Política de Seguridad de la Información

RIBERA SALUD TECNOLOGÍAS, S.L.U. (en adelante, FUTURS), dispone de una Política de Seguridad de la Información aprobada por la Dirección.

1. Objeto.

Definir las directrices en materia de seguridad de la información y poner de manifiesto el compromiso de la Dirección de FUTURS en este ámbito.

Es fundamental que todos los empleados de FUTURS que utilizan equipamiento informático y accedan o traten información para la realización de sus funciones y tareas sean conocedores de esta política.

Con este documento se pretende definir la normativa aplicable por parte de los usuarios de los Sistemas de Información de FUTURS, desde las distintas sedes, posibilitando la homogeneización de criterios dentro de sus unidades administrativas y definiendo unas reglas de uso que deberán ser conocidas y observadas por todos los usuarios.

2. Alcance.

Esta política es de aplicación y de obligado cumplimiento para todo el personal que, de manera permanente o eventual, preste sus servicios en la Organización, incluyendo el personal de organizaciones externas, cuando sean usuarios o posean acceso a los Sistemas de Información propiedad de la Organización.

3. Normativa.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en los que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Documentos y Guías CCN-STIC.
NIST Cybersecurity Framework.
ISO 27001. Sistema de Gestión de la Seguridad de la Información (SGSI).
ISO 27002. Código de buenas prácticas para la Gestión de la Seguridad de la Información.
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.
Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

4. Definición de la Política.
4.1. Misión

La misión de FUTURS es mejorar e innovar la tecnología asociada a la sanidad para conseguir unos mejores niveles de salud y bienestar de las personas. Para ello, se desarrolla la tecnología que ayuda a la mejora de la atención sanitaria y la excelencia asistencial.

FUTURS considera que es fundamental garantizar la seguridad de la información en todas sus vertientes (integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad) así como la seguridad de los procesos, infraestructuras, personas y otros recursos que participan en la prestación de los servicios.

En el contexto actual, es especialmente relevante la protección de la información corporativa y de los elementos que la tratan. Estos activos son críticos para la organización, por lo que se deben mantener razonablemente a salvo de cualquier amenaza que pueda suponer un riesgo para ellos. La seguridad de la información se debe garantizar atendiendo en todo momento a los principios legales, organizativos y técnicos correspondientes.

Por lo tanto, proteger la información y mantener su seguridad se convierte en un objetivo global que debe ser marcado como propio por todos y cada uno de los miembros de la organización. De esta forma, todos y cada uno de nosotros debemos conocer y cumplir con la Política de Seguridad de la Información, los procedimientos, normas, estándares y recomendaciones que la implantan.

Con este fin, se establecen los siguientes principios básicos de la Política de Seguridad de la Información de FUTURS:

Cumplir los requisitos legales y contractuales aplicables al desarrollo de sus funciones en la organización. En especial, y a efectos de esta política, en materias relacionadas con la protección de datos de carácter personal y de la información corporativa y con la continuidad de los procesos de negocio.
Restringir el uso tanto de la información en sí como de los sistemas que la procesan y que son propiedad de FUTURS, a aquellas tareas necesarias para el correcto desempeño del trabajo de cada empleado. Por ello, no se permite el uso en beneficio particular de ningún activo.
Mantener el secreto respecto a la información de la entidad y no divulgarla a terceros. Como excepción, será posible comunicarla en aquellos casos que resulte imprescindible por motivos del negocio, y siempre bajo las pertinentes medidas de seguridad.
Crear y mantener un Sistema de Gestión de Seguridad de la Información compuesto por las políticas, normas, procedimientos y pautas necesarias para trasladar los requisitos en materia de seguridad a las distintas áreas de la organización con el fin de proteger la información y los activos de FUTURS.
La Dirección de FUTURS se compromete a adoptar las medidas necesarias para implantar, mantener y mejorar de forma continua la seguridad de la información, así como cumplir con los requisitos aplicables a la seguridad de la información. Para ello, se hace pública esta Política de Seguridad de la Información, comunicándola internamente a toda la organización y poniéndola a disposición de las partes interesadas.
Además, garantizará que en materia de seguridad de la información se cumplirá con las recomendaciones de protección descritas en el Anexo II del ENS, de acuerdo con la categorización del Sistema, realizada en base al marco establecido en el artículo 43 y los criterios definidos en el Anexo I del ENS, y teniendo en cuenta los siguientes principios básicos:

Seguridad como proceso integral: La seguridad en FUTURS es un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.
Gestión de la seguridad basada en los riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad y se mantendrá permanentemente actualizado
Prevención, detección, respuesta y conservación: La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan. Supondrá un deber de protección del patrimonio digital de FUTURS.
Existencia de líneas de defensa: El sistema dispondrá de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita, ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse, reducir la probabilidad de que el sistema sea comprometido en su conjunto, minimizar el impacto final sobre el mismo.
Reevaluación periódica: Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
Diferenciación de responsabilidades: en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad, fijando roles y responsabilidades.

4.2. Proceso de aprobación y revisión

La Política de Seguridad de la Información es un documento que será aprobado formalmente por la Dirección de FUTURS y tendrá carácter imperativo sobre toda la organización. La revisión anual de esta política será misión del Comité de Seguridad de la Información.

4.3. Datos de carácter personal

FUTURS trata datos de carácter personal. El Registro de Actividades del Tratamiento detalla los tratamientos afectados y los responsables correspondientes, así como las medidas de seguridad adoptadas derivadas de la evaluación de impacto y análisis de riesgos realizado sobre los tratamientos.

4.4. Organización de la Seguridad

Conforme al principio básico de seguridad de función diferenciada y tal como indica el artículo 12 del ENS, la seguridad deberá comprometer a todos los miembros de la organización.

Con ese objetivo se establecen los siguientes roles y comités en la organización relacionados con la Seguridad de la Información:

Comité de Seguridad de la Información: se responsabiliza de alinear las actividades de la organización en materia de seguridad de la información y está formado por:

CEO
Responsable de Seguridad CISO
Representante de Operaciones
Representante de Consultoría IT
Representante de Compliance
Delegado de Protección de Datos DPO.

Comité de Crisis: encargado de asegurar que el Plan de Continuidad de Negocio esté alineado con las estrategias de la organización y que están involucradas todas las áreas dentro del alcance del plan.
Responsable de Seguridad de la Información: encargado de determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Responsable del Sistema: encargado de explotar el sistema de información y asegurar la ejecución de medidas para su protección.
Responsable de Información y de Servicio: encargado de determinar los niveles de seguridad de los servicios prestados y los niveles de seguridad de la información.
Delegado de Protección de Datos: debe supervisar el cumplimiento del reglamento y cooperar con la Agencia Española de Protección de datos.

4.4.1 Comité de Seguridad de la Información

Las funciones del Comité de Seguridad de la Información son:

Atender las inquietudes de la Dirección de la entidad y de los diferentes departamentos e informar regularmente del estado de la seguridad de la información.
Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, que están alineados con la estrategia decidida en la materia, evitando duplicidades.
Revisión y aprobación de la Política de Seguridad de la Información.
Control de los cambios que afectan la valoración de los activos y de la información de la Organización.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios, desde el punto de vista de seguridad de la información.
Revisión y monitorización de los incidentes de Seguridad de la Información.
Elaborar la estrategia de evolución de la organización en lo que respecta a seguridad de la información.
Control de métricas de Seguridad.
Revisar los resultados de la apreciación de riesgos y actualizar el Plan del Tratamiento de Riesgo (Acciones que conduzcan a la mejora de la Seguridad).
Asumir la propiedad de los riesgos.
Aceptar los planes de tratamiento de los riesgos y aceptar el riesgo residual remanente tras aplicarlos.
Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Aprobar el plan de mejora de la seguridad, con su dotación presupuestaria correspondiente.

4.4.2. Comité de Crisis

Las funciones del Comité de Crisis son:

Decidir qué situaciones escalan a contingencia y/o desastre.
Coordinar la respuesta ante los incidentes de mayor gravedad (contingencias y desastres).
Aprobar el plan de pruebas y las modificaciones propuestas del PCN.
Supervisar la realización de pruebas, mantenimiento y actualización del PCN.
Determinar los tiempos de respuesta y prioridad de las acciones propuestas en el PCN.

4.4.3 Responsable de Seguridad de la Información

Las funciones del Responsable de Seguridad de la Información son:

Promover y participar en el desarrollo e implantación de la Política de Seguridad de la Información, normativas, procedimientos, estándares y directrices asociados a la seguridad de la información conforme a los requisitos de las normas de seguridad de la información aplicables.
Gestionar la Seguridad de la Información en línea con las directrices generales que emanan de la Política de Seguridad.
Elaborar el documento de Declaración de Aplicabilidad.
Asegurar que el Sistema de Gestión de Seguridad de la Información es conforme con los requisitos establecidos en los estándares de seguridad escogidos por el Comité de Seguridad de la Información.
Realizar, periódicamente, auto-evaluaciones que analicen la seguridad por si procediera proponer modificaciones en los controles de seguridad establecidos.
Identificar qué Leyes, Normativas o Reglamentos pueden tener incidencia, en términos de seguridad de la información, con el fin de evaluar su impacto y proponer las medidas que resulten de aplicación. El Responsable de Seguridad buscará, cuando proceda, asesoramiento en terceros.
Participar activamente en el diseño de un Sistema de Gestión de la Seguridad de la Información.
Documentar los usos autorizados de los sistemas de información de FUTURS para su aprobación por parte del Comité de Seguridad.
Contribuir al diseño de acciones de concienciación y sensibilización relativas a la seguridad y dirigidas a todo el personal.
Revisar periódicamente la efectividad de los controles implantados en la infraestructura tecnológica.
Establecer canales de comunicación con los diferentes agentes que intervienen en la Seguridad de la Información de FUTURS. De manera especial con los administradores de los sistemas, técnicos de seguridad y responsables de seguridad física.
Colaborar en el inicio de proyectos relacionados con la Seguridad de la Información, promoviendo aquellos que pudieran cubrir las necesidades de FUTURS. Acordar mecanismos y procedimientos específicos para proveer la seguridad requerida en cada sistema.
Escalar cualquier conflicto o aspecto no resuelto que afecte a varias áreas o departamentos al Comité de Seguridad de la Información.
Constituir el punto de contacto especializado para la coordinación con el CSIRT de referencia.
Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
Realizar periódicamente un análisis de riesgos que permita la identificación del nivel de exposición (vulnerabilidades) frente a las amenazas que afecten a FUTURS, identificar las opciones o líneas de actuación que permitan reducir los riesgos a un nivel aceptable.
Aportar su visión en la definición de una metodología de análisis de riesgos.
Colaborar en la definición un plan de gestión del riesgo para la gestión y mejora continua de la seguridad de la información.
Realizar recomendaciones, en el ámbito de su responsabilidad, al Comité de Seguridad de la Información.
Informar a la dirección sobre el comportamiento del Sistema de Gestión de Seguridad de la Información.
Informar a la dirección sobre el resultado de las auditorías.
Verificar que los esfuerzos en materia de seguridad de la información son consistentes en toda la organización identificando duplicidades o áreas no cubiertas.
Revisar la efectividad de los planes de concienciación y sensibilización del personal en materia de seguridad de la información.
Actuar como contacto de referencia en FUTURS en aspectos relacionados con la seguridad de la información.
Presentar los resultados del análisis de riesgos al Comité de Seguridad de la Información.
Comunicar al Comité de Seguridad los incidentes relevantes que pudieran comprometer la seguridad de la información de FUTURS.
Analizar y proponer salvaguardas que prevengan incidentes similares en el futuro.

4.4.4. Responsable del Sistema

Las funciones del Responsable del Sistema son:

Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
Generar, mantener y asegurar el cumplimiento de los procedimientos operativos de seguridad.
Elaborar los planes de mejora de seguridad y los planes de continuidad.
Comprometerse con el cumplimiento y seguimiento de los planes de continuidad.
Evitar la suspensión temporal de servicio asegurando siempre que sea posible la máxima disponibilidad de los sistemas.
Supervisar y planificar la implantación de las salvaguardas en el sistema.
Decidir la suspensión del tratamiento de información si aprecia deficiencias graves pero la decisión final es toma por la Alta Dirección.
Delegar funciones, pero no responsabilidad.
Aplicar la configuración de seguridad que ha escogido el Responsable de la Seguridad de la Información.
Monitorizar el estado de la seguridad de los sistemas.
Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los Sistemas bajo su responsabilidad.
Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves.
Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad de estos.
Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
Investigar los incidentes determinando el modo, los medios, los motivos y el origen del incidente.
Planificar la implantación de las salvaguardas en el sistema.
Ejecutar el plan de seguridad aprobado.

4.4.5. Responsable de Información y de Servicio

Las funciones del Responsable de Información y de Servicio son:

Determinar los niveles de seguridad requeridos para cada dimensión que conforman la categorización del sistema.
Aceptación del riesgo residual de la información y del Servicio.
Asumir la responsabilidad última de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información), sin eximir la responsabilidad que recaiga en la Alta Dirección.

4.4.6. Delegado de Protección de Datos

Las funciones del Delegado de Protección de Datos son:

Cumplimiento de principios relativos al tratamiento.
Identificación de las bases jurídicas de los tratamientos.
Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por el RGPD.
Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que la justifiquen.
Diseño e implantación de políticas de protección de datos.
Establecimiento y gestión de los registros de actividades de tratamiento.
Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades.
Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
Realización de evaluaciones de impacto sobre la protección de datos.
Relaciones con las autoridades de supervisión.
Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

4.4.7. Procedimiento de designación y renovación

Los distintos responsables del ENS serán designados por la Alta Dirección de FUTURS. Se nombrarán y documentarán en las actas de reunión las nuevas designaciones y renovaciones periódicamente cada dos años o de acuerdo a las necesidades de la organización o cada dos años y siguiendo el principio de separación de funciones.

Las medidas de seguridad a aplicar a los datos de carácter personal se corresponden con las previstas en el ENS.

Todos los sistemas de información de FUTURS se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades de Tratamiento.

4.4.8. Mecanismo de coordinación y resolución de conflictos

Para la correcta coordinación de la organización de la seguridad entre los responsables se debe establecer una jerarquía, en esta se pueden distinguir los siguientes niveles:

Órganos de Gobierno: determinan los objetivos a los que FUTURS se propone alcanzar y responde a que se alcancen.
Dirección Ejecutiva: comprenden las necesidades de los departamentos y cómo se coordinan entre sí para alcanzar los objetivos propuestos por la Dirección.
Operaciones: se centran en realizar y gestionar las actividades.

La jerarquía a la que deben atender los responsables es la siguiente:

Nivel	Órgano
1 – Gobierno	Comité de Seguridad
2 – Ejecutivo	Responsable de Seguridad Responsable de Información y de Servicio
3 – Operaciones	Responsable del Sistema

En caso de que los responsables encargados de la organización de la seguridad de FUTURS no sean capaces de establecer un objetivo, misión o conclusión en común, con el fin de evitar conflictos y preservar el buen clima de FUTURS, se deberá resolver la situación en el orden jerárquico indicado.

4.5. Gestión de Riesgos

Todos los sistemas afectados por esta Política de Seguridad de la Información están sujetos a un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se revisará periódicamente de forma anual o cuando se de alguna de estas circunstancias: cambie la información manejada, cambien los servicios prestados, suceda un incidente grave de seguridad o se detecten vulnerabilidades graves.

4.6. Gestión de Personal

4.6.1. Obligaciones del personal

Todos los miembros de FUTURS tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información de disponer los medios necesarios para que la información llegue a los afectados. Para ello, esta política estará disponible en el sitio web de FUTURS y, al menos una vez al año, se recordará a todo el personal, ya sea de forma presencial u on-line, la necesidad de su conocimiento y cumplimiento y se notificará cualquier cambio que se haya producido. Asimismo, se establecerá un programa de concienciación continua para atender a todos los miembros de FUTURS, en particular, a los de nueva incorporación.

El no cumplimiento de la presente política de seguridad, directrices o legislación aplicable en cada caso provocará la adopción de las correspondientes medidas legales o disciplinarias, definidas por la entidad.

4.6.2. Concienciación y formación

El personal de FUTURS recibirá la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios de FUTURS.

El objetivo es lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de FUTURS y a todas las actividades, de acuerdo al principio de Seguridad Integral recogido en el artículo 5 del ENS, así como la articulación de todos los medios necesarios para que todas las personas que intervienen en proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren.

4.7. Profesionalidad

La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

Se hace necesario que, de manera objetiva y no discriminatoria, las organizaciones que presten servicios de seguridad de FUTURS cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.

4.8. Autorización y control de acceso

El acceso a los sistemas de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad.

4.9. Protección de las instalaciones

Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Por ello, en primer lugar, se ha de establecer un perímetro físico de seguridad que proteja la información de la organización para prevenir incidencias, y garantizar el funcionamiento del resto de medidas.

El acceso a los locales, mediante vías de acceso autorizadas y controladas, barreras arquitectónicas como paredes o ventanas, elementos adicionales como áreas de descarga controladas, debe ser gestionado para proteger las zonas que contienen instalaciones informáticas o permiten el acceso a las mismas.

Dentro del perímetro de seguridad, se deben identificar las ubicaciones que almacenan soportes que puedan contener datos confidenciales o especialmente protegidos, estas ubicaciones dispondrán de una identificación personal de los usuarios que permita validar si disponen de autorización para su acceso.

Se deben validar las medidas de seguridad físicas de acceso al perímetro de seguridad, compuestas por puertas, cerraduras, alarmas, vigilancia y formalizarlas en instrucciones de acceso a los locales, que deberán ser comunicadas a todo el personal.

4.10. Adquisición de productos de seguridad y contratación de servicios de seguridad

En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones, así como, de seguridad física, que vayan a ser utilizados por FUTURS se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, y se velará por que se contemple en los pliegos contractuales,

La certificación indicada deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

4.11. Seguridad por defecto

Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto:

El sistema proporcionará la mínima funcionalidad requerida para que la organización sólo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional.
Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.
En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue.
El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

4.12. Integridad y actualización del sistema

Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema.

Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación con las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

4.13. Protección de la información almacenada y en tránsito

En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros. Tendrán la consideración de entornos inseguros los siguientes dispositivos: equipos portátiles, tablets, dispositivos periféricos, soportes de información (pendrive, disco duro) y comunicaciones sobre redes abiertas o con cifrado débil.

Forman parte de la seguridad los procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos por el CIT en el ámbito de sus competencias.

Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de la información electrónica, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello se aplicarán las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicación a la seguridad de estos.

4.14. Prevención ante otros sistemas de información interconectados

El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas. Se entenderá por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, o a través de redes, con otros sistemas, y se controlará su punto de unión.

4.15. Registro de la actividad y detección de código dañino

Con la finalidad exclusiva de lograr el cumplimiento del objeto del Real Decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

4.16. Incidentes de seguridad

FUTURS dispondrá de procedimientos de gestión de incidentes de seguridad de acuerdo con lo previsto en el artículo 33, la Instrucción Técnica de Seguridad correspondiente.

Asimismo, se dispondrá de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.

4.17. Continuidad de la actividad

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

4.18. Mejora continua del proceso de seguridad

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

4.19. Directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso

FUTURS dispone de un Sistema de Gestión de Seguridad de la Información (SGSI) de obligado cumplimiento que se desarrollará en cuatro niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada documento de un determinado nivel de desarrollo se fundamente en los documentos de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

Primer nivel normativo: Política de Seguridad de la Información. Documento de obligado cumplimiento por todo el personal, interno y externo, de FUTURS, recogido en el presente documento y aprobada por la Alta Dirección
Segundo nivel normativo: normas de seguridad de la información. Donde se detallan los requerimientos de seguridad que se declaran de obligado cumplimiento.
Tercer nivel normativo: procedimientos de seguridad de la información. Donde se detalla de forma específica los pasos a seguir para llevar a cabo una actividad o un proceso.
Cuarto nivel normativo: informes, registros y evidencias. Documentación existente que evidencia la correcta ejecución de tareas identificadas en los procedimientos.

El SGSI se encuentra disponible dentro de un sistema de gestión documental.

El contenido, formato, estructura y codificación que se deben aplicar en la documentación generada por los profesionales de FUTURS se indica en la norma interna Gestión y Control Documental y esta nueva documentación debe ser aprobada por el responsable de departamento.

La eficacia y posibilidad de mejora de las directrices y los controles implantados en FUTURS vienen determinados por el correcto funcionamiento del Sistema de Gestión a través del modelo PDCA (Plan, Do, Check, Act) detallado en la norma interna Mejora Continua.

Los profesionales sólo tendrán acceso a la documentación necesaria para el correcto desempeño de sus funciones asignadas, como indica el procedimiento interno Control de Accesos.

4.20. Régimen disciplinario

La Política de Seguridad debe ser leída, comprendida y aplicada en su integridad por todas las personas incluidas en su ámbito de aplicación. Nadie, independientemente de su nivel o posición, está autorizado para solicitar que un profesional cometa un acto ilegal o que contravenga lo establecido en la presente política.

Se considera un incumplimiento de sus obligaciones por parte del profesional, susceptible de ser sancionado, la inobservancia de las directrices descritas en esta Política de Seguridad o de las normas y procedimientos que la desarrollan contenidos en este documento. En caso de tratarse de un incumplimiento por parte de un proveedor o tercero, este se gestionará dentro de la relación contractual con el proveedor.

El incumplimiento de cualquier obligación establecida en la presente Política o de la normativa interna y externa, podrá ser objeto de investigación, documentación y reporte al órgano interno competente según el caso y de acuerdo con la legislación vigente de aplicación. En base al resultado de las investigaciones, se podrán adoptar medidas disciplinarias, que en todo caso respetarán los principios de audiencia, contradicción y proporcionalidad.

La valoración de las consecuencias del incumplimiento para el infractor, y las medidas que se vayan a adoptar, serán tomadas de conformidad con la legislación aplicable en cada caso, sin perjuicio de aquellas medidas administrativas o penales que, en su caso, puedan también ser de aplicación.

4.21. Terceras partes

Cuando FUTURS utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información.

Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de Información y de Servicio antes de seguir adelante.

—

Última actualización: Octubre de 2022

—

Mapa Web

Home

Misión, Visión y Valores

Nosotros

Actualidad

Contacto

Trabaja con nosotros

Legal

Aviso Legal

Política de Privacidad

Política de Cookies

Política de Calidad

Política de Seguridad

Dirección

info@futurshealth.com

Calle Santiago Ramón y Cajal, número 43, 2ª planta Elche 03203 (Alicante)

Calle Vía de los Poblados, 1 · Parque tecnológico de Alvento · 28033 (Madrid)

English

Español

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 year	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 year	Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal.
PHPSESSID	session	Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar la ID de sesión única de un usuario con el fin de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.

Cookie	Duración	Descripción
locale	2 years	Facebook establece esta cookie para mejorar la experiencia de navegación del usuario en el sitio web y para proporcionar al usuario publicidad relevante mientras usa las plataformas de redes sociales de Facebook.
pll_language	1 year	Polylang utiliza la cookie pll _language para recordar el idioma seleccionado por el usuario cuando regresa al sitio web, y también para obtener la información del idioma cuando no está disponible de otra manera.

Cookie	Duración	Descripción
_session_id	1 day	Cookie establecida por G2 para almacenar la navegación del visitante mediante el registro de las páginas de destino. Esto permite que el sitio web presente productos e indique la eficiencia del sitio web.
CONSENT	2 years	YouTube establece esta cookie a través de videos de YouTube incrustados y registra datos estadísticos anónimos.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	Una cookie configurada por YouTube para medir el ancho de banda que determina si el usuario obtiene la interfaz de reproductor nueva o antigua.
YSC	session	Youtube configura la cookie YSC y se utiliza para rastrear las vistas de videos incrustados en las páginas de Youtube.
yt-remote-connected-devices	never	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.
yt-remote-device-id	never	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.