Política de seguridade de Sistemas de Información

A Política de seguridade de sistemas de información de Fraternidad-Muprespa plásmase nos principios que se mostran a continuación:

  • Historias clínicas, o noso principal activo para protexer.
    Fraternidad Muprespa é unha Mutua Colaboradora coa Seguridade Social entre cuxas funcións se encontra a prestación de asistencia sanitaria e rehabilitadora. Polo tanto, un dos seus activos máis críticos é o conxunto de historias clínicas dos traballadores accidentados e en xeral pacientes atendidos nas súas instalacións sanitarias. A Política de seguridade de sistemas de información establecida pola dirección identifica dun modo prioritario a protección deste activo baixo os parámetros de confidencialidade, dispoñibilidade e integridade, nun ámbito que inclúe a prestación dos servizos de información tanto ao propio persoal da mutua coma aos propios traballadores asegurados que accedan a esta información a través da Extranet de servizos.
  • Datos automatizados, outros activos para protexer.
    A Política de seguridade de sistemas de información tamén estende o seu alcance ao resto de datos e procedementos de xestión que se encontran automatizados, o cal é práctica case total na nosa organización. Así, os sistemas de negocio (empresas, traballadores, prestacións económicas por incapacidade temporal e permanente, expedientes administrativos e prevención) e os sistemas de información internos á propia Mutua (xestión de persoal, ámbito económico financeiro e intranet corporativa) encóntranse protexidos baixo o SGSI.
  • Ámbito do concepto "información protexida".
    Por información protexida debemos entender non só aquela que se encontra dispoñible nos sistemas informatizados dun modo tradicional (bases de datos), senón tamén a información de carácter desestruturado que, mediante procedementos de escaneado ou importación masiva, se incorporou aos distintos expedientes documentais. Tamén o termo "información" incluirá aquela documentación que dun modo residual aínda permanece en soporte convencional (papel e acetato), aínda cando a vocación do sistema sexa a completa automatización do 100% da información a medio prazo.
  • Controis técnicos e políticas de formación e concienciación.
    A seguridade é un obxectivo que pretende alcanzarse tanto mediante a implantación de controis de natureza técnica como mediante as políticas de formación e concienciación de todo o persoal implicado na xestión dos sistemas, pois a Dirección de Fraternidad Muprespa está convencida da importancia da participación activa de todos os intervenientes na cadea da seguridade. Para tal fin, desenvólvense as correspondentes accións formativas que teñen como destinatarios todos os recursos humanos e clientes internos e externos.
  • Cumprimento coa lexislación vixente.
    No ámbito da seguridade ten unha especial relevancia tanto a lexislación concernente á protección dos datos de carácter persoal como as disposicións en materia de historia clínica e acceso por parte dos interesados. Estes principios séguense tanto na xestión da propia información como en todas as relacións e cesións de datos que puidesen ter cabida no ámbito da xestión da mutua.
  • Extensión da política a concertos con provedores.
    Por outra banda, todos os contratos e concertos que, en materia de tecnoloxías da información e comunicacións, se establecen cos distintos provedores recollen expresamente os requisitos que deben cumprir en materia de seguridade na prestación do servizo contratado.
  • Adecuación a estándares.
    As metodoloxías de seguridade, os procedementos operativos, as políticas corporativas e, en xeral, todo o corpo normativo xerado no seo do Sistema de Xestión de Seguridade da Información ten un marcado compoñente de estandarización, de forma que se seguen as "mellores prácticas" do sector TIC, se adaptan as recomendacións dos principais grupos de interese (fabricantes, comunidades de usuarios e líderes de opinión) e se facilita na medida do posible a adaptación de solucións xa probadas noutros ámbitos e organizacións. Concretamente, séguense os estándares internacionais UNE-EN ISO/IEC 27001:2017 e UNE-EN ISO/IEC 27002:2017. Tamén se cumpre a adecuación aos estándares derivados do cumprimento do Esquema Nacional de Seguridade e, en particular, ás normas técnicas confeccionadas polo Centro Criptolóxico Nacional de Centro Nacional de Intelixencia.
  • A seguridade, un proceso.
    A seguridade dos sistemas de información non se entende como un conxunto de medidas illadas que se implantan só a teor de requisitos legais, estado da arte ou tendencias tecnolóxicas; antes ben, a seguridade enténdese como un proceso no que se inclúen aspectos organizativos, procedementais, tecnolóxicos e de xestión de recursos humanos, polo que son cruciais, neste último aspecto, as políticas de concienciación e formación dos usuarios.
  • Mellora continua.
    A través do uso das políticas de seguridade da información, os obxectivos, os resultados de auditorías internas e externas, a análise de datos, as accións correctivas e preventivas e a revisión do sistema pola Subdirección Xeral de Sistemas de Información asegúrase a mellora continua e a eficacia do SGSI.
  • Análise e xestión de riscos.
    A implantación de medidas de seguridade é o resultado de aplicar plans de tratamento de riscos, derivados de decisións de xestión de risco, de acordo á metodoloxía definida e aprobada por Fraternidad Muprespa e recollida no procedemento que establece a metodoloxía de análise e xestión de riscos. Esta metodoloxía baséase conceptualmente no Esquema Nacional de Seguridade, aprobado por RD 3/2010. 
    O risco residual asumido pola organización é aprobado polo Propietario do Risco, cuxo rol desempeña o Comité de Tecnoloxías da Información e as Comunicacións (Comité TIC).
  • Compoñentes do Sistema de Xestión de Seguridade da Información (SXSI).
    O SXSI componse dun corpo documental que inclúe políticas e procedementos, instrucións técnicas e rexistros que dan soporte aos aspectos organizativos, procedementais e técnicos do sistema, ademais de permitir a súa operación. Determinadas políticas son aplicables e extensivas a todo o persoal, ademais de obrigatorio cumprimento.
    A Dirección de Fraternidad Muprespa impulsa a Política de seguridade de sistemas de información e facilita a disposición dos medios técnicos e humanos necesarios para a súa completa implantación.

Os obxectivos prioritarios de seguridade da información, definidos pola Dirección de Fraternidad Muprespa, son:

  • Garantir os aspectos de confidencialidade, dispoñibilidade, integridade, autenticidade e trazabilidade nos sistemas de información. Neste sentido todos os proxectos levados a cabo pola Subdirección Xeral de Sistemas de Información teñen en conta a consideración dos riscos que supón a súa implantación.
  • Reducir permanentemente o nivel de risco na organización, a través dos plans de tratamento de riscos, a monitorización e control dos riscos e as actividades en materia de formación, culturización e concienciación do persoal, que periodicamente se levan a cabo.
Logo SGSI Fraternidad Muprespa

 

¿Que te ha parecido el contenido?