Política de Seguridad de la Información

OBJETO

El objetivo de esta política es establecer el marco para proteger y gestionar, de forma adecuada y conforme al Sistema de Gestión de Seguridad de la Información (SGSI) de Fundación Hospitalarias, todos los activos de esta, especialmente los servicios e información.

En particular, esta política garantiza la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los sistemas de información que dan soporte a los servicios centrales gestionados por el Área de Sistemas de Fundación Hospitalarias. 

ÁMBITO DE APLICACIÓN

Esta política de Seguridad de la Información se aplica a las instalaciones y a todas las unidades de gestión de la Fundación Hospitalarias, siendo de obligatorio cumplimiento por el personal interno y externo. 

Esta política se enmarca en el ámbito de los sistemas de información que dan soporte a los servicios centrales gestionados por el Área de Sistemas de Fundación Hospitalarias, especialmente a los servicios de:

  • Gestión del Puesto de Trabajo.
  • Service Desk y Gestión de Incidencias.
  • Servicio Integral de Infraestructura y Comunicaciones.
  • Desarrollo, integración, implantación y mantenimiento de aplicaciones que respaldan la prestación asistencial.

MISIÓN Y OBJETIVOS

Fundación Hospitalarias, consciente del compromiso con las partes interesadas y la importancia de la seguridad integral, ha establecido un Sistema de Gestión de Seguridad de la Información basado en la Norma ISO 27001 en su versión vigente. Los objetivos principales son:

  • Garantizar la seguridad, fiabilidad y conformidad de los servicios y productos.
  • Cumplir con la legislación aplicable y requisitos normativos.
  • Mantener la continuidad del negocio incluso en situaciones adversas.
  • Integrar la seguridad física y lógica.
  • Proteger la disponibilidad de los servicios y la confidencialidad, integridad, trazabilidad y autenticidad de la información.
  • Establecer una estructura de seguridad corporativa efectiva.
  • Formar y concienciar al personal en materia de seguridad.
  • Proteger los activos de información material y no material en beneficio de la fundación y de las partes interesadas.
  • Mejorar de forma continua.

ORGANIZACIÓN, ROLES Y RESPONSABILIDADES 

Fundación Hospitalarias cuenta con un Comité de Seguridad de la Información que destinará los recursos necesarios para implementar las medidas de seguridad necesarias, así como aquellas resultantes de los análisis de riesgos e impacto en el negocio. 

Este Comité de Seguridad de la Información está integrado por:

  • Dirección.
  • Responsable de la información.
  • Responsable Servicio.
  • Responsable de Seguridad.
  • Responsable de Sistemas de Gestión.
  • Responsable del Sistema.
  • Delegado de Protección de Datos.

Como parte de los roles y responsabilidades se cuenta con el Responsable de seguridad, que cuenta entre sus responsabilidades con el desarrollo de esta política y del control y seguimiento de las medidas en seguridad establecidas por la Fundación. Estos controles incluyen: 

  • Monitorear y controlar cambios significativos en la exposición de los activos de información a amenazas importantes.
  • Revisar y realizar un seguimiento del propio sistema.
  • Proponer y evaluar iniciativas para promover la mejora continua en seguridad de la información.
  • Garantizar que la seguridad sea parte del proceso de planificación en los sistemas de información. 

Igualmente, el Responsable de seguridad analiza las incidencias de seguridad y propone las medidas adicionales oportunas. 

PRINCIPIOS

Fundación Hospitalarias establece los siguientes principios a cumplir tanto por personal interno como externo. 

Cumplimiento de requisitos legales y contractuales. 

Esta política está establecida para gestionar la seguridad de la información de conformidad con las leyes y regulaciones relevantes en seguridad de la información, privacidad de datos y derechos de propiedad intelectual.

Enfoque basado en riesgos 

La implementación de esta política en la Fundación Hospitalarias se realiza con un enfoque orientado a la gestión de riesgos. Se evalúan los activos y los sistemas de información para evaluar el impacto y la importancia para los procesos de negocio de la Fundación Hospitalarias. El enfoque basado en riesgos incluye la evaluación de las amenazas que pueden comprometer estos activos, la probabilidad de materializarse y el impacto en el negocio.

La Fundación Hospitalarias adoptará las medidas de seguridad para mantener aceptable el riesgo asociado a la información y cumplir con los marcos normativos y regulatorios que le sean de aplicación.

Los riesgos que se derivan del tratamiento de los datos personales son gestionados por el Delegado de Protección de Datos. 

Clasificación de la información 

La información en Fundación Hospitalarias se clasifica para garantizar que la información confidencial esté protegida contra el uso y la divulgación no autorizados y para facilitar la identificación de la información.

Propiedad de la información y responsabilidades 

La información es un activo clave en la Fundación Hospitalarias. Todas las instalaciones, equipos y activos intangibles (por ejemplo, software, información, independientemente del medio en el que se encuentre la información) tienen un propietario claramente identificado. El responsable de la información definirá y revisará periódicamente la clasificación de los elementos de información.

El Responsable de la información autorizará el acceso a la información según el principio de "necesidad de saber", manteniendo actualizada la lista de autorización. El propietario de la información debe aprobar (de acuerdo con el desarrollo de esta Política) cualquier sistema que administre la información de la que es responsable: 

  • antes de su operación, y
  • una vez que verifique que el sistema cumple con todos los aspectos de la seguridad de la información, incluidas cláusulas de seguridad y confidencialidad. 

La información manejada por terceros debe seguir esta Política. El propietario de la información deberá fijar el acuerdo correspondiente que incluirá todos los aspectos de la seguridad de la información, incluyendo cláusulas de seguridad y confidencialidad en el caso de subcontratación.

Acceso a la Información, privilegios mínimos 

El acceso a los sistemas de información se realiza según la regla de "necesidad de saber". El acceso a la información se otorga después y sólo después de la autorización del Responsable de la información. El acceso a la información solo debe otorgarse cuando la persona esté informada de sus responsabilidades y tenga la "necesidad de saber" para realizar sus tareas.

Revisión de la política 

Esta política es un documento vivo. Por tanto, se revisa para garantizar que: 

  • Es adecuada al propósito de Fundación Hospitalarias.
  • La Fundación Hospitalarias mantiene su compromiso con la mejora continua del Sistema de Gestión de Seguridad de la Información.
  • La Fundación Hospitalarias cumple con los requisitos legales y reglamentarios.
  • Está alineada y responde a los resultados del análisis de riesgos actualizado. 

Esta política se revisa cuando ocurren cambios significativos en los requisitos y en el contexto interno y externo (por ejemplo, regulaciones, cambios tecnológicos) y siempre que el Responsable de seguridad lo recomiende. Se programarán revisiones periódicas al menos anuales. 

Igualmente, los procedimientos e instrucciones derivados de la política y el resto de las políticas del sistema de gestión se revisan periódicamente. Toda la documentación del sistema de gestión de seguridad de la información está publicada en el gestor documental de la Fundación Hospitalarias donde se establece su periodicidad de revisión.

INCUMPLIMIENTOS DE LA POLÍTICA DE SEGURIDAD. PROCESO DISCIPLINARIO 

Cada profesional de la Fundación Hospitalarias, personal externo autorizado, personal usuario de sistemas de la Fundación Hospitalarias y/o personal usuario de infraestructuras es responsable de cumplir la política de seguridad aprobada y el resto de las políticas y los procedimientos e instrucciones relacionadas. 

El incumplimiento de las disposiciones puede estar sujeto a una investigación y a las medidas disciplinarias apropiadas. Las infracciones de la legislación aplicable pueden ser perseguidas legalmente.

 

El Director de Organización y Sistemas en nombre del Comité de Seguridad de la Información.