Solución al Caso Practico 2

Karen Yinedt Diaz Gonzalez

1.078.348.734

Módulo 1
Gestión de Procesos y otros procesos de gestión
Unidad 2: Caso práctico

Docente: Daniel Andrés Rodríguez

 CORPORACIÓN UNIVERSITARIA DE ASTURIAS
DIPLOMADO EN SISTEMAS INTEGRADOS DE GESTIÓN (HSEQ)

UNIDAD 2: CASO PRÁCTICO

Empresa certificada acorde a la norma ISO 9001:2008, ISO 14001:2004 y OHSAS

18001:2007 decide dar un paso más integrando un sistema de gestión de gestión
de seguridad de la información fraternidad la paz, mutua de accidentes de trabajo y
enfermedades profesionales de la seguridad social quiere implantar un sistema de
gestión de seguridad de la información (SGSI) de acuerdo a la norma ISO UNE/IEC
27001:2007 que complemente a los ya obtenidos de Calidad (ISO 9001:2008),
Gestión ambiental (ISO 14001:2004) y Seguridad y Salud en el Trabajo (OHSAS
18001: 2007) y que una empresa externa se lo certifique.
Para ello celebraron una reunión en la que analizaron los pros y los contras de esta
norma, y entre los argumentos que se esgrimieron a favor estaban:
1. Ventaja de comercialización en el mundo de globalización pues asegura que la
organización administra información sensible de sus clientes.
2. Gestión empresarial eficiente pues controla los activos de la información, controla
el acceso a los sistemas de información, etc.
3. Disminución de costes derivados por incidentes en esta materia.
4. etc
Pero surgió una discusión sobre que al ser una Mutua de Accidentes de Trabajo
entre cuyas funciones se encuentra la prestación de asistencia sanitaria y
rehabilitadora. Por tanto, uno de sus activos más críticos es el conjunto de historias
clínicas de los trabajadores accidentados y en general pacientes atendidos en sus
instalaciones sanitarias y se aseguraría más la confidencialidad de dichos datos,
puesto que ya tenían establecidas por la LOPD unas medidas de Seguridad de Nivel
Alto.

Cuestiones
 ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO
UNE/IEC 27001:2007 con los otros referenciales ya certificados?
 ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?
 ¿Se aseguraría más la Confidencialidad de sus activos más críticos?
 ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de
la seguridad de la información?

SOLUCIÓN

 ¿Sería factible la Integración de este Sistema de acuerdo a la norma ISO

UNE/IEC 27001:2007 con los otros referenciales ya certificados?
Rta: Si sería factible, primera instancia la empresa debe realizar una evaluación
del estado actual de los requisitos de las normas ya certificadas con las que
cuenta, responsables de los sistemas implementados e identificar los procesos
que se deben integrar o que pueden sufrir modificaciones encaminadas para el
mejoramiento continuo de los procesos, estableciendo los objetivos a alcanzar
métodos de seguimiento y fechas de cumplimiento.

 ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

Rta: Teniendo en cuenta las certificaciones en las normas ISO 9001:2008, ISO
14001:2004 y OHSAS 18001:2007 de la empresa, puedo afirmar que es
probable la certificación en la norma ISO UNE/IEC 27001:2007 al tener en
cuenta su objetivo es orientado en el aseguramiento, la confidencialidad e
integridad de los datos y de la información, junto con los requerimientos de otras
normas permite generar una autoevaluación, implementación de sistema
estructurado, medición, gestión, control de los diferentes procesos y la aplicación
de un ciclo de mejora continua con lo establecido en las demás normas,
permitiendo a la empresa mantenerse actualizada a las necesidades cambiantes
del mercado moderno.

 ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

Rta: Si se aseguraría teniendo en cuenta que la empresa realizar la
implementación de la norma ISO UNE/IEC 27001:2007, da el aval para que la
empresa realice una evaluación de riesgos y enfoque de los procesos que se
van a intervenir justificando su aplicación, uno de esos procesos estaría el
atención medica de los trabajadores accidentados en el cual se estructure el
manejo documentado y seguridad de sus archivos.
 ¿Existe alguna guía que explique cómo implantar un Sistema de gestión
de la seguridad de la información?
Rta: En varias normas de ISO podemos encontrar herramientas para la
implementación de un SGSI, en la norma ISO 27001 encontramos los
requisitos para la implementación de un SGSI y su mejora continua, la ISO
27003 es la guía de implementación del SGSI dando las instrucciones
generales, en la norma ISO 27002 nos dan las buenas prácticas, controles y
objetivos.
 REFERENCIAS DE CONSULTA

Consulta de norma ISO 14001

https://www.iso.org/obp/ui#iso:std:iso:14001:ed-2:v1:es

Consulta de norma ISO 27001

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

Consulta de norma ISO 18001

https://www.isotools.org/pdfs-pro/ebook-ohsas-18001-gestion-seguridad-salud-
ocupacional.pdf