La presente POLITICA DE SEGURIDAD DE LA INFORMACIÓN de MUTUALIA, Mutua Colaboradora con la Seguridad Social Nº 2 (en adelante, MUTUALIA, esta Mutua o esta Entidad), se aprueba en cumplimiento de lo dispuesto en el art. 12 del Real Decreto 311/2022 de 3 de mayo (BOE 106 04.05.2022) – en adelante ENS o RD 311/2022- por el que se regula el Esquema Nacional de Seguridad.
Este documento ha sido propuesto por el Comité de Seguridad de la Información y protección de datos de MUTUALIA dando traslado al Director Gerente, por el cual se ha procedido a su APROBACIÓN en la última versión vigente que consta indicada en la TABLA DE VIGENCIAS final de este documento, fecha en la que entra en vigor y que supone la derogación de cualquier otra versión anterior.
El objetivo en materia de la SEGURIDAD DE LA INFORMACIÓN es garantizar la calidad, confidencialidad, integridad y disponibilidad de los DATOS y la INFORMACIÓN; así como garantizar la prestación ininterrumpida de los SERVICIOS, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Para ello, sin perjuicio de poder tener implantados MUTUALIA también otros estándares compatibles de gestión de la seguridad de la información, aplicará en todo caso las medidas mínimas de seguridad exigidas por el ENS, así como realizará un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes y brechas de seguridad para garantizar la continuidad de los servicios prestados.
Los sistemas TIC de MUTUALIA deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Así mismo, las áreas deben estar preparadas para prevenir, detectar, y responder ante incidentes (art. 8 RD 311(2022).
Esta Política de seguridad se complementa con las Políticas y normas internas de MUTUALIA de PRIVACIDAD y PROTECCIÓN DE DATOS de carácter personal y los requisitos de certificación de normas de gestión de la entidad.
La presente Política de Seguridad define el conjunto de directrices, que rigen la forma en que la organización de MUTUALIA gestiona y protege la información y los servicios.
Esto implica que las áreas de la Organización deben aplicar las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados
MUTUALIA es una MUTUA COLABORADORA CON LA SEGURIDAD SOCIAL que tiene atribuidas las funciones y competencias previstas en el art. 80 y siguientes del Texto Refundido de Ley General de la Seguridad Social (RD Legislativo 8/2015 de 30 de octubre), así como en la normativa reglamentaria de desarrollo reguladora de la organización, funcionamiento, funciones y actividades de las Mutuas.
MUTUALIA desempeña actividades de gestión de prestaciones con cargo al Presupuesto público de la Seguridad Social y es entidad perteneciente al SECTOR PÚBLICO ADMINISTRATIVO ESTATAL, y además gestiona su patrimonio histórico, propiedad de sus empresas asociadas, afecto también al fin de la Seguridad Social. Conforme a la Ley, MUTUALIA, tiene por objeto el desarrollo, mediante la colaboración con el Ministerio competente de Seguridad Social, de las siguientes actividades:
a) La gestión de las prestaciones económicas y de la asistencia sanitaria, incluida la rehabilitación, comprendidas en la protección de las contingencias de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, así como de las actividades de prevención de las mismas contingencias que dispensa la acción protectora.
b) La gestión de la prestación económica por incapacidad temporal derivada de contingencias comunes.
c) La gestión de las prestaciones por riesgo durante el embarazo y riesgo durante la lactancia natural.
d) La gestión de las prestaciones económicas por cese en la actividad de los trabajadores por cuenta propia.
e) La gestión de la prestación por cuidado de menores afectados por cáncer u otra enfermedad grave.
f) Las demás actividades de la Seguridad Social que les sean atribuidas legalmente.
MUTUALIA ejerce su actividad y presta sus servicios a sus personas protegidas y usuarias asegurando la efectividad de sus derechos y la continua mejora de los procedimientos, servicios y prestaciones de acuerdo con las políticas fijadas por la organización y su Misión y Valores, los cuales son establecidos y revisados en cada Plan Estratégico y están documentados en tal documento. (ANEXO I Propósito, Misión, Visión y Valores)
Asimismo, en MUTUALIA se tienen en cuenta los recursos disponibles, determinando de esta manera las prestaciones que proporcionan los servicios ofrecidos, sus contenidos y los correspondientes estándares de calidad.
MUTUALIA se organiza y actúa con pleno respeto al principio de legalidad y de acuerdo con los principios exigidos por la Seguridad Social a las mutuas colaboradoras en la gestión de su función pública.
Para ejercer sus competencias, MUTUALIA hace uso de SISTEMAS DE INFORMACIÓN (TIC) que son protegidos de una forma efectiva y eficiente.
Sin carácter exhaustivo MUTUALIA se rige y debe cumplir la NORMATIVA BÁSICA (ANEXO II a esta política Normativa de aplicación)
MUTUALIA se compromete a cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por la entidad en cumplimiento de su actividad legalmente atribuida.
La política de seguridad de la información está basada en los siguientes principios:
Seguridad como proceso integral. (Art. 6 ENS)
Gestión de la seguridad basada en los riesgos. (Art. 7 ENS)
Prevención, detección, respuesta y conservación. (Art. 8 ENS)
Existencia de líneas de defensa. (Art. 9 ENS)
Vigilancia continua y reevaluación periódica. (Art. 10 ENS)
Diferenciación de responsabilidades. (Art. 11 ENS)
La presente política se desarrollará aplicando los siguientes requisitos mínimos de seguridad:
Organización e implantación del proceso de seguridad.
Análisis y gestión de los riesgos.
Gestión de personal.
Profesionalidad.
Autorización y control de los accesos.
Protección de las instalaciones.
Adquisición de productos de seguridad y contratación de servicios de seguridad.
Mínimo privilegio
Integridad y actualización del sistema.
Protección de la información almacenada y en tránsito.
Prevención ante otros sistemas de información interconectados.
Registro de actividad y detección de código dañino.
Incidentes de seguridad.
Continuidad de la actividad.
Mejora continua del proceso de seguridad.
Esta política se aplica a todos los sistemas TIC de Mutualia y a todos los miembros de la organización, sin excepciones.
Cuando MUTUALIA utiliza servicios de terceros que gestionen o traten información, MUTUALIA les hace partícipes de esta Política de seguridad y/o de la normativa de seguridad que ataña a dichos servicios o información.
Cuando algún aspecto de esta Política no pueda ser satisfecho por un TERCERO según se indica en los párrafos anteriores, se requerirá un informe de la persona RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN que precise los riesgos en que se incurre y cómo tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados, así como del RESPONSABLE DEL TRATAMIENTO de datos personales (Director Gerente), antes de seguir adelante.
Se considerará en particular que, según la Disposición Adicional primera de la Ley orgánica 3/2018 de 5 de diciembre de protección de datos y derechos digitales (LOPDGDD), aparado segundo, “En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad”.
La organización de la seguridad de MUTUALIA queda establecida mediante la identificación y definición de las diferentes actividades y responsabilidades en la materia, y la implantación de la infraestructura que las soporta.
Con carácter general, todas y cada una de las PERSONAS USUARIAS de los sistemas de información de MUTUALIA son responsables de la seguridad de los activos de información mediante un uso adecuado de los mismos, siempre de acuerdo con sus atribuciones y responsabilidades laborales y profesionales.
La DOCUMENTACIÓN del sistema está estructurada en PROCEDIMIENTOS, INSTRUCCIONES Y DOCUMENTACIÓN TÉCNICA y son revisadas en el momento que se produzca un cambio en las sistemáticas descritas.
Roles y funciones relacionadas con la seguridad de la información
Los ROLES Y FUNCIONES de forma detallada están establecidas en el documento “Asignación, Roles y Responsabilidades en materia de seguridad de la información” Anexo III a esta Política, indicando en esta Política las funciones generales
• Hacer patente el compromiso de la DIRECCIÓN con la seguridad de la información.
• Definir, desarrollar y poner en funcionamiento los requisitos y controles técnicos, legales y de gestión necesarios para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados para la organización.
•Cumplir en todo momento la legislación vigente en materia de protección de datos y seguridad de la información, así como cualquier otra que afecte a la seguridad de los activos de la organización.
•Crear “cultura de seguridad”, tanto internamente, a todo el personal, como externamente a los clientes y proveedores.
•Tratar la seguridad de la información como un proceso de mejora continua.
•Mantener la confianza y satisfacción de los clientes.
MUTUALIA desarrolla un marco regulatorio de seguridad física adoptando las medidas de seguridad determinadas por la persona RESPONSABLE DE LA SEGURIDAD DE LA INFORMACIÓN, a quien se reportará e informará de su grado de implantación, eficacia e incidentes.
Las medidas de protección de las instalaciones físicas de Mutualia son de diversos tipos:
MUTUALIA asigna RECURSOS y adopta las MEDIDAS necesarias en el ámbito de las personas, para cumplir con lo establecido en las diferentes normativas de aplicación en materia de seguridad de la información.
MUTUALIA lleva a cabo actividades de FORMACIÓN Y CONCIENCIACIÓN para que el personal sea plenamente consciente de su responsabilidad con la seguridad de la información que afecta a todas las actividades y miembros de la organización, así como tengan una sensibilidad hacia los riesgos que se corren.
MUTUALIA, en el desarrollo de sus funciones, requiere tratar datos personales. Por ello, se han de garantizar los derechos y libertades de las personas interesadas, así como la seguridad de la información, de las comunicaciones y de los sistemas de información que soportan los tratamientos de acuerdo con las medidas previstas en la legislación vigente.
Para su cumplimiento, MUTUALIA aplica los siguientes PRINCIPIOS:
•Se tratarán los datos de carácter personal de manera LÍCITA, LEAL Y TRANSPARENTE con el interesado.
•Los datos personales serán recogidos con FINES DETERMINADOS, EXPLÍCITOS Y LEGÍTIMOS y no serán tratados ulteriormente de manera incompatible con dichos fines, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
•Los datos personales serán ADECUADOS, PERTINENTES Y LIMITADOS a lo necesario en relación con los fines para los que son tratados.
•Los datos personales serán EXACTOS y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
•Los datos personales serán mantenidos de forma que se permita la identificación de los interesados DURANTE NO MÁS TIEMPO DEL NECESARIO para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89.1 LOPDGDD, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado;
•Los datos personales serán tratados de tal manera que se garantice una SEGURIDAD adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de MEDIDAS TÉCNICAS U ORGANIZATIVAS apropiadas.
MUTUALIA pone a disposición de personas usuarias e interesadas toda la información relacionada con los tratamientos que realiza de datos personales, en la Política de privacidad y protección de datos personales. La información detallada de PROTECCIÓN DE DATOS Y PRIVACIDAD que tiene implementada MUTUALIA en toda su organización puede ser consultada a través de estos enlaces:
https://www.mutualia.eus/eu/datuen-babesa/
https://www.mutualia.eus/es/proteccion-de-datos/
Además, toda la documentación generada en la actividad de Mutualia se considera CONFIDENCIAL, en caso de necesidad de difusión por algún motivo, ésta debe ser AUTORIZADA por la dirección correspondiente.
MUTUALIA cuenta con un gestor documental donde se incluyen procedimientos, instrucciones y modelos con acceso a todas las personas de la organización. Esta documentación es revisada en el momento que cambian las circunstancias que la generaron. Además, por la tecnicidad que conlleva el área de Sistemas, se disponen de documentos técnicos disponibles a toda el área en su gestor de Gestión del Conocimiento.
Los RIESGOS a los que se exponen todos los sistemas sujetos a esta Política se gestionan según lo establecido en la sistemática de gestión de riesgos de Mutualia, evaluando las amenazas y la probabilidad de ocurran, es decir, su grado de exposición. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y existirá una proporcionalidad entre ellas y los riesgos.
El ACCESO a los sistemas de información de MUTUALIA está controlado y limitado. Se establecen perfiles de acceso según las funciones a desempeñar por cada una de las personas. Estos accesos están debidamente autorizados.
El Centro de Proceso de datos (CPD) MUTUALIA tiene una ubicación independiente y con controles de acceso al mismo. Este CPD está redundado en otro CPD similar fuera de las instalaciones de Mutualia.
MUTUALIA utiliza PRODUCTOS DE SEGURIDAD de las tecnologías de la información y comunicaciones que tengan garantizada la funcionalidad de seguridad relacionada con el objeto de la adquisición.
Esta garantía estará de acuerdo con las normas y estándares de mayor reconocimiento internacional en el ámbito de la seguridad funcional y/o con referencia (en su caso) a la exigencia de productos de seguridad certificados por el CCN?
Esta exigencia se realiza de forma proporcionada a la categoría del sistema y nivel de seguridad de MUTUALIA, nivel MEDIO. Existirá una excepción en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad
Los sistemas de MUTUALIA se diseñarán y configurarán de forma que garanticen los mínimos privilegios posibles para su correcto desempeño:
a) Se retiren cuentas y contraseñas estándar.
b) Se aplicará la regla de «mínima funcionalidad»:
1.º El sistema debe proporcionar la funcionalidad requerida para que la organización alcance sus objetivos y ninguna otra funcionalidad,
2.º No proporcionará funciones gratuitas, ni de operación, ni de administración, ni de auditoría, reduciendo de esta forma su perímetro al mínimo imprescindible.
3.º Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.
c) Se aplicará la regla de «seguridad por defecto»:
1.º Las medidas de seguridad serán respetuosas con el usuario y protegerán a éste, salvo que se exponga conscientemente a un riesgo.
2.º Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
3.º El uso natural, en los casos que el usuario no ha consultado el manual, será un uso seguro.
El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario
MUTUALIA adopta las medidas necesarias para que todos sus sistemas y equipamientos estén ACTUALIZADOS, minimizando de esta forma sus posibles vulnerabilidades. Esto implica seguir las especificaciones de los fabricante
En MUTUALA se aplican procedimientos para la gestión segura de SOPORTES DE ALMACENAMIENTO. Se aplicará la debida diligencia y control a los soportes de información que permanecen bajo la responsabilidad de MUTUALIA mediante las siguientes actuaciones:
a) Garantizando el control de acceso con medidas físicas o lógicas ([mp.si.2]), o ambas.
b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura, humedad y otros agresores medioambientales, además:
Se aplicarán mecanismos criptográficos que garanticen la confidencialidad y la integridad de la información contenida.
Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
Se emplearán, preferentemente, productos certificados
Solo se utilizan unidades y medios extraíbles en caso de existir una necesidad de negocio para hacerlo.
Se prohíbe el almacenamiento de Datos Personales en soportes y dispositivos ópticos (cd, DVD, etc.) y flash USB (discos duros externos, pen drives, etc.) no autorizados.
El contenido de los medios reutilizables es borrado de manera segura, de manera que no permite su recuperación, previamente a ser reutilizados.
Borrado seguro mediante software.
Cuando sea necesario podrá requerirsela autorización para la extracción de soportes fuera de las instalaciones de MUTUALIA.
Los soportes son almacenados en un ambiente seguro de acuerdo con las especificaciones del fabricante.
Con objeto de mitigar el riesgo de pérdida de datos, se respetan los plazos de vida de los medios de almacenamiento, mediante la transferencia de los datos a un soporte nuevo que permita garantizar los periodos de retención.
Se prestará especial atención a la información almacenada o en tránsito a través de entornos inseguros, tales como equipos portátiles, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
MUTUALIA evita de manera proactiva, mediante la realización de copias de seguridad, la pérdida de información, tal y como se detalla en la Normativa de Seguridad correspondiente.
Por otro lado, toda información en soporte no electrónico está protegida bajo llave con el mismo grado de seguridad que en soporte electrónico.
Se protegerá el PERÍMETRO del sistema de información, especialmente, en el caso de conectarse a redes públicas, reforzándose las tareas de prevención, detección y respuesta ante incidentes de seguridad. Se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas y se controlará su punto de unión.
MUTUALIA registra las ACTIVIDADES de los usuarios, así como de los administradores del sistema, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Asimismo, se protegen los sistemas de registro y los registros en sí de manipulaciones indebidas y ACCESOS NO AUTORIZADOS.
Se podrá, en la medida estrictamente necesaria y proporcionada, monitorizar/analizar las COMUNICACIONES ENTRANTES O SALIENTES, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino, así como otros daños a las antedichas redes y sistemas de información.
MUTUALIA dispone de un SISTEMA DE DETECCIÓN Y REACCIÓN frente a código dañino, garantizando un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluidos los de comunicación de eventos, vulnerabilidades y debilidades de seguridad. Se dispone de PROCEDIMIENTOS DE GESTIÓN DE INCIDENTES DE SEGURIDAD y de debilidades detectadas en los elementos del sistema de información de la organización. Estos procedimientos cubren los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones en la herramienta GlobalSUITE, con el fin de emplearlo para la mejora continua de la seguridad del sistema
MUTUALIA evita de manera proactiva, mediante la realización de COPIAS DE SEGURIDAD Y RÉPLICA del CPD, la pérdida de información. Asimismo, dispone de los mecanismos necesarios que garantizan la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo a través de los procesos de continuidad de negocio de la organización
El proceso integral de seguridad implantado en MUTUALIA será ACTUALIZADO Y MEJORADO de forma continua. Los procesos se actualizan frecuentemente para garantizar la mejora continua de los procesos de seguridad aplicados y adecuarse a nuevas amenazas potenciales
a La Política de Seguridad de la Información de MUTUALIA se desarrollará por medio de una normativa interna de seguridad que complemente la primera, y que, regulará normas específicas de seguridad de la información de un área o aspecto determinado, propuestas por el Comité de Seguridad de la Información y protección de datos, aprobadas por el Director Gerente entre ellas:
Del incumplimiento de la Política de Seguridad de la Información y normas que la desarrollan podrán derivarse las consiguientes responsabilidades, que se sustanciarán conforme a lo establecido en la normativa sobre régimen disciplinario interno.
Esta Política se comunicará y difundirá entre todos los sujetos obligados por parte del Comité de Seguridad. MUTUALIA mantendrá en su página WEB (y/o en el Gestor documental corporativo MIDENET a disposición de todas las personas usuarias de la organización) la versión actualizada del documento de Política de Seguridad de la Información.
Cualquier duda que pueda surgir sobre su interpretación y aplicación, debe consultarse con y por este orden: Comité de Seguridad y Director Gerente
Será misión del Comité de Seguridad la revisión periódica (como máximo,anual) de esta Política de Seguridad siendo aprobada finalmente por la o el Director Gerente
Todas las políticas relacionadas con la seguridad de la información están supeditadas a esta y no
pueden contradecir en nada lo aquí dispuesto.
TABLA DE REVISIONES
| Fecha | Revisión | Aprobación | |
| Marzo 2017 | 0 | Edición | Director Gerente Ignacio Lekunberri |
| Febrero 2022 | 1 | adecuación a requisitos Esquema Nacional de Seguridad | Director Gerente Ignacio Lekunberri |
| Abril 2022 | 2 | Incorporación de los objetivos de la política | Director Gerente Ignacio Lekunberri |
| Mayo 2022 | 3 | Incorporación de desarrollo de principios | Director Gerente Ignacio Lekunberri |
| Noviembre 2023 | 4 | Adaptación al RD 311/2022 (ENS) | Director Gerente Ignacio Lekunberri |