Fraternidad-Muprespa Política de seguridade dos sistemas de información

Política de Seguridade dos Sistemas de Información

A política de seguranza dos sistemas de información Fraternidad-Muprespa reflíctese nos principios que se mostran a continuación:

  • Expedientes médicos, o noso principal activo a protexer.
    Por iso, un dos seus activos máis críticos é o conxunto de historias clínicas dos traballadores accidentados e dos pacientes en xeral atendidos nas súas instalacións sanitarias. A Política de Seguridade dos Sistemas de Información que establece a Dirección identifica como prioritaria a protección deste ben baixo os parámetros de confidencialidade, dispoñibilidade e integridade, nun ámbito que inclúe a prestación de servizos de información tanto ao persoal propio da mutua como aos propios traballadores asegurados que acceden a esta información a través da Oficina Dixital.
  • Datos automatizados, outros recursos que protexer.
    A política de seguridade dos sistemas de información estende tamén o seu ámbito de aplicación ao resto de datos e procedementos de xestión que están automatizados, o que é unha práctica case total na nosa organización. Así, os sistemas empresariais (empresas, traballadores, prestacións económicas por incapacidade temporal e permanente, expedientes administrativos, prevención) e os sistemas de información internos á propia Mutua (xestión de persoal, contorno económico financeiro, intranet corporativa) están protexidos no SGSI.
  • Alcance do concepto “información protexida”.
    Por información protexida debemos entender non só a que está dispoñible nos sistemas informáticos de forma tradicional (bases de datos), senón tamén aquela información de carácter non estruturado que, mediante procedementos de dixitalización ou importación masiva, foi incorporada aos diferentes ficheiros documentais. O termo “información” incluirá tamén a documentación que de xeito residual aínda permanece en soporte convencional (papel, acetato) aínda que a vocación do sistema sexa a total automatización do 100% da información a medio prazo.
  • Controis técnicos e  políticas de formación e concienciación.
    A seguridade é un obxectivo que se pretende acadar tanto mediante a implantación de controis de carácter técnico como mediante políticas de formación e sensibilización de todo o persoal implicado na xestión dos sistemas, xa que a Dirección de Fraternidad-Muprespa está convencida da importancia da participación activa de todos os implicados na cadea de seguridade. Para iso desenvólvense as correspondentes accións formativas dirixidas a todos os recursos humanos e clientes internos e externos.
  • Cumprimento da lexislación vixente.
    En materia de seguridade teñen especial relevancia tanto a lexislación en materia de protección de datos persoais como as disposicións en materia de historia clínica e acceso dos interesados. Estes principios séguense tanto na propia xestión da información como en todas as relacións e cesións de datos que poidan ter cabida no ámbito da xestión da Mutua.
  • Ampliación da política  aos acordos con provedores.
    Por outra banda, todos os contratos e convenios que, en materia de tecnoloxías da información e comunicacións, se establezan cos distintos provedores, recollen expresamente os requisitos que deben cumprir en materia de seguridade na prestación do servizo contratado.
  • Adaptación aos estándares .
    As metodoloxías de seguridade, os procedementos operativos, as políticas corporativas e, en xeral, todo o organismo regulador xerado dentro do Sistema de Xestión da Seguridade da Información teñen un marcado compoñente de normalización, de xeito que se seguen as “mellores prácticas” do sector TIC, se adaptan as recomendacións dos principais grupos de interese (fabricantes, comunidades de usuarios, líderes de opinión) e se facilita a adaptación das organizacións a outros entornos posibles e xa se facilita a adaptación das organizacións. En concreto, séguense as normas internacionais UNE-EN ISO/IEC 27001:2017 e UNE-EN ISO/IEC 27002:2017. Tamén se cumpre a adaptación ás normas derivadas do cumprimento do Esquema Nacional de Seguridade, e en particular ás normas técnicas elaboradas polo Centro Criptolóxico Nacional do Centro Nacional de Intelixencia.
  • A seguridade, un proceso.
    A seguridade dos sistemas de información non se entende como un conxunto de medidas illadas que só se implementan de acordo cos requisitos legais, o estado da arte ou as tendencias tecnolóxicas; Pola contra, a seguridade enténdese como un proceso que inclúe aspectos organizativos, procesuais, tecnolóxicos e de xestión de recursos humanos, sendo este último aspecto fundamental nas políticas de sensibilización e formación dos usuarios.
  • Mellora continua.
    Mediante a utilización de políticas de seguridade da información, obxectivos, resultados de auditorías internas e externas, análise de datos, accións correctoras e preventivas e a revisión do sistema por parte da Subdirección Xeral de Sistemas de Información, conséguese a mellora continua e a eficacia do SGSI.
  • Análise e xestión de riscos.
    A implantación de medidas de seguridade é o resultado da aplicación de plans de tratamento de riscos, derivados das decisións de xestión de riscos, segundo a metodoloxía definida e aprobada por Fraternidad-Muprespa e incluída no procedemento que establece a metodoloxía de análise e xestión de riscos. Esta metodoloxía baséase conceptualmente no Esquema Nacional de Seguridade, aprobado polo RD 3/2010. 
    O risco residual asumido pola organización é aprobado polo Risk Owner, cuxa función corre a cargo do Comité de Tecnoloxías da Información e as Comunicacións (Comité TIC).
  • Compoñentes do Sistema de Xestión da Seguridade da Información (SGSI).
    O SGSI está formado por un corpo de documentos que inclúe políticas e procedementos, instrucións técnicas e rexistros que apoian os aspectos organizativos, procesuais e técnicos do sistema, ademais de permitir o seu funcionamento. Algunhas políticas son aplicables e amplas a todo o persoal, e o seu cumprimento é obrigatorio.
    A Xerencia de Fraternidad-Muprespa promove a Política de Seguridade dos Sistemas de Información, e facilita a dotación dos medios técnicos e humanos necesarios para a súa completa implantación.

Os obxectivos prioritarios de seguridade da información, definidos pola Xestión Fraternidad-Muprespa, son:

  • Garantir os aspectos de confidencialidade, dispoñibilidade, integridade, autenticidade e trazabilidade nos sistemas de información. Neste sentido, todos os proxectos que realiza a Subdirección Xeral de Sistemas de Información teñen en conta a consideración dos riscos que supón a súa implantación.
  • Reducir de forma permanente o nivel de risco na organización, mediante plans de tratamento de riscos, seguimento e control dos riscos e actividades de formación, aculturación e sensibilización do persoal, que se realizan periodicamente.
Logotipo de SGSI de Fraternidad-Muprespa

 

Que che pareceu este contido?