APROVACIÓ I ENTRADA EN VIGOR
La política de seguretat i privacitat es manté actualitzada a través de revisions periòdiques per a adequar-la al progrés dels sistemes d’informació i dels serveis, a l’evolució tecnològica, al desenvolupament de la societat de la informació, així com a la normativa d’aplicació a cada moment en relació amb la seguretat i la protecció de les dades de caràcter personal.
El Comitè de Seguretat i Privacitat de la Informació d’Unió de Mútues revisa regularment l’oportunitat, idoneïtat, completesa i precisió del que s’estableix en aquesta política i l’aprova.
La primera aprovació i entrada en vigor d’aquest text va ser el 13 de juliol de 2017.
Aquest text anul·la l’anterior aprovat i ratificat a l’abril de 2022 per la Direcció Gerència.
INTRODUCCIÓ
Unió de Mútues depèn dels sistemes TIC (Tecnologies de la Informació i les Comunicacions) per a aconseguir els seus objectius. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per a protegir-los enfront de danys accidentals o deliberats que puguin afectar la seguretat de la informació tractada o els serveis prestats i estant sempre protegits contra les amenaces o els incidents amb potencial per a incidir en la confidencialitat, integritat, disponibilitat, traçabilitat i autenticitat de la informació tractada i els serveis prestats.
Per a fer front a aquestes amenaces, es requereix una estratègia que s’adapti als canvis en les condicions de l’entorn per a garantir la prestació contínua dels serveis. Això implica que els departaments han d’aplicar les mesures mínimes de seguretat exigides per l’Esquema Nacional de Seguretat (ENS), així com realitzar un seguiment continu dels nivells de prestació dels serveis, monitorar i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als ciberincidents per a garantir la continuïtat dels serveis prestats.
D’aquesta manera, totes les àrees d’Unió de Mútues tenen present que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament han de ser identificats i inclosos en la planificació, en la sol·licitud d’ofertes, i en els plecs de licitació per a projectes de TIC.
Per tant, per a Unió de Mútues, l’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària per a detectar qualsevol incident i reaccionant amb prestesa als incidents per a recuperar els serveis al més aviat possible, segons criteris de gestió de riscos i amb l’aplicació de les mesures que es relacionen en aquesta política.
ABAST
Aquesta Política de seguretat i privacitat de la informació i el seu desenvolupament, de conformitat amb els principis bàsics i requisits mínims establerts en l’Esquema Nacional de Seguretat, serà aplicable a tots els processos estratègics, operatius i de suport d’Unió de Mútues, a tots els seus sistemes i tecnologies de la informació i de les comunicacions, i a tots els seus centres i persones treballadores. Tot això de conformitat amb la declaració d’aplicabilitat del sistema de gestió de la seguretat de la informació sobre la base d’una valoració dels sistemes de nivell alt, seguint les directrius de l’Esquema Nacional de Seguretat, instruccions tècniques de seguretat i les seves guies d’ajuda a la implantació i, en definitiva, el seu abast comprendrà el que s’estableix per a les activitats en el marc de:
“Els sistemes d’informació que donen suport a la gestió d’Unió de Mútues des de tots els seus centres com a mútua col·laboradora amb la Seguretat Social, d’acord amb la categorització del sistema vigent”.
PROPÒSIT D’UNIÓ DE MÚTUES
El propòsit d’Unió de Mútues és gestionar la prestació sanitària i les prestacions econòmiques encomanades en la seva col·laboració amb la Seguretat Social.
MISSIÓ D’UNIÓ DE MÚTUES
Unió de Mútues està formada per persones que ens ocupem de la salut laboral i de la gestió del pagament de prestacions econòmiques. Unió de Mútues, mútua col·laboradora amb la Seguretat Social n. 267, és una associació d’empreses, sense ànim de lucre ni de captació d’empreses o autònoms, que col·laborem en la gestió de la Seguretat Social en la gestió integral de l’accident de treball i malaltia professional dels treballadors protegits, amb l’objectiu de millorar la seva salut mitjançant la prevenció i l’assistència sanitària. També gestionem el control i el pagament de les prestacions econòmiques de la contingència professional i de la incapacitat temporal derivada de contingència comuna, així com les prestacions de risc durant l’embaràs i la lactància natural, la cura de menors malalts de càncer o una altra malaltia greu i el cessament d’activitat dels treballadors autònoms.
El nostre treball es realitza sobre la base dels principis de bon govern, assegurant la transparència en la nostra gestió i d’acord amb els criteris d’un model de gestió de l’excel·lència basat en l’eficiència, el compromís amb les persones, la innovació i la sostenibilitat, per a oferir el millor servei a les empreses mutualistes i persones treballadores associades o adherides a Unió de Mútues i satisfer les expectatives legítimes de tots els nostres grups d’interès.
Així doncs, l’objectiu de la seguretat de la informació serà garantir la disponibilitat, integritat, confidencialitat, autenticitat i traçabilitat dels sistemes d’informació i serveis que donen suport per a la consecució del propòsit i la missió d’Unió de Mútues com a mútua col·laboradora amb la Seguretat Social.
MARC REGULADOR DE L’ACTIVITAT
Les funcions de les mútues col·laboradores amb la Seguretat Social queden subjectes a la normativa actual, que es troba establerta àmpliament en el mapa normatiu de l’entitat. S’inclouen com a principals les següents:
- Reial decret legislatiu 8/2015, de 30 d’octubre, pel qual s’aprova el text refós de la Llei General de la Seguretat Social.
- Reial decret 1993/1995, de 7 de desembre, pel qual s’aprova el Reglament sobre col·laboració de les Mútues d’Accidents de Treball i Malalties Professionals de la Seguretat Social.
- Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals.
- Resolució de 4 de maig de 2015, de la Secretaria d’Estat de la Seguretat Social, per la qual s’estableix el Pla general d’activitats preventives de la Seguretat Social, a aplicar per les mútues col·laboradores amb la Seguretat Social en la planificació de les seves activitats per a l’any 2015.
- Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seva durada.
- Reial decret 1060/2022, de 27 de desembre, pel qual es modifica el Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seva durada.
- Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.
- Resolució de 13 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat de conformitat amb l’Esquema Nacional de Seguretat.
- Resolució de 27 de març de 2018, de la Secretaria d’Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat d’Auditoria de la Seguretat dels Sistemes d’Informació.
- Resolució de 7 d’octubre de 2016, de la Secretaria d’Estat d’Administracions Públiques, per la qual s’aprova la Instrucció Tècnica de Seguretat d’Informe de l’Estat de la Seguretat.
- Resolució de 13 d’abril de 2018, de la Secretaria d’Estat de Funció Pública, per la qual s’aprova la Instrucció Tècnica de Seguretat de Notificació d’Incidents de Seguretat.
- Llei 40/2015, d’1 d’octubre, de Règim Jurídic del Sector Públic.
- Llei 39/2015, d’1 d’octubre, del Procediment Administratiu Comú de les Administracions Públiques.
- Reglament General de Protecció de Dades, (Reglament UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE).
- Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
- Reial decret 1541/2011, de 31 d’octubre, pel qual es desenvolupa la Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms.
- Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms (BOE 06/08/2010).
- Reial decret legislatiu 2/2015, de 23 d’octubre, pel qual s’aprova el text refós de la Llei de l’Estatut dels Treballadors.
- Reial decret llei 14/2019, de 31 d’octubre, pel qual s’adopten mesures urgents per raons de seguretat pública en matèria d’administració digital, contractació del sector públic i telecomunicacions.
- Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.
- Reial decret 1299/2006, de 10 de novembre pel qual s’aprova el quadre de malalties professionals en el Sistema de Seguretat Social i s’estableixen criteris per a la seva notificació i registre.
- Resolució de 26 de novembre de 2002, que regula la utilització del Sistema de Declaració Electrònica d’Accidents de Treball (Delta) que possibilita la transmissió per procediment electrònic dels nous models per a la notificació d’accidents de treball.
- Ordre ESS/1187/2015, de 15 de juny, per la qual es desenvolupa el Reial decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seva durada.
- Ordre TAS/1/2007, de 2 de gener, per la qual s’estableix el model de part de malaltia professional, dicta normes per a la seva elaboració i crea el corresponent fitxer de dades personals.
- Llei 21/2014, de 4 de novembre, per la qual es modifica el text refós de la Llei de Propietat Intel·lectual, aprovat per Reial decret legislatiu 1/1996, de 12 d’abril, i la Llei 1/2000, de 7 de gener, d’Enjudiciament Civil.
- Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.
- Reial decret 1112/2018, de 7 de setembre, sobre accessibilitat dels llocs web i aplicacions per a dispositius mòbils del sector públic.
ESTRUCTURA DE LA DOCUMENTACIÓ DE SEGURETAT DEL SISTEMA
La documentació que descriu l’estructura organitzativa de gestió de la seguretat i privacitat de la informació d’Unió de Mútues es compon de polítiques, normativa, procediments de gestió de la seguretat i instruccions de treball operatives. Es troba registrada en el catàleg de documents del Sistema de Gestió documental de l’entitat i disponible a través de la intranet corporativa per a tot el personal, en coherència i de conformitat amb els requisits del Reglament General de Protecció de Dades (RGPD), de la Llei orgànica de Protecció de Dades de caràcter personal i garantia dels drets digitals (LOPDGDD) i de les normes de gestió en les quals l’entitat es troba certificada.
PRINCIPIS BÀSICS DE L’ESQUEMA NACIONAL DE SEGURETAT
Unió de Mútues entén la seguretat de la informació com un procés integral de gestió de la seguretat on no caben actuacions o tractaments conjunturals, tenint en compte aspectes relatius a la seguretat de les persones, de les instal·lacions, de l’operativa i tècnica, jurídics de la gestió, entre altres.
Tots els sistemes, serveis, persones i recursos en l’abast d’aquesta política són objecte d’una anàlisi dels riscos que afecten la seguretat i privacitat de la informació, que es reavaluarà, almenys, una vegada a l’any o quan existeixi algun canvi que afecti la informació o als serveis, es detectin amenaces, o vulnerabilitats. El pla d’anàlisi de riscos, la metodologia formal de revisió, els criteris d’avaluació d’aquests, les directrius per al seu tractament i el procés d’acceptació del risc residual, es troben desenvolupats i disponibles en el Catàleg de documents del Sistema de Gestió de l’entitat a través de la intranet corporativa per a tot el personal. L’anàlisi de riscos serà la base per a determinar les mesures de seguretat i privacitat que s’han d’adoptar, a més dels mínims establerts per l’Esquema Nacional de Seguretat.
Per a la prevenció, detecció, resposta i conservació, en Unió de Mútues s’han implementat, amb caràcter preventiu, totes les mesures de seguretat i privacitat derivades del compliment normatiu en protecció de dades, els controls de la norma de gestió ISO 27001 (Sistemes de gestió de seguretat de la informació) i ISO 27701 (Gestió de privacitat de la informació) i totes les mesures contemplades en l’Esquema Nacional de Seguretat segons la valoració dels sistemes. Addicionalment, s’implementen totes les mesures de seguretat necessàries per a donar cobertura a la detecció d’amenaces i gestió dels riscos per a la seguretat i privacitat dels sistemes i les dades. Per a garantir el compliment d’aquesta política, Unió de Mútues realitza, a més, una gestió del canvi en l’operativa i configuració dels sistemes, requerint autorització prèvia abans de la seva posada en explotació. L’organització ha implementat els controls necessaris per a detectar noves amenaces a través de sistemes de monitoratge per a una detecció precoç dels incidents de seguretat. Per a poder donar resposta de manera eficaç als incidents de seguretat detectats s’han establert protocols de comunicació amb els agents implicats, amb la finalitat d’aportar continuïtat als serveis dins del Pla de contingències i continuïtat de servei de l’entitat i garantint la conservació dels actius digitals.
Unió de Mútues ha establert un sistema de gestió de la seguretat a través de múltiples capes de seguretat (organitzatives, físiques, i tècniques), com a línies de defensa que permetin enfrontar una amenaça quan alguna d’elles hagi estat compromesa.
Per a mantenir una vigilància contínua i reavaluació periòdica, Unió de Mútues realitza un monitoratge continu dels seus sistemes amb report i gestió d’alertes i una revisió periòdica de la correcta adequació dels seus sistema de gestió de la seguretat de la informació per part de tercers, amb la finalitat d’obtenir una avaluació independent del correcte compliment de l’Esquema Nacional de Seguretat i altres normes de gestió com són la ISI27001 i ISO27701.
La diferenciació de responsabilitats en matèria de seguretat com a principi, s’estableix en l’apartat de rols o funcions de seguretat d’aquesta política.
REQUISITS MÍNIMS
La Política de seguretat i privacitat es complementa amb la Política de privacitat i protecció de dades de caràcter personal, la Política General d’Unió de Mútues i les derivades de les diferents normes de gestió en les quals es troba certificada de l’entitat. Aquesta política es desenvoluparà a través de la corresponent normativa de seguretat i privacitat sobre aspectes específics, i es troba a la disposició de tots els membres de l’organització.
La present política es desenvoluparà aplicant els següents requisits mínims:
a) Organització i implantació del procés de seguretat.
b) Anàlisi i gestió dels riscos.
c) Gestió de personal.
d) Professionalitat.
e) Autorització i control dels accessos.
f) Protecció de les instal·lacions.
g) Adquisició de productes de seguretat i contractació de serveis de seguretat.
h) Mínim privilegi.
i) Integritat i actualització del sistema.
j) Protecció de la informació emmagatzemada i en trànsit.
k) Prevenció davant altres sistemes d’informació interconnectats.
l) Registre d’activitat i detecció de codi nociu.
m) Incidents de seguretat.
n) Continuïtat de l’activitat.
o) Millora contínua del procés de seguretat.
Per a donar compliment a aquests requisits mínims, Unió de Mútues adoptarà les mesures de seguretat i reforços establerts en l’Annex II de l’Esquema Nacional de Seguretat, tenint en compte els actius que gestiona, la categoria del sistema i la gestió dels riscos identificats.
ROLS O FUNCIONS DE SEGURETAT
Unió de Mútues, de conformitat amb la guia CCN-STIC 801 “Esquema Nacional de Seguretat: responsabilitats i funcions”, ha establert per al govern de la seguretat els següents blocs de funció diferenciada en matèria de seguretat:
• La responsabilitat legal i l’especificació de les necessitats o requisits, que correspon a la Direcció de l’entitat, als responsables del tractament, de la informació i del servei, i al Comitè de Seguretat i Privacitat de la Informació.
• La supervisió, que correspon al responsable de la seguretat i al delegat de protecció de dades, en els seus respectius àmbits.
• L’operació del sistema d’informació, que correspon al responsable del sistema.
Responsable de la informació i del servei: Comitè de Seguretat i Privacitat de la Informació
L’òrgan responsable de la seguretat i privacitat de la informació i del servei és el Comitè de Seguretat i Privacitat de la Informació, que determinarà els requisits de la informació tractada en matèria de seguretat i protecció de dades sobre la base de l’establiment previ dels nivells de seguretat en cada dimensió dels sistemes. A més, com a responsable del servei, aquest comitè determinarà els requisits dels serveis prestats i els seus nivells de seguretat i privacitat.
El Comitè de Seguretat i Privacitat de la Informació té com a objectiu realitzar una avaluació contínua de l’estat de la seguretat de la informació i l’eficàcia del sistema de gestió de la seguretat i privacitat de la informació (SGSI/SGPI) implantat en l’organització, derivat aquest del compliment de l’Esquema Nacional de Seguretat, les normes de gestió ISO 27001 i ISO 27701, i de la protecció de dades de caràcter personal segons la normativa vigent.
D’acord amb això, les responsabilitats del Comitè de Seguretat i Privacitat de la Informació seran, entre altres, les que es defineixen àmpliament en el document de seguretat associat en el sistema de gestió de l’entitat, la coordinació de la seguretat de la informació en l’organització per a, entre altres aspectes,
– racionalitzar la implantació de les diferents mesures de seguretat i privacitat requerides pel sistema i
– evitar disfuncions que permetin falles de seguretat en deixar al sistema amb punts febles on poguessin ocórrer accidents o es poguessin perpetrar atacs.
El Comitè de Seguretat i Privacitat de la Informació està format a cada moment i com a mínim, per representants de:
– Estratègia i Gestió Directiva
– Direcció Mèdica
– Prestació Econòmica, Recaptació i Afiliació
– Sistemes d’Informació
– Responsable dels Sistemes (Esquema Nacional de Seguretat, ISO…)
– Gestió de Persones
– Gestió Jurídica
– Control Intern
– Infraestructures i Serveis Generals
– Responsable de seguretat
– Contractació Pública
– Responsable de compliment i el
– Delegat de protecció de dades (sense vot quan es tractin assumptes relacionats amb la protecció de dades).
Responsable de seguretat
La persona responsable de la seguretat, conforme als requisits de l’Esquema Nacional de Seguretat i, addicionalment, de les normes de gestió de la seguretat i privacitat implementades, determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis. Entre les tasques principals del responsable de seguretat es troben:
– Coordinar i controlar les mesures de seguretat aplicables i definides en els procediments d’aplicació.
– Controlar directament els mecanismes que permeten el registre d’accessos, no permetent la desactivació ni la manipulació d’aquests.
– Revisar, almenys una vegada al mes, la informació de control registrada i elaborar un informe de les revisions realitzades i els problemes detectats.
– Adoptar decisions per a satisfer els requisits de seguretat de la informació i dels serveis.
– Decidir sobre l’adquisició de productes i contractació de serveis relacionats amb la seguretat.
– Donar compliment als requisits mínims de seguretat aplicables a la categoria del sistema segons el ENS i sense perjudici del compliment del que es disposa en el Reglament General de Protecció de Dades de Caràcter Personal.
– Formalitzar, aprovar formalment i signar el compliment de les mesures de seguretat de l’Annex II del ENS, incloses les compensatòries i la seva justificació, en un document que es denominarà Declaració d’aplicabilitat.
– Analitzar els informes d’auditoria del ENS i sistemes de gestió de la seguretat i privacitat i presentar les seves conclusions al responsable del sistema perquè adopti les mesures correctores adequades.
– Mantenir la seguretat de la informació gestionada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb el que s’estableix en aquesta Política de seguretat i privacitat de la informació.
– Promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.
– Col·laborar amb el delegat de protecció de dades en l’elaboració de les avaluacions d’impacte i identificació de riscos específics.
– Dur a terme qualsevol actuació derivada dels requisits de l’Esquema Nacional de Seguretat, instruccions tècniques i guies d’aplicació que s’assignin específicament com a funció del responsable de seguretat, a més de tot l’indicat com a responsabilitats específiques en el procediment de seguretat.
Responsable del sistema
La persona responsable del sistema, d’acord amb els requisits de l’Esquema Nacional de Seguretat i les Normes de Gestió ISO 27001 (Sistemes de Gestió de Seguretat d’Informació) i ISO 27701 (Gestió de privacitat de la informació), determinarà les decisions per a satisfer els requisits de seguretat i privacitat de la informació i dels serveis.
Entre les tasques principals del responsable del sistema es troben:
– Rebre els informes d’auditoria i adoptar les mesures correctores adequades amb les conclusions aportades pel responsable de seguretat.
– En el cas dels sistemes de valoració alta, vist el dictamen d’auditoria, el responsable del sistema podrà acordar la retirada d’operació d’alguna informació, d’algun servei o del sistema íntegrament, durant el temps que estimi prudent i fins a la satisfacció de les modificacions prescrites. (Aquesta decisió ha de ser acordada amb els responsables de la informació afectada, del servei afectat i del responsable de la seguretat, abans de ser executada).
– Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, de les seves especificacions, instal·lació i verificació del seu correcte funcionament.
Delegat de protecció de dades
Unió de Mútues ha designat al seu delegat de protecció de dades perquè participi de manera adequada i en temps oportú en totes les qüestions relatives a la protecció de les dades de caràcter personal objecte de tractament.
Els interessats, pel que respecta a totes les qüestions relatives al tractament de les seves dades personals i a l’exercici dels seus drets a l’empara del Reglament General de Protecció de Dades i la Llei orgànica de Protecció de Dades Personals i garantia dels drets digitals, podran posar-se en contacte amb el delegat de protecció de dades d’Unió de Mútues a través del compte de correu: delegadoprotecciondatos@uniondemutuas.es.
El delegat de protecció de dades estarà obligat a mantenir el secret i la confidencialitat pel que fa a l’acompliment de les seves funcions, de conformitat amb el Dret de la Unió o dels Estats membres. El delegat de protecció de dades d’Unió de Mútues actuarà com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament de les dades de caràcter personal dels interessats, entre altres funcions establertes en l’actual normativa.
El delegat de protecció de dades participarà activament en tots els aspectes de la seguretat que afectin la privacitat i la protecció de les dades de caràcter personal.
Comitè de Protecció de Dades
El Comitè de Protecció de Dades és un equip de persones dins de l’entitat de suport i suport al delegat de protecció de dades en totes les seves funcions, de manera que puguin cobrir diverses àrees d’especialització.
El Comitè de Protecció de Dades està format per personal representant de:
– Estratègia i Gestió Directiva,
– Gestió Jurídica,
– Responsable de seguretat,
– Responsable de Contractació Pública,
– Responsable de compliment, i el
– Delegat de protecció de dades.
Altres funcions:
– el seu personal formarà part del Comitè de Seguretat i Privacitat de la Informació,
– podrà col·laborar en les consultes a l’autoritat de control,
– actuarà com a gabinet de crisi davant violacions de protecció de dades i per a donar compliment dels articles 33 i 34 del RGPD per a notificació i comunicació als interessats, i
– revisarà els diferents informes que el delegat de protecció de dades prepari amb finalitats específiques de comunicació o supervisió periòdica.
Procediment de designació i renovació
La creació del Comitè de Seguretat de la Informació, el nomenament dels seus integrants i la designació dels responsables identificats en aquesta política es realitzarà per l’òrgan superior d’Unió de Mútues.
El Comitè de Seguretat i Privacitat de la Informació participarà en la seva renovació o cessament, deixant de manifest qualsevol observació relacionada.
CATEGORIA DELS SISTEMES D’INFORMACIÓ
La categorització dels sistemes en Unió de Mútues s’ha determinat de nivell ALT i sobre la base de la valoració de l’impacte de qualsevol incident que afectés la seguretat de la informació o dels sistemes d’Unió de Mútues amb repercussió per a aconseguir els seus objectius, protegir els actius al seu càrrec i garantir la conformitat amb l’ordenament jurídic. Així doncs, el nivell de seguretat a implementar serà el requerit per a aquesta valoració.
S’ha tingut en compte per a la valoració dels sistemes d’informació i serveis d’Unió de Mútues l’Annex I de l’Esquema Nacional de Seguretat (categories de seguretat dels sistemes d’informació) i la guia de seguretat de les CCN-STIC 803.
ORGANITZACIÓ I IMPLANTACIÓ DEL PROCÉS DE LA SEGURETAT
Unió de Mútues té entre els seus objectius estratègics garantir la seguretat i privacitat de la informació i la continuïtat del servei, analitzant el context d’exposició (intern i extern), actuant preventivament, supervisant l’activitat diària, reaccionant amb celeritat als incidents, i disposant dels recursos necessaris per a analitzar, avaluar i tractar els riscos als quals estan exposats els actius de l’organització que afecten la seguretat i privacitat de la informació en totes les seves dimensions (disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat). La protecció enfront de qualsevol amenaça identificada requereix la implantació d’una sèrie de mesures de seguretat que han d’establir-se d’acord amb a la legislació vigent en matèria de protecció de dades, el resultat de l’anàlisi de riscos de l’entitat i les pròpies mesures de l’Esquema Nacional de Seguretat.
Unió de Mútues considera estratègic per a l’entitat que els processos integren la seguretat de la informació com a part del seu cicle de vida. Els sistemes d’informació i els serveis han d’incloure la seguretat i privacitat per defecte des de la seva creació fins a la seva retirada, incloent-se la seguretat en les decisions de desenvolupament i adquisició de serveis o productes, i en totes les operacions de l’activitat diària. La seguretat s’estableix com un procés integral i gestionat, on no hi tenen cabuda actuacions col·laterals o aïllades.
GESTIÓ DE RISCOS
Tots els sistemes afectats per la present Política de seguretat i privacitat de la informació estan subjectes a una anàlisi de riscos amb l’objectiu d’avaluar les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà:
• Almenys una vegada a l’any.
• Quan canviïn la informació i/o els serveis manejats de manera significativa.
• Quan ocorri un incident greu de seguretat o es detectin vulnerabilitats greus.
El responsable de Seguretat serà l’encarregat que es realitzi l’anàlisi de riscos, així com de identificar mancances i febleses i posar-les en coneixement del Comitè de Seguretat de la Informació.
El Comitè de Seguretat de la Informació dinamitzarà la disponibilitat de recursos per a atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.
El procés de gestió de riscos comprendrà les següents fases:
• Categorització dels sistemes.
• Anàlisi de riscos.
• El Comitè de Seguretat de la Informació procedirà a la selecció de mesures de seguretat a aplicar, que hauran de ser proporcionals als riscos i estar justificades.
Les fases d’aquest procés es realitzaran segons el que es disposa en els Annexos I i II del Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat, i seguint les normes, instruccions, Guies CCN-STIC i recomanacions per a l’aplicació d’aquest elaborades pel Centre Criptològic Nacional.
En particular, per a realitzar l’anàlisi de riscos, com a norma general s’utilitzarà una metodologia reconeguda d’anàlisi i gestió de riscos.
Unió de Mútues duu a terme una gestió dels riscos de major impacte sobre els seus actius, i d’aquells derivats del tractament de dades personals, com són:
– els riscos per a la privacitat,
– riscos derivats de l’ús de noves tecnologies,
– riscos de compliment normatiu específic o
– riscos derivats del tractament de categories especials,
i en aquest cas, per als supòsits requerits, es realitzaran les degudes avaluacions d’impacte.
NOTIFICACIÓ D’INCIDENTS
Les entitats del sector públic notificaran al Centre Criptològic Nacional aquells incidents que tinguin un impacte significatiu en la seguretat dels sistemes d’informació concernits, d’acord amb la corresponent Instrucció Tècnica de Seguretat i de conformitat amb el que es disposa en l’article 33 sobre capacitat de resposta a incidents de seguretat del Reial decret 311/2022, de 3 de maig, pel qual es regula l’Esquema Nacional de Seguretat.
DADES DE CARÀCTER PERSONAL
Unió de Mútues tracta categories especials de dades personals de conformitat amb l’art. 9 del RGPD. La licitud del tractament està basada en una obligació legal (art. 6. 1.c RGPD). L’adequació i compliment de conformitat amb els requisits del RGPD queda recollida documentalment en el Procediment privacitat i de protecció de dades de caràcter personal, que forma part del Sistema de Gestió de l’entitat i es troba disponible mitjançant la intranet corporativa per a coneixement de tot el personal.
Unió de Mútues posa a la disposició dels usuaris i interessats tota la informació relacionada amb els tractaments que realitza de dades de caràcter personal en la Política de privacitat i protecció de dades, disponible en la web corporativa.
A més, l’entitat ha optat per una certificació del compliment en matèria de privacitat i protecció de dades de caràcter personal a través de la norma de gestió ISO 27701 (Gestió de la Privacitat de la informació) per a donar garantia de l’objectivitat del compliment legal i com a deure de diligència per a la seguretat i privacitat des del disseny i per defecte.
OBLIGACIONS DEL PERSONAL
Tot el personal d’Unió de Mútues ha de conèixer i complir aquesta Política de seguretat i privacitat de la informació, la seva normativa de desenvolupament i procediments de seguretat, sent responsabilitat del Comitè de Seguretat i Privacitat la disposició dels mitjans necessaris perquè la informació arribi als afectats.
FORMACIÓ I CONSCIENCIACIÓ EN SEGURETAT I PRIVACITAT
El personal d’Unió de Mútues estarà subjecte a formació i conscienciació periòdica en matèria de seguretat i privacitat de la informació i protecció de dades de caràcter personal, sent d’especial importància el personal de nova incorporació, que rebrà informació específica en aquesta matèria com a part del seu acolliment.
També les persones amb responsabilitat en l’ús, operació o administració de sistemes de les tecnologies de la informació i les comunicacions rebran formació per al maneig segur dels sistemes en la mesura en què la necessitin per a fer el seu treball. La formació serà obligatòria abans d’assumir una responsabilitat, tant si és la seva primera assignació, com si es tracta d’un canvi de lloc de treball o de responsabilitats en aquest.
MECANISMES DE COORDINACIÓ I RESOLUCIÓ DE CONFLICTES
La coordinació de la seguretat i gestió de les situacions d’emergència es portarà en els diferents Comitès de Seguretat i Protecció de Dades. Sobre la resolució de conflictes entre els diferents responsables prevaldrà la decisió del responsable de seguretat i el delegat de protecció de dades en les seves competències, que haurà d’estar justificada davant el Comitè de Seguretat i Privacitat de la Informació.
DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT I PRIVACITAT DE LA INFORMACIÓ
Aquesta Política de seguretat i privacitat de la informació serà complementada per mitjà de diversa normativa i recomanacions de seguretat (normatives i procediments de seguretat, procediments tècnics de seguretat, informes, registres i evidències electròniques). Correspon al Comitè de Seguretat i Privacitat de la Informació la seva revisió anual i/o manteniment, proposant, en cas que sigui necessari millores a aquesta.
El cos normatiu sobre seguretat de la informació es desenvoluparà en tres nivells per àmbit d’aplicació, nivell de detall tècnic i obligatorietat de compliment, de manera que cada norma d’un determinat nivell de desenvolupament es fonamenti en les normes de nivell superior. Aquests nivells de desenvolupament normatiu són els següents:
a) Primer nivell normatiu: constituït per aquesta Política de seguretat i privacitat de la informació, la Normativa interna de l’ús dels mitjans electrònics i les directrius generals de seguretat aplicables als organismes o unitats d’Unió de Mútues als quals sigui d’aplicació aquests documents.
b) Segon nivell normatiu: constituït per les normes de seguretat derivades de les anteriors.
c) Tercer nivell normatiu: constituït per procediments, guies i instruccions tècniques. Són documents que, complint amb l’exposat en la Política de seguretat i privacitat de la informació, determinen les accions o tasques a realitzar en l’acompliment d’un procés.
Correspon a l’òrgan superior d’Unió de Mútues l’aprovació de la Política de seguretat i privacitat de la informació i la normativa interna d’Unió de Mútues, sent el responsable de seguretat de la informació el responsable de l’aprovació de la resta de documents, sent també responsable de la seva difusió perquè la coneguin les parts afectades.
De la mateixa manera, aquesta Política de seguretat i privacitat de la informació complementa la Política de privacitat i protecció de dades d’Unió de Mútues en matèria de protecció de dades de caràcter personal.
Aquesta normativa es troba registrada en el catàleg de documents del Sistema de Gestió documental de l’entitat i disponible per a la seva consulta a través de la intranet corporativa per a tot el personal, en coherència i de conformitat amb els requisits del Reglament General de Protecció de Dades (RGPD), de la Llei orgànica de Protecció de Dades de caràcter personal i garantia dels drets digitals (LOPDGDD) i de les normes de gestió en les quals l’entitat es troba certificada.
TERCERES PARTS
Quan Unió de Mútues utilitzi serveis de tercers o cedeixi informació a tercers, se’ls farà partícip d’aquesta Política de seguretat i de la normativa de seguretat que concerneixi a aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de report i resolució d’incidències. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que l’establert en aquesta Política.
Quan Unió de Mútues presti serveis a altres organismes o manegi informació d’altres organismes, se’ls farà partícips d’aquesta Política de seguretat de la informació. S’establiran canals per al report i la coordinació dels respectius Comitès de Seguretat de la Informació i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.
Quan algun aspecte d’aquesta Política de seguretat i privacitat de la informació no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del responsable de seguretat que precisi els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.
Data d’última actualització: juliol 2024.
Unió de Mútues
Mútua col·laboradora amb la Seguretat Social núm. 267