Política de Seguridad de la Información

Política de Seguridad de la Información

1.  Introducción

Este documento resume la Política de Seguridad de la Información de HPS Hospitales  como el conjunto de principios básicos y líneas de actuación a los que la organización se compromete, en el marco de las Norma ISO 27001 y Esquema Nacional de Seguridad.

La información es un activo crítico, esencial y de un gran valor para el desarrollo de la actividad de la organización. Este activo debe ser adecuadamente protegido, mediante las necesarias medidas de seguridad, frente a las amenazas que puedan afectarle, independientemente de los formatos, soportes, medios de transmisión, sistemas, o personas que intervengan en su conocimiento, procesado o tratamiento.

La Seguridad de la Información es la protección de este activo, con la finalidad de asegurar la continuidad del negocio, minimizar el riesgo y permitir maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información es un proceso que requiere medios técnicos y humanos y una adecuada gestión y definición de los procedimientos y en el que es fundamental la máxima colaboración e implicación de todo el personal de la empresa.

La dirección de la organización, consciente del valor de la información, está profundamente comprometida con la política descrita en este documento.

Esta política ha sido aprobada por la dirección de Hospital Perpetuo Socorro y se revisará cada doce meses.

2.  Definiciones

Las dimensiones de la seguridad de la información son:.

  • Disponibilidad: Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesiten, especialmente la información crítica.

  • Integridad: La información del sistema ha de estar disponible tal y como se almacenó por un agente

  • Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.

  • Confidencialidad: La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.

  • Trazabilidad: Las actuaciones de la entidad pueden ser imputadas exclusivamente a dicha entidad.

El ciclo PDCA es el que se utilizará durante todo el ciclo de vida del SGSI.

  • P (Planificar): en esta fase se establecen las actividades, responsabilidades y recursos además de los objetivos a cumplir y cómo se van a medir estos objetivos.

  • D (Desarrollar): se desarrollan los procesos y se implementan. Una vez implementados, hay que medir los resultados de la ejecución de dichos procesos.

  • C (Comprobar): se analizan los resultados para comprobar si se han alcanzado los objetivos y si no es así, identificar las causas.

  • A (Actuar): Se toman las acciones necesarias para corregir los fallos detectados en los procesos o para mejorarlos.

Las normas de referencia para la realización de los trabajos indicados, así como su ámbito de aplicación son las siguientes:

  • Norma UNE-ISO/IEC 27001 Tecnología de la Información. Especificaciones para los Sistemas de Gestión de Seguridad de la Información, en la que se recogen los requisitos para establecer, implantar, documentar y evaluar un SGSI. Es la norma sobre la que se desarrolla el sistema y la que permite obtener la certificación de este por parte de un organismo certificador independiente.

  • Norma ISO/IEC 27002 Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta norma ofrece recomendaciones para realizar la gestión de la seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad y constituir una práctica eficaz de la gestión.

  • Esquema Nacional de Seguridad. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

3.  Propósito, Objetivos y Requisitos Mínimos de la Política de Seguridad

El propósito de esta Política de la Seguridad de la Información es proteger los activos de información de Hospital Perpetuo Socorro. Para ello se asegura la disponibilidad, integridad y confidencialidad de la información y de las instalaciones, sistemas y recursos que la procesan, gestionan, transmiten y almacenan, siempre de acuerdo con los requerimientos del negocio y la legislación vigente.

Es la política del Hospital Perpetuo Socorro asegurar que:

  • La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción, durante su procesamiento, comunicación, transporte, almacenamiento, difusión y hasta su eventual borrado o destrucción.

  • La confidencialidad de la información debe garantizarse de forma permanente, evitando el acceso y la difusión a toda persona o sistema no autorizado.

  • La integridad de la información debe ser asegurada, evitando la manipulación, alteración o borrado accidentales o no autorizados.

  • La disponibilidad de la información debe salvaguardarse de forma que los usuarios y sistemas que lo requieran puedan acceder a la misma de forma adecuada para el cumplimiento de sus tareas y siempre que ello sea necesario.

  • Se establecerán planes de contingencia y continuidad para garantizar la confidencialidad, la integridad y la disponibilidad de la información y de los sistemas y medios para su tratamiento.

  • La Política de Seguridad de la Información es aprobada por la Dirección de la empresa y su contenido y el de las normas y procedimientos que la desarrollan es de obligado cumplimiento.

  • Todos los usuarios con acceso a la información tratada, gestionada o propiedad de la empresa tienen la obligación y el deber de custodiarla y protegerla.

  • La Política y las Normas de Seguridad de la Información se adaptarán a la evolución de los sistemas y de la tecnología y a los cambios organizativos y se alinearán con la legislación vigente y con los estándares y mejores prácticas de las normas ISO 27001 y Esquema Nacional de Seguridad.

  • Se cumplen los requisitos legales aplicables.

  • Se cumplen los requisitos del negocio respecto a la seguridad de la información y los sistemas de información.

  • La Dirección valora los activos de información con los que cuenta el Hospital del cual derivará el análisis de riesgos y posteriormente la gestión de riesgos, tanto el análisis como la gestión de riesgos serán revisados anualmente por la Dirección, la cual decidirá si se efectúa un nuevo análisis y gestión de riesgos. Los riesgos a tratarse se verán reflejados en el Plan de Seguridad.

  • Las medidas de seguridad y los controles físicos, administrativos y técnicos aplicables se detallarán en el Documento de Aplicabilidad y la empresa deberá establecer una planificación para su implantación y gestión.

  • Las medidas de seguridad y los controles establecidos serán proporcionales a la criticidad de la información a proteger y a su clasificación.

  • Los usuarios que incumplan la Política de Seguridad de la Información o las normas y procedimientos complementarios podrán ser sancionados de acuerdo con lo establecido en los contratos que amparen su relación con la empresa y con la legislación vigente y aplicable.

  • Las incidencias de seguridad son comunicadas y tratadas apropiadamente.

  • Se establecen procedimientos para cumplir con la Política de Seguridad.

  • El responsable de Seguridad será el encargado de mantener esta política, los procedimientos y de proporcionar apoyo en su implementación. Además de supervisar y comprobar que se cumpla el Plan de Seguridad que corresponda a ese año.

  • La conformidad con las políticas de seguridad se justifica mediante la realización de auditorías internas según el procedimiento correspondiente.

Esta política de seguridad, se desarrollará aplicando los siguientes requisitos mínimos:

  • Organización e implantación del proceso de seguridad: La seguridad deberá comprometer a todos los miembros de la organización.

  • Análisis y gestión de los riesgos propio y proporcionado respecto a las medidas.

  • Gestión de personal.

    • Todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad.

    • Sus actuaciones deben ser supervisadas para verificar que se siguen los procedimientos establecidos.

    • El personal relacionado con la información y los sistemas ejercitará y aplicará los principios de seguridad en el desempeño de su cometido.

    • El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad.

    • Para corregir, o exigir responsabilidades en su caso, cada usuario que acceda a la información del sistema debe estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado determinada actividad.

  • Profesionalidad. La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento

  • Autorización y control de los accesos. El acceso al sistema de información deberá ser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

  • Protección de las instalaciones. Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llaves.

  • Adquisición y contratación de productos de seguridad. En la adquisición o contratación de productos de seguridad de las tecnologías de la información y comunicaciones se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.

  • Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto:

    • El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos

    • Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.

    • En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue.

    • El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

  • Integridad y actualización del sistema. Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema. Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

  • Protección de la información almacenada y en tránsito. En la estructura y organización de la seguridad del sistema, se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros.

    • Tendrán la consideración de entornos inseguros los equipos portátiles, asistentes personales (PDA), dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.

    • Toda información en soporte no electrónico, que haya sido causa o consecuencia directa de la información electrónica deberá estar protegida con el mismo grado de seguridad que ésta

  • Prevención ante otros sistemas de información interconectados. El sistema ha de proteger el perímetro, en particular, si se conecta a redes públicas.

  • Registro de actividad. Con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.

  • Incidentes de seguridad. Se establecerá un sistema de detección y reacción frente a código dañino. Se dispondrá de procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información. Estos procedimientos cubrirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.

  • Continuidad de la actividad. Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

  • Mejora continua del proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.