Política de Seguretat de Sistemes de Informació

La Política de seguretat de sistemes d’informació de Fraternidad-Muprespa es plasma en els principis que es mostren a continuació:

  • Històries clíniques, el nostre principal actiu a protegir.
    Fraternidad Muprespa és una Mútua Col•laboradora amb la Seguretat Social entre les funcions de la qual es troba la prestació d'assistència sanitària i rehabilitadora. Per tant, un dels seus actius més crítics és el conjunt d'històries clíniques dels treballadors accidentats i, en general, pacients atesos a les seves instal·lacions sanitàries. La Política de seguretat de sistemes d’informació establerta per la Direcció identifica, d'una manera prioritària, la protecció d'aquest actiu sota els paràmetres de confidencialitat, disponibilitat i integritat, en un àmbit que inclou la prestació dels serveis d'informació tant al personal de la mútua com als treballadors assegurats que accedeixin a aquesta informació a través de l'extranet de serveis.
  • Dades automatitzades, altres actius a protegir.
    La Política de seguretat de sistemes d’informació també estén el seu abast a la resta de dades i procediments de gestió que es troben automatitzats, la qual cosa és una pràctica gairebé total en la nostra organització. Així, els sistemes de negoci (empreses, treballadors, prestacions econòmiques per incapacitat temporal i permanent, expedients administratius, prevenció) i els sistemes d'informació interns a la mateixa mútua (gestió de personal, entorn economicofinancer, intranet corporativa) es troben protegits sota el SGSI.
  • Àmbit del concepte "informació protegida".
    Per informació protegida hem d'entendre no només aquella que es troba disponible als sistemes informatitzats d'una manera tradicional (bases de dades), sinó també aquella informació de caràcter desestructurat que mitjançant procediments d'escaneig o importació massiva s'ha incorporat als diferents expedients documentals. També el terme "informació" inclou aquella documentació que, d'una manera residual, encara roman en suport convencional (paper, acetat), tot i que la vocació del sistema sigui la completa automatització del 100% de la informació a mitjà termini.
  • Controls tècnics i polítiques de formació i conscienciació.
    La seguretat és un objectiu que es pretén assolir tant mitjançant la implantació de controls de naturalesa tècnica com mitjançant les polítiques de formació i conscienciació de tot el personal implicat en la gestió dels sistemes, ja que la Direcció de Fraternidad Muprespa està convençuda de la importància de la participació activa de tots els intervinents en la cadena de la seguretat. A aquest efecte, es desenvolupen les accions formatives corresponents que tenen com a destinataris tots els recursos humans i clients interns i externs.
  • Compliment amb la legislació vigent.
    En l'àmbit de la seguretat té una especial rellevància tant la legislació concernent a la protecció de les dades de caràcter personal com les disposicions en matèria d'història clínica i accés per part dels interessats. Aquests principis se segueixen tant en la gestió de la informació com en totes les relacions i cessions de dades que puguin tenir cabuda en l'àmbit de la gestió de la mútua.
  • Extensió de la política a concerts amb proveïdors.
    D'altra banda, tots els contractes i concerts que, en matèria de tecnologies de la informació i comunicacions, s'estableixen amb els diferents proveïdors, recullen expressament els requisits que han de complir en matèria de seguretat en la prestació del servei contractat.
  • Adequació a estàndards.
    Les metodologies de seguretat, els procediments operatius, les polítiques corporatives i, en general, tot el cos normatiu generat al si del sistema de gestió de seguretat de la informació té un marcat component d'estandardització, de manera que se segueixen les “millors pràctiques” del sector TIC, s'adapten les recomanacions dels principals grups d'interès (fabricants, comunitats d'usuaris, líders d'opinió) i es facilita, en la mesura que es pugui, l'adaptació de solucions ja provades en altres entorns i organitzacions. Concretament, se segueixen els estàndards internacionals UNE-ISO/IEC 27001:2017 i UNE-ISO/IEC 27002:2017. També es compleix l’adequació als estàndards derivats del compliment de l’Esquema Nacional de Seguretat, i en particular a les normes tècniques confeccionades pel Centre Criptològic Nacional del Centre Nacional d’Intel·ligència.
  • La seguretat, un procés.
    La seguretat dels sistemes d'informació no s'entén com un conjunt de mesures aïllades que s'implanten només d'acord amb requisits legals, l'estat de l'art o tendències tecnològiques, sinó que la seguretat s'entén com un procés en el qual s'inclouen aspectes organitzatius, procedimentals, tecnològics i de gestió de recursos humans, i en aquest últim aspecte són crucials les polítiques de conscienciació i formació dels usuaris.
  • Millora contínua.
    A través de l'ús de les polítiques de seguretat de la informació, els objectius, els resultats d'auditories internes i externes, l'anàlisi de dades, les accions correctives i preventives i la revisió del sistema per la Sotsdirecció General de Sistemes d'Informació, s'assegura la millora contínua i l'eficàcia del SGSI.
  • Anàlisi i gestió de riscos.
    La implantació de mesures de seguretat és el resultat d'aplicar plans de tractament de riscos, derivats de decisions de gestió de risc, d'acord amb la metodologia definida i aprovada per Fraternidad Muprespa i recollida en el procediment que estableix la metodologia d'anàlisi i gestió de riscos. Aquesta metodologia es basa conceptualment en l'esquema nacional de seguretat, aprovat pel RD 3/2010. 
    El risc residual assumit per l'organització és aprovat pel Propietari del Risc, rol que exerceix el Comitè de Tecnologies de la Informació i les Comunicacions (Comitè TIC).
  • Components del sistema de gestió de seguretat de la informació (SGSI).
    El SGSI es compon d'un cos documental que inclou polítiques i procediments, instruccions tècniques i registres que donen suport als aspectes organitzatius, procedimentals i tècnics del sistema, a més de permetre la seva operació. Determinades polítiques són aplicables i extensives a tot el personal i de compliment obligatori.
    La Direcció de Fraternidad Muprespa impulsa la Política de seguretat de sistemes d’informació i facilita la disposició dels mitjans tècnics i humans necessaris per a la seva completa implantació.

Els objectius prioritaris de seguretat de la informació, definits per la Direcció de Fraternidad Muprespa, són:

  • Garantir els aspectes de disponibilitat, integritat, autenticitat i traçabilitat en els sistemes d'informació. En aquest sentit, tots els projectes duts a terme per la Sotsdirecció General de Sistemes d'Informació tenen en compte la consideració dels riscos que suposa la seva implantació.
  • Reduir permanentment el nivell de risc en l'organització, a través dels plans de tractament de riscos, el monitoratge i el control dels riscos i les activitats en matèria de formació, culturització i conscienciació del personal que periòdicament es duen a terme.
Logo SGSI Fraternidad Muprespa
¿Que te ha parecido el contenido?