Sanitas culmina la implantación de un sistema de gestión de la seguridad de la información. La compañía de atención sanitaria obtiene con éste la certificación AENOR en las normas UNE 71502 e ISO 27001

Sanitas ha obtenido la certificación de AENOR para su Sistema de Gestión de la Seguridad de la Información (SGSI), en las normas UNE 71502 e ISO 27001. Este sistema, desarrollado en 2006, abarca otros que garantizan la protección de datos y la continuidad del negocio junto con nuevos desarrollos informáticos en gestión de riesgos.

El Grupo Sanitas incluye las compañías, Sanitas Seguros, Sanitas Residencial, Sanitas Hospitales, Sanitas Diversificación y Previlabor y cuenta con más de 50 años de experiencia en salud y atención sociosanitaria.Recientemente, su sistema de Gestión de la Seguridad de la Información (SGSI), desarrollado a lo largo de 2006, ha obtenido la certificación AENOR en las normas UNE 71502 e ISO 27001.
El SGSI es un sistema de control interno que recoge todos los procesos de seguridad; permite identificar y analizar las amenazas y vulnerabilidades de la compañía frente a los virus, los códigos maliciosos y el robo de información confidencial; prevenir, reducir y/o eliminar el nivel de riesgo e implantar controles eficientes que garanticen la continuidad del negocio. El objetivo de la compañía con este desarrollo ha sido la mejora continua en la gestión de sus datos, algo de vital importancia para una organización sanitaria que gestiona activos cuya seguridad debe ser preservada (ficheros de los socios, médicos y proveedores con información personal y confidencial, entre otros).

Riesgos y activos
Según explica Enrique Martín, responsable de seguridad de la información de Sanitas, la compañía decidió desarrollar el SGSI hace aproximadamente un año, en enero de 2006. “Teníamos en marcha parte de lo necesario para ponerlo en marcha desde tiempo atrás, como los sistemas de documentación adecuados a los requisitos de la Ley Orgánica de Protección de Datos (LOPD) y los sistemas de respuesta a incidencias y recuperación de negocio”, señala el portavoz, quien explica que la mayor parte del esfuerzo se ha realizado en el área de sistemas de información y en lo relativo al análisis de riesgos; identificar los activos del negocio, asociar a éstos los riesgos y analizar la vulnerabilidades. En concreto, Sanitas disponía de un Disaster Recovery Plan (DRP) para los sistemas de información, desde 1992, y de un Business Continuity Plan para asegurar la continuidad del negocio en caso de catástrofe, desde 2001.
Para la implantación de este plan de seguridad de la información, Sanitas ha contado con la colaboración de ESA Security; gracias a ésta se ha implantado la herramienta Maset (Management & Security) que se ocupa de la gestión automatizada de riesgos asociados a los activos. “Confiamos en este proveedor porque habían realizado este proyecto en otras empresas; necesitábamos que el camino que emprendíamos no fuera nuevo”, explica Martín.

Auditoría
Tras un periodo de desarrollo de unos ocho meses, Sanitas obtuvo la citada certificación en las normas UNE 71502 e ISO 27001 después de probar el sistema y someterlo a la evaluación de AENOR. Para que esta certificación se revalide, la compañía sanitaria habrá de someterse a una auditoría anual.
El trabajo, según explica el responsable de seguridad, se realizó para satisfacer los requisitos la norma UNE 71502. Fue la propia AENOR la que recomendó a Sanitas someterse a la evaluación para obtener la certificación en la norma ISO 27001, definida después de que la compañía sanitaria iniciase su proyecto, ya que el sistema implantado también se ajustaba a los requisitos de esta última.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers