defensa, en la función diferenciada, en la gestión de los riesgos y en la reevaluación periódica

Aplicación a todos los procesos

En la actualidad, nuestros procesos, actividades y objetivos se sustentan en sistemas de información y servicios sobre los que se ha establecido y orquestado la gestión de la seguridad, y las medidas y controles necesarios para conseguirla. Por ello, con la implementación de esquemas de gestión de la seguridad como la ISO/IEC 27001 y el ENS, se ha aplicado en la organización la seguridad de forma transversal a todos los procesos de la empresa; y se ha involucrado a todos los actores con un alcance global para todos sus sistemas de información y servicios, en todos los centros.

 

Asimismo, ha contribuido a organizar las medidas y controles necesarios para conseguir, de una forma muy estructurada, la seguridad física, de proveedores, del personal interno, de los accesos o de la continuidad de los servicios. A través de estos sistemas, se ha organizado la seguridad en todas sus dimensiones: confidencialidad, disponibilidad, integridad, trazabilidad y autenticidad.

 

Anualmente revisamos todos los centros en relación con los aspectos del control de la norma y medidas del esquema. Así, no solo se ha conseguido una implementación inicial de alcance global, sino también un ciclo de mejora continua que abarca todas las instalaciones y servicios. Estas revisiones internas periódicas complementan y aportan valor a las auditorías externas.

Todo el personal de Unión de Mutuas ha participado de un modo u otro en la implementación de ambos modelos, ya que la organización concibe la seguridad de la información de forma transversal y no como un conjunto de actividades coyunturales o que no abarque todos los procesos de la entidad. Así, consideramos que la seguridad debe orquestarse estudiando su contexto, gestionando sus riesgos, estableciendo políticas internas y externas asociadas, y gestionando los recursos necesarios para mantenerla y mejorarla.

Debido a la importancia de tener control periódico sobre la gestión de la seguridad, se ha establecido un órgano responsable de la seguridad de la información y del servicio: el Comité de Seguridad de la Información. Este comité, de composición multidisciplinar y representativa de todos los aspectos de la seguridad que hay que implementar, determina los requisitos de la información tratada en materia de seguridad y los requisitos de los servicios prestados.

 

A través de las medidas implementadas en los diferentes ciclos de certificaciones, el personal ha evolucionado en concienciación y sensibilización en el tratamiento de la información, fortaleciéndose de este modelo su papel como eslabón en la cadena de la seguridad.

 

Desde 2014, disponemos de un blog de seguridad de la información y protección de datos (“SegurDATA”) accesible para todo el personal desde la intranet corporativa con el objetivo de informar, formar, concienciar y sensibilizar a todo el personal en estas materias. Con campañas como La ciberseguridad en imágenes oVerano ciberseguro, se pretende expresar, de forma sencilla y gráfica, conceptos y requisitos que, de otro modo, serían mucho más difíciles de entender.

 

También para fortalecer el eslabón de la seguridad que suponen los usuarios internos, se ha impulsado la formación on line a través de plataformas que sitúan al usuario en escenas similares a las que pueden encontrarse en su día a día laboral sobre phishing, passwords seguras, RGPD, wifi, etc., y que concluyen con un test de capacitación.

En Unión de Mutuas se ha establecido un órgano responsable de la seguridad de la información y del servicio: el Comité de Seguridad de la Información. Este comité, de composición multidisciplinar y representativa de todos los aspectos de la seguridad que hay que implementar, determina los requisitos de la información tratada en materia de seguridad y los requisitos de los servicios prestados

Seguridad de información y datos

Por otro lado, la Administración Pública, los pacientes de Unión de Mutuas, sus empresas mutualistas o proveedores pueden sentirse tranquilos respecto al tratamiento de sus datos en nuestros sistemas. En ello han jugado un destacado papel la ISO/IEC 27001 y el ENS, que han permitido gestionar las acciones de seguridad y proteger los datos, cumpliendo con el espíritu del legislador que se refiere a la responsabilidad, diligencia y buen gobierno de la seguridad de la información y de los datos.

Por otra parte, gracias a los sistemas de seguridad implantados, el teletrabajo en la organización se puede realizar con la seguridad necesaria para garantizar un acceso seguro a los datos corporativos.

 

Pero Unión de Mutuas es conocedora de que, en la gestión de la seguridad de la información, el riesgo “cero” no existe. La seguridad debe ser un trabajo diario y de revisión continuada. Por ello, seguimos esforzándonos día a día para crecer y fortalecernos, adaptarnos a los cambios, y atender y dar respuesta a todas las demandas y expectativas legítimas de nuestros grupos de interés, trabajando sin descanso para garantizar la seguridad de su información y datos.

Números anteriores

Consulta números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utiliza los cursores o desplace las revistas para acceder a los contenidos.
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.