A. Esquema Nacional de Seguridad (ENS)

Fecha: 02/03/2022
Versión: 1.2
Revisado: Responsable de seguridad

1. Introducción

Esta Política de Seguridad sigue las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional (CCN), centro adscrito al Centro Nacional de Inteligencia (CNI), se elabora en cumplimiento de la exigencia del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación para las Administraciones Públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir.

La adaptación al ENS implica que INFORMÁTICA MÉDICO FARMACÉUTICA S.L y su personal deben aplicar las medidas mínimas de seguridad exigidas por el propio ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Las diferentes unidades de gestión de INFORMÁTICA MÉDICO FARMACÉUTICA S.L deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Los requisitos de seguridad y los costes asociados deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Las unidades de gestión de INFORMÁTICA MÉDICO FARMACÉUTICA S.L deben estar preparadas para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

1.1 Prevención

INFORMÁTICA MÉDICO FARMACÉUTICA S.L debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la organización debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, se debe monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3 Respuesta

INFORMÁTICA MÉDICO FARMACÉUTICA S.L debe:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar puntos de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con INFORMÁTICA MÉDICO FARMACÉUTICA S.L.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional como Iris-CERT, CCN-CERT y otros equivalentes.

1.4 Recuperación

Para restaurar la disponibilidad de los servicios, se deberán desarrollar planes de contingencia de los sistemas TIC que incluyan actividades de recuperación de la información que contribuyan a la continuidad del servicio.

2. Misión

IMF tiene como misión prestar servicios de desarrollo, implantación y soporte de aplicaciones para administraciones públicas y privadas en la búsqueda de la mejora en los procesos en onco-hematología, lo cual se traduce en una mejora en la atención a los pacientes.

3. Alcance

IMF aplicará la presente Política de Seguridad sobre aquellos sistemas que están relacionados con el ejercicio de desarrollo de las aplicaciones utilizadas por las administraciones públicas y que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.

De forma concreta, atendida la misión de IMF definida en el punto 2, la presente Política de Seguridad es aplicable sobre las TIC y Servicios que conforman el soporte al desarrollo, implantación de la aplicación Farmis_Oncofarm®.

La organización desestima la aplicación de la presente Política de Seguridad sobre aquellos sistemas de información no reflejados en este apartado.

4. Marco normativo complementario

En el desarrollo e implementación de esta política se tendrán en cuenta los Estatutos de IMF, así como sus normativas de desarrollo relacionadas con los objetivos del mismo.

5. Organización de la seguridad

Pueden distinguirse tres (3) niveles en el organigrama de INFORMÁTICA MÉDICO FARMACÉUTICA S.L:

  • Nivel 1 – Dirección general:
  • Secretario General, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde que se alcancen.
  • Nivel 2 – Dirección Ejecutiva:
  • Servicios, que entienden qué hace cada unidad de gestión y cómo las diferentes unidades se coordinan entre sí para alcanzar los objetivos marcados por la Dirección.
  • Nivel 3: Operacional
  • Se centra en una actividad concreta y controla cómo se hacen las cosas.

Siguiendo el mismo esquema y de acuerdo con el ENS se estructura un organigrama de seguridad de INFORMÁTICA MÉDICO FARMACÉUTICA S.L en 3 niveles:       

  • Nivel 1:
  • Comité de Seguridad Corporativa (CSO)
  • Comité de seguridad de la información (CISO)
  • Responsable de la Información.
  • Responsable del Servicio
  • Nivel 2:
  • Responsable de la Seguridad de la Información.
  • Nivel 3:
  • Técnico de Seguridad de los Sistemas.
  • Responsables de los Sistemas de Información.

La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2) y al técnico de seguridad (nivel 3).

Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1). Este Comité de Seguridad puede asumir también la responsabilidad de la Información y de los Servicios.

La descripción concreta de las responsabilidades puede consultarse en el documento: SGSI06-Roles y Responsabilidades

5.1 Procedimientos de designación

El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se han vinculado a ellas. En el caso de que desapareciese o cambiará de denominación alguno de estos cargos será competencia del Director Gerente de INFORMÁTICA MÉDICO FARMACÉUTICA S.L asignar el nuevo puesto al que quedará vinculada la figura.

6. Datos de carácter personal

IMF realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016. 

Las políticas de seguridad aplicables a estos tratamientos se rigen por el Registro de Tratamiento de Datos Personales de IMF; en él se relacionan los tratamientos de datos afectados por el Reglamento.

Todos los sistemas de información de IMF se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.

7. Gestión de riesgos

Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambie la información manejada.
  • Cuando cambien los servicios prestados.
  • Cuando ocurra un incidente grave de seguridad.
  • Cuando se reporten vulnerabilidades graves.

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información gestionados y los diferentes servicios prestados.

8. Desarrollo de la Política de Seguridad

Esta Política se desarrolla por medio de Normativa de Seguridad que afronte aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

Otros documentos que complementan esta Política de Seguridad son:

  • El Registro de Tratamiento de Datos Personales de IMF.
  • Normativa de seguridad y política de seguridad del SGSI de IMF.

La normativa de seguridad estará disponible en la intranet de IMF.

9. Obligaciones del personal

Todos los miembros de IMF tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados, teniendo en cuenta siempre las disponibilidades presupuestarias de IMF.

Todos los trabajadores de IMF bajo el alcance del ENS atenderán a una acción de concienciación en materia de seguridad TIC, al menos, una vez cada dos años. Se establecerá un programa de acciones para la concienciación continua, para atender a todos los miembros de IMF relacionados con desarrollos de aplicaciones vinculadas con la administración pública, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias de IMF. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y de manera continuada para el personal de nueva incorporación.

En su caso, si se requiere formación específica para el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su trabajo.

10. Terceras partes

Cuando IMF preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información. Para ello, se establecerán canales para información y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando IMF utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que implique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa. Con ello, el proveedor deberá garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos de IMF.

11. Entrada en vigor

La presente Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de IMF y hasta que sea reemplazada por una nueva Política.



B. Política de Seguridad

Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, INFORMÁTICA MÉDICO FARMACÉUTICA S.L (IMF), está altamente comprometida con mantener un servicio competitivo a través de ofrecer un modelo de negocio responsable, basado en la búsqueda permanente del equilibrio económico, social y ambiental, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada.

En consecuencia, IMF define los siguientes principios en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Confidencialidad: la información tratada por IMF será conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados.
  • Integridad: la información tratada por IMF será completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación.
  • Disponibilidad: la información tratada por IMF estará accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
  • Legalidad: IMF garantizará el cumplimiento de toda legislación o requisito contractual que sea de aplicación. Y en concreto, la normativa en vigor relacionada con el tratamiento de datos de carácter personal.

IMF para el correcto desempeño de sus funciones de negocio se basa y ayuda del tratamiento de diferentes tipos de datos e información, sustentados por los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyendo estos, uno de los activos principales de IMF. De tal manera que el daño o pérdida de los mismos inciden en la realización de sus servicios y pueden poner en peligro la continuidad de la organización. Para que esto no suceda, se ha diseñado una Política de Seguridad de la Información cuyos fines principales son:

  • Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
  • Paliar los efectos de los incidentes de seguridad.
  • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
  • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
  • Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
  • Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
  • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
  • Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
  • Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de IMF.
  • Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
  • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización.
  • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
  • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.

La Dirección de IMF asume la responsabilidad de apoyar y promover el establecimiento de las medidas organizativas, técnicas de control necesarias para el cumplimiento de la presente Política de Seguridad de la Información. Así como, de proveer aquellos recursos que sean necesarios para resolver con la mayor rapidez y eficacia posible, las no conformidades e incidentes de seguridad de la información que pudiesen surgir, y la puesta en funcionamiento de las medidas necesarias para que estas no vuelvan a ocurrir. 

Esta Política será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos de la organización. A este efecto se revisará de forma planificada o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta IMF se establece un procedimiento de evaluación de riesgos formalmente definido.

Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección de IMF.