Política de Seguridad

El Comité de Seguridad y Compliance de homedoctor tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad y, específicamente, de aprobar y actualizar las políticas corporativas, las cuales contienen las pautas que rigen la actuación de la organización, en el sentido establecido por la ley.

En el ejercicio de estas responsabilidades, con el objeto de establecer los principios generales que deben regir las actuaciones en materia de seguridad corporativa en todas sus vertientes, el Comité de Seguridad y Compliance aprueba esta Política de seguridad corporativa (la «Política»). Todo ello en cumplimiento de la normativa de Seguridad de la Información basada en el RD 311.2022 que regula el ENS y la normativa voluntaria ISO 27001.

Por otro lado, y debido a nuestra actividad, en Homedoctor somos conscientes de que los datos personales son un activo con un elevado valor para nuestra organización y requieren, por lo tanto, una protección y gestión adecuadas con el fin de cumplir con la legislación vigente relativa a la protección de datos personales (RGPD y LOPDGDD) y el compromiso de Homedoctor con nuestros clientes, lo que nos hace especialmente sensibles al tratamiento de los datos personales a los que tenemos acceso en el ejercicio de nuestra actividad. 

1. Finalidad

La finalidad de esta Política es establecer los principios básicos de actuación que deben regir en la Organización en materia de seguridad, para garantizar la efectiva protección de las personas, de los activos físicos (incluyendo infraestructuras críticas), de la información y del conocimiento y de los sistemas de control y comunicaciones, así como de la privacidad de los datos tratados, velando en todo momento, por que las actuaciones en materia de seguridad sean plenamente conformes con la ley y cumplan escrupulosamente lo previsto en el Código Ético y de Conducta.

A través de esta Política, la Organización manifiesta su compromiso con la excelencia en materia de seguridad, la cual ostenta un papel protagonista en el día a día de la Organización, para que permanezca segura, resiliente y confiable en una comunidad digital en continua transformación, donde surgen nuevas amenazas cada vez más sofisticadas, tanto físicas como de ciberseguridad o híbridas, lo que provoca un aumento del grado de exigencia de los reguladores, de los clientes y de los demás Grupos de interés con los que la Organización se relaciona, respecto del cumplimiento de los cada vez más altos estándares de seguridad que permitan construir y consolidar relaciones duraderas de confianza.

Los sistemas deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que los diferentes departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad según la categoría determinada de acuerdo a lo indicado en el proceso interno de valoración de los sistemas, sistemática alineada a lo indicado en la guía CCN-STIC 803 “Valoración de los Sistemas”, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos de la organización deben cerciorarse de que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 8 del ENS.

Siguiendo las directrices del capítulo II, los principios básicos por los que Homedoctor se rige son los siguientes:

1. Seguridad como proceso integral, constituido por todos los elementos relacionados con el sistema de información, prestando especial importancia a la concienciación de todos los participantes.
2. Gestión de la seguridad basada en los riesgos, tal y como se describe en el apartado 2.8 del presente documento.
3. Prevención, detección, respuesta y conservación. Desarrollado en los apartados 2.1, 2.2, 2.3 y 2.4 del presente documento.
4. Existencia de líneas de defensa constituida por múltiples capas de seguridad organizadas en medidas de naturaleza organizativa, física y lógica.
5. Vigilancia continua y Reevaluación periódica, que permita la detección de comportamientos anómalos y su respuesta, así como medir su evolución mediante la detección de vulnerabilidades y las deficiencias en la configuración, verificando periódicamente su eficacia, pudiendo llegar a un replanteamiento de nuestro diseño de seguridad.
6. Diferenciación de responsabilidades, tal y como se desarrolla en el apartado 2.6 del presente documento.

2. Requisito mínimos

Para ello, aplicaremos los siguientes requisitos mínimos.

1. Organización e implantación del proceso de seguridad.
2. Análisis y gestión de los riesgos.
3.  Gestión de personal.
4. Profesionalidad.
5. Autorización y control de los accesos.
6.  Protección de las instalaciones.
7. Adquisición de productos de seguridad y contratación de servicios de seguridad.
8. Mínimo privilegio.
9. Integridad y actualización del sistema.
10.  Protección de la información almacenada y en tránsito.
11. Prevención ante otros sistemas de información interconectados.
12. Registro de la actividad y detección de código dañino.
13. Incidentes de seguridad.
14. Continuidad de la actividad.
15. Mejora continua del proceso de seguridad.

Estos requisitos mínimos se encuentran en proporción a los riesgos identificados en nuestros sistemas, de conformidad con lo dispuesto en el artículo 28 y se desarrollan en los documentos del sistema de gestión del ENS.

3. Ámbito de aplicación

Esta Política es de aplicación a los sistemas de información de la Organización al completo.

Esta Política se desarrolla y complementa a través de las siguientes políticas específicas, también aprobadas por el Comité de Seguridad y Compliance:

• SIG.SI.PO-01 – Política de Organización Interna
• SIG.SI.PO-02 – Política de medidas de seguridad en los proyectos
• SIG.SI.PO-03 – Política de Activos de Información y otros asociados a la misma
• SIG.SI.PO-04 – Política de Control de Accesos e Identidad
• SIG.SI.PO-05 – Política de Seguridad en la Relación con los Proveedores
• SIG.SI.PO-06 – Política de Seguridad de la información para el uso de servicios en la nube
• SIG.SI.PO-07 – Política de Gestión de Incidentes de Seguridad
• SIG.SI.PO-07-A1 – Anexo I – Política de Gestión de Incidentes de Seguridad
• SIG.SI.PO-08 – Política para la Continuidad de Negocio
• SIG.SI.PO-09 – Políticas de Cumplimiento
• SIG.SI.PO-10 – Política de Controles Personales
• SIG.SI.PO-11 – Política de Teletrabajo
• SIG.SI.PO-12 – Política de Controles Físicos
• SIG.SI.PO-13 – Política de Dispositivos Móviles y BYOD
• SIG.SI.PO-14 – Política de Controles Tecnológicos
• SIG.SI.PO-15 – Política de Seguridad de Redes
• SIG.SI.PO-16 – Políticas de Criptografía
• SIG.SI.PO-17 – Políticas de Desarrollo Seguro
• SIG.SI.PO-18 – Política de Gestión del Riesgo
• SIG.SI.PO-19 – Política de Formación
• SIG.SI.PO-20 – Política de prevención del fraude, corrupción y soborno

4. Principios básicos de actuación

Para materializar el compromiso indicado en el apartado 1 anterior, se establecen los siguientes principios básicos de actuación que deben presidir las actividades de la Organización en materia de seguridad corporativa:

1. Definir una estrategia de seguridad integral con un enfoque tanto preventivo como proactivo para garantizar un nivel razonable de riesgo.
2. Asegurar la adecuada protección de los activos (incluyendo infraestructuras críticas), para gestionar proactivamente los riesgos.
3. Garantizar la protección de los profesionales de la Organización tanto en su puesto de trabajo como en sus desplazamientos por motivos profesionales, así como la protección de las personas cuando se encuentren en las instalaciones o en cualquier evento institucional de la Organización.
4. Definir un modelo de gestión de la seguridad con una asignación clara de roles y responsabilidades y mecanismos de coordinación efectivos, que integre la seguridad y la gestión proactiva de los riesgos en los procesos decisorios.
5. Asegurar la adecuada protección de la información y del conocimiento, así como de los sistemas de control, información y comunicaciones, para gestionar proactivamente los riesgos, de conformidad con lo dispuesto en la Política de Gestión del Riesgo. 
6. Preservar los principios de Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad, así como Conformidad Regulatoria de la información. A su vez, estos principios se definen de la siguiente manera:

• Confidencialidad: es la propiedad que permite garantizar que el acceso a la información solamente puede ser ejercido por las personas autorizadas para ello.
• Integridad: es la propiedad de salvaguardar la exactitud y completitud de los activos de información.
• Disponibilidad: es la cualidad que garantiza que las personas autorizadas pueden acceder a la información y procesarla en cualquier momento en que sea necesario.
• Autenticidad: es la propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
• Trazabilidad: es la propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

7. Promover la identificación de la información no pública clasificada (o susceptible de ser clasificada) como confidencial o secreta, así como la información considerada (o susceptible de ser considerada) como secreto empresarial y definir los criterios para su adecuada protección, asegurando su implementación.
8. Impulsar la lucha activa contra el fraude y contra ataques a la marca, a la imagen y a la reputación de las sociedades de la Organización y de sus profesionales.
9. Garantizar el derecho a la protección de los datos personales de todas las personas físicas que se relacionan con la Organización, de conformidad con lo dispuesto en el MANUAL DE SEGURIDAD DEL USUARIO.
10. Adoptar las medidas necesarias para prevenir, neutralizar, minimizar o restaurar el daño causado por amenazas de seguridad, ya sean físicas, de ciberseguridad o híbridas, para el normal desarrollo de las actividades, con base en criterios de proporcionalidad a los potenciales riesgos y a la criticidad y al valor de los activos y servicios afectados.
11. Cumplir con los principios básicos de actuación establecidos en la PSI.08 – Política para la Continuidad de Negocio.
12. Fomentar una cultura inclusiva y una concienciación en materia de seguridad dentro de la Organización, mediante la realización de acciones de divulgación, concienciación y formación adecuadas, adaptadas a cada destinatario y con la suficiente periodicidad para garantizar la actualización de los conocimientos en este ámbito.
13. Impulsar la adecuada capacitación en materia de seguridad de todo el personal, tanto interno como externo, definiendo requisitos y criterios en la contratación que tengan en cuenta dicha capacitación.
14. Vigilar el contexto actual de la organización y el entorno, así como de la evolución de eventos que permitan identificar las amenazas de seguridad más relevantes con el objetivo de anticipar su potencial impacto.
15. Promover las mejores prácticas y la innovación en el ámbito de la seguridad.
16. Colaborar con los Grupos de interés involucrados (entre otros, la cadena de suministro y los clientes) en riesgos de seguridad que afecten a las sociedades de la Organización para reforzar la respuesta coordinada ante potenciales riesgos y amenazas en materia de seguridad.
17. Prestar toda la asistencia y cooperación que puedan requerir las instituciones y los organismos competentes en materia de seguridad, incluyendo entre otros reguladores, fuerzas y cuerpos de seguridad y agencias gubernamentales, nacionales e internacionales, en aquellos países en los que la Organización desarrolle su actividad.
18. Velar por el efectivo cumplimiento de las obligaciones impuestas por la regulación aplicable en cada momento en materia de seguridad, actuando siempre conforme a la legislación vigente y a lo establecido en el Código ético y de Conducta.

5. OBJETIVOS GENERALES

La Política de Seguridad proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas, legales y organizativas que se requieran para garantizar la seguridad de la información y la privacidad, cumpliendo el marco legal de aplicación y las políticas globales y específicas de firma, así como los procedimientos definidos.

Estas actuaciones desde el punto de vista de la seguridad y privacidad son seleccionadas e implementadas basándose en el análisis de riesgos y el equilibrio entre riesgo aceptable y coste de las medidas.

El objetivo de la Política de Seguridad es fijar el marco de actuación necesario para proteger los recursos de información y datos frente a amenazas, internas o externas, deliberadas o accidentales.

La información y datos pueden existir en una variedad de formatos, con soportes tanto electrónicos como el papel u otros medios, e incluye a veces datos críticos acerca de las operaciones, estrategias o actividades de Homedoctor y de sus clientes e incluso, en su caso, datos de carácter sensible que establece la normativa de protección de datos de carácter personal. La pérdida, corrupción, o sustracción de información o de los sistemas que la gestionan tiene un impacto elevado en nuestra Firma.

Homedoctor está convencida de que una gestión eficaz de la Seguridad de la Información y de la Privacidad es un elemento habilitador para que la organización comprenda completamente y actúe de modo adecuado a los riesgos a los que la información es expuesta, así como para poder responder y adaptarse de manera eficiente a los crecientes requerimientos de organismos reguladores, leyes, y por supuesto sus clientes.

6. COMPROMISO DE LA ALTA DIRECCIÓN

El propósito del Sistema de Gestión de Seguridad de la Información es garantizar que los riesgos de la seguridad de la información y privacidad sean conocidos, asumidos, gestionados y minimizados de una forma documentada, sistemática, estructurada, repetible, asumible y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Para ello, la dirección declara el compromiso de la Homedoctor para:

• Establecer como objetivo primordial los servicios, con absoluto respeto a los estándares de calidad, preservando la información, con especial atención a la sensibilidad de los datos personales tratados, con todas las medidas necesarias a su alcance.
• Aplicar el principio de mejora continua a todos los procesos de la organización, con el objetivo adicional de conseguir el mayor grado de satisfacción de los clientes.
• Asegurar el cumplimiento de los requisitos legales y reglamentarios que sean de aplicación (en particular la relativa a la protección de los datos personales), así como los que la organización haya asumido de manera voluntaria en el desarrollo de la Responsabilidad Social Corporativa del Libro de Estilo y en el Código Ético,
• Potenciar la participación, la comunicación, la información y la formación del equipo profesional con el objetivo de que se sienta partícipe del trabajo de la organización en su conjunto.
• Promover el compromiso de responsabilidad entre los componentes del equipo de acuerdo con los requisitos de calidad, así como los relativos a la privacidad y seguridad de la información acordados tanto internamente como con los clientes, mediante acciones de formación y concienciación adecuadas y regulares.
• Asegurar la continuidad del negocio desarrollando planes de continuidad conformes a metodologías reconocidas.
• Realizar y revisar periódicamente un análisis de riesgos basados en métodos reconocidos que nos permitan establecer el nivel tanto de privacidad de los datos personales como de seguridad de la información a nivel general y de los proyectos y servicios en marcha y minimizar los riesgos mediante el desarrollo de políticas específicas, soluciones técnicas y acuerdos contractuales con organizaciones especializadas.
• Compromiso de información a partes interesadas.
• Selección de proveedores y subcontratistas en base a criterios relacionados con la privacidad y seguridad de la información.
• En lo que respecta de manera específica a la protección de los datos personales, Homedoctor se compromete a cumplir con los principios indicados en la legislación de referencia. Estos son:
• Principio de “licitud, transparencia y lealtad”. Los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
• Principio de “finalidad”. Los datos deben ser tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otro lado, se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
• Principio de “minimización de datos”. Aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
• Principio de “exactitud”. Disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
• Principio de “limitación del plazo de conservación”. La conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento.
• Principio de “seguridad” Realizar un análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad, la autenticidad, la trazabilidad y la confidencialidad de los datos personales que traten.
• Principio de “responsabilidad activa” o “responsabilidad demostrada”. Mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que podamos garantizar y demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.
• Dirigir, apoyar y supervisar el sistema de gestión de la seguridad de la información, según lo establecido en el RD 311.2022 y posteriores modificaciones, así como en la ISO 27001, y buscar se alcancen los objetivos del mismo.

La dirección de Homedoctor se compromete a apoyar y promover los principios establecidos en esta Política, para lo que pide al personal de Homedoctor que asuma y se atenga a las previsiones del sistema de gestión documentado para el ENS.

7. DESARROLLO DE LA POLÍTICA DE SEGURIDAD

Esta Política de Seguridad complementa las políticas de seguridad de Homedoctor en diferentes materias y se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La documentación relativa a la Seguridad de la Información estará clasificada en tres niveles, de manera que cada documento de un nivel se fundamenta en los de nivel superior:

• Primer nivel: Política de seguridad.
• Segundo nivel: Normativas y procedimientos de seguridad.
• Tercer nivel: Informes, registros y evidencias electrónicas.

7.1. POLÍTICA

7.1.1. Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

• Autorizar los sistemas antes de entrar en operación.
• Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
• Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

7.1.2. Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

7.1.3. Respuesta

Los departamentos deben:

• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
• Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

7.1.4. Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperación.

8. ORGANIZACIÓN DE LA SEGURIDAD

Esta política se aplica a todos los sistemas de Homedoctor y a todos los miembros de la organización, sin excepciones.

Homedoctor se compromete a prestar sus servicios de forma gestionada y cumpliendo con los requisitos establecidos en su Sistema Integrado de Gestión de modo que se garantice un servicio ininterrumpido conforme a los requisitos de disponibilidad, seguridad y calidad hacia los clientes.

Debido a nuestra actividad, en Homedoctor sabemos que la información es un activo con un elevado valor para nuestra organización y sobre todo la de nuestros clientes y requiere, por lo tanto, una protección y gestión adecuadas con el fin de dar continuidad a nuestra línea de negocio y minimizar los posibles daños ocasionados por fallos en la Seguridad de la Información.

Para ello, la organización:

• Protegerá adecuadamente la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de sus activos de información mediante la introducción de una serie de controles para gestionar los riesgos de seguridad relevantes.
• Priorizará la protección y salvaguarda de sus clientes y los datos de los clientes como una prioridad de negocio.
• Establecerá, implementará, monitoreará, mantendrá y mejorará continuamente su gestión de seguridad de la información como parte de su enfoque más amplio de gestión empresarial, y mantendrá la Certificación Acreditada a los estándares adecuados.
• Gestionará cualquier violación de la seguridad de la información de manera oportuna y responsable, e invertirá en estrategias adecuadas de detección, respuesta y remediación.
• A intervalos planificados, probará sus controles de seguridad de la información y sus respuestas a escenarios que puedan causar una amenaza a sus operaciones.
• Proporcionará los recursos adecuados a la organización para establecer, mantener y mejorar el entorno de seguridad según sea apropiado para el cambiante panorama de riesgos.
• Invertirá en las competencias del personal para llevar a cabo sus tareas y proporcionará al personal la capacitación y la conciencia adecuadas relevantes para su función y la información a la que tienen acceso.
• Garantizará que nuestros proveedores y organizaciones asociadas hagan lo mismo, y que establezcan y hagan cumplir los estándares de seguridad a aquellos a quienes transmitimos cualquier información.

8.1. Comité de Seguridad

Los integrantes del Comité de Seguridad serán designados en un acta fundacional, donde se indicará la persona designada y el cargo que deberá ostentar.

El Secretario del Comité de Seguridad será el RESPONSABLE DE SEGURIDAD y tendrá como funciones:

• Convoca las reuniones del Comité de Seguridad.
• Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
• Elabora el acta de las reuniones.
• Es responsable de la ejecución directa o delegada de las decisiones del Comité.
• El Comité de Seguridad reportará al Director/a General.
• El Comité de Seguridad tendrá las siguientes funciones:
• Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.
• Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
• Promover la mejora continua del sistema de gestión de la seguridad de la información.
• Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de la información.
• Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
• Elaborar (y revisar regularmente) la Política de Seguridad para que sea aprobada por la Dirección.
• Aprobar la normativa de seguridad de la información.
• Coordinar todas las funciones de seguridad de la organización.
• Velar por el cumplimiento de la normativa legal y sectorial de aplicación.
• Velar por el alineamiento de las actividades de seguridad a los objetivos de la organización.
• Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuación sin fisuras en caso de que deban ser activados.
• Coordinar y aprobar, en su caso, las propuestas de proyectos recibidas de los diferentes ámbitos de seguridad, encargándose gestionar un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.
• Recibir las inquietudes en materia de seguridad de la Dirección de la entidad y transmitirlas a los responsables departamentales pertinentes, recabando de ellos las correspondientes respuestas y soluciones que, una vez coordinadas, habrán de ser comunicadas a la Dirección.
• Recabar de los responsables de seguridad departamentales informes regulares del estado de la seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para su comunicación a la Dirección de la entidad.
• Coordinar y dar respuesta a las inquietudes transmitidas a través de los responsables de seguridad departamentales.
• Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los criterios para alcanzar las garantías pertinentes en lo relativo a segregación de funciones
• Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
• Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
• Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
• Promover la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
• Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
• Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
• Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
• Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización.

8.2.  Roles: Funciones y responsabilidades

Se detallarán a continuación las funciones de los responsables de la organización:

8.2.1. Responsable de la Información

Sus funciones serán las siguientes:

• Responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
• Responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
• Establecer los requisitos de la información en materia de seguridad.
• Determinar y aprobar los niveles de seguridad de la información.
• Aprobar la categorización del sistema con respecto a la información.
• Los que se vayan indicando en los documentos dentro del alcance del ENS.

8.2.2. Responsable del Servicio

Sus funciones serán las siguientes:

• Establecer los requisitos del servicio en materia de seguridad.
• Determinar los niveles de seguridad de los servicios.
• Aprobar la categorización del sistema con respecto a los servicios.
• Los que se vayan indicando en los documentos dentro del alcance del ENS.

8.2.3. Responsable de la Seguridad

Sus funciones serán las siguientes:

• Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización.
• Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
• Aprobar la declaración de aplicabilidad.
• Canalizar y supervisar, tanto el cumplimiento de los requisitos de seguridad del servicio que se presta o solución que provee, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio (POC).
• Los que se vayan indicando en los documentos dentro del alcance del ENS.

El Responsable de la Seguridad será el secretario del Comité de Seguridad con las funciones indicadas en el apartado 3.5.1 de la presente política.

De conformidad con el principio de “segregación de funciones y tareas” recogido en el art. 10 del ENS, el Responsable de la Seguridad será una figura diferenciada del Responsable del Sistema.

8.2.4. Responsable del Sistema

Sus funciones serán las siguientes:

• Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
• Potestad para proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
• Los que se vayan indicando en los documentos dentro del alcance del ENS.

3.2.5. Responsable de Privacidad

Sus funciones serán las siguientes:

• Coordinar todos los aspectos relacionados con la adecuación de las actuaciones de Homedoctor en materia de protección de datos de carácter personal.
• Coordinar, junto con el Responsable de Seguridad, el cumplimiento del ENS con respecto a la protección de datos de carácter personal.

8.3. Procedimientos de designación

El Responsable de Seguridad será nombrado por el Comité de Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Igualmente, el resto de los cargos indicados en el apartado anterior será designado por el Comité de Seguridad mediante acta de reunión.

9. REVISIÓN DE LA POLÍTICA DE SEGURIDAD

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Alta Dirección y difundida para que la conozcan todas las partes afectadas.

10. DATOS DE CARÁCTER PERSONAL

Homedoctor, en la prestación de su servicio, trata datos de carácter personal especialmente sensibles, por formar parte del historial sanitario, o por la especial categoría de los mismos.

La documentación relativa, a la que tendrán acceso sólo las personas autorizadas, recoge los registros de actividad de tratamiento de datos afectados y los responsables correspondientes. Todos los sistemas de información de Homedoctor se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal.

11. GESTIÓN DE RIESGOS

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

• Regularmente, al menos una vez al año
• Cuando cambie la información manejada
• Cuando cambien los servicios prestados
• Cuando ocurra un incidente grave de seguridad
• Cuando se reporten vulnerabilidades graves

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

12. OBLIGACIONES DEL PERSONAL

Todos los miembros de Homedoctor tienen la obligación de conocer y cumplir esta Política de Seguridad y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de Homedoctor atenderán a una sesión de concienciación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de Homedoctor en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

13. TERCERAS PARTES

Cuando Homedoctor preste servicios a otras organizaciones públicas o privadas o maneje información de otras organizaciones públicas o privadas, se les hará partícipes de esta Política de Seguridad, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando Homedoctor utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

14. LEGISLACIÓN APLICABLE

A continuación, se detallan las leyes que se consideran aplicables al SGSI, junto con una definición del área responsable de evaluar su impacto en la organización.

15. PROGRAMA ESTRATÉGICO DE SEGURIDAD

El Comité de Seguridad y Compliance identificará, implantará y evaluará las acciones necesarias para la elaboración de un Plan Estratégico de Seguridad (el “Plan”), conforme a los principios y directrices definidos en esta Política y desarrollará las normas, metodologías y procedimientos internos para asegurar la adecuada implementación del Plan por la Organización.

El Comité de Seguridad y Compliance velará por que en todo momento se garantice un nivel de madurez de la organización en materia de seguridad acorde a los más altos estándares existentes en cada momento, atendiendo al territorio y a los negocios desarrollados por la correspondiente compañía.

Por su parte, el Comité de Seguridad y Compliance velará, además, por la adecuada coordinación de las prácticas y la gestión de los riesgos en el ámbito de la seguridad de la Organización, así como por el mantenimiento de un nivel adecuado de madurez.

16. SUPERVISIÓN Y CONTROL

Corresponde al Comité de Seguridad y Compliance supervisar el cumplimiento de lo dispuesto en esta Política.

Lo anterior se entenderá, en todo caso, sin perjuicio de las responsabilidades que correspondan a otros órganos, áreas, funciones y direcciones de la Organización y, en su caso, a los órganos de administración y de dirección de la Organización.

Para verificar el cumplimiento de esta Política se realizarán evaluaciones y auditorías periódicas con auditores internos o externos.

Esta Política fue aprobada inicialmente por el Comité de Seguridad y Cumplimiento Normativo el 25 de noviembre de 2024.