Caso Practico N°2

Luis Alejandro Muñoz Henao

EMPRESA CERTIFICADA ACORDE A LA NORMA ISO 9001:2008, ISO
14001:2004 Y OHSAS 18001:2007 DECIDE DAR UN PASO MÁS
INTEGRANDO UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. FRATERNIDAD LA PAZ, Mutual de Accidentes de
Trabajo y Enfermedades Profesionales de la Seguridad Social quiere
implantar un Sistema de Gestión de Seguridad de la Información (SGSI)
de acuerdo a la norma ISO UNE/IEC 27001:2007 que complemente a los
ya obtenidos de Calidad (ISO 9001:2008), Gestión ambiental (ISO
14001:2004) y Seguridad y Salud en el Trabajo (OHSAS 18001: 2007) y
que una empresa externa se lo certifique, para ello, celebraron una
reunión en la que analizaron los pros y los contras de esta norma, y entre
los argumentos que se esgrimieron a favor estaban:
1. Ventaja de comercialización en el mundo de globalización, pues
asegura que la organización administra información sensible de sus
clientes.
2. Gestión empresarial eficiente, pues controla los activos de la
información, controla el acceso a los sistemas de información, etc.
3. Disminución de costes derivados por incidentes en esta materia.

Pero surgió una discusión sobre que al ser una Mutua de Accidentes de
Trabajo entre cuyas funciones se encuentra la prestación de asistencia
sanitaria y rehabilitadora. Por tanto, uno de sus activos más críticos es el
conjunto de historias clínicas de los trabajadores accidentados y en
general pacientes atendidos en sus instalaciones sanitarias y se
aseguraría más la confidencialidad de dichos datos, puesto que ya tenían
establecidas por la LOPD unas medidas de Seguridad de Nivel Alto.
Cuestiones:
1. ¿Sería factible la Integración de este Sistema de acuerdo a la
norma ISO UNE/IEC 27001:2007 con los otros referenciales ya
certificados?
R/ Si, ya que las tres normas anteriores (9001, 14001 y 45001) cuentan
aspectos iguales a la norma 27001, tales como:

• Control de documentos.
• Gestión de recursos humanos.
• Auditorías internas.
• Gestión de acciones correctivas y preventivas.

Otro aspecto facilitador, es que las 4 Normas, operan dentro del ciclo
de mejoramiento continuo PHVA.

2. ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

R/ Es una norma certificable.
3. ¿Se aseguraría más la Confidencialidad de sus activos más
críticos?
R/ En Colombia existe la Resolución 2346 del 2007 en donde se exige
un manejo responsable del contenido de las Historias clínicas
Ocupacionales de los trabajadores, como es el caso de la Mutual, que
para Colombia haría las veces de Administradora de Riesgos Laborales
ARL, le desarrollo de esta norma al interior de Organización aseguraría
el cumplimiento no solo de los requisitos de ley , dentro del blindaje legal,
sino que seria llamativa comercialmente dado seria una empresa Integra,
Confiable y Disponible en la información y considero que hoy en día estas
tres características se vuelven esenciales a la hora de confiar la
información de la organización.
4. ¿Existe alguna guía que explique cómo implantar un Sistema de
gestión de la seguridad de la información?
R/ “Para ayudar a interpretarla existe la guía UNE-ISO/IEC 27002:2009
de “Tecnología de la Información. Código de buenas prácticas para la
gestión de la seguridad de la información”, que es su par coherente pero
que no es certificable.”

Fuente: Doc apoyo Clase N°2