Política de Seguretat de la Informació

POLÍTICA DE SEGURETAT DE LA INFORMACIÓ D’UNIÓ DE MÚTUES

UNIÓ DE MÚTUES, mútua col·laboradora amb la Seguretat Social n. 267, és una associació d’empreses sense ànim de lucre que col·labora en la gestió de la Seguretat Social d’acord amb el que estableix la legislació vigent i presta els seus serveis a les empreses associades, als treballadors per compte propi adherits i als treballadors per compte d’altri protegits. Tot basant-se en un model de gestió de l’excel·lència i bon govern, contribuint d’aquesta manera a un major benestar social, en termes de sostenibilitat.

Per sustentar el desenvolupament d’aquesta Política de Seguretat, Unió de Mútues assumeix una sèrie d’objectius estratègics entre els quals es troba el disposar dels recursos necessaris per analitzar, avaluar i tractar els riscos als quals estan exposats els actius de l’organització que afecten a la seguretat de la informació en les dimensions de disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat.

L’objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l’activitat diària i reaccionant amb celeritat als incidents. La protecció enfront de qualsevol amenaça identificada requereix la implantació d’una sèrie de mesures de seguretat que han d’establir-se d’acord amb la legislació vigent en matèria de protecció de dades, el resultat de l’anàlisi de riscos de l’entitat i les pròpies mesures de l’Esquema Nacional de Seguretat.

Aquesta Política de Seguretatés aplicable a tots els processos estratègics, operatius i de suport, a tots els seus sistemes de tecnologies de la informació i de les comunicacions, i a tots els centres i personal d’Unió de Mútues, d’acord amb la Declaració d’aplicabilitat del sistema de gestió de la seguretat de la informació i a una categorització dels sistemes de nivell ALT segons les directrius de l’Esquema Nacional de Seguretat.

Unió de Mútues considera estratègic per a l’entitat que els processos integrin la seguretat de la informació com a part del seu cicle de vida. Els sistemes d’informació i els serveis han d’incloure la seguretat per defecte des de la seva creació fins a la seva retirada, incloent la seguretat en les decisions de desenvolupament i/o adquisició i en totes les activitats en explotació establint-se la seguretat com un procés integral i transversal.

Unió de Mútues basa la seva gestió de la seguretat en la gestió del risc, raó per la qual tots els sistemes subjectes a aquesta política hauran de realitzar una anàlisi de riscos que s’avaluarà i actualitzarà periòdicament, basant-se en la metodologia formal de gestió del risc amb fonament matemàtic reconeguda internacionalment i la implementació del qual es troba descrita en el sistema de gestió documental de l’entitat i disponible a través de la intranet corporativa per a tot el personal.

En Unió de Mútues s’han implementat amb caràcter preventiu totes aquelles mesures de seguretat derivades del compliment normatiu en protecció de dades, les guies de controls de la norma de gestió ISO27001 i les contemplades en l’Esquema Nacional de Seguretat segons la categorització dels sistemes. L’organització ha implementat els controls necessaris per a:

  • monitorar els sistemes que donen suport als serveis de manera que es pugui obtenir una detecció precoç dels incidents de seguretat,
  • donar resposta de forma eficaç als incidents de seguretat detectats,
  • i aportar continuïtat als serveis dins del Pla de Contingències i Continuïtat de Negoci de l’entitat.

Aquesta política es desenvoluparà aplicant els següents requisits mínims:

  1. Organització i implantació del procés de seguretat.
  2. Anàlisi i gestió dels riscos.
  3. Gestió de personal.
  4. Professionalitat.
  5. Autorització i control dels accessos.
  6. Protecció de les instal·lacions.
  7. Adquisició de productes.
  8. Seguretat per defecte.
  9. Integritat i actualització del sistema.
  10. Protecció de la informació emmagatzemada i en trànsit.
  11. Prevenció davant altres sistemes d’informació interconnectats.
  12. Registre d’activitat.
  13. Incidents de seguretat.
  14. Continuïtat de l’activitat.
  15. Millora contínua del procés de seguretat.

Aquests requisits es troben descrits en la normativa i procediments de seguretat específics per a la implementació de les mesures d’aplicació del ENS i en els documents d’operativa i les normes d’aplicació de la gestió documental de l’entitat. Aquesta documentació es troba disponible a través de la intranet corporativa per a tot el personal, en coherència i de conformitat amb els requisits del Reglament General de Protecció de Dades (RGPD), de la Llei orgànica de Protecció de Dades de caràcter personal i garantia dels drets digitals (LOPDGDD) i de les normes de gestió en les quals l’entitat es troba certificada.

Aquesta Política de seguretat es complementa amb la Política de privacitat i protecció de dades de caràcter personal, la Política d’alt nivell d’Unió de Mútues i els requisits de certificació de normes de gestió de l’entitat.

DADES DE CARÀCTER PERSONAL

Unió de Mútues tracta categories especials de dades personals d’acord amb l’art. 9 de l’RGPD, per la qual cosa està legitimada per al compliment per obligació legal assumida com a responsable (art. 6 1.c RGPD). L’adequació i compliment d’acord amb requisits de l’RGPD es troba recollida documentalment en el procediment de protecció de dades de caràcter personal que forma part de la gestió documental de l’entitat, disponible a través de la intranet corporativa per a tot el personal.

Unió de Mútues posa a la disposició dels usuaris i els interessats tota la informació relacionada amb els tractaments que realitza de dades de caràcter personal, en la Política de privacitat i protecció de dades, disponible també en aquest web.

MARC LEGAL I REGULATORI

Les funcions de les mútues col·laboradores amb la Seguretat Social estan subjectes a la normativa actual que es troba establerta àmpliament en el Mapa Normatiu de l’entitat. S’inclouen com a principals:

  • Reial Decret Legislatiu 8/2015, de 30 d’octubre, pel qual s’aprova el text refós de la Llei General de la Seguretat Social.
  • Reglament General de Col·laboració de les Mútues d’Accidents de Treball i Malalties Professionals de la Seguretat Social.
  • Llei 31/1995, de 8 de novembre, de Prevenció de Riscos Laborals.
  • Resolució de 4 de maig de 2015, de la Secretaria d’Estat de la Seguretat Social, per la qual s’estableix el Pla general d’activitats preventives de la Seguretat Social, d’aplicació per les mútues col·laboradores amb la Seguretat Social en la planificació de les seues activitats per a l’any 2015.
  • Reial Decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i el control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seua durada.
  • Reial Decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració Electrònica.
  • Reglament General de Protecció de Dades, (Reglament UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE)
  • Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • Reial Decret 1541/2011, de 31 d’octubre, pel qual es desenvolupa la Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms.
  • Llei 32/2010, de 5 d’agost, per la qual s’estableix un sistema específic de protecció per cessament d’activitat dels treballadors autònoms (BOE 06/08/2010).
  • Reial Decret 1299/2006, de 10 de novembre pel qual s’aprova el quadre de malalties professionals en el Sistema de Seguretat Social i s’estableixen criteris per a la seua notificació i registre.
  • Resolució de 26 de novembre de 2002, que regula la utilització del Sistema de Declaració Electrònica d’Accidents de Treball (Delta) que possibilita la transmissió per procediment electrònic dels nous models per a la notificació d’accidents de treball.
  • Ordre ESS/1187/2015, de 15 de juny, per la qual es desenvolupa el Reial Decret 625/2014, de 18 de juliol, pel qual es regulen determinats aspectes de la gestió i el control dels processos per incapacitat temporal en els primers tres-cents seixanta-cinc dies de la seua durada.
  • Ordre TAS/1/2007, de 2 de gener, per la qual s’estableix el model de comunicat de malaltia professional, dicta normes per a la seua elaboració i crea el corresponent fitxer de dades personals.

ORGANITZACIÓ DE LA SEGURETAT: FUNCIONS I RESPONSABILITATS

En els sistemes d’informació cal diferenciar entre la persona responsable de la informació, la del servei i la de seguretat. Tot seguint un dels principis bàsics de l’ENS sobre la seguretat com a funció diferenciada s’han establert en l’organització els rols i responsabilitats diferenciades que es descriuen a continuació:

Responsable de la Informació i del Servei

L’òrgan responsable de la seguretat de la informació i del servei serà el Comitè de Seguretat de la Informació que determinarà els requisits de la informació tractada en matèria de seguretat i, sobre la base de l’establiment previ dels nivells de seguretat, en cada dimensió dels sistemes. A més, com a responsable del servei determinarà els requisits dels serveis prestats i els seus nivells de seguretat.

Responsable de Seguretat

La persona líder del Procés de Gestió de Sistemes d’Informació d’Unió de Mútues és la responsable de seguretat d’acord amb els requisits de l’Esquema Nacional de Seguretat i determinarà les decisions per satisfer els requisits de seguretat de la informació i dels serveis. Entre les tasques principals del responsable de seguretat es troben:

  • El coordinar i controlar les mesures de seguretat, aplicables i definides en els procediments d’aplicació.
  • El controlar directament els mecanismes que permeten el registre d’accessos, no permetent la desactivació ni la manipulació d’aquests.
  • El revisar, almenys una vegada al mes, la informació de control registrada i elaborar un informe de les revisions realitzades i els problemes detectats.
  • L’adoptar decisions per satisfer els requisits de seguretat de la informació i dels serveis.
  • El decidir sobre l’adquisició de productes i la contractació de serveis relacionats amb la seguretat.
  • El donar compliment als requisits mínims de seguretat aplicables a la categoria del sistema segons l’ENS, sense perjudici de l’acompliment d’allò que es disposa en el Reglament General de Protecció de Dades de caràcter personal.
  • El formalitzar, aprovar formalment i signar l’acompliment de les mesures de seguretat de l’Annex II de l’ENS, incloses les compensatòries i la seua justificació, en un document que es denominarà Declaració d’aplicabilitat.
  • L’analitzar els informes d’auditoria de l’ENS i presentar les conclusions al responsable del sistema perquè adopti les mesures correctores adequades.
  • El mantenir la seguretat de la informació gestionada i dels serveis prestats pels sistemes d’informació en el seu àmbit de responsabilitat, d’acord amb l’establert en aquesta Política de seguretat de la informació.
  • El promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.

Comitè de Seguretat de la Informació

El Comitè de Seguretat de la Informació té com a objectiu realitzar una avaluació contínua de l’estat de la seguretat de la informació i l’eficàcia del sistema de gestió de la seguretat de la informació implantat en l’organització, derivat aquest del compliment de l’Esquema Nacional de Seguretat, la Norma de Gestió ISO27001 i de la protecció de dades de caràcter personal segons la normativa vigent.

D’acord amb això, les responsabilitats del Comitè de Seguretat de la Informació seran, entre d’altres, les que es definiran àmpliament en el document de seguretat, el coordinar la seguretat de la informació a nivell d’organització per a, entre altres aspectes,

  • racionalitzar la implantació de les diferents mesures de seguretat requerides pel sistema i
  • evitar disfuncions que permetin falles de seguretat en deixar al sistema punts febles on pogueren ocórrer accidents o es pogueren perpetrar atacs.

El Comitè de Seguretat de la Informació està format per personal representant de:

  • Estratègia i Gestió Directiva
  • Gestió de Contingència Professional
  • Gestió de Prestació Econòmica
  • Gestió d’Afiliació-Cotització
  • Responsable del sistema (SGSI)
  • Gestió de Recursos Humans
  • Gestió Jurídica
  • Gestió de la Innovació i Millora
  • Gestió d’Edificis i Instal·lacions
  • Responsable de seguretat
  • Responsable de contractació
  • Responsable de compliment normatiu
  • Delegat de protecció de dades.

Responsable del sistema

La persona líder del Subprocés de Seguretat dels Sistemes d’Informació i Serveis del Procés Gestió de Sistemes d’Informació d’Unió de Mútues és la responsable del sistema d’acord amb els requisits de l’Esquema Nacional de Seguretat i la Norma de Gestió ISO27001 (Responsable del Sistema de Gestió dels Sistemes d’Informació) i determinarà les decisions per satisfer els requisits de seguretat de la informació i dels serveis.

Entre les tasques principals del responsable del sistema es troben:

  • El rebre els informes d’auditoria i adoptar les mesures correctores adequades amb les conclusions aportades pel responsable de seguretat
  • En el cas dels sistemes de categoria ALTA, vist el dictamen d’auditoria, el responsable del sistema podrà acordar la retirada d’operació d’alguna informació, d’algun servei o del sistema íntegrament, durant el temps que estimi prudent i fins a la satisfacció de les modificacions prescrites. (Aquesta decisió ha de ser acordada amb els responsables de la informació afectada, els del servei afectat i el responsable de la seguretat, abans de ser executada)
  • El desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida, de les seues especificacions, la instal·lació i la verificació del seu correcte funcionament.

Delegat de protecció de dades

Unió de Mútues ha designat al seu delegat de protecció de dades perquè participi, dins del termini i en la forma escaient, en totes les qüestions relatives a la protecció de dades personals.

Els interessats, pel que fa a totes les qüestions relatives al tractament de les seves dades personals i a l’exercici dels seus drets a l’empara del Reglament General de Protecció de Dades i la Llei Orgànica de Protecció de Dades Personals i garantia dels drets digitals, podran posar-se en contacte amb el delegat de protecció de dades d’Unió de Mútues a través del compte de correu: delegadoprotecciondatos@uniondemutuas.es

El delegat de protecció de dades estarà obligat a mantenir el secret i la confidencialitat pel que fa a l’acompliment de les seves funcions, d’acord amb el Dret de la Unió o dels Estats membres. El delegat de protecció de dades d’Unió de Mútues actuarà com a punt de contacte de l’autoritat de control per a qüestions relatives al tractament de les dades de caràcter personal dels interessats entre altres funcions establertes en l’actual normativa.

Obligacions del personal

Tot el personal d’Unió de Mútues ha de conèixer i complir aquesta Política de seguretat de la informació, la seva Normativa de desenvolupament i procediments de Seguretat.

Les funcions i obligacions de totes les figures vistes en aquesta política es troben definides en detall en la documentació del Procés de Gestió dels sistemes d’informació.

Per sobre de la resolució de conflictes entre els diferents responsables prevaldrà la decisió del responsable de seguretat, la qual haurà d’estar justificada davant el Comitè de Seguretat de la Informació.

La Direcció gerència d’Unió de Mútues és l’encarregada de nomenar i aprovar tant el responsable de la informació i del servei, com el responsable de la seguretat, mitjançant l’aprovació dels respectius procediments que conformen el document de seguretat, on es troben ben definides les seves responsabilitats i càrrecs, i mitjançant la signatura d’aquesta política.

TERCERES PARTS

Quan Unió de Mútues presti serveis a altres organismes o manegi informació d’altres organismes, els farà partícips d’aquestaPolítica de seguretat de la informació.

Quan Unió de Mútues utilitzi serveis de tercers o cedeixi informació a tercers, els farà partícips d’aquesta Política de seguretat i de la normativa de seguretat que concerneixi a aquests serveis o informació. Aquesta tercera part haurà d’acceptar el quedar subjecta a les obligacions establertes en aquesta normativa, tanmateix podrà desenvolupar els seus propis procediments operatius per satisfer-la.

Quan algun aspecte de la política no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del responsable de seguretat que precisi els riscos en què s’incorre i la forma de tractar-los.

Aprovació i entrada en vigor d’aquest text el 13 de juliol de 2017.

Data d’última actualització: abril 2019

 

Unió de Mútues
Mútua col·laboradora amb la Seguretat Social núm. 267