Glintt es una empresa tecnológica enfocada de manera especial hacia un sector extraordinariamente sensible: el de la salud. Con mas de 20 años de experiencia, Glintt es una empresa líder en consultoría y servicios tecnológicos en el sector de la salud. Sus soluciones se utilizan en más de 200 hospitales y clínicas, así como en 14 000 farmacias de la Península Ibérica, y cuenta con oficinas en Portugal, España, Angola y Brasil.
Desde siempre, la seguridad de la información ha sido una cuestión clave en la estrategia de la empresa. Somos conscientes de lo sensible que es la información con la que trabajamos y el nivel de confianza que es necesario garantizar de forma continua tanto a nuestros clientes como a los clientes de nuestros clientes. En este sentido, siempre hemos seguido los más exigentes niveles de seguridad. No obstante, como ocurre en muchas empresas, estos criterios no estaban totalmente normalizados y en múltiples ocasiones no se conservaban las evidencias correspondientes.
Así pues, hace unos tres años, Glintt tomó la decisión estratégica de avanzar en la obtención de la certificación conforme a la norma ISO 27001, la cual se añade al resto de certificaciones que ya poseemos. Esta certificación nos iba a permitir formalizar gran parte de la estrategia de seguridad y gestionar las evidencias necesarias para el cumplimiento de dichos niveles de seguridad.
Teniendo en cuenta la dimensión de la empresa y la envergadura del reto, decidimos certificar en primer lugar la actividad que afecta más directamente a nuestros clientes: el proceso comercial. De este modo, siempre con la participación y el apoyo de la administración, fue necesario documentar todo el proceso, analizar los flujos de información e incorporar en el proceso las etapas de generación de evidencias. Todas estas etapas requirieron la participación de los varios equipos involucrados, cuyos «inputs» nos permitieron no solo conocer a fondo el proceso, sino aunar esfuerzos hacia un objetivo común y con un mismo enfoque, lo que favoreció el que dichos equipos consiguieran tener una perspectiva más global y encuadrar su participación en el proceso como un todo.
El segundo desafío en este tipo de procesos es el esfuerzo adicional que implica para los equipos operacionales, los cuales pueden considerar la documentación y la generación de evidencias como un esfuerzo poco relevante para el funcionamiento del negocio. A este respecto, resultó fundamental la participación de todos los niveles, empezando por la Administración y por los distintos directores afectados, así como el trabajo conjunto entre los equipos, el cual permitió integrar en el proceso del negocio los requisitos de seguridad.
La colaboración de APCER, que nos ha asistido igualmente en otros procesos de certificación, fue crucial, no solo para la certificación en sí, sino también en todo el seguimiento y la forma en que abordó el tema de la seguridad de la información con las distintas áreas operacionales, insistiendo en este concepto como componente del proceso y como necesidad para el negocio, y no como un esfuerzo adicional. En este sentido, APCER comparte con nosotros la idea de que los temas relativos a la seguridad de la información constituyen, cada vez más, una parte integrante del negocio y que los recursos aplicados a estos constituyen una inversión y no un coste. Gracias a esta colaboración, APCER es considerada por los equipos operacionales no como un «evaluador» externo que viene en busca de fallos o deficiencias, sino como un colaborador que nos apoya y ayuda a mejorar.
Esta colaboración permitió que consiguiéramos consolidar esta cultura capaz de incorporar la seguridad en los procesos de manera formal, no solo para aquel inicialmente certificado, sino alcanzando a otras áreas, lo que nos permitió extender el ámbito de certificación a otro proceso adicional.
Contamos con APCER para que continúe ofreciéndonos su apoyo en el proceso de mejora de la seguridad de la información y en la incorporación de otros ámbitos.
Nuno Neves
Chief Security Officer del grupo ANF