1 OBJETO
El objetivo de esta política es proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos de la actividad médica y las normas aplicables.
Esta política contiene una descripción de elementos clave, tanto humanos como organizativos, tecnológicos y documentales que ASCIRES Grupo Biomédico (en adelante, ASCIRES) aplica para proteger la información, y especialmente los datos de carácter personal, evitando que se produzcan incidentes de seguridad que los pongan en peligro.
En todos los niveles de ASCIRES se velará por la aplicación real y efectiva de las medidas de prevención y control previstas en esta política, de manera que este sistema de gestión consiga la eliminación o reducción de comportamientos que puedan poner en riesgo la seguridad de los activos de información y los datos personales tratados por ASCIRES.
Esta política será adaptada a los cambios tecnológicos y legislativos que se vayan produciendo en el futuro.
2 OBJETIVOS, MISIÓN Y SERVICIOS QUE PRESTA ASCIRES
ASCIRES tiene como objetivo fundamental la prestación a pacientes de servicios diagnósticos de precisión, tratamientos radioterápicos, medicina nuclear, así como la atención especializada y personalizada en consultas médicas con cirugía ambulatoria.
La vocación por el paciente, la pasión por la innovación tecnológica y la humanización del tratamiento, son las señas de identidad compartidas en ASCIRES. Por tecnología y número de pacientes atendidos anualmente, ASCIRES es el grupo biomédico pionero en España en Diagnóstico por Imagen y Medicina Nuclear, además de un referente en Oncología Radioterápica.
ASCIRES, dentro de su marco de actuación, presta servicios relacionados con la actividad dentro del sector sanitario.
Ello significa que sus principales activos son de naturaleza intangible y que están formados principalmente por información confidencial, como información médica de pacientes o la relativa a investigaciones científicas, datos personales, propiedad intelectual, propiedad industrial, entre otros.
El carácter inmaterial de este tipo de activos los hace muy vulnerables a amenazas internas y externas como el acceso no autorizado, la copia no autorizada, la divulgación, la cesión a terceros, el uso no autorizado, la explotación no autorizada e incluso la destrucción.
La protección de los activos de información exige una serie de medidas jurídicas técnicas y organizativas que se resumen en esta política y se detallan en las normas y procedimientos de ASCIRES.
3 AMBITO DE APLICACIÓN
Esta política se aplica a los siguientes ámbitos de ASCIRES:
- Ámbito societario: En adelante, el conjunto de sociedades y entidades adheridas a la presente política serán denominadas indistintamente como ASCIRES o como las sociedades. En concreto, es aplicable en las siguientes sociedades:
- Ámbito personal: esta política es aplicable a todos los niveles de ASCIRES, incluyendo los órganos de administración, los cargos directivos, los órganos de control y la totalidad del personal al servicio de ASCIRES.
- Ámbito relacional: el ámbito de aplicación de esta política se extenderá, en la medida en que ello sea posible, a los proveedores, distribuidores y clientes de ASCIRES. En el caso de que ello no sea posible, se limitará la contratación a las empresas que tengan políticas de similar nivel de protección o bien se impondrán contractualmente condiciones de patrones de conducta, medidas preventivas y sistemas de control en materia de seguridad de la información.
- Ámbito geográfico: esta política se aplicará a las relaciones públicas y privadas que ASCIRES establezca en cualquier ámbito geográfico, tanto local como internacional.
En base a lo anterior, y tiendo en cuenta los requisitos aplicables a ASCIRES en materia de seguridad, se establece el siguiente alcance formal que define las áreas que deben cumplir con lo especificado por el Esquema Nacional de Seguridad:
“Los sistemas de información que dan soporte a los servicios de radiodiagnóstico y de medicina nuclear que soportan procesos y actividades asistenciales y no asistenciales de acuerdo con el documento de categorización vigente.”
4 MARCO NORMATIVO
4.1 DOCUMENTACIÓN EXTERNA
Nacional y Europea:
Guías y estándares:
Registro de Guías aplicables: “Control Guías Aplicables”.
4.2 DOCUMENTACIÓN INTERNA
Política de Protección de Ascires.
5 JUSTIFICACIÓN DE LA POLITICA DE SEGURIDAD DE LA INFORMACIÓN
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con diligencia a los incidentes.
Los sistemas gestionados por ASCIRES deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o a los servicios prestados.
Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno de ASCIRES y así garantizar la prestación continua de los servicios.
6 SEGURIDAD EN CIERTAS ÁREAS DE ASCIRES
Ciertas áreas que conforman ASCIRES deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, ya que prestan servicios a la Administración Pública, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad en los sistemas de información es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad, de acuerdo con el Artículo 8 del ENS.
7 PRINCIPIOS Y OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
Los objetivos de ASCIRES en materia de seguridad de la información están alineados con los de la actividad médica, dando prioridad al cumplimiento de las obligaciones legales que sean aplicables a la actividad desarrollada.
Se considera un objetivo prioritario de la seguridad de la información el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea y la normativa relativa a la protección de datos personales vigente en los países en los que ASCIRES actúe.
En todos los niveles de ASCIRES existirá el compromiso de cumplir con los objetivos fijados en materia de seguridad de la información y de aplicar los controles establecidos.
La estrategia de ASCIRES en materia de seguridad cumplirá con los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
El principio de confidencialidad garantiza que la información solo se accesible para los usuarios autorizados a acceder a ella y que no podrá ser divulgada a terceros sin la correspondiente autorización.
El principio de integridad garantiza que los datos se mantendrán libres de modificaciones no autorizadas y que la información existente no ha sido alterada por personas o procesos no autorizados.
El principio de disponibilidad garantiza que la información estará accesible y utilizable de forma constante, asegurando la continuidad de los procesos y de la actividad médica. Este principio va unido al de resiliencia, que consiste en asegurar la capacidad de recuperación de los sistemas y la información tras un incidente que impida el acceso temporal a los mismos.
El principio de autenticidad garantiza que el origen y las identidades asociadas a la información son realmente los que aparecen en los atributos de esta. Este principio va unido al de no repudio, que consiste en asegurar que un usuario no pueda negar la autoría de un acto en el sistema o la vinculación a un dato o conjunto de datos.
El principio de trazabilidad garantiza la posibilidad de determinar en cada momento la identidad de las personas que acceden a la información y la actividad que desarrollan en relación con la misma, así como los distintos estados y rutas que ha seguido la información.
Se aplicará a un principio de proporcionalidad entre los controles a aplicar y la gravedad del riesgo a prevenir, detectar o mitigar.
En los nuevos servicios y desarrollos se aplicará el principio de seguridad desde el diseño y por defecto.
Todos los roles y responsabilidades estarán diferenciados y serán asignados de manera individualizada en la descripción del puesto de trabajo. Además de esta asignación individualizada, todas las personas que pertenezcan a ASCIRES, sea cual sea el nivel, estarán obligadas a cumplir con las normas, procedimientos y controles establecidos en materia de seguridad de la información.
La máxima autoridad de control en materia de seguridad de la información corresponderá al órgano de la administración, que se apoyará en el Comité de Protección de Datos y Seguridad de la Información, en el que se integra el Chief Information Security Officer (CISO), que será responsable de velar por el cumplimiento de la presente política y del reporte de cualquier cuestión relevante al Comité.
ASCIRES podrá elaborar normas y procedimientos que desarrollen, concreten y detallen las medidas de control indicadas en la presente política.
8 ORGANIZACIÓN DE LA SEGURIDAD
8.1 DEFINICIÓN DE ROLES Y RESPONSABILIDADES
A la hora de gestionar la seguridad de la información, ASCIRES ha tomado como referencia estándares internacionales como la ISO 27001; sin embargo, valorando que ASCIRES presta también servicios puntuales a la Administración Pública, se aplica, a su vez, lo establecido en el Esquema Nacional de Seguridad.
De acuerdo con el artículo 12.1 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, se deben identificar unos claros responsables para velar por el cumplimiento de la Política de Seguridad debiendo ser conocido por todos los miembros de ASCIRES.
ASCIRES adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de las funciones, así como las consecuencias en que pudieran incurrir en caso de incumplimiento.
* Se establecen los siguientes roles en ASCIRES relacionados con la Seguridad de la Información:
ROLES | FUNCIONES |
Responsable del Servicio | Determinará los requisitos de seguridad de los servicios prestados, para lo que valorará el impacto que tendría un incidente que afectase a la seguridad de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad |
Responsable de la Información | Determinará los requisitos de seguridad de la información tratada, para lo que valorará el impacto que tendría un incidente que afectase a la seguridad de la información con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad. |
Responsable de Seguridad | Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisando la implantación de las medidas necesarias y reportando sobre estas cuestiones |
Responsable del Sistema | Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad |
Administrador de la Seguridad | Se encarga de las tareas técnicas de seguridad, quien las ejecuta. |
8.2 RESPONSABILIDADES QUE CORRESPONDEN A CADA ROL:
- Responsable del Servicio:
El Responsable del Servicio tiene las siguientes funciones asociadas:
Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad del Servicio.
- Tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección.
- El Responsable del Servicio es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad de los servicios.
- Determinará los niveles de seguridad en cada dimensión del servicio.
- Aunque la aprobación formal de los niveles corresponda al Responsable del Servicio, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.
- La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de esta, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.
- Responsable de la Información:
El Responsable del Sistema de la Información tiene las siguientes funciones asociadas:
Tiene la responsabilidad última del uso que se haga de una cierta información y,
por tanto, de su protección.
- El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad de integridad.
- Establece los requisitos de la información en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad de la información.
- Determinará los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.
- Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.
- Responsable de Seguridad:
El Responsable de Seguridad de la Información tiene las siguientes funciones asociadas:
- Reportará directamente al Comité de Protección de Datos y Seguridad de la Información.
- Actuará como Secretario del Comité de Protección de Datos y Seguridad de la Información.
- Convocará al Comité de Protección de Datos y Seguridad de la Información, recopilando la información pertinente.
- Mantendrá la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la presente Política de Seguridad.
- Promoverá la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
- Será el punto de contacto especializado para la coordinación con el CSIRT de referencia.
- Actuará como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
- Recopilará los requisitos de seguridad de los Responsables de Información y Servicio y determinará la categoría del Sistema.
- Realizará el Análisis de Riesgos.
- Elaborará una Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas y del resultado del Análisis de Riesgos.
- Facilitará al Responsable de Información y al Responsable del o de los Servicios, información sobre el nivel de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
- Coordinará la elaboración de la Documentación de Seguridad del Sistema.
- Participará en la elaboración, en el marco del Comité de Protección de Datos y Seguridad de la Información, la Política de Seguridad de la Información, para su aprobación por Dirección.
- Participará en la elaboración y aprobación, en el marco del Comité de Protección de Datos y Seguridad de la Información, de la normativa de Seguridad de la Información.
- Elaborará y aprobará los Procedimientos Operativos de Seguridad de la Información.
- Facilitará periódicamente al Comité de Protección de Datos y Seguridad de la Información un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
- Elaborará, junto a los Responsables de Sistemas, Planes de Mejora de la Seguridad, para su aprobación por el Comité de Protección de Datos y Seguridad de la Información.
- Elaborará los Planes de Formación y Concienciación del personal en Seguridad de la Información, que deberán ser aprobados por el Comité de Protección de Datos y Seguridad de la Información.
- Validará los Planes de Continuidad de Sistemas que elabore el Responsable de Sistemas, que deberán ser aprobados por el Comité de Protección de Datos y Seguridad de la Información y probados periódicamente por el Responsable de Sistemas.
- Aprobará las directrices propuestas el Responsable de Sistemas para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.
- En caso de ocurrencia de incidentes de seguridad de la información analizará y propondrá salvaguardas o medidas que prevengan incidentes similares en un futuro.
- En el marco de las decisiones que se tomen en el Comité de Protección de Datos y Seguridad de la Información, (incluyendo nombramientos o asignación de funciones en el ámbito del Esquema Nacional de Seguridad), en caso de empate entre los miembros del mismo, el voto del Responsable de Seguridad será un voto de calidad, por lo que decantará el desempate producido.
- Establecimiento, revisión y mantenimiento de medidas de seguridad en torno a las instalaciones e infraestructura de ASCIRES.
- Coordinar la inclusión y firma de las distintas cláusulas contractuales con los proveedores en materia de seguridad de la información.
- Responsable del Sistema:
El Responsable del Sistema de la Información tiene las siguientes funciones asociadas:
- Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
- Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
- El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los Responsables de la Información afectada, del Servicio afectado y con el Responsable de la Seguridad antes de ser ejecutada.
- Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad.
- Monitorizar el estado de la seguridad del Sistema de Información y reportarlo periódicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad de la Información.
- Elaborar los Planes de Continuidad del Sistema para que sean validados por el Responsable de Seguridad de la Información, y coordinados y aprobados por el Comité de Protección de Datos y Seguridad de la Información
- Realizar ejercicios y pruebas periódicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos.
- Elaborará las directrices para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos (especificación, arquitectura, desarrollo, operación y cambios) y las facilitará al Responsable de Seguridad de la Información para su aprobación.
- En caso de ocurrencia de incidentes de seguridad de la información:
- Planificará la implantación de las salvaguardas en el sistema.
- Ejecutará el plan de seguridad aprobado.
- Administrador de la Seguridad:
Sus funciones serán las siguientes:
- La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
- Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
- Asegurar que la trazabilidad, pistas de auditoría y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la política de seguridad establecida por ASCIRES.
- Aplicar a los Sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los Procedimientos Operativos de Seguridad y los mecanismos y servicios de seguridad requeridos.
- Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de información y los mecanismos y servicios de seguridad requeridos.
- La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.
- Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida.
- Aprobar los cambios en la configuración vigente del Sistema de Información, garantizando que sigan operativos los mecanismos y servicios de seguridad habilitados.
- Informar al Responsable de Seguridad o del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
- Monitorizar el estado de la seguridad del sistema.
- En caso de ocurrencia de incidentes de seguridad de la información:
- Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los Sistemas bajo su responsabilidad.
- Ejecutar el plan de seguridad aprobado.
- Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
- Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
- Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad de estos (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad de Administrador de Seguridad del Sistema al mínimo número de casos).
- Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
- Investigar el incidente: Determinar el modo, los medios, los motivos y el origen del incidente.
8.3 DESIGNACIÓN DE ROLES
ROLES | DESIGNACIÓN |
Responsable del Servicio | Las funciones del responsable del Servicio de ASCIRES serán asumidas por el Director de Operaciones |
Responsable de la Información | Las funciones del Responsable de Información en ASCIRES serán asumidas el Director de Operaciones |
Responsable de Seguridad | Las funciones del Responsable de Seguridad de la Información de ASCIRES serán asumidas por el Chief Information Security Officer (CISO) |
Responsable del Sistema | Las funciones del Responsable del Sistema en ASCIRES serán asumidas por el Responsable de Sistemas de Infraestructuras IT. |
Administrador de la Seguridad | Las funciones de Administrador de la Seguridad en ASCIRES serán asumidas por el Responsable de Sistemas de Infraestructuras IT. |
8.4 COMITÉ DE PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN
Es el órgano que coordina la Seguridad de la Información a nivel interno de ASCIRES.
Estará formado por el Responsable del Servicio, el Responsable de Seguridad, el Responsable de la Información y el Responsable del Sistema.
Asimismo, se integrarán en el Comité de Protección de Datos y Seguridad de la Información el DPO y la Dirección del Departamento Jurídico, cuyas funciones se detallan en la Política de Protección de Datos.
El Comité de Protección de Datos y Seguridad de la Información tendrá las siguientes funciones:
- Coordinar todas las funciones de seguridad de ASCIRES.
- Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.
- Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
- Coordinar la función preventiva del modelo de prevención y tendrá poderes autónomos de iniciativa y de control.
- Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.
- Elaborar la estrategia de evolución de ASCIRES en lo que respecta a la seguridad de la información.
- Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
- Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por la Dirección.
- Aprobar la normativa de seguridad de la información.
- Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
- Monitorizar los principales riesgos residuales asumidos por ASCIRES y recomendar posibles actuaciones respecto de ellos.
- Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
- Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
- Aprobar planes de mejora de la seguridad de la información de ASCIRES.
- En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
- Velar por el alineamiento de las actividades de seguridad y los objetivos de ASCIRES.
- Velar por el cumplimiento de la normativa de aplicación legal.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información y comunicaciones desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- El Comité de Dirección es el que resuelve los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de ASCIRES, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
- Coordinar los planes de continuidad de las diferentes áreas para asegurar una actuación sin fisuras en el caso de que deban ser activados.
- Elaborar la Política de Seguridad, que será aprobada por la Alta Dirección.
- Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.
- Recabar de los Responsables de Seguridad informes regulares del estado de la seguridad de ASCIRES y de los posibles incidentes. Estos informes, se consolidan y resumen para la Alta Dirección.
- Coordinar y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad.
- Definir, dentro de la Política de Seguridad, la asignación de roles y los criterios para alcanzar las garantías que estime pertinentes en lo relativo a segregación de funciones.
El Responsable de Seguridad es quien asumirá las funciones de secretariado del Comité de Protección de Datos y Seguridad de la Información que serán las que se detallan a continuación:
- Convocar las reuniones del Comité de Protección de Datos y Seguridad de la Información.
- Preparar los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
- Elaborar el acta de las reuniones.
- Es responsable de la ejecución directa o delegada de las decisiones del Comité.
El Responsable de Seguridad de la Información, trasladará al Comité de Protección de Datos y Seguridad de la Información de ASCIRES, aquellos aspectos que hubieran sido tratados con el Responsable de Seguridad cuando deban gestionarse de forma conjunta con el Ayuntamiento.
8.5 JERARQUÍA EN EL PROCESO DE DECISIONES
La jerarquía de roles se describe de la siguiente manera:
- El Comité de Protección de Datos y Seguridad de la Información da instrucciones al Responsable de la Seguridad de la Información que se encarga de cumplimentar, supervisando que administradores y operadores implementan las medidas de seguridad según lo establecido en la presente política de seguridad.
- El Administrador de Seguridad reportará al Responsable del Sistema:
- Incidentes relativos a la seguridad del sistema.
- Acciones de configuración, actualización o corrección.
- El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información. El Responsable del Sistema reporta al Responsable de la Seguridad:
- Actuaciones en materia de seguridad
- Resumen consolidado de los incidentes de seguridad
- Medidas de la eficacia de las medidas de protección que se deben implantar
- El Responsable de la Seguridad de la Información informa:
- Al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
- Al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
- El Responsable de la Seguridad de la Información reporta al Comité de Protección de Datos y Seguridad de la Información como secretario:
- Resumen consolidado de actuaciones en materia de seguridad.
- Resumen consolidado de incidentes relativos a la seguridad de la información.
- Estado de la seguridad del sistema, en particular del riesgo residual al que el sistema está expuesto.
El Responsable de la Seguridad de la Información informa a la Dirección de la organización, según lo acordado en el Comité de Protección de Datos y Seguridad de la Información.
El voto o decisión del Responsable de Seguridad de la Información prevalecerá ante un empate en las decisiones tomadas por el resto de los miembros del Comité de Protección de Datos y Seguridad de la Información.
8.6 ORGANIGRAMA DE LA ORGANIZACIÓN DE SEGURIDAD
9 GESTIÓN DE RIESGOS
9.1 JUSTIFICACIÓN
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
ASCIRES realiza de forma periódica y continuada un análisis de riesgos de las amenazas que afectan a la seguridad de la información.
El análisis de riesgos se realiza a través de un mapa de riesgos inherentes, en el que se evalúan los riesgos brutos existentes antes de la aplicación de los controles de prevención, detección y mitigación, y a través de un mapa de riesgos residuales, en el que se evalúan los riesgos netos existentes después de la aplicación de controles.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el Artículo 7 del ENS.
9.2 CRITERIOS DE EVALUACIÓN DE RIESGOS
Para la armonización de los análisis de riesgos, el Comité de Protección de Datos y Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará ASCIRES, basándose en estándares y buenas prácticas reconocidas.
Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de ASCIRES de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.
9.3 COMUNICACIÓN DE RIESGOS
En todos los niveles de ASCIRES existirá la obligación de comunicar de forma inmediata los riesgos en materia de seguridad de la información que se identifiquen.
Estos riesgos se comunicarán a través de los canales que ASCIRES ha habilitado para comunicar cualquier tipo de amenaza para las personas, los activos o el cumplimiento normativo.
9.4 NECESIDAD DE REALIZAR O ACTUALIZAR LAS EVALUACIONES DE RIESGOS
El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 10 del ENS. Este análisis se repetirá:
- Regularmente, al menos una vez al año.
- Cuando se produzcan cambios significativos en la información manejada.
- Cuando se produzcan cambios significativos en los servicios prestados.
- Cuando se produzcan cambios significativos en los sistemas que tratan a información e intervienen en la prestación de los servicios.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.
10 PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
ASCIRES trata datos de carácter personal. El Registro de Actividades del Tratamiento, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes.
Todos los sistemas de información de ASCIRES se ajustarán a la seguridad requerida por la normativa en materia de protección de datos de carácter personal de acuerdo con el análisis de riesgos realizado para la naturaleza y finalidad de los datos de carácter personal recogidos en el Registro de Actividades del Tratamiento del organismo.
11 GESTIÓN DE INCIDENTES DE SEGURIDAD
11.1 PREVENCIÓN DE INCIDENTES
Las áreas que conforman ASCIRES deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad.
Para ello, las áreas que conforman ASCIRES deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.
Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, las áreas o departamentos deben:
- Autorizar los sistemas antes de entrar en operación.
- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
11.2 MONITORIZACIÓN Y DETECCIÓN DE INCIDENTES
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. Se establecerán mecanismos de detección, análisis y reporte que puedan informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
11.3 RESPUESTA ANTE INCIDENTES
ASCIRES desarrollará un procedimiento de gestión de los incidentes de seguridad que garantice una respuesta inmediata a cualquier amenaza que pueda surgir para la seguridad de la información. En este procedimiento se detallarán las acciones a desarrollar para evaluar la gravedad del incidente, el riesgo que se haya podido generar para los derechos de las personas y para la información. En este sentido, el procedimiento deberá incluir las eventuales comunicaciones a la Agencia Española de Protección de Datos y a las personas afectadas.
Cualquier persona que tenga conocimiento o sospecha de algún incidente que afecte a la seguridad de la información deberá comunicarlo inmediatamente a través de los canales establecidos para ello. La falta de comunicación de un incidente de seguridad se considerará una infracción laboral grave.
En este sentido, los departamentos involucrados en la presente política deben:
- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
- Designar puntos de contacto para las comunicaciones con respecto a incidente detectados en otros departamentos o en otros organismos.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) cuando proceda.
En el caso de que el análisis del incidente demuestre la existencia de una vulnerabilidad técnica u organizativa, se procederá a la inmediata gestión y subsanación de dicha vulnerabilidad.
11.4 RECUPERACIÓN ANTE INCIDENTES Y PLANES DE CONTINUIDAD
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de la actividad médica y actividades de recuperación.
Para ello, ASCIRES aplicará las medidas necesarias para asegurar la continuidad de la actividad médica y la disponibilidad de la información y los recursos TIC corporativos. Estas medidas incluirán un plan de emergencia que detalle las acciones a seguir en el caso de que un incidente de cualquier naturaleza impida el acceso a la información.
En este sentido, ASCIRES dispondrá de equipos alternativos, centros de proceso duplicados o proveedores con servicios o equipos que puedan sustituir a los principales en caso de avería o siniestro. Estas medidas se exigirán contractualmente a los proveedores críticos.
11.5 PROCESO DE ACEPTACIÓN DEL RIESGO RESIDUAL
Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.
Los niveles de Riesgo residuales esperados sobre cada Información tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de la Información.
Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable del Servicio.
Los niveles de riesgo residuales serán presentados por el Responsable de Seguridad de la Información al Comité de Protección de Datos y Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.
12 DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Esta Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se ha desarrollado un Sistema de Gestión, con una serie de procedimientos.
En el Procedimiento P_01_Gestión Documental, se especifica todo el control de elaboración, revisión y aprobación de la documentación y en la Política POL_03_Política de Clasificación de la información se especifica la clasificación de la información y su tratamiento.
La normativa de seguridad estará a disposición y será aceptada por todos los miembros de la organización.
13 OBLIGACIONES DEL PERSONAL. FORMACIÓN Y CONCIENCIACIÓN
Todos los miembros de ASCIRES tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad que aplica a ASCIRES, siendo responsabilidad del Comité de Protección de Datos y Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
ASCIRES promoverá una actividad constante de formación y concienciación en todos los niveles de ASCIRES en materia de seguridad de la información.
La formación podrá basarse en sesiones presenciales o en cursos de e-Learning. Esta formación podrá basarse en cualquier tipo de material e instrumentos de comunicación y formación que permitan concienciar sobre los riesgos penales a todos los niveles de ASCIRES.
ASCIRES realizará las siguientes funciones en materia de formación y concienciación:
- Elaborará cada año un plan de formación y concienciación
- Realizará un seguimiento de su ejecución
- Evaluará sus resultados
- Asegurará la trazabilidad de las sesiones impartidas
- Obtendrá evidencias con sellado de tiempo de las sesiones impartidas.
El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos de ASCIRES, siendo las consecuencias del incumplimiento de la Política de seguridad las que se establezcan en la normativa en vigor en cada momento.
14 TERCERAS PARTES
Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, la cual está publicada en la web y sede de ASCIRES. Se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Además de las exigencias legales en materia de seguridad, ASCIRES está obligada también a cumplir los requisitos específicos de seguridad que le exijan sus clientes y proveedores en relación con la información a la que accedan en virtud de sus relaciones contractuales con ellos.
ASCIRES realizará y mantendrá actualizado un mapa de obligaciones contractuales en el que se identificará y priorizarán las obligaciones relacionadas con la seguridad de la información confidencial y los datos personales a los que accede o trate.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.
ASCIRES comprobará periódicamente que las obligaciones contractuales asumidas en materia de seguridad están integradas en esta política de seguridad o en las normas y procedimientos que la desarrollan. En caso contrario, se realizará esta integración.
15 REVISIÓN Y APROBACIÓN DE LA POLÍTICA
El presente documento ha sido aprobado el 10/01/2023.
Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
Será revisada por el Responsable de Seguridad a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, de acuerdo con el artículo 13 del ENS.
Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.
16 ANEXO A. GLOSARIO DE TÉRMINOS
- Análisis de riesgos: Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
- Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Ley Orgánica 3/2018 de Protección de Datos de carácter Personal y Garantía de Derechos Digitales y Reglamento (UE) 679/2016.
- Gestión de incidentes: Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.
- Gestión de riesgos: Actividades coordinadas para dirigir y controlar una ASCIRES con respecto a los riesgos. ENS.
- Incidente de seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la seguridaddel sistema de información. ENS.
- Información: Caso concreto de un cierto tipo de información.
- Política de seguridad: Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una ASCIRES gestiona y protege la información y los servicios que consideran críticos. ENS.
- Principios básicos de seguridad: Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.
- Responsable de la información: Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
- Responsable de la seguridad: El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
- Responsable del servicio: Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
- Responsable del sistema: Persona que se encarga de la explotación del sistema de información.
- Servicio: Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
- Sistema de información: Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. ENS.