CASO PRACTICO UNIDAD 2

Gestión por Procesos y Otros Modelos de Gestión - Universidad Asturias

Prof. Daniel Andrés Rodríguez

21 de Octubre de 2023
 Contenido

CASO PRACTICO- UNIDAD 1 ......................................................................................................... 3

Ejercicio ............................................................................................................................................... 3
Cuestión ............................................................................................................................................... 4
Solución caso practico ......................................................................................................................... 5
Ejercicio ............................................................................................................................................ 5
Aplicación práctica del conocimiento .................................................................................................. 8
Bibliografía ........................................................................................................................................... 9
CASO PRACTICO- UNIDAD 1

Ejercicio

EMPRESA CERTIFICADA ACORDE A LA NORMA ISO 9001:2008, ISO

14001:2004 Y OHSAS 18001:2007 DECIDE DAR UN PASO MÁS INTEGRANDO UN

SISTEMA DE GESTIÓN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.

FRATERNIDAD LA PAZ, Mutua de Accidentes de Trabajo y Enfermedades

Profesionales de la Seguridad Social quiere implantar un Sistema de Gestión de Seguridad

de la Información (SGSI) de acuerdo a la norma ISO UNE/IEC 27001:2007 que

complemente a los ya obtenidos de Calidad (ISO 9001:2008), Gestión ambiental (ISO

14001:2004) y Seguridad y Salud en el Trabajo (OHSAS 18001: 2007) y que una empresa

externa se lo Certifique.

Para ello celebraron una reunión en la que analizaron los pros y los contras de esta

norma, y entre los argumentos que se esgrimieron a favor estaban:

1. Ventaja de comercialización en el mundo de globalización pues asegura

que la organización administra información sensible de sus clientes.

2. Gestión empresarial eficiente pues controla los activos de la información,

controla el acceso a los sistemas de información, etc.

3. Disminución de costes derivados por incidentes en esta materia.

4. etc

Pero surgió una discusión sobre que al ser una Mutua de Accidentes de Trabajo entre

cuyas funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora. Por tanto,

uno de sus activos más críticos es el conjunto de historias clínicas de los trabajadores

accidentados y en general pacientes atendidos en sus instalaciones sanitarias y se aseguraría

más la confidencialidad de dichos datos, puesto que ya tenían establecidas por la LOPD unas

medidas de Seguridad de Nivel Alto.

Cuestión

1. Sería factible la Integración de este Sistema de acuerdo a la norma ISO UNE/IEC

27001:2007 con los otros referenciales ya certificados?

2. ¿Podría Certificarse según esta Norma ISO UNE/IEC 27001:2007?

3. ¿Se aseguraría más la Confidencialidad de sus activos más críticos?

4. ¿Existe alguna guía que explique cómo implantar un Sistema de gestión de la

seguridad de la información?
Solución caso practico
Ejercicio
1. Si es factible la integración de la ISO UNE/IEC 27001:2007 con los otros referenciales

ya certificados, esto se debe aquel tienen diferentes puntos en común como el control de

documentos, gestión de recursos humanos, auditorías internas y gestión de acciones

correctivas y preventivas.

Entonces, para poder integrarla correctamente se deben tratar los ítems en común

anteriormente mencionados, adicional se debe realizar un análisis de la organización, donde se

identifiquen los problemas internos y externos, definir los roles y las personas encargadas y

responsables de cada sistema.

La norma es compatible con el resto de las normas ISO para sistemas de gestión (UNE-EN ISO 9001

y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, por lo que se recomienda

integrar el SGSI con el resto de los sistemas de gestión que existan en la empresa para no duplicar

esfuerzos

Ya posterior a trabajar en los puntos comunes, se debe centrarse en los puntos particulares de la

27001, como la evaluación de los riesgos de seguridad de la información, que es un proceso más

sencillo y con una metodología más especifica que las diferentes normas como la 9001.

2. En efecto la 27001 es una norma totalmente certificable, dicha certificación tiene una

duración de 3 años y requiere de auditorías anuales. Para su certificación es importante

seguir las siguientes etapas:

▪ Conocer la organización: Realizar el mapa de procesos, identificar y analizar la

información que se considera relevante y confidencial para el negocio y que por

tanto requiere ser protegida.

 ▪ Definir el alcance del sistema de seguridad de la información: En que procesos

de la compañía se va a implementar la norma.

▪ Establecer la metodología para la identificación y evaluación de riesgos: definir

matriz de riesgos

▪ Realizar la declaración de aplicabilidad

• Alcance

• Referencias normativas

• Términos y condiciones

• Contexto de la organización

• Liderazgo

• Planificación

• Soporte

• Operación

• Evaluación de desempeño

• Mejora continua

▪ Realizar auditorías al sistema: verificación de los controles implementados para

prevenir que se plasmen los riesgos

▪ Revisar las no conformidades y acciones correctivas

3. Si aumentaría la seguridad de los activos más críticos, ya que para la implementación de

esta norma se requiere realizar un inventario de activos, tendrán los activos de

información que representan algún valor para la empresa y que quedan dentro del alcance

del SGSI. Por ende, la finalidad de la ISO 27001 es preservar la confidencialidad e

integridad de los datos de las empresas (activos), al igual que la disponibilidad de la

información protegida.
4. Para ayudar a interpretar la ISO-UNE/IEC 27001:2007 existe la guía UNE-ISO/IEC

27002:2017 de “Tecnología de la Información. Código de buenas prácticas para la

gestión de la seguridad de la información”

 Aplicación práctica del conocimiento

Aplicación Práctica del Conocimiento La identificación de los procesos en ISO 9001:2015 es

una actividad de suma importancia y relevancia en una implantación para cualquier empresa. Toda la

información relativa a procesos debe ser registrada y guardada según lo requerido el apartado 4.4 de

la norma.

En la medida en que sea necesario, la organización debe:

a) Mantener información documentada para apoyar la operación de sus procesos.

b) Conservar la información documentada para tener confianza de que los procesos se

realizan según lo planificado.

En la actualidad y con la evolución que ha traído la tecnología a los diferentes campos

laborales y empresariales, es importante que las compañías lleven a cabo una gestión eficaz de la

seguridad de la información y los diferentes activos de esta, ya que esto le permitirá ganar confianza

entre los clientes y conseguir la ventaja comercial ante los competidores que no cumplen con normas

de protección de datos.

Esto agregado a un sin número de beneficios, es por tanto que como futuros especialistas en

seguridad y salud en el trabajo y como agentes activos en la implementación de sistemas de gestión,

debemos conocer las diferentes normas y los diferentes procesos que cubren, para poder brindar

soluciones a nuestro clientes y a las compañías que lo requieran Identificar los puntos en común de

estas normas para la integración y reconocer los puntos individuales y propios de cada una de ellas,

para lograr implementarlas en un mismo sistema, que sea efectivo y que vaya acorde a la normatividad
Bibliografía
Asturias. (s.f.). Corporacion Universitaria. Recuperado el 06 de 10 de 2023, de
https://www.centro-
virtual.com/recursos/biblioteca/pdf/gestion_por_procesos//clase2_pdf1.pdf

Asturias. (s.f.). CORPORACION UNIVERSITARIA. Recuperado el 03 de 10 de 2023, de

https://www.centro-
virtual.com/recursos/biblioteca/pdf/gestion_por_procesos/clase1_pdf1.pdf

Files, M. (s.f.). Tecnología de la información -Técnicas de seguridad- Sistemas de Gestión de.

Recuperado el 06 de 10 de 2023, de https://mmujica.files.wordpress.com/2007/07/iso-
27001-2005-espanol.pdf