A. Esquema Nacional de Seguridad (ENS)

Fecha:15/01/24
Versión: 1.3
Revisado: Responsable de seguridad

1. Introducción

Esta Política de Seguridad sigue las indicaciones del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS).


INFORMÁTICA MÉDICO FARMACÉUTICA S.L, depende de los sistemas TIC (Tecnologías de la Información y las Telecomunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la seguridad de la información tratada o los servicios prestados y estando siempre protegidos contra las amenazas o los incidentes con potencial para incidir en la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información tratada y los servicios prestados.


Para hacer frente a estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el ENS, así como realizar un seguimiento continuo de los niveles de prestación de los servicios, monitorizar y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los ciberincidentes para garantizar la continuidad de los servicios prestados.


De este modo, todo el personal relacionado con IMF tienen presente que la seguridad TIC es un proceso integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y los costes asociados deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.


Por tanto, para INFORMÁTICA MÉDICO FARMACÉUTICA S.L, el objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, implantando líneas de defensa y supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperar los servicios lo antes posible, según lo establecido en el ENS, con la aplicación de las medidas que se relacionan a continuación.

1.1 Prevención

INFORMÁTICA MÉDICO FARMACÉUTICA S.L debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados. Para garantizar el cumplimiento de la política, la organización debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, se debe monitorizar la operación de manera continuada para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.


La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3 Respuesta

INFORMÁTICA MÉDICO FARMACÉUTICA S.L debe:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar puntos de contacto para las comunicaciones con respecto a incidentes detectados en áreas de la entidad o en otros organismos relacionados con INFORMÁTICA MÉDICO FARMACÉUTICA S.L.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT) reconocidos a nivel nacional como Iris-CERT, CCN-CERT y otros equivalentes.

1.4 Recuperación

Para restaurar la disponibilidad de los servicios, se deberán desarrollar planes de contingencia de los sistemas TIC que incluyan actividades de recuperación de la información que contribuyan a la continuidad del servicio.

2. Misión

INFORMÁTICA MÉDICO FARMACÉUTICA S.L, tiene como misión prestar servicios de desarrollo de aplicaciones para administraciones públicas y privadas en la búsqueda de la mejora en los procesos de onco-hematología, lo cual se traduce en una mejora en la atención a los pacientes.

Se ha diseñado una Política de Seguridad de la Información cuyos objetivos principales son:

• Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.


• Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.


• Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.


•Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.


•Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.


•Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.


•Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de INFORMÁTICA MÉDICO FARMACÉUTICA S.L

3. Alcance

Esta Política se aplicará a los sistemas de información de INFORMÁTICA MÉDICO FARMACÉUTICA S.L, relacionados con el ejercicio de sus competencias y a todos los usuarios con acceso autorizado a los mismos, sean o no empleados y con independencia de la naturaleza de su relación jurídica. Todos ellos tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y su Normativa de Seguridad derivada, siendo responsabilidad del Responsable de Seguridad disponer los medios necesarios para que la información llegue al personal afectado.


Atendida la misión de INFORMÁTICA MÉDICO FARMACÉUTICA S.L definida en el punto 2, la presente Política de Seguridad es aplicable sobre los Sistemas de Información TIC y Servicios que conforman el soporte al desarrollo, implantación y a la aplicación Farmis Oncofarm® y saraPROMs®.


La organización desestima la aplicación de la presente Política de Seguridad sobre aquellos sistemas de información no reflejados en este apartado.

4. Principios básicos

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:
- Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de la universidad, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas de la organización para conformar de manera coherente y eficaz la implantación del proceso de seguridad.


- Responsabilidad determinada: En los sistemas TIC se identificará el Responsable de la Información, que determina los requisitos de seguridad de la información tratada; el Responsable del Servicio, que determina los requisitos de seguridad de los servicios prestados; el Responsable del Sistema, que tiene la responsabilidad sobre la prestación de los servicios y el Responsable de la Seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.


- Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas TIC, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.


- Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.


- Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.

- Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.

- Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto. Se aplicarán los requisitos mínimos de autorización y control de acceso, protección de las instalaciones, adquisición de productos de seguridad y contratación de servicios de seguridad, Protección de la información, Prevención ante otros sistemas de información interconectados, Registro de la actividad y detección de código dañino, Incidentes de seguridad y Mínimo privilegio.

5. Marco normativo

El marco normativo en que se desarrollan las actividades de INFORMÁTICA MÉDICO FARMACÉUTICA S.L y, en particular, la prestación de sus servicios electrónicos está integrado por las normas que se referencian en el documento: “SGSI05-Listado doc y req. Legales”.

6. Organización de la seguridad

Pueden distinguirse tres (3) niveles en el organigrama de INFORMÁTICA MÉDICO FARMACÉUTICA S.L:

  • Nivel 1 – Dirección general:
  • Secretario General, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde que se alcancen.
  • Nivel 2 – Dirección Ejecutiva:
  • Servicios, que entienden qué hace cada unidad de gestión y cómo las diferentes unidades se coordinan entre sí para alcanzar los objetivos marcados por la Dirección.
  • Nivel 3: Operacional
  • Se centra en una actividad concreta y controla cómo se hacen las cosas.

Siguiendo el mismo esquema y de acuerdo con el ENS se estructura un organigrama de seguridad de INFORMÁTICA MÉDICO FARMACÉUTICA S.L en 3 niveles:       

  • Nivel 1:
  • Comité de Seguridad Corporativa (CSO)
  • Comité de seguridad de la información (CISO)
  • Responsable de la Información.
  • Responsable del Servicio
  • Nivel 2:
  • Responsable de la Seguridad de la Información.
  • Nivel 3:
  • Técnico de Seguridad de los Sistemas.
  • Responsables de los Sistemas de Información.

La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2) y al técnico de seguridad (nivel 3).

Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1). Este Comité de Seguridad puede asumir también la responsabilidad de la Información y de los Servicios.

La descripción concreta de las responsabilidades puede consultarse en el documento: SGSI06-Roles y Responsabilidades

6.1 Procedimientos de designación

El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se han vinculado a ellas. En el caso de que desapareciese o cambiará de denominación alguno de estos cargos será competencia del Director Gerente de INFORMÁTICA MÉDICO FARMACÉUTICA S.L asignar el nuevo puesto al que quedará vinculada la figura.

7. Datos de carácter personal

IMF realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016. 

Las políticas de seguridad aplicables a estos tratamientos se rigen por el Registro de Tratamiento de Datos Personales de IMF; en él se relacionan los tratamientos de datos afectados por el Reglamento.

Todos los sistemas de información de IMF se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.

8. Gestión de riesgos

Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
•Regularmente, al menos una vez al año.
•Cuando cambie la información manejada.
•Cuando cambien los servicios prestados.
•Cuando ocurra un incidente grave de seguridad.
•Cuando se reporten vulnerabilidades graves.


El proceso de gestión de riesgos comprenderá las siguientes fases:
•Categorización de los sistemas.
•Análisis de riesgos.
•El Comité de Seguridad procederá a la selección de medidas de seguridad a aplicar que deberán de ser proporcionales a los riesgos y estar justificadas.


Las fases de este proceso se realizarán según lo dispuesto en los Anexos I y II del Real Decreto 311/2022, de 8 de enero, y siguiendo las normas, instrucciones, Guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.
En particular, para realizar el análisis de riesgos, como norma general se utilizará una metodología reconocida de análisis y gestión de riesgos.

8.1. Riesgos que se derivan del tratamiento de datos personales

Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.


Se publicará el registro de actividades de su tratamiento y se realizará la gestión de riesgos a través de Análisis de Riesgos y EPID, en el caso que fuese necesario.

9. Desarrollo de la Política de Seguridad

La presente Política de Seguridad de la Información será complementada por medio de diversa normativa y recomendaciones de seguridad (normativas y procedimientos de seguridad, procedimientos técnicos de seguridad, informes, registros y evidencias electrónicas). Corresponde al Comité de Seguridad de la Información su revisión anual y/o mantenimiento, proponiendo, en caso de que sea necesario mejoras a la misma.

El cuerpo normativo sobre seguridad de la información se desarrollará en tres niveles por ámbito de aplicación, nivel de detalle técnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

1. Primer nivel normativo: políticas de seguridad.
2. Segundo nivel normativo: constituido por las normativas de seguridad.
3. Tercer nivel normativo: constituido por procedimientos, guías e instrucciones técnicas. Son documentos que, cumpliendo con lo expuesto en la Política de Seguridad de la Información, determinan las acciones o tareas a realizar en el desempeño de un proceso.


Corresponde al Director Gerente de INFORMÁTICA MÉDICO FARMACÉUTICA S.L la aprobación de la Política de Seguridad de la Información, siendo el Responsable de Seguridad el encargado de la aprobación de los restantes documentos, siendo también responsable de su difusión para que la conozcan las partes afectadas.


La resolución de conflictos se realizará a través del Comité de Seguridad.

10. Obligaciones del personal

Todos los miembros de INFORMÁTICA MÉDICO FARMACÉUTICA S.L tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados, teniendo en cuenta siempre las disponibilidades presupuestarias de INFORMÁTICA MÉDICO FARMACÉUTICA S.L.


Todos los trabajadores de INFORMÁTICA MÉDICO FARMACÉUTICA S.L bajo el alcance del ENS atenderán a una acción de concienciación en materia de seguridad TIC, al menos, una vez cada dos años. Se establecerá un programa de acciones en concienciación continua para atender a todos los miembros de INFORMÁTICA MÉDICO FARMACÉUTICA S.L relacionados con desarrollos de aplicaciones relacionadas con la administración pública, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias de INFORMÁTICA MÉDICO FARMACÉUTICA S.L. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y de manera continuada para el personal de nueva incorporación.


En su caso, si se requiere formación específica para el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su trabajo.

11. Terceras partes

Cuando INFORMÁTICA MÉDICO FARMACÉUTICA S.L preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Para ello, se establecerán canales para informe y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.


Cuando INFORMÁTICA MÉDICO FARMACÉUTICA S.L utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que implique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, Con ello, el proveedor deberá garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos de INFORMÁTICA MÉDICO FARMACÉUTICA S.L.

12. Mejora continua

La gestión de la seguridad de la información es un proceso sujeto a permanente actualización. Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas. Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:


a) Revisión de la Política de Seguridad de la Información.


b) Revisión de los servicios e información y su categorización.


c) Ejecución con periodicidad anual del análisis de riesgos.


d) Realización de auditorías internas o, cuando procedan, externas.


e) Revisión de las medidas de seguridad.


f) Revisión y actualización de las normas y procedimientos.


13. Entrada en vigor

La presente Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de INFORMÁTICA MÉDICO FARMACÉUTICA S.L y hasta que sea reemplazada por una nueva Política.


B. Política de Seguridad

Como respuesta a un nuevo entorno tecnológico donde la convergencia entre la informática y las comunicaciones están facilitando un nuevo paradigma de productividad para las empresas, INFORMÁTICA MÉDICO FARMACÉUTICA S.L (IMF), está altamente comprometida con mantener un servicio competitivo a través de ofrecer un modelo de negocio responsable, basado en la búsqueda permanente del equilibrio económico, social y ambiental, donde el desarrollo de buenas prácticas en Seguridad de la Información es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada.

En consecuencia, IMF define los siguientes principios en el marco del Sistema de Gestión de Seguridad de la Información (SGSI):

  • Confidencialidad: la información tratada por IMF será conocida exclusivamente por las personas autorizadas, previa identificación, en el momento y por los medios habilitados.
  • Integridad: la información tratada por IMF será completa, exacta y válida, siendo su contenido el facilitado por los afectados sin ningún tipo de manipulación.
  • Disponibilidad: la información tratada por IMF estará accesible y utilizable por los usuarios autorizados e identificados en todo momento, quedando garantizada su propia persistencia ante cualquier eventualidad prevista.
  • Legalidad: IMF garantizará el cumplimiento de toda legislación o requisito contractual que sea de aplicación. Y en concreto, la normativa en vigor relacionada con el tratamiento de datos de carácter personal.

IMF para el correcto desempeño de sus funciones de negocio se basa y ayuda del tratamiento de diferentes tipos de datos e información, sustentados por los sistemas, programas, infraestructuras de comunicaciones, ficheros, bases de datos, archivos, etc., constituyendo estos, uno de los activos principales de IMF. De tal manera que el daño o pérdida de los mismos inciden en la realización de sus servicios y pueden poner en peligro la continuidad de la organización. Para que esto no suceda, se ha diseñado una Política de Seguridad de la Información cuyos fines principales son:

  • Proteger, mediante controles/medidas, los activos frente a amenazas que puedan derivar en incidentes de seguridad.
  • Paliar los efectos de los incidentes de seguridad.
  • Establecer un sistema de clasificación de la información y los datos con el fin de proteger los activos críticos de información.
  • Definir las responsabilidades en materia de seguridad de la información generando la estructura organizativa correspondiente.
  • Elaborar un conjunto de reglas, estándares y procedimientos aplicables a los órganos de dirección, empleados, socios, proveedores de servicios externos, etc.
  • Especificar los efectos que conlleva el incumplimiento de la Política de Seguridad en el ámbito laboral.
  • Evaluar los riesgos que afectan a los activos con el objeto de adoptar las medidas/controles de seguridad oportunos.
  • Verificar el funcionamiento de las medidas/controles de seguridad mediante auditorías de seguridad internas realizadas por auditores independientes.
  • Formar a los usuarios en la gestión de la seguridad y en tecnologías de la información y las comunicaciones.
  • Controlar el tráfico de información y de datos a través de infraestructuras de comunicaciones o mediante el envío de soportes de datos ópticos, magnéticos, en papel, etc.
  • Observar y cumplir la legislación en materia de protección de datos, propiedad intelectual, laboral, de servicios de la sociedad de la información, penal, etc., que afecte a los activos de IMF.
  • Proteger el capital intelectual de la organización para que no se divulgue ni se utilice ilícitamente.
  • Reducir las posibilidades de indisponibilidad a través del uso adecuado de los activos de la organización.
  • Defender los activos ante ataques internos o externos para que no se transformen en incidentes de seguridad.
  • Controlar el funcionamiento de las medidas de seguridad averiguando el número de incidencias, su naturaleza y efectos.

La Dirección de IMF asume la responsabilidad de apoyar y promover el establecimiento de las medidas organizativas, técnicas de control necesarias para el cumplimiento de la presente Política de Seguridad de la Información. Así como, de proveer aquellos recursos que sean necesarios para resolver con la mayor rapidez y eficacia posible, las no conformidades e incidentes de seguridad de la información que pudiesen surgir, y la puesta en funcionamiento de las medidas necesarias para que estas no vuelvan a ocurrir. 

Esta Política será mantenida, actualizada y adecuada a los fines de la organización, alineándose con el contexto de gestión de riesgos de la organización. A este efecto se revisará de forma planificada o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

De igual forma, para gestionar los riesgos que afronta IMF se establece un procedimiento de evaluación de riesgos formalmente definido.

Por su parte, todas las políticas y procedimientos incluidos en el SGSI serán revisados, aprobados e impulsados por la Dirección de IMF.