Política de Seguridad y Privacidad de la Información de Unión de Mutuas

APROBACIÓN Y ENTRADA EN VIGOR
La política de seguridad y privacidad se mantiene actualizada a través de revisiones periódicas para adecuarla al progreso de los sistemas de información y de los servicios, a la evolución tecnológica, al desarrollo de la sociedad de la información, así como a la normativa de aplicación en cada momento en relación con la seguridad y la protección de los datos de carácter personal.

El Comité de Seguridad y Privacidad de la Información de Unión de Mutuas revisa regularmente la oportunidad, idoneidad, completitud y precisión de lo establecido en esta política y la aprueba.

La primera aprobación y entrada en vigor del presente texto fue el 13 de julio de 2017.

El presente texto anula el anterior aprobado y ratificado en abril de 2022 por la Dirección Gerencia.

INTRODUCCIÓN
Unión de Mutuas depende de los sistemas TIC (Tecnologías de la Información y las Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados.
Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados.

De este modo, todas las áreas de Unión de Mutuas tienen presente que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en los pliegos de licitación para proyectos de TIC.

Por tanto, para Unión de Mutuas, el objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según criterios de gestión de riesgos y con la aplicación de las medidas que se relacionan en esta política.

ALCANCE
Esta Política de seguridad y privacidad de la información y su desarrollo, de conformidad con los principios básicos y requisitos mínimos establecidos en el Esquema Nacional de Seguridad, será de aplicación a todos los procesos estratégicos, operativos y de apoyo de Unión de Mutuas, a todos sus sistemas y tecnologías de la información y de las comunicaciones, y a todos sus centros y personas trabajadoras.

MISIÓN  DE UNIÓN DE MUTUAS
Unión de Mutuas está formada por personas que nos ocupamos de la salud laboral y de la gestión del pago de prestaciones económicas. Unión de Mutuas, mutua colaboradora con la Seguridad Social n.º 267, es una asociación de empresas, sin ánimo de lucro ni de captación de empresas o autónomos, que colaboramos en la gestión de la Seguridad Social en la gestión integral del accidente de trabajo y enfermedad profesional de los trabajadores protegidos, con el objetivo de mejorar su salud a través de la prevención y la asistencia sanitaria. También gestionamos el control y el pago de las prestaciones económicas de la contingencia profesional y de la incapacidad temporal derivada de contingencia común, así como las prestaciones de riesgo durante el embarazo y la lactancia natural, el cuidado de menores enfermos de cáncer u otra enfermedad grave y el cese de actividad de los trabajadores autónomos.

Nuestro trabajo se realiza en base a los principios de buen gobierno, asegurando la transparencia en nuestra gestión y conforme los criterios de un modelo de gestión de la excelencia basado en la eficiencia, compromiso con las personas, innovación y sostenibilidad, para ofrecer el mejor servicio a las empresas mutualistas y personas trabajadoras asociadas o adheridas a Unión de Mutuas y satisfacer las expectativas legítimas de todos nuestros grupos de interés.

El objetivo de la seguridad de la información será garantizar la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de los sistemas de información y servicios que dan soporte para la consecución de la misión de Unión de Mutuas como mutua colaboradora con la Seguridad Social.

MARCO REGULATORIO DE LA ACTIVIDAD
Las funciones de las mutuas colaboradoras con la Seguridad Social quedan sujetas a la normativa actual, que se encuentra establecida ampliamente en el mapa normativo de la entidad. Se incluyen como principales las siguientes:

  • Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social.
  • Real Decreto 1993/1995, de 7 de diciembre, por el que se aprueba el Reglamento sobre colaboración de las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social.
  • Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
  • Resolución de 4 de mayo de 2015, de la Secretaría de Estado de la Seguridad Social, por la que se establece el Plan general de actividades preventivas de la Seguridad Social, a aplicar por las mutuas colaboradoras con la Seguridad Social en la planificación de sus actividades para el año 2015.
  • Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración.
  • Decreto 1060/2022, de 27 de diciembre, por el que se modifica el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración.
  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
  • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
  • Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Reglamento General de Protección de Datos, (Reglamento UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Real Decreto 1541/2011, de 31 de octubre, por el que se desarrolla la Ley 32/2010, de 5 de agosto, por la que se establece un sistema específico de protección por cese de actividad de los trabajadores autónomos.
  • Ley 32/2010, de 5 de agosto, por la que se establece un sistema específico de protección por cese de actividad de los trabajadores autónomos (BOE 06/08/2010).
  • Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.
  • Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Real Decreto 1299/2006, de 10 de noviembre por el que se aprueba el cuadro de enfermedades profesionales en el Sistema de Seguridad Social y se establecen criterios para su notificación y registro.
  • Resolución de 26 de noviembre de 2002, que regula la utilización del Sistema de Declaración Electrónica de Accidentes de Trabajo (Delta) que posibilita la transmisión por procedimiento electrónico de los nuevos modelos para la notificación de accidentes de trabajo.
  • Orden ESS/1187/2015, de 15 de junio, por la que se desarrolla el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración.
  • Orden TAS/1/2007, de 2 de enero, por la que se establece el modelo de parte de enfermedad profesional, dicta normas para su elaboración y crea el correspondiente fichero de datos personales.

ESTRUCTURA DE LA DOCUMENTACIÓN DE SEGURIDAD DEL SISTEMA
La documentación que describe la estructura organizativa de gestión de la seguridad y privacidad de la información de Unión de Mutuas se compone de políticas, normativa, procedimientos de gestión de la seguridad e instrucciones de trabajo operativas. Se encuentra registrada en el catálogo de documentos del Sistema de Gestión documental de la entidad y disponible a través de la intranet corporativa para todo el personal, en coherencia y de conformidad con los requisitos del Reglamento General de Protección de Datos (RGPD), de la Ley Orgánica de Protección de Datos de carácter personal y garantía de los derechos digitales (LOPDGDD) y de las normas de gestión en las que la entidad se encuentra certificada.

PRINCIPIOS BÁSICOS DEL ESQUEMA NACIONAL DE SEGURIDAD
Unión de Mutuas entiende la seguridad de la información como un proceso integral de gestión de la seguridad donde no caben actuaciones o tratamientos coyunturales, teniendo en cuenta aspectos relativos a la seguridad de las personas, de las instalaciones, de la operativa y técnica, jurídicos de la gestión, entre otros.

Todos los sistemas, servicios, personas y recursos en el alcance de esta política son objeto de un análisis de los riesgos que afectan a la seguridad y privacidad de la información, que se reevaluará, al menos, una vez al año o cuando exista algún cambio que afecte a la información o a los servicios, se detecten amenazas, o vulnerabilidades. El plan de análisis de riesgos, la metodología formal de revisión, los criterios de evaluación de los mismos, las directrices para su tratamiento y el proceso de aceptación del riesgo residual, se encuentran desarrollados y disponibles en el Catálogo de documentos del Sistema de Gestión de la entidad a través de la intranet corporativa para todo el personal. El análisis de riesgos será la base para determinar las medidas de seguridad y privacidad que se deben adoptar, además de los mínimos establecidos por el Esquema Nacional de Seguridad.

Para la prevención, detección, respuesta y conservación, en Unión de Mutuas se han implementado, con carácter preventivo, todas aquellas medidas de seguridad y privacidad derivadas del cumplimiento normativo en protección de datos, los controles de la norma de gestión ISO 27001 (Sistemas de gestión de seguridad de la información) e ISO 27701 (Gestión de privacidad de la información) y todas aquellas medidas contempladas en el Esquema Nacional de Seguridad según la valoración de los sistemas. Adicionalmente, se implementan todas aquellas medidas de seguridad necesarias para dar cobertura a la detección de amenazas y gestión de los riesgos para la seguridad y privacidad de los sistemas y los datos. Para garantizar el cumplimiento de esta política, Unión de Mutuas realiza, además, una gestión del cambio en la operativa y configuración de los sistemas, requiriendo autorización previa antes de su puesta en explotación. La organización ha implementado los controles necesarios para detectar nuevas amenazas a través de sistemas de monitorización para una detección temprana de los incidentes de seguridad. Para poder dar respuesta de forma eficaz a los incidentes de seguridad detectados se han establecido  protocolos de comunicación con los agentes implicados, con la finalidad de aportar continuidad a los servicios dentro del Plan de contingencias y continuidad de servicio de la entidad y garantizando la conservación de los activos digitales.

Unión de Mutuas ha establecido un sistema de gestión de la seguridad a través de múltiples capas de seguridad (organizativas, físicas, y técnicas), como líneas de defensa que permitan enfrentar una amenaza cuando alguna de ellas haya sido comprometida.

Para mantener una vigilancia continua y reevaluación periódica, Unión de Mutuas realiza una monitorización continua de sus sistemas con reporte y gestión de alertas y una revisión periódica de la correcta adecuación de sus sistema de gestión de la seguridad de la información por parte de terceros, con el fin de obtener una evaluación independiente del correcto cumplimiento del Esquema Nacional de Seguridad y otras normas de gestión como son la ISI27001 e ISO27701.

La diferenciación de responsabilidades en materia de seguridad como principio, se establece en el apartado de roles o funciones de seguridad de esta política.

REQUISITOS MÍNIMOS
La Política de seguridad y privacidad se complementa con la Política de privacidad y protección de datos de carácter personal, la Política General de Unión de Mutuas y aquellas derivadas de las diferentes normas de gestión en las que se encuentra certificada de la entidad. Esta política se desarrollará a través de la correspondiente normativa de seguridad y privacidad sobre aspectos específicos, y se encuentra a disposición de todos los miembros de la organización.

La presente política se desarrollará aplicando los siguientes requisitos mínimos:

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
o) Mejora continua del proceso de seguridad.

Para dar cumplimiento a estos requisitos mínimos, Unión de Mutuas adoptará las medidas de seguridad y refuerzos establecidos en el Anexo II del Esquema Nacional de Seguridad, teniendo en cuenta los activos que gestiona, la categoría del sistema y la gestión de los riesgos identificados.

ROLES O FUNCIONES DE SEGURIDAD
Unión de Mutuas, de conformidad con la guía CCN-STIC 801 “Esquema Nacional de Seguridad: responsabilidades y funciones”, ha establecido para el gobierno de la seguridad los siguientes bloques de función diferenciada en materia de seguridad:

  • La responsabilidad legal y la especificación de las necesidades o requisitos, que corresponde a la Dirección de la entidad, a los responsables del tratamiento, de la información y del servicio, y al Comité de Seguridad y Privacidad de la Información.
  • La supervisión, que corresponde al responsable de la seguridad y al delegado de protección de datos, en sus respectivos ámbitos.
  • La operación del sistema de información, que corresponde al responsable del sistema.

Responsable de la información y del servicio: Comité de Seguridad y Privacidad de la Información
El órgano responsable de la seguridad y privacidad de la información y del servicio es el Comité de Seguridad y Privacidad de la Información, que determinará los requisitos de la información tratada en materia de seguridad y protección de datos sobre la base del establecimiento previo de los niveles de seguridad en cada dimensión de los sistemas. Además, como responsable del servicio, dicho comité determinará los requisitos de los servicios prestados y sus niveles de seguridad y privacidad.

El Comité de Seguridad y Privacidad de la Información tiene como objetivo realizar una evaluación continua del estado de la seguridad de la información y la eficacia del sistema de gestión de la seguridad y privacidad de la información (SGSI/SGPI) implantado en la organización, derivado este del cumplimiento del Esquema Nacional de Seguridad, las normas de gestión ISO 27001 e ISO 27701, y de la protección de datos de carácter personal según la normativa vigente.

De acuerdo con ello, las responsabilidades del Comité de Seguridad y Privacidad de la Información serán, entre otras, las que se definen ampliamente en el documento de seguridad asociado en el sistema de gestión de la entidad, la coordinación de la seguridad de la información en la organización para, entre otros aspectos,

– racionalizar la implantación de las diferentes medidas de seguridad y privacidad requeridas por el sistema y
– evitar disfunciones que permitan fallas de seguridad al dejar al sistema con puntos débiles donde pudieran ocurrir accidentes o se pudieran perpetrar ataques.

El Comité de Seguridad y Privacidad de la Información está formado por personal representante de:

– Estrategia y Gestión Directiva
– Gestión de la Contingencia Profesional
– Gestión de Recaudación y Prestación Económica
– Responsable de la Administración de los Sistemas
– Responsable del sistema (SGSI/SGPI)
– Gestión de Recursos Humanos
– Gestión Jurídica
– Gestión de la Innovación y Mejora
– Gestión de Edificios e Instalaciones
– Responsable de seguridad
– Responsable de contratación
– Responsable de cumplimiento y el
– Delegado de protección de datos (sin voto cuando se traten asuntos relacionados con la protección de datos).

Responsable de seguridad
La persona responsable de la seguridad, conforme a los requisitos del Esquema Nacional de Seguridad y, adicionalmente, de las normas de gestión de la seguridad y privacidad implementadas, determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Entre las tareas principales del responsable de seguridad se encuentran:

– Coordinar y controlar las medidas de seguridad aplicables y definidas en los procedimientos de aplicación.
– Controlar directamente los mecanismos que permiten el registro de accesos, no permitiendo la desactivación ni la manipulación de los mismos.
– Revisar, al menos una vez al mes, la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados.
– Adoptar decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
– Decidir sobre la adquisición de productos y contratación de servicios relacionados con la seguridad.
– Dar cumplimiento a los requisitos mínimos de seguridad aplicables a la categoría del sistema según el ENS y sin perjuicio del cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos de Carácter Personal.
– Formalizar, aprobar formalmente y firmar el cumplimiento de las medidas de seguridad del Anexo II del ENS, incluidas las compensatorias y su justificación, en un documento que se denominará Declaración de aplicabilidad.
– Analizar los informes de auditoría del ENS y sistemas de gestión de la seguridad y privacidad y presentar sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
– Mantener la seguridad de la información gestionada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo con lo establecido en la presente Política de seguridad y privacidad de la información.
– Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
– Colaborar con el delegado de protección de datos en la elaboración de las evaluaciones de impacto e identificación de riesgos específicos.
– Llevar a cabo cualquier actuación derivada de los requisitos del Esquema Nacional de Seguridad, instrucciones técnicas y guías de aplicación que se asignen específicamente como función del responsable de seguridad, además de todo lo indicado como responsabilidades específicas en el procedimiento de seguridad.

Responsable del sistema
La persona responsable del sistema, conforme a los requisitos del Esquema Nacional de Seguridad y las Normas de Gestión ISO 27001 (Sistemas de Gestión de Seguridad de Información) e ISO 27701 (Gestión de privacidad de la información), determinará las decisiones para satisfacer los requisitos de seguridad y privacidad de la información y de los servicios.

Entre las tareas principales del responsable del sistema se encuentran:

– Recibir los informes de auditoría y adoptar las medidas correctoras adecuadas con las conclusiones aportadas por el responsable de seguridad.
– En el caso de los sistemas de valoración alta, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas. (Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y del responsable de la seguridad, antes de ser ejecutada).
– Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

Delegado de protección de datos
Unión de Mutuas ha designado a su delegado de protección de datos para que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de los datos de carácter personal objeto de tratamiento.

Los interesados, por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, podrán ponerse en contacto con el delegado de protección de datos de Unión de Mutuas a través de la cuenta de correo: delegadoprotecciondatos@uniondemutuas.es.

El delegado de protección de datos estará obligado a mantener el secreto y la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados Miembros. El delegado de protección de datos de Unión de Mutuas actuará como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento de los datos de carácter personal de los interesados, entre otras funciones establecidas en la actual normativa.

El delegado de protección de datos participará activamente en todos los aspectos de la seguridad que afecten a la privacidad y la protección de los datos de carácter personal.

Comité de Protección de Datos
El Comité de Protección de Datos es un equipo de personas dentro de la entidad de apoyo y soporte al delegado de protección de datos en todas sus funciones, de modo que puedan cubrir varias áreas de especialización.

El Comité de Protección de Datos está formado por personal representante de:

– Estrategia y Gestión Directiva,
– Gestión Jurídica,
– Responsable de seguridad,
– Responsable de contratación,
– Responsable de cumplimiento, y el
– Delegado de protección de datos.

Otras funciones:

– su personal formará parte del Comité de Seguridad y Privacidad de la Información,
– podrá colaborar en las consultas a la autoridad de control,
– actuará como gabinete de crisis ante violaciones de protección de datos y para dar cumplimiento de los artículos 33 y 34 del RGPD para notificación y comunicación a los interesados, y
– revisará los diferentes informes que el delegado de protección de datos prepare con finalidades específicas de comunicación o supervisión periódica.

Procedimiento de designación y renovación
La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los responsables identificados en esta política se realizará por el órgano superior de Unión de Mutuas.

El Comité de Seguridad y Privacidad de la Información participará en su renovación o cese, dejando de manifiesto cualquier observación relacionada.

CATEGORÍA DE LOS SISTEMAS DE INFORMACIÓN
La categorización de los sistemas en Unión de Mutuas se ha determinado de nivel ALTO y sobre la base de la valoración del impacto de cualquier incidente que afectara a la seguridad de la información o de los sistemas de Unión de Mutuas con repercusión para alcanzar sus objetivos, proteger los activos a su cargo y garantizar la conformidad con el ordenamiento jurídico. Así pues, el nivel de seguridad a implementar será el requerido para esta valoración.

Se ha tenido en cuenta para la valoración de los sistemas de información y servicios de Unión de Mutuas el Anexo I del Esquema Nacional de Seguridad (categorías de seguridad de los sistemas de información) y la guía de seguridad de las CCN-STIC 803.

ORGANIZACIÓN E IMPLANTACIÓN DEL PROCESO DE LA SEGURIDAD
Unión de Mutuas tiene entre sus objetivos estratégicos garantizar la seguridad y privacidad de la información y la continuidad del servicio, analizando el contexto de exposición (interno y externo), actuando preventivamente, supervisando la actividad diaria, reaccionando con celeridad a los incidentes, y disponiendo de los recursos necesarios para analizar, evaluar y tratar los riesgos a los que están expuestos los activos de la organización que afectan a la seguridad y privacidad de la información en todas sus dimensiones (disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad). La protección frente a cualquier amenaza identificada requiere la implantación de una serie de medidas de seguridad que deben establecerse conforme a la legislación vigente en materia de protección de datos, el resultado del análisis de riesgos de la entidad y las propias medidas del Esquema Nacional de Seguridad.

Unión de Mutuas considera estratégico para la entidad que los procesos integren la seguridad de la información como parte de su ciclo de vida. Los sistemas de información y los servicios deben incluir la seguridad y privacidad por defecto desde su creación hasta su retirada, incluyéndose la seguridad en las decisiones de desarrollo y adquisición de servicios o productos, y en todas las operaciones de la actividad diaria. La seguridad se establece como un proceso integral y gestionado, donde no hay cabida a actuaciones colaterales o aisladas.

GESTIÓN DE RIESGOS
Todos los sistemas afectados por la presente Política de seguridad y privacidad de la información están sujetos a un análisis de riesgos con el objetivo de evaluar las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Al menos una vez al año.
• Cuando cambien la información y/o los servicios manejados de manera significativa.
• Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El responsable de Seguridad será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

El proceso de gestión de riesgos comprenderá las siguientes fases:

• Categorización de los sistemas.
• Análisis de riesgos.
• El Comité de Seguridad de la Información procederá a la selección de medidas de seguridad a aplicar, que deberán de ser proporcionales a los riesgos y estar justificadas.

Las fases de este proceso se realizarán según lo dispuesto en los Anexos I y II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y siguiendo las normas, instrucciones, Guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.

En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

Unión de Mutuas lleva a cabo una gestión de los riesgos de mayor impacto sobre sus activos, y de aquellos derivados del tratamiento de datos personales, como son:

– los riesgos para la privacidad,
– riesgos derivados del uso de nuevas tecnologías,
– riesgos de cumplimiento normativo específico o
– riesgos derivados del tratamiento de categorías especiales,

en cuyo caso, para los supuestos requeridos, se realizarán las debidas evaluaciones de impacto.

NOTIFICACIÓN DE INCIDENTES
De conformidad con lo dispuesto en el artículo 36 del Real Decreto 3/2010, de 8 de enero, Unión de Mutuas notificará al Centro Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados en relación con la categorización de sistemas recogida en el Anexo I de dicho cuerpo legal.

DATOS DE CARÁCTER PERSONAL
Unión de Mutuas trata categorías especiales de datos personales de conformidad con el art. 9 del RGPD. La licitud del tratamiento está basada en una obligación legal (art. 6. 1.c RGPD). La adecuación y cumplimiento conforme a los requisitos del RGPD queda recogida documentalmente en el Procedimiento de privacidad y protección de datos de carácter personal, que forma parte del Sistema de Gestión de la entidad y se encuentra disponible a través de la intranet corporativa para conocimiento de todo el personal.

Unión de Mutuas pone a disposición de usuarios e interesados toda la información relacionada con los tratamientos que realiza de datos de carácter personal en la Política de privacidad y protección de datos, disponible en la web corporativa.

Además, la entidad ha optado por una certificación del cumplimiento en materia de privacidad y protección de datos de carácter personal a través de la norma de gestión ISO 27701 (Gestión de la Privacidad de la información) para dar garantía de la objetividad del cumplimiento legal y como diligencia debida para la seguridad y privacidad desde el diseño y por defecto.

OBLIGACIONES DEL PERSONAL
Todo el personal de Unión de Mutuas debe conocer y cumplir esta Política de seguridad y privacidad de la información, su normativa de desarrollo y procedimientos de seguridad, siendo responsabilidad del Comité de Seguridad y Privacidad la disposición de los medios necesarios para que la información llegue a los afectados.

FORMACIÓN Y CONCIENCIACIÓN EN SEGURIDAD Y PRIVACIDAD
El personal de Unión de Mutuas estará sometido a formación y concienciación periódica en materia de seguridad y privacidad de la información y protección de datos de carácter personal, resultando de especial importancia el personal de nueva incorporación, que recibirá información específica en esta materia como parte de su acogida.

También las personas con responsabilidad en el uso, operación o administración de sistemas de las tecnologías de la información y comunicaciones recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación como si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

MECANISMOS DE COORDINACIÓN Y RESOLUCIÓN DE CONFLICTOS
La coordinación de la seguridad y gestión de las situaciones de emergencia se llevará en los diferentes Comités de Seguridad y Protección de Datos. Sobre la resolución de conflictos entre los diferentes responsables prevalecerá la decisión del responsable de seguridad y el delegado de protección de datos en sus competencias, que deberá estar justificada ante el Comité de Seguridad y Privacidad de la Información.

DESARROLLO DE LA POLÍTICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
La presente Política de seguridad y privacidad de la información será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas). Corresponde al Comité de Seguridad y Privacidad de la Información su revisión anual y/o mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma.

El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: constituido por la presente Política de seguridad y privacidad de la información, la Normativa interna del uso de los medios electrónicos y las directrices generales de seguridad aplicables a los organismos o unidades de Unión de Mutuas a los que sea de aplicación dichos documentos.
b) Segundo nivel normativo: constituido por las normas de seguridad derivadas de las anteriores.
c) Tercer nivel normativo: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de seguridad y privacidad de la información, determinan las acciones o tareas a realizar en el desempeño de un proceso.

Corresponde al órgano superior del Unión de Mutuas la aprobación de la Política de seguridad y privacidad de la información y la normativa interna de Unión de Mutuas, siendo el responsable de seguridad de la información el responsable de la aprobación de los restantes documentos, siendo también responsable de su difusión para que la conozcan las partes afectadas.

Del mismo modo, la presente Política de seguridad y privacidad de la información complementa la Política de privacidad y protección de datos de Unión de Mutuas en materia de protección de datos de carácter personal.
Esta normativa se encuentra registrada en el catálogo de documentos del Sistema de Gestión documental de la entidad y disponible para su consulta a través de la intranet corporativa para todo el personal, en coherencia y de conformidad con los requisitos del Reglamento General de Protección de Datos (RGPD), de la Ley Orgánica de Protección de Datos de carácter personal y garantía de los derechos digitales (LOPDGDD) y de las normas de gestión en las que la entidad se encuentra certificada.

TERCERAS PARTES
Cuando Unión de Mutuas utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de seguridad y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de seguridad.

Cuando Unión de Mutuas preste servicios a otros organismos o maneje información de otros organismos, se les hará participe de esta Política de seguridad de la información. Se establecerán canales para el reporte y la coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando algún aspecto de esta Política de seguridad y privacidad de la información no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del responsable de seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

 

 

Fecha de última actualización: mayo 2023.

 

Unión de Mutuas
Mutua colaboradora con la Seguridad Social n.º 267