Certificación de Unión de Mutuas en Seguridad de la Información
# Episodio 61
En este podcast contamos con la intervención de Carlos Armengol, Director del Área de Sistemas de la Información en Unión de Mutuas y con Hono Diez, Product Manager de Seguridad de la Información en EQA España.
01:09 Información sobre la actividad que realiza un Unión de Mutuas.
02:20 ¿Qué necesidades de seguridad de la información y privacidad tiene Unión de Mutuas?
03:16 ¿Qué importancia tiene la certificación en vuestros procesos?
04:39 ¿Cómo ha sido el proceso de certificación para Unión de Mutuas?
05:52 ¿Por qué crees que es tan importante para entidades como Unión de Mutuas certificar normas de seguridad de la información?
08:30 Desde el punto de vista de EQA, ¿Cómo ha sido el proceso certificación de Unión de Mutuas?
11:28 ¿Por dónde deben empezar las empresas que estén planteándose certificarse en Seguridad de la Información?
12:47 ¿Cómo pueden contactar con EQA España aquellas empresas que nos estén escuchando y deseen pedir información más específica?
Transcripción
Buenos días y bienvenidos a “Certifica”, el podcast de EQA. Hoy vamos a hablar de hablar de seguridad de la información con Unión de mutuas, entidad colaboradora de la Seguridad Social, gestionando accidentes de trabajo y enfermedades profesionales, colaborando en la prevención de riesgos laborales y mejorando las condiciones de trabajo y salud en las empresas. Unión de Mutuas ha sido certificada recientemente por EQA España en ISO 27001, seguridad de la información e ISO 27701 privacidad de la información. Para hablar de estas certificaciones, hoy colaboran en el podcast de EQA Carlos Armengol, Director del área de sistemas de la información de Unión de Mutuas y Hono Diez, Product Manager de seguridad de la información en EQA España.
01:09 Pues para comenzar hoy Carlos, no sé si deseas añadir más información sobre la actividad que realiza un Unión de Mutuas.
Aparte de como tú estabas comentando, somos una entidad colaboradora con la Seguridad Social, por lo tanto, formamos parte del sector público y tenemos dos visiones diferenciadas, por una parte, la gestión sanitaria de aquellos pacientes que tienen un accidente de trabajo, o bien que nosotros gestionamos su contingencia común y, por otra parte, la gestión de las prestaciones que conlleva esa baja de los trabajadores. Y además, pues también, gestionamos las prestaciones relacionadas con cata, que son temas de autónomos. Las bajas de los autónomos que comúnmente se dice. También las bajas sobre húmedo, cuidado a menores, aquellos trabajadores que tienen menores a su a su cuidado y que tienen una enfermedad grave, con lo cual también está gestionado por parte de la mutua y relación de embarazo y lactancia. Entonces, aquellas trabajadoras que están en que tienen algún problema con el tema del embarazo, la lactancia, de trabajo y por tanto, con que tienen que gestionar una baja, pues desde Unión de mutuos también les gestionamos la correspondiente prestación.
02:20 Pues Carlos, Cuéntanos también, ¿qué necesidades de seguridad de la información y privacidad tiene Unión de Mutuas?
Bueno, pues en la línea lo que te estaba comentando antes, pues al trabajar con todos los pacientes y evidentemente también con las empresas asociadas que nosotros damos el servicio, sobre todo en la parte desde el punto de vista sanitario, gestionamos datos muy sensibles. Y por tanto, pues son complicados de poder trabajar y tenemos que estar seguros de que efectivamente se almacenan de una forma correcta y además de que ofrecemos toda la seguridad al paciente, porque en estos casos sabéis que el dato siempre es del paciente, es del trabajador, no es un dato nuestro, nosotros lo almacenamos y lo guardamos, pero realmente el dato corresponde al paciente, con lo cual lo que estamos haciendo es almacenar esa información y debemos de asegurar que todos esos esos datos estén correctamente almacenados por nuestra parte.
03:16 Y en relación con esto y ya lo hemos adelantado un poco, cuéntanos las normas que habéis certificado con EQA España y ¿qué importancia tiene la certificación en vuestros procesos?
Bien, nosotros con EQA tenemos certificados actualmente como tú has comentado, la ISO 27001, en el año 2022 renovamos la certificación 27001 y aprovechamos para certificarnos en la ISO 277001, que es una excepción de la 27001. Y este año 2023 hemos certificado la renovación de esas dos acreditaciones. Además de eso, nosotros estamos también acreditados en el ENS, como os he comentado hacia el sector público desde el año 2016 que iniciamos la certificación de la 27001 para posteriormente en el año 2017 certificarnos en el ENS en nivel alto, con lo cual realmente fuimos una de las primeras empresas que estuvimos certificadas en el ENS, lo que nos indican que realmente desde la casa desde siempre tenemos una preocupación muy activa relacionada con el tema de la seguridad de la información. Y en nuestra casa, pues tenemos también una tradición de gestión por procesos con múltiples sistemas de gestión. Con lo cual, digamos que de alguna forma lo tenemos incluido internamente en lo que es la política de la casa.
04:39 Pues también es interesante conocer cómo ha sido el proceso de certificación para vosotros, no sé si nos puedes contar vuestra experiencia.
Bueno, eso lo podemos hacer contar conjuntamente con con Hono que ha sido nuestra auditora, pero por nuestra parte, lo cierto es que bueno, nosotros la verdad es que siempre nos planteamos las auditorías como como un como un sistema de aprendizaje y un reto de forma que todo aquello que nos podemos encontrar, que no está mal, que no está correctamente implantado o que es susceptible de mejora, pues lo acogemos. Os lo digo de verdad de una forma realmente proactiva. En ese sentido somos totalmente transparentes. Aprendemos de lo que hacemos, sobre todo es aprender para luego poder mejorar y de una manera, pues conjuntacon la auditora, con este caso con Hono. Hemos aprovechado todo el conocimiento que ella tiene para poder dar una forma e implantarlo y mejorarlo en esa casa.
Pues estamos hablando de ella, quisiera dar paso también a Hono. Buenos días Hono, ¿qué tal estás?
05:52 Pues no sé si nos puedes contar: ¿Por qué crees que es tan importante para entidades como Unión de Mutuas certificar normas de seguridad de la información?
Bueno, como ya comentó Carlos hace un momento, este tipo de organizaciones, con lo que realmente trabaja es con personas. Y lo que almacena son datos de carácter personal, pero de un nivel sensible de esas personas y aparte de todo lo que tenga que ver con su propia gestión, con sus proyectos… Esto lo que implica es que es un sector que es muy sensible a cualquier ataque de hackers cibernético, como se llaman ahora. Desde una suplantación de identidad a un ataque por fuerza bruta, o sea, cualquiera de estos múltiples ataques cuanto más protegidas estén, mayor será la posibilidad de que salgan indemnes de esos ataques.
Lo digo así porque hoy en día bueno, hoy en día y desde siempre, la seguridad al cien por cien no existe, pero no existe. En informática no existe en salud, no existe, en logística, no existe en nada. O sea, si tú quieres seguridad al cien por cien no trabajes. Es la única solución. Y está muy de moda y cada vez se ve más que en las portadas de periódicos los ataques dirigidos que consiguen entrar y que hacen mucho daño. Entonces cuanto más, ya no voy a decir más certificaciones porque tampoco es cuestión de tengo 80 certificaciones, es cuestión de tengo estas certificaciones: una, dos… las que me exijan y la que yo quiera poner adicional. Y hago una mejora continua sobre ellas, intento estar al día en todo aquello que puede proteger mi sistema, porque al final es esto. Básicamente todas las certificaciones que puedas tener en seguridad de la información se reducen, por decirlo de una manera muy simplista, a buenas prácticas. Entonces, desde el momento en que tú aplicas esas buenas prácticas en tu organización y buscas una certificación que lo que quiere decir es que alguien vio que estás alineado para dar seguridad a quien usa tu servicio, pues estás haciendo ya todo lo que puedes. En este sentido, pues además, una organización como Unión de Mutuas, que vuelvo a repetir que trata con datos tan sensibles, que la gente está muy sensibilizada, es una buena forma para empezar a estar protegido, por supuesto, y para seguir y poder transmitir un poco de confianza o mucho de confianza a esa persona que va a utilizar los servicios.
08:30 Hono y me parece también interesante, ya le hemos preguntado a Carlos cómo han vivido ellos el proceso de certificación, pero a ver si nos puedes contar tú desde el punto de vista de EQA como entidad de certificación: ¿Cómo ha sido el proceso certificación de Unión de Mutuas?
Bueno, esto va a parecer un poco como que ahora le devuelvo la pelota, pero fue muy cómodo, muy agradable por lo que dijo Carlos. Cierto es que es una organización que toma nota de todo aquello que tú le puedas sugerir desde tu punto de vista de auditor que visita empresas, pero que bueno, hay gente que sabe muchísimo más. O sea, no es que aquí los auditores seamos los gurús, pero bueno, el haber ido de empresa en empresa pues te dan conocimiento que puedes ir transmitiendo, no en decir cosas exactas de “tienes que hacer esto con esta tecnología”, porque como auditor no podemos hacer consultoría. Pero sí decir, bueno, pues a lo mejor mira a ver por este sector nuevo que hay o por este nuevo tipo de aplicaciones, o a lo mejor utilizando esta práctica, esto que no lo tienes del todo fino te puede solucionar algo. Es cierto que, además, Unión de Mutuas todo aquello que le dices lo intenta pasar a su día a día. Y de un año a otro, y eso que llevan ya mucho tiempo con el certificado, se nota la mejora que hasta las oportunidades de mejora hacen caso en todo lo posible. Y luego que auditarlos es un gusto porque es un sector que ya de por sí los obliga a estar al día en seguridad. Tanto el sector sanitario, hospitales, mutuas, farmacéuticas como el sector financiero, bancos, yo que sé empresas de brokers…, es que el propio sector en el que trabajan y su día a día los obligan a estar securizados en lo posible porque si no se mueren, o sea se mueren, al primer ataque que tengan se acabó y más en empresas, porque bueno, al fin y al cabo finanzas es dinero, pero el sector salud es personas. Entonces los ataques que hubo en pandemia contra hospitales es que les tiraron abajo servicios de urgencias y cuando vas a urgencias es que estás malo, pero malo de verdad, ¿no?. Entonces aquí en Unión de Mutuas, pues también, No es que tengan un servicio de urgencias de un hospital de estos grandes, pero sí que reciben urgencias. Tienen gente, pues con problemas de salud debido a un accidente que acaban de tener en el trabajo y solo hay que atender al momento. Entonces para ellos es muy importante, lo saben y lo llevan a la práctica, con lo cual de verdad que fue muy agradable la auditoría porque además se aprende un montón de lo que ellos saben. Aquí es mutuo, no solo aprende uno, aquí aprendemos todos.
11:28 Hono, pues cuéntanos también por dónde deben empezar las empresas que estén planteándose certificarse en Seguridad de la Información
Lo primero de todo es tener claro el alcance, es decir, qué es lo que quiere certificar, porque un sistema de gestión de la información no certifica productos. Digamos que certifica procesos. Entonces puede ser desde toda la organización hasta un departamento, hasta el desarrollo, porque aunque no certificas productos, el desarrollo, que es un proceso del producto, sí, entonces lo primero es tener claro qué es lo que se quiere certificar. Que una vez que tienen claro eso, el alcance sería pues, hacer un análisis, no me gusta utilizar palabras inglesas, pero un análisis de gap, un análisis de cómo estoy alineado con los requisitos de la norma y a partir de ahí, pues empezar con la implantación. O sea, si tú no sabes tu punto de partida, tu implantación no puede ser tan buena como debería ser o te va a costar mucho más trabajo. Lo importante es eso, lo primero, saber qué quiero certificar y lo segundo, cómo estoy de alineado con los requisitos de la norma.
12:47 Y para terminar, ¿cómo pueden contactar con nosotros, con EQA España aquellas empresas que nos estén escuchando y deseen pedir información más específica?
Pues a través de la página web eqa.es, ahí hay formularios de contacto, viene el teléfono también de la empresa y si no a través del correo info@eqa.es.
Pues sin más, muchas gracias a los dos. Carlos, Hono, gracias por participar en “Certifica” el Podcast de EQA.