Política de Seguridad de Sistemas de Información
La Política de seguridad de sistemas de información de Fraternidad-Muprespa se plasma en los principios que se muestran a continuación:
- Historias Clínicas, nuestro principal activo a proteger.
Fraternidad-Muprespa es una Mutua Colaboradora con la Seguridad Social entre cuyas funciones se encuentra la prestación de asistencia sanitaria y rehabilitadora. Por tanto, uno de sus activos más críticos es el conjunto de historias clínicas de los trabajadores accidentados y en general pacientes atendidos en sus instalaciones sanitarias. La Política de seguridad de sistemas de información establecida por la Dirección identifica de un modo prioritario la protección de este activo bajo los parámetros de confidencialidad, disponibilidad e integridad, en un ámbito que incluye la prestación de los servicios de información tanto al propio personal de la mutua como a los propios trabajadores asegurados que accedan a esta información a través de la Oficina Digital. - Datos automatizados, otros activos a proteger.
La política de seguridad de sistemas de información también extiende su alcance al resto de datos y procedimientos de gestión que se encuentran automatizados, lo cual es práctica casi total en nuestra organización. Así, los sistemas de negocio (empresas, trabajadores, prestaciones económicas por incapacidad temporal y permanente, expedientes administrativos, prevención) y los sistemas de información internos a la propia Mutua (gestión de personal, entorno económico financiero, intranet corporativa) se encuentran protegidos bajo el SGSI. - Ámbito del concepto “información protegida”.
Por información protegida debemos entender no sólo aquella que se encuentra disponible en los sistemas informatizados de un modo tradicional (bases de datos), sino también aquella información de carácter desestructurado que mediante procedimientos de escaneado o importación masiva se ha incorporado a los distintos expedientes documentales. También el término "información" incluirá aquella documentación que de un modo residual aún permanece en soporte convencional (papel, acetato) aún cuando la vocación del sistema sea la completa automatización del 100% de la información a medio plazo. - Controles técnicos y políticas de formación y concienciación.
La seguridad es un objetivo que pretende alcanzarse tanto mediante la implantación de controles de naturaleza técnica como mediante las políticas de formación y concienciación de todo el personal implicado en la gestión de los sistemas, pues la Dirección de Fraternidad-Muprespa está convencida de la importancia de la participación activa de todos los intervinientes en la cadena de la seguridad. A tal fin, se desarrollan las correspondientes acciones formativas que tienen como destinatarios a todos los recursos humanos y clientes internos y externos. - Cumplimiento con la legislación vigente.
En el ámbito de la seguridad tiene una especial relevancia tanto la legislación concerniente a la protección de los datos de carácter personal como las disposiciones en materia de historia clínica y acceso por parte de los interesados. Estos principios se siguen tanto en la gestión de la propia información como en todas las relaciones y cesiones de datos que pudieran tener cabida en el ámbito de la gestión de la Mutua. - Extensión de la política a conciertos con proveedores.
Por otro lado, todos los contratos y conciertos que, en materia de tecnologías de la información y comunicaciones, se establecen con los distintos proveedores, recogen expresamente los requisitos que deben cumplir en materia de seguridad en la prestación del servicio contratado. - Adecuación a estándares.
Las metodologías de seguridad, los procedimientos operativos, las políticas corporativas y en general todo el cuerpo normativo generado en el seno del Sistema de Gestión de Seguridad de la Información tienen un marcado componente de estandarización, de forma que se siguen las “mejores prácticas” del sector TIC, se adaptan las recomendaciones de los principales grupos de interés (fabricantes, comunidades de usuarios, líderes de opinión) y se facilita en la medida de lo posible la adaptación de soluciones ya probadas en otros entornos y organizaciones. Concretamente, se siguen los estándares internacionales UNE-EN ISO/IEC 27001:2017 y UNE-EN ISO/IEC 27002:2017. También se cumple la adecuación a los estándares derivados del cumplimiento del Esquema Nacional de Seguridad, y en particular a las normas técnicas confeccionadas por el Centro Criptológico Nacional de Centro Nacional de Inteligencia. - La seguridad, un proceso.
La seguridad de los sistemas de información no se entiende como un conjunto de medidas aisladas que se implantan sólo a tenor de requisitos legales, estado del arte o tendencias tecnológicas; antes bien, la seguridad se entiende como un proceso en el que se incluyen aspectos organizativos, procedimentales, tecnológicos y de gestión de recursos humanos, siendo en este último aspecto crucial las políticas de concienciación y formación de los usuarios. - Mejora continua.
A través del uso de las políticas de seguridad de la información, los objetivos, los resultados de auditorías internas y externas, al análisis de datos, las acciones correctivas y preventivas y la revisión del sistema por la Subdirección General de Sistemas de Información, se asegura la mejora continua y la eficacia del SGSI. - Análisis y gestión de riesgos.
La implantación de medidas de seguridad es el resultado de aplicar planes de tratamiento de riesgos, derivados de decisiones de gestión de riesgo, de acuerdo a la metodología definida y aprobada por Fraternidad-Muprespa y recogida en el procedimiento que establece la metodología de análisis y gestión de riesgos. Esta metodología se basa conceptualmente en el Esquema Nacional de Seguridad, aprobado por RD 3/2010.
El riesgo residual asumido por la organización es aprobado por el Propietario del Riesgo, cuyo rol desempeña el Comité de Tecnologías de la Información y las Comunicaciones (Comité TIC).
- Componentes del Sistema de Gestión de Seguridad de la Información (SGSI).
El SGSI se compone de un cuerpo documental que incluye políticas y procedimientos, instrucciones técnicas y registros que dan soporte a los aspectos organizativos, procedimentales y técnicos del sistema, además de permitir su operación. Determinadas políticas son aplicables y extensivas a todo el personal, y de obligatorio cumplimiento.
La Dirección de Fraternidad-Muprespa impulsa la Política de Seguridad de sistemas de información, y facilita la disposición de los medios técnicos y humanos necesarios para su completa implantación.
Los objetivos prioritarios de seguridad de la información, definidos por la Dirección de Fraternidad-Muprespa, son:
- Garantizar los aspectos de confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad en los sistemas de información. En este sentido todos los proyectos llevados a cabo por la Subdirección General de Sistemas de Información tienen en cuenta la consideración de los riesgos que supone su implantación.
- Reducir permanentemente el nivel de riesgo en la organización, a través de los planes de tratamiento de riesgos, la monitorización y control de los riesgos y las actividades en materia de formación, culturización y concienciación del personal, que periódicamente se llevan a cabo.