Política de Seguridad de la Información

1. OBJETO

El objetivo de esta política es proporcionar orientación y apoyo a la gestión de seguridad de la información de acuerdo con los requisitos de la actividad médica y las normas aplicables. 

Esta política contiene una descripción de elementos clave, tanto humanos como organizativos, tecnológicos y documentales que ASCIRES Grupo Biomédico (en adelante, ASCIRES) aplica para proteger la información, y especialmente los datos de carácter personal, evitando que se produzcan incidentes de seguridad que los pongan en peligro.

Ascires velará por la aplicación real y efectiva de las medidas de prevención y control previstas en esta política, de manera que este sistema de gestión consiga la eliminación o reducción de comportamientos que puedan poner en riesgo la seguridad de los activos de información.

Esta política será adaptada a los cambios tecnológicos y legislativos que se vayan produciendo en el futuro.

2. OBJETIVOS, MISIÓN Y SERVICIOS QUE PRESTA ASCIRES

Por su marco de actuación, Ascires presta servicios relacionados con la actividad sanitaria. Asimismo, por tecnología y número de pacientes atendidos anualmente, es el grupo biomédico pionero en España en Diagnóstico por Imagen y Medicina Nuclear, además de un referente en Oncología Radioterápica. La vocación por el paciente, la pasión por la innovación tecnológica y la humanización del tratamiento, son las señas de identidad compartidas en Ascires. 

Por lo anterior, el objetivo fundamental de Ascires es la prestación a pacientes de servicios diagnósticos de precisión, tratamientos radioterápicos, medicina nuclear, así como la atención especializada y personalizada en consultas médicas con cirugía ambulatoria.

Por lo anterior, sus principales activos son de naturaleza intangible y están formados principalmente por información confidencial y sensible, como información médica de pacientes o la relativa a investigaciones científicas, datos personales, propiedad intelectual, propiedad industrial, entre otros.

El carácter inmaterial de este tipo de activos los hace muy vulnerables a amenazas, tanto internas como externas (accesos no autorizados, la copia o divulgación de información, la cesión a terceros, el uso no autorizado, la explotación no autorizada e incluso la destrucción).

La protección de los activos de información exige una serie de medidas técnicas y organizativas que se resumen en esta política y se detallan en las normas y procedimientos que forman el sistema de gestión de ASCIRES.

3. AMBITO DE APLICACIÓN

Esta política se aplica a los siguientes ámbitos de Ascires:

• Ámbito societario: En adelante, el conjunto de sociedades y entidades adheridas a la presente política serán denominadas indistintamente como Ascires o como las sociedades. En concreto, es aplicable en las siguientes sociedades:
  • ECG MÉDICA S.L  
• Ámbito personal: esta política es aplicable a todos los niveles de Ascires, incluyendo los órganos de administración, los cargos directivos, los órganos de control y la totalidad del personal al servicio de Ascires.

• Ámbito relacional: el ámbito de aplicación de esta política se extenderá, en la medida en que ello sea posible, a los proveedores, distribuidores y clientes de Ascires. En el caso de que ello no sea posible, se limitará la contratación a las empresas que tengan políticas de similar nivel de protección o bien se impondrán contractualmente condiciones de patrones de conducta, medidas preventivas y sistemas de control en materia de seguridad de la información.

• Ámbito geográfico: esta política se aplicará a las relaciones públicas y privadas que Ascires establezca en cualquier ámbito geográfico, tanto local como internacional.

En base a lo anterior, y teniendo en cuenta los requisitos aplicables a Ascires en materia de seguridad, se establece el siguiente alcance formal que define las áreas que deben cumplir con lo especificado por el Esquema Nacional de Seguridad:

“Los sistemas de información que dan soporte a los servicios de especialidades médicas y al servicio de diagnóstico por imagen, incluyendo las actividades de citación, admisión, realización de pruebas, tratamiento y telerradiología prestado a sus clientes del sector público de acuerdo con el documento de categorización vigente.”

4. MARCO NORMATIVO

4.1 NORMATIVA EXTERNA

Nacional:

• Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales. 
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
• Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. 

Europea: 

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 
• Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. 

Guías y estándares: 

• Guía CCN-STIC 801 ENS Responsables y Funciones. 
• Guía CCN-STIC 805 ENS Política de Seguridad de la Información. 
• Guía CCN-STIC 402 Gestión para la Seguridad de los Sistemas TIC. 
• Guía CCN-STIC 401 Glosario y Abreviaturas

4.2 NORMATIVA INTERNA

• Sistema de Gestión de Seguridad de la Información de Ascires

5. JUSTIFICACIÓN DE LA POLITICA DE SEGURIDAD DE LA INFORMACIÓN 

Este documento se enmarca en la estrategia seguida en Ascires en seguridad de la información, como referente en las pautas a llevar a cabo para garantizar la calidad de la información y la prestación de sus servicios, mediante las actividades de prevención y supervisión o respuesta, en caso de producirse un incidente de seguridad.

La información manejada en Ascires debe ser tratada bajo determinadas medidas de seguridad que la protejan frente a amenazas internas o externas que garantizan su disponibilidad, integridad y confidencialidad.

Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno de Ascires y así garantizar la prestación continua de los servicios.

Esta estrategia se adecúa a las exigencias del Esquema Nacional de Seguridad incorporando la seguridad como una parte integral del servicio, pues las medidas de seguridad dispuestas se incorporan en cada etapa de la vida del sistema de información, lo que permite que en Ascires los departamentos o áreas involucrados estén preparados para prevenir, detectar y reaccionar ante un incidente de seguridad.

6. PRINCIPIOS Y OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Los objetivos de Ascires en materia de seguridad de la información están alineados con los de la actividad médica, dando prioridad al cumplimiento de las obligaciones legales que sean aplicables a la actividad desarrollada.

De acuerdo con lo anterior, Ascires tiene los siguientes objetivos:

• Dar cumplimiento a el Reglamento General de Protección de Datos de la Unión Europea y otra normativa vigente relativa a la protección de datos personales existente en los países en los que Ascires actúe.
• Fomentar una cultura de seguridad de la información en la organización a partir de acciones de formación y concienciación. 
• Prevenir y evitar incidentes de seguridad mediante la mejora en la vigilancia y monitorización de redes y sistemas de información.
• Establecer una respuesta rápida y eficiente en caso de incidente de seguridad mediante protocolos de actuación claros y conocidos por todas las partes, que incluyan la notificación a las entidades correspondientes.
• Garantizar la disponibilidad de la información y la prestación de sus servicios con la mayor eficacia posible.

En todos los niveles de Ascires existe el compromiso de cumplir con los objetivos fijados en materia de seguridad de la información y de aplicar los controles establecidos en consecuencia.

Estos objetivos se enmarcan en una estrategia que se fundamenta en mantener los principios de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.

1. El principio de confidencialidad garantiza que la información solo es accesible para los usuarios autorizados a acceder a ella y que no podrá ser divulgada a terceros sin la correspondiente autorización.
2. El principio de integridad garantiza que los datos se mantendrán libres de modificaciones no autorizadas y que la información existente no ha sido alterada por personas o procesos no autorizados.
3. El principio de disponibilidad garantiza que la información estará accesible y utilizable de forma constante, asegurando la continuidad de los procesos y de la actividad médica. Este principio va unido al de resiliencia, que consiste en asegurar la capacidad de recuperación de los sistemas y la información tras un incidente que impida el acceso temporal a los mismos.
4. El principio de autenticidad garantiza que el origen y las identidades asociadas a la información son realmente los que aparecen en los atributos de esta. Este principio va unido al de no repudio, que consiste en asegurar que un usuario no pueda negar la autoría de un acto en el sistema o la vinculación a un dato o conjunto de datos.
5. El principio de trazabilidad garantiza la posibilidad de determinar en cada momento la identidad de las personas que acceden a la información y la actividad que desarrollan en relación con la misma, así como los distintos estados y rutas que ha seguido la información.

Todas las medidas de seguridad que se aplican en Ascires se hacen siguiendo un  principio de proporcionalidad entre los controles a aplicar y la gravedad del riesgo a prevenir, detectar o mitigar.

Todos los servicios que se incorporen o desarrollen dentro de los servicios de Ascires, lo hacen bajo un principio de seguridad desde el diseño y por defecto.

7. ORGANIZACIÓN DE LA SEGURIDAD 

7.1 DEFINICIÓN DE ROLES Y RESPONSABILIDADES

Para la gestión de la seguridad de la información, Ascires ha tomado como referencia estándares internacionales como la Norma ISO 27001:2022 de Seguridad de la Información, Ciberseguridad y Protección de la Privacidad atendiendo, a su vez, a lo establecido en el Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad, toda vez que Ascires presta también servicios puntuales a la Administración Pública. 

De acuerdo con lo anterior, y con el artículo 12.1 del mencionado Real Decreto, Ascires ha definido un modelo de gobierno para velar por el cumplimiento de la Política de Seguridad y las medidas de seguridad que de ella se desprenden.  

Se adoptarán las medidas oportunas para que el personal conozca de una forma comprensible este modelo de gobierno y los cauces de comunicación establecidos, así como las responsabilidades adscritas al desarrollo de sus funciones.  

El modelo de gobierno definido adopta la siguiente estructura:

A continuación, se describen cada uno de los roles y responsabilidades expuestos: 

ROLES	FUNCIONES
Responsable de la Información	Determina los requisitos de seguridad de la información tratada. Para ello, deberá valorar el impacto que tendría un incidente que afectará a la seguridad de la información con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad.
Responsable del Servicio	Determina los requisitos de seguridad de los servicios prestados, para lo que deberá valora el impacto que tendría un incidente que afectase a la seguridad de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad
Responsable de Seguridad	Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisando la implantación de las medidas necesarias y reportando sobre estas cuestiones.
Responsable del Sistema	Se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad
Administrador de la Seguridad	Se encarga de las tareas técnicas de seguridad, quien las ejecuta.

Todos los roles y responsabilidades estarán diferenciados y serán asignados de manera individualizada en la descripción del puesto de trabajo. Además de esta asignación individualizada, todas las personas que pertenezcan a ASCIRES, sea cual sea el nivel, estarán obligadas a cumplir con las normas, procedimientos y controles establecidos en materia de seguridad de la información.

La máxima autoridad de control en materia de seguridad de la información corresponderá al órgano de la administración, que se apoyará en el Comité de Protección de Datos y Seguridad de la Información, en el que se integra el Chief Information Security Officer (CISO), que será responsable de velar por el cumplimiento de la presente política y del reporte de cualquier cuestión relevante al Comité

RESPONSABILIDADES QUE CORRESPONDEN A CADA ROL: 

• Responsable de la Información: 

Tiene la responsabilidad última del uso que se haga de una cierta información y,

por tanto, de su protección.

• Se responsabiliza, como último responsable, de cualquier error o negligencia que origine un incidente de confidencialidad o de integridad.
• Establece los requisitos de la información en materia de seguridad. En el marco del ENS, esto equivale a la potestad de determinar los niveles de seguridad de la información.

• Determinará los niveles de seguridad en cada dimensión dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.

Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, se podrá recabar una propuesta al Responsable de la Seguridad y apoyarse también en la opinión del Responsable del Sistema.

• Responsable del Servicio: 

El Responsable del Servicio tiene las siguientes funciones asociadas: 

• Establece los requisitos de los servicios en materia de seguridad. En el marco del ENS, equivale a la potestad de determinar los niveles de seguridad del Servicio.
• Tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección.
• Es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad de los servicios.
• Determinará los niveles de seguridad en cada dimensión del servicio.

Aunque la aprobación formal de los niveles corresponda al Responsable del Servicio, podrá recabar una propuesta al Responsable de la Seguridad y conviene que escuche la opinión del Responsable del Sistema.

La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de esta, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.

• Responsable de Seguridad: 

El Responsable de Seguridad de la Información tiene las siguientes funciones asociadas y reporta directamente al Comité de Protección de Datos y Seguridad de la Información:

• Convocar las sesiones del Comité de Protección de Datos y Seguridad de la Información y actúa como Secretario en el mismo.
• Llevar a cabo un seguimiento de la seguridad de la información manejada y de los servicios prestados, de acuerdo con lo establecido en la presente Política de Seguridad.
• Promover la formación y concienciación en materia de seguridad de la información en la Organización, y elaborar los Planes de Formación y Concienciación del personal, que deberán ser aprobados por el Comité de Protección de Datos y Seguridad de la Información.
• Será el punto de contacto especializado para la coordinación con el CSIRT de referencia en caso de incidente de seguridad
• Promover buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
• Recopilar los requisitos de seguridad de los Responsables de Información y Servicio para determinar la categoría del Sistema.
• Realizar el Análisis de Riesgos.
• Elaborar una Declaración de Aplicabilidad a partir de las medidas de seguridad requeridas y del resultado del Análisis de Riesgos.
• Facilitar al Responsable de Información y al Responsable del o de los Servicios, información sobre el nivel de riesgo residual esperado tras implementar las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas por el ENS.
• Participar en la elaboración, en el marco del Comité de Protección de Datos y Seguridad de la Información, de la Política de Seguridad de la Información, para su aprobación por Dirección.
• Participar en la elaboración y aprobación, en el marco del Comité de Protección de Datos y Seguridad de la Información, de la normativa de Seguridad de la Información.
• Elaborar y aprobar los Procedimientos Operativos de Seguridad de la Información.
• Facilitar periódicamente al Comité de Protección de Datos y Seguridad de la Información un resumen de actuaciones en materia de seguridad, de incidentes relativos a seguridad de la información y del estado de la seguridad del sistema (en particular del nivel de riesgo residual al que está expuesto el sistema).
• Elaborar, junto al Responsable del Sistema, Planes de Mejora de la Seguridad, para su aprobación por el Comité de Protección de Datos y Seguridad de la Información.
• Validará los Planes de Continuidad de Sistemas que elabore el Responsable de Sistemas, que deberán ser aprobados por el Comité de Protección de Datos y Seguridad de la Información y probados periódicamente por el Responsable de Sistemas.
• Aprobará las directrices propuestas el Responsable de Sistemas para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.
• En caso de que se produzca un incidente de seguridad de la información, analizará y propondrá las medidas que permitan prevenir otros incidentes similares en un futuro.
• En el marco de las decisiones que se tomen en el Comité de Protección de Datos y Seguridad de la Información, (incluyendo nombramientos o asignación de funciones en el ámbito del Esquema Nacional de Seguridad), en caso de empate entre los miembros del mismo, el voto del Responsable de Seguridad será un voto de calidad, por lo que decantará el desempate producido. 
• Establecimiento, revisión y mantenimiento de medidas de seguridad en torno a las instalaciones e infraestructura de Ascires. 
• Coordinar la inclusión y firma de las distintas cláusulas contractuales con los proveedores en materia de seguridad de la información.

• Responsable del Sistema:

El Responsable del Sistema de la Información tiene las siguientes funciones asociadas: 

• Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
• El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los Responsables de la Información afectada, del Servicio afectado y con el Responsable de la Seguridad antes de ser ejecutada.
• Aplicar los procedimientos operativos de seguridad elaborados y aprobados por el Responsable de Seguridad.
• Monitorizar el estado de la seguridad del Sistema de Información y reportarlo

periódicamente o ante incidentes de seguridad relevantes al Responsable de Seguridad de la Información.

• Elaborar los Planes de Continuidad del Sistema para que sean validados por el Responsable de Seguridad de la Información, y coordinados y aprobados por el Comité de Protección de Datos y Seguridad de la Información
• Realizar ejercicios y pruebas periódicas de los Planes de Continuidad del Sistema para mantenerlos actualizados y verificar que son efectivos. 
• Elaborará las directrices para considerar la Seguridad de la Información durante todo el ciclo de vida de los activos y procesos (especificación, arquitectura, desarrollo, operación y cambios) y las facilitará al Responsable de Seguridad de la Información para su aprobación.
• En caso de ocurrencia de incidentes de seguridad de la información:
  • Planificará la implantación de las salvaguardas en el sistema.
  • Ejecutará el plan de seguridad aprobado.

• Administrador de la Seguridad: 

Sus funciones serán las siguientes:

• La implementación, gestión y mantenimiento de las medidas de seguridad

aplicables al Sistema de Información.

• Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

• Asegurar que la trazabilidad, pistas de auditoría y otros registros de seguridad requeridos se encuentren habilitados y registren con la frecuencia deseada, de acuerdo con la política de seguridad establecida por Ascires.

• Aplicar a los Sistemas, usuarios y otros activos y recursos relacionados con el mismo, tanto internos como externos, los Procedimientos Operativos de Seguridad y los mecanismos y servicios de seguridad requeridos.

• Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de información y los mecanismos y servicios de seguridad requeridos.

• La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.

• Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida.
• Aprobar los cambios en la configuración vigente del Sistema de Información, garantizando que sigan operativos los mecanismos y servicios de seguridad

habilitados.

• Informar al Responsable de Seguridad o del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

• Monitorizar el estado de la seguridad del sistema.

• En caso de ocurrencia de incidentes de seguridad de la información:

• Llevar a cabo el registro, contabilidad y gestión de los incidentes de seguridad en los Sistemas bajo su responsabilidad.
• Ejecutar el plan de seguridad aprobado.
• Aislar el incidente para evitar la propagación a elementos ajenos a la situación de riesgo.
• Tomar decisiones a corto plazo si la información se ha visto comprometida de tal forma que pudiera tener consecuencias graves (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad del Administrador de Seguridad del Sistema al mínimo número de casos).
• Asegurar la integridad de los elementos críticos del Sistema si se ha visto afectada la disponibilidad de estos (estas actuaciones deberían estar procedimentadas para reducir el margen de discrecionalidad de Administrador de Seguridad del Sistema al mínimo número de casos).
• Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
• Investigar el incidente: Determinar el modo, los medios, los motivos y el origen del incidente.

7.2 DESIGNACIÓN DE ROLES

ROLES	DESIGNACIÓN
Responsable de la Información	Las funciones del Responsable de Información en Ascires serán asumidas el Director de Operaciones
Responsable del Servicio	Las funciones del responsable del Servicio de Ascires serán asumidas por el Director de Operaciones.
Responsable de Seguridad	Las funciones del Responsable de Seguridad de la Información de Asires serán asumidas por el Chief Information Security Officer (CISO).
Responsable del Sistema	Las funciones del Responsable del Sistema en Ascires serán asumidas por el Responsable de Sistemas de Infraestructuras TI.
Administrador de la Seguridad	Las funciones de Administrador de la Seguridad en Ascires serán asumidas por el Responsable de Sistemas de Infraestructuras TI.

7.3 COMITÉ DE PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN 

Es el órgano que coordina la Seguridad de la Información a nivel interno de Ascires. 

Estará formado por el Responsable del Servicio, el Responsable de Seguridad, el Responsable de la Información y el Responsable del Sistema.

Asimismo, se integrarán en el Comité de Protección de Datos y Seguridad de la Información el DPO y la Dirección del Departamento Jurídico, cuyas funciones se detallan en la Política de Protección de Datos.

El Comité de Protección de Datos y Seguridad de la Información tendrá las siguientes funciones:  

• Coordinar todas las funciones de seguridad de Ascires.

• Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.

• Informar regularmente del estado de la seguridad de la información a la Alta Dirección.

• Coordinar la función preventiva del modelo de prevención y tendrá poderes autónomos de iniciativa y de control.

• Promover la mejora continua del Sistema de Gestión de la Seguridad de la Información.

• Elaborar la estrategia de evolución de Ascires en lo que respecta a la seguridad de la información.

• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.

• Elaborar (y revisar regularmente) la Política de Seguridad de la información para que sea aprobada por la Dirección.

• Aprobar la normativa de seguridad de la información.

• Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.

• Monitorizar los principales riesgos residuales asumidos por ASCIRES y recomendar posibles actuaciones respecto de ellos.

• Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.

• Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.

• Aprobar planes de mejora de la seguridad de la información de Ascires.

• En particular, velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.

• Velar por el alineamiento de las actividades de seguridad y los objetivos de ASCIRES.

• Velar por el cumplimiento de la normativa de aplicación legal.

• Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información y comunicaciones desde su especificación inicial hasta su puesta en operación. En particular, deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

• El aquellos supuestos en que pueda existir un conflicto de responsabilidad entre los diferentes responsables o bien entre diferentes áreas de Ascires, corresponde al Comité de Protección de Datos y Seguridad resolver dicho conflicto y otorgar la responsabilidad de actuación. En aquellos en que no tenga suficiente autoridad para decidir podrá elevar la decisión al Responsable de la Información. 

• Coordinar los planes de continuidad de las diferentes áreas para asegurar una actuación sin fisuras en el caso de que deban ser activados.

• Elaborar la Política de Seguridad, que será aprobada por la Alta Dirección.

• Coordinar y aprobar las propuestas recibidas de proyectos de los diferentes ámbitos de seguridad. Los responsables de seguridad se encargarán de llevar a cabo un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.

• Recabar de los Responsables de Seguridad informes regulares del estado de la seguridad de Ascires y de los posibles incidentes. Estos informes, se consolidan y resumen para la Alta Dirección.
• Coordinar y da respuesta a las inquietudes transmitidas a través de los Responsables de Seguridad.
• Definir, dentro de la Política de Seguridad, la asignación de roles y los criterios para alcanzar las garantías que estime pertinentes en lo relativo a segregación de funciones.

El Responsable de Seguridad es quien asume las funciones de secretariado del Comité de Protección de Datos y Seguridad de la Información que serán las que se detallan a continuación: 

• Convocar las reuniones del Comité de Protección de Datos y Seguridad de la Información.
• Preparar los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
• Elaborar el acta de las reuniones.
• Es responsable de la ejecución directa o delegada de las decisiones del Comité.

7.4 JERARQUÍA EN EL PROCESO DE DECISIONES 

La jerarquía de roles se describe de la siguiente manera: 

• El Comité de Protección de Datos y Seguridad de la Información da instrucciones al Responsable de la Seguridad de la Información que se encarga de cumplimentar, supervisando que administradores y operadores implementan las medidas de seguridad según lo establecido en la presente política de seguridad.

• El Administrador de Seguridad reportará al Responsable del Sistema:

• Incidentes relativos a la seguridad del sistema.
• Acciones de configuración, actualización o corrección.

• El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información. El Responsable del Sistema reporta al Responsable de la Seguridad:

• Actuaciones en materia de seguridad
• Resumen consolidado de los incidentes de seguridad
• Medidas de la eficacia de las medidas de protección que se deben implantar

• El Responsable de la Seguridad de la Información informa: 

• Al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
• Al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.

• El Responsable de la Seguridad de la Información reporta al Comité de Protección de Datos y Seguridad de la Información como secretario:

• Resumen consolidado de actuaciones en materia de seguridad.
• Resumen consolidado de incidentes relativos a la seguridad de la información.
• Estado de la seguridad del sistema, en particular del riesgo residual al que el sistema está expuesto.

El Responsable de la Seguridad de la Información informa a la Dirección de la organización, según lo acordado en el Comité de Protección de Datos y Seguridad de la Información.

El voto o decisión del Responsable de Seguridad de la Información prevalecerá ante un empate en las decisiones tomadas por el resto de los miembros del Comité de Protección de Datos y Seguridad de la Información.

8. GESTIÓN DE RIESGOS 

8.1 JUSTIFICACIÓN

Ascires entiende la seguridad de la información a partir de la gestión del riesgo de sus activos, por eso, todos los sistemas sujetos a esta Política deberán ser objeto de un análisis de riesgos que evalúe las amenazas a los que están expuestos. 

Este análisis de riesgos es la base para determinar las medidas de seguridad a implementar, y se realiza a partir de un mapa de riesgos inherente en el que se evalúan los riesgos brutos existentes antes de la aplicación de los controles de prevención, detección y mitigación. Ascires realiza un análisis de riesgos de manera periódica como base para determinar las medidas de seguridad que se deben adoptar, según lo previsto en el Artículo 7 del ENS

8.2 CRITERIOS DE EVALUACIÓN DE RIESGOS

Para la armonización de los análisis de riesgos, el Comité de Protección de Datos y Seguridad de la Información establece una valoración de referencia para los diferentes tipos de información que se manejan en los servicios prestados.

Los criterios de evaluación de riesgos detallados se especifican en la Metodología de Gestión de Riesgos, que se basa en estándares y buenas prácticas reconocidas en seguridad de la información. Se definirá un umbral de tolerabilidad, que podrá variar con el paso de las iteraciones realizadas, dando prioridad a aquellos riesgos que impidan prestar los servicios al ciudadano.

8.3 COMUNICACIÓN DE RIESGOS

Los riesgos identificados se comunicarán a las personas involucradas en adoptar medidas para su tratamiento, así como a cualquier otra que pueda requerir su intervención. Se definirán los canales para esta comunicación, así como aquellos a partir de los cuales se puede comunicar una amenaza a un activo de información de Ascires.

8.4 NECESIDAD DE REALIZAR O ACTUALIZAR LAS EVALUACIONES DE RIESGOS

El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 10 del ENS. Este análisis se repetirá:

• Regularmente, al menos cada dos años.
• Cuando se produzcan cambios significativos en la información manejada.
• Cuando se produzcan cambios significativos en los servicios prestados.
• Cuando se produzcan cambios significativos en los sistemas que tratan a información e intervienen en la prestación de los servicios.
• Cuando ocurra un incidente grave de seguridad.
• Cuando se reporten vulnerabilidades graves.

9. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL 

En el marco de su actividad, Ascires trata datos de carácter personal para la prestación de sus servicios. El Registro de Actividades del Tratamiento, al que tendrán acceso sólo las personas autorizadas, recoge los tratamientos afectados y los responsables correspondientes. 

Todos los sistemas de información de Ascires se ajustan a la seguridad requerida por la normativa en materia de protección de datos de carácter personal de acuerdo con el análisis de riesgos realizado para la naturaleza y finalidad de los datos de carácter personal recogidos en el Registro de Actividades del Tratamiento.

10. GESTIÓN DE INCIDENTES DE SEGURIDAD 

10.1 PREVENCIÓN DE INCIDENTES

Con el objetivo de prevenir, en la medida de lo posible, que ocurran incidentes de seguridad que supongan un perjuicio en el servicio de Ascires, todas las áreas deben implementan ciertas medidas de seguridad, determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. 

Entre las medidas de prevención, Ascires tiene definidos roles y responsabilidades de seguridad de todo el personal, así como canales de comunicación oportunos para anticiparse ante un eventual incidente de seguridad. 

Para garantizar el cumplimiento de la política y con la intención de prevenir incidentes de seguridad:

• Se deberá autorizar a los sistemas antes de entrar en operación. 
• Se evaluará regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Se solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

10.2 MONITORIZACIÓN Y DETECCIÓN DE INCIDENTES

Con el objetivo de prevenir y evitar que se pueda degradar el servicio a consecuencia de un incidente de seguridad, Ascires realiza una monitorización continua de la operación para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 10 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 9 del ENS. En este sentido, se han establecido mecanismos de detección, análisis y reporte que pueden informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.

10.3 RESPUESTA ANTE INCIDENTES

Ascires cuenta con un Procedimiento para la Gestión de Incidentes de Seguridad que garantiza una respuesta inmediata a cualquier amenaza que pueda surgir para la seguridad de la información. En este procedimiento se detallan las acciones a desarrollar para evaluar la gravedad y criticidad del incidente así como el riesgo que se haya podido generar para los derechos de las personas y para la información. En este sentido, el procedimiento incluye los canales de comunicación oportunos con las partes que resulten interesadas. 

Cualquier persona que tenga conocimiento o sospecha de algún incidente que afecte a la seguridad de la información deberá comunicarlo inmediatamente a través de los canales establecidos para ello. La falta de comunicación de un incidente de seguridad se considerará una infracción laboral grave. 

Para facilitar esta labor, se han establecido puntos de contacto para las comunicaciones de incidentes, cuando sean detectados por otras áreas y se ha establecido un protocolo de intercambio de información relevante con los Equipos de Respuesta a Emergencias (CERT) cuando proceda.

En el caso de que el análisis del incidente demuestre la existencia de una vulnerabilidad técnica u organizativa, se procederá a la inmediata gestión y subsanación de dicha vulnerabilidad. 

10.4 RECUPERACIÓN ANTE INCIDENTES Y PLANES DE CONTINUIDAD

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de la actividad médica y actividades de recuperación.

Para ello, Ascires aplicará las medidas necesarias para asegurar la continuidad de la actividad médica y la disponibilidad de la información y los recursos TIC corporativos.  Estas medidas incluirán un plan de emergencia que detalle las acciones a seguir en el caso de que un incidente de cualquier naturaleza pueda poner en riesgo la prestación del servicio.  

Por lo anterior, Ascires dispone de equipos alternativos, centros de proceso duplicados o proveedores con servicios o equipos que puedan sustituir a los principales en caso de avería o siniestro. Estas medidas se exigirán contractualmente a los proveedores críticos.

10.5 PROCESO DE ACEPTACIÓN DEL RIESGO RESIDUAL

El riesgo residual será determinado por el Responsable de Seguridad de la Información. Estos niveles de riesgo se obtienen las tras implantación de las opciones de tratamiento previstas, incluyendo las medidas de seguridad del Anexo II del ENS, y deberán ser aceptados por el Responsable de la Información y Responsable del Servicio.

Este nivel de riesgo residual se presentará por el Responsable de Seguridad de la Información al Comité de Protección de Datos y Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.

11. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Esta Política de Seguridad de la Información se desarrolla por medio de normativa de seguridad que afronta aspectos específicos, dando lugar a un Sistema de Gestión de Seguridad de la Información (SGSI).

En el Procedimiento P_01_Gestión Documental, se especifica todo el control de elaboración, revisión y aprobación de la documentación y en la Política POL_03_Política de Clasificación de la Información se especifica la clasificación de la información y su tratamiento.

La normativa de seguridad estará a disposición, cuando proceda, y será aceptada por todos los miembros de Ascires.

12. OBLIGACIONES DEL PERSONAL. FORMACIÓN Y CONCIENCIACIÓN

Todo el personal de Ascires tiene obligación de conocer y cumplir esta Política de Seguridad de la Información así como con la Normativa y Procedimientos de desarrollo, siendo responsabilidad del Comité de Protección de Datos y Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.

Ascires promoverá una actividad constante de formación y concienciación en todos los niveles en materia de seguridad de la información, que podrá combinar sesiones presenciales o actividades e-learning.

En esta línea, Ascires lleva a cabo las siguientes acciones:  

1. Elaborará un plan de formación y concienciación en seguridad de la información.

2. Realizará un seguimiento de su ejecución

3. Evaluará sus resultados

4. Asegurará la trazabilidad de las sesiones impartidas

5. Obtendrá evidencias de las sesiones impartidas.

El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos de ASCIRES, siendo las consecuencias del incumplimiento de la Política de seguridad las que se establezcan en la normativa en vigor en cada momento.

13. TERCERAS PARTES

Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, la cual está publicada en el sitio web de Ascires. En caso de incidente de seguridad, se establecerán canales para reporte y un protocolo de actuación coordinado para reaccionar de manera eficaz.

La participación en esta Política de Seguridad supone que aquellos terceros quedan sujetos a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Además de las exigencias legales en materia de seguridad, Ascires está obligada también a cumplir los requisitos específicos de seguridad que le exijan sus clientes y proveedores en relación con la información a la que accedan en virtud de sus relaciones contractuales con ellos. Se dará prioridad a aquellas obligaciones relacionadas con el tratamiento de información confidencial o datos de carácter persona.

Ascires comprobará periódicamente que las obligaciones contractuales asumidas en materia de seguridad están integradas en esta política de seguridad o en las normas y procedimientos que la desarrollan. En caso contrario, se realizará esta integración.

14. REVISIÓN Y APROBACIÓN DE LA POLÍTICA 

El presente documento ha sido aprobado el 01/04/2025.

Esta Política se Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.

Será revisada por el Responsable de Seguridad a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, de acuerdo con el artículo 13 del ENS.

Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.

15. ANEXO A. GLOSARIO DE TÉRMINOS 

• Análisis de riesgos: Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
• Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Ley Orgánica 3/2018 de Protección de Datos de carácter Personal y Garantía de Derechos Digitales y Reglamento (UE) 679/2016. 
• Gestión de incidentes: Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.
• Gestión de riesgos: Actividades coordinadas para dirigir y controlar una ASCIRES con respecto a los riesgos. ENS.
• Incidente de seguridad: Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS.
• Información: Caso concreto de un cierto tipo de información.
• Política de seguridad: Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una ASCIRES gestiona y protege la información y los servicios que consideran críticos. ENS.
• Principios básicos de seguridad: Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.
• Responsable de la información: Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
• Responsable de la seguridad: El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
• Responsable del servicio: Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
• Responsable del sistema: Persona que se encarga de la explotación del sistema de información.
• Servicio: Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
• Sistema de información: Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. ENS.