Política de Seguridad de la Información

1. INTRODUCCIÓN

Este documento es la política para el tratamiento de la información y de la seguridad de los sistemas de información de VIRCELL.

Esta Política de Seguridad también sigue los requisitos del Esquema Nacional de seguridad y de la guía CCN-STIC-805 del Centro Criptológico Nacional (CCN), centro adscrito al Centro Nacional de Inteligencia (CNI).

El ENS tiene como finalidad crear las condiciones de confianza necesarias en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, datos, comunicaciones y servicios electrónicos, que permita a la ciudadanía a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Esto implica que se deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

VIRCELL debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

1.1 Prevención

VIRCELL debe evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello implementará las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos.

Estos controles, y los roles y responsabilidades de seguridad de todo el personal, van a estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, se debe:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

1.2 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia.

La monitorización es especialmente relevante cuando se establecen líneas de defensa. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

1.3 Respuesta

VIRCELL:

  • Establecerá mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designará un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecerá protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

1.4 Recuperación

Para garantizar la disponibilidad de los servicios críticos, VIRCELL dispondrá de planes de continuidad de los sistemas TIC como parte de su plan general de continuidad del servicio y actividades de recuperación.

  1. MISIÓN

La misión de VIRCELL se centra en proporcionar soluciones diagnósticas de alta calidad para enfermedades infecciosas, garantizando la seguridad y fiabilidad de sus productos, cumpliendo con la normativa vigente y satisfaciendo las expectativas de sus clientes en un entorno dinámico y competitivo.

Con más de 30 años de experiencia, VIRCELL desarrolla y produce reactivos listos para uso en el diagnóstico de enfermedades infecciosas en humanos, ofreciendo más de 500 referencias para la detección de bacterias, virus, parásitos y hongos mediante diversas técnicas, y tiene presencia en laboratorios de más de 90 países.

En resumen, la misión de VIRCELL es liderar en el desarrollo de soluciones diagnósticas fiables y seguras para enfermedades infecciosas, con un firme compromiso con la calidad, la satisfacción del cliente y la sostenibilidad ambiental

  1. ALCANCE

Esta política se aplica a todos los sistemas TIC y a todos los miembros de VIRCELL S.L. (En adelante, VIRCELL), que dan soporte a la prestación de los servicios a las administraciones públicas españolas y sus proveedores.

3.1 Alcance de certificación ENS

Sistema de información que soporta los servicios de:

VIRCELL, S.L.:

  • Diseño, Desarrollo, Producción y Distribución de Reactivos de diagnóstico in vitro para enfermedades infecciosas y de Consumibles de Uso Genérico para Diagnóstico In Vitro;
  • Diseño, Desarrollo, Producción, Instalación, Servicio (Incluyendo soporte técnico) y Distribución de Instrumentos de Diagnóstico In-Vitro para Enfermedades infecciosas, ubicado on premise desde las instalaciones del cliente.

VIRCELL SPAIN, S.L.U.:

  • Instalación, gestión del mantenimiento, y soporte técnico de equipos para técnicas de análisis de diagnóstico in Vitro y Biotecnología.
  • Comercialización y distribución de reactivos para diagnóstico in Vitro y productos de Biotecnología.

  1. MARCO NORMATIVO

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
  • Real Decreto Legislativo 1/1996, de 12 de abril, Ley de Propiedad Intelectual.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI).

  1. ORGANIZACIÓN DE LA SEGURIDAD

El Comité de Seguridad coordina la seguridad de la información en VIRCELL y está formado por:

  • Responsable de la Información.
  • Responsable del Servicio.
  • Responsable de Seguridad.
  • Responsable del Sistema.

Los miembros del Comité de Seguridad pueden consultarse en el documento SGSI-00002 Miembros del comité.

En los siguientes apartados se especifican las funciones atribuidas a uno de estos roles.

5.1 Responsable de la Información

Será el responsable de:

  • Es el responsable de los activos esenciales de tipo información, es decir, el responsable de las decisiones relativas a la información.
  • Velar por el buen uso de la información y, por tanto, de su protección.
  • Ser responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.
  • Establecer los requisitos de la información en materia de seguridad.
  • Determinar los niveles de seguridad de la información.
     

5.2 Responsable de los Servicios

Será el responsable de:

  • Es el responsable de los activos esenciales de tipo servicio, es decir, el responsable de las decisiones relativas a los servicios.
  • Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.
  • Determinar los niveles de seguridad de los servicios.

5.3 Responsable de Seguridad

  • Es el Responsable de Seguridad de la Información de acuerdo al Esquema Nacional de seguridad.
  • Asegura que los procesos del Sistema de Gestión están establecidos, implantados y mantenidos, de acuerdo con los requisitos de las normas aplicables.
  • Informa a la Dirección del funcionamiento y eficacia del sistema para que ésta lleve a cabo la revisión, y como base para la mejora de la gestión de la empresa.
  • Promueve el conocimiento de los requisitos de los clientes en materia de Seguridad de la Información a todos los niveles de la organización.
  • Colabora con la Dirección en la definición e implantación de Políticas y Normativas de forma que sean fiel reflejo de la estrategia de la empresa.
  • Planifica, programa y participa, cuando proceda, en las Auditorías internas y externas.
  • Controla la elaboración, actualización, aprobación y distribución de la documentación del Sistema de Gestión.
  • Actúa como interlocutor con partes externas (clientes, proveedores, Administración, y demás partes interesadas) sobre aspectos del sistema de gestión.
  • Controla la ejecución y eficacia de las acciones emprendidas para prevenir y gestionar No Conformidades, y valora las acciones a realizar tras la comunicación de una sugerencia de mejora.

5.4 Responsable del Sistema

Será el responsable de:

  • Es el responsable de los activos no esenciales, es decir, la persona que es responsable de las decisiones relativas a todos los elementos del sistema de información de VIRCELL salvo los servicios e información esenciales.
  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
  • La administración y gestión de las cuentas de los usuarios.
  • Asegurarse de que sólo las personas autorizadas a tener acceso cuentan con él.
  • Asegurarse de que los sistemas tienen los niveles de disponibilidad requeridos por la Organización.
  • Incluir en los requisitos para nuevos desarrollos los aspectos de seguridad que apliquen.

5.5 Procedimiento de Designación

El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se le hayan vinculado. En el caso de que alguno de estos puestos desaparezca o cambie de nombre, será responsabilidad del CEO de VIRCELL asignar el nuevo puesto al que se vinculará la figura.

5.6 Procedimientos de resolución de conflictos

En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad.

  1. INFORMACIÓN DOCUMENTADA

Para desarrollar este Sistema de Gestión se dispone de una estructura documental compuesta por:

  • Política de Seguridad, la presente política: documento donde se establecen las bases del Sistema de Gestión de la empresa.
  • Normativa, documentación donde se definen los usos permitidos o prohibidos en la organización.
  • Procedimientos: describen las actividades requeridas para implementar el Sistema de Gestión para dar cumplimiento a requisitos exigidos por alguna de las normas aplicables.
  • Instrucciones Técnicas: cualquier procedimiento que precise la intervención necesaria de determinados elementos y que requiera indicaciones específicas relacionadas con actividades críticas para satisfacer un objetivo se desarrollará en una instrucción técnica o de trabajo.

Los diferentes documentos tienen la extensión adecuada para asegurar el funcionamiento efectivo del Sistema y de la organización y el control de los procesos, en función de la complejidad del proceso, la interacción de los distintos procesos y la competencia del personal que intervenga.

6.1 Control de la documentación del Sistema de Gestión

VIRCELL tiene establecido, y mantiene al día, el procedimiento PSGSI-00010 Gestión del SGSI donde se describe cómo debe realizarse el control de la documentación del Sistema, donde se describen los criterios y responsabilidades asociadas al control de los documentos necesarios para el funcionamiento del Sistema de Gestión.

  1. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

7.1 Requisitos mínimos de seguridad

A continuación, se enuncian los principios básicos relacionados con la seguridad de la información (art. 11 ENS), que rigen la política de seguridad de la información de la organización:

  • Resolución de conflictos. Ver apartado “Procedimientos de resolución de conflictos” de este documento
  • Organización e implantación del proceso de seguridad. Ver apartado “Organización de la Seguridad” de la presente política.
  • Análisis y gestión de los riesgos. Ver apartado “Gestión de riesgos”.
  • Gestión de personal. Ver apartado “Obligaciones del Personal”.
  • Profesionalidad. Ver apartado “Obligaciones del Personal”.
  • Autorización y control de los accesos. Ver apartado “Control de accesos”
  • Protección de las instalaciones. Ver apartado “Seguridad Física y del entorno”.
  • Adquisición de productos. Ver apartado “Terceras partes”.
  • Mínimo privilegio. Ver apartado “Gestión de la configuración”.
  • Integridad y actualización del sistema. Ver apartado “Integridad y actualización del sistema”
  • Protección de la información almacenada y en tránsito. Ver los apartados “Control de accesos””.
  • Prevención ante otros sistemas de información interconectados. Ver apartado “Gestión de Comunicaciones”
  • Registro de actividad. Ver apartado “Seguimiento y monitorización”
  • Incidentes de seguridad. Ver apartado “Gestión de incidencias de seguridad”.
  • Continuidad de la actividad. Ver apartado “Gestión de la continuidad”.
  • Mejora continua del proceso de seguridad. Tal como se especifica en esta política, el Comité de Seguridad y los responsables promoverán la mejora continua, de forma que se planifiquen y realicen objetivos y acciones de mejora (Apartado “Organización de la Seguridad”).

7.2 Política de clasificación de datos

El sistema de clasificación de datos se puede aplicar a toda la información en posesión de VIRCELL. El uso coherente del sistema de clasificación de datos es esencial para proteger adecuadamente la información y los sistemas de información.

Se definen 4 niveles de clasificación: Información púbica, Uso interno, Información confidencial, Información sensible.

7.3 Gestión de riesgos

Todos los sistemas sujetos a esta Política de Seguridad realizarán un análisis de riesgos, evaluando las amenazas y riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando la información que se maneja cambia.
  • Cuando cambian los servicios prestados.
  • Cuando ocurre un incidente de seguridad grave.
  • Cuando se informa de vulnerabilidades graves.

Para la armonización del análisis de riesgos, el Comité de Seguridad establecerá una evaluación de referencia para los diferentes tipos de información gestionada y los diferentes servicios prestados.

7.4 Obligaciones del Personal

Todo el personal de VIRCELL tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y las otras normativas de seguridad desarrolladas desde VIRCELL, siendo responsabilidad del Comité de Seguridad brindar los medios necesarios para que la información llegue a los afectados.

Todo el personal de VIRCELL bajo el alcance del ENS recibirá concienciación y formación en materia de seguridad de la información.

En su caso, si se requiere formación específica para la gestión segura de los sistemas, las personas responsables de la operación o administración de los sistemas de información la recibirán según sea necesario para realizar su trabajo.

Dentro de la relación laboral o contractual, los empleados deberán desempeñar siempre las funciones asignadas con profesionalidad, es decir, realizar un ejercicio adecuado de la profesión con capacidad y eficacia.

7.5 Control de accesos

La información debe estar protegida contra accesos no autorizados por lo que sólo se facilitará el acceso a la información necesaria para el trabajo a desarrollar. No se permitirá el acceso a la red, a los sistemas, aplicaciones o información a ningún usuario que no esté formalmente autorizado para ello.

En el caso de que visitantes o personal no autorizado acceda a las instalaciones, deberá ir siempre acompañado por un miembro responsable de la organización, que controlará en todo momento que la seguridad de los recursos está garantizada.

Cuando proveedores de servicios o empresas externas necesiten acceder a las instalaciones o a la información por un motivo justificado, se requiere que firmen acuerdos de confidencialidad con la organización para mantener el mismo nivel de seguridad que si fueran empleados de la organización.

7.6 Seguridad física y del entorno

Para que la seguridad lógica sea efectiva es primordial que en las instalaciones se mantenga una correcta seguridad física para evitar los accesos no autorizados, así como cualquier otro tipo de daño o interferencia externa, para ello VIRCELL toma las precauciones necesarias para que solo las personas autorizadas tengan acceso a las instalaciones.

La totalidad de las oficinas cuentan con las barreras físicas necesarias para asegurar los recursos que éstas alberguen. Asimismo, las instalaciones de VIRCELL están dotadas de los dispositivos de extinción de incendios marcados por la legislación vigente en esa materia y de salidas de emergencia debidamente señalizados.

7.7 Terceras Partes

Cuando VIRCELL preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Para ello, se establecerán canales de reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para reaccionar ante incidentes de seguridad.

Cuando VIRCELL utilice servicios de terceros o ceda información a terceros, se les hará partícipe de los requisitos de seguridad que deben cumplir. Además, el proveedor debe garantizar que su personal esté adecuadamente capacitado en materia de seguridad de acuerdo con los requisitos de la VIRCELL.

Se ha desarrollado un procedimiento específico en relación con la gestión de proveedores y donde se documentan las consideraciones en materia de seguridad de la información en cuanto a la adquisición de nuevos componentes, la contratación de proveedores y la gestión de dichos contratos.

7.8 Gestión de la configuración

La gestión, configuración y actualización del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información se realizará siempre siguiendo los principios de seguridad por defecto y mínima funcionalidad.

7.9 Integridad y actualización del sistema

Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema por lo que se ha realizado una política específica de autorización.

Es importante que los sistemas se encuentren al día en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones, por lo que también se dispone de una política donde se ha establecido como debe realizar el mantenimiento del equipamiento y la gestión de parches y vulnerabilidades.

7.10 Protección de información almacenada

VIRCELL implantará medidas físicas y lógicas para proteger la información allí donde se encuentre almacenada, tanto si se encuentra en un soporte físico o digital. Se realizarán copias de seguridad que aseguren la posibilidad de recuperación en caso de incidente.

7.11 Gestión de Comunicaciones

VIRCELL controlará el acceso a los servicios en redes internas y externas y se asegurará de que los usuarios no ponen en riesgo dichos servicios. Para ello se han establecido las interfaces adecuadas entre la red de la organización y otras redes, los mecanismos adecuados de autenticación para usuarios y equipos, y los accesos para cada usuario del sistema de información.

Se protegerán las redes corporativas frente a las amenazas provenientes de redes públicas como Internet.

7.12 Seguimiento y monitorización

Se definirá una estrategia global de monitorización de sistemas y actividades, identificando los sistemas más críticos y estableciendo los controles oportunos para registrar cualquier evento que debe ser detectado (actividades no autorizadas o funcionamientos inadecuados de sistemas). Los registros deberán ser almacenados convenientemente protegidos contra su modificación o eliminación.

Según se considere necesario, se establecerán los mecanismos necesarios que permitan detectar actividades de proceso de información no autorizadas. Esto implica realizar tareas para llevar a cabo controles e inspecciones de los registros del sistema y actividades para probar la eficiencia de la seguridad de datos y procedimientos de integridad de datos, para asegurar el cumplimiento con la política establecida, así como para recomendar cualquier cambio que se estime necesario.

7.13 Gestión de incidencias de seguridad

Cualquier empleado que sospeche u observe una incidencia de seguridad, bien sea física (fuego, agua, etc), de software o sistemas (virus, desaparición de datos, etc.) o de servicios de soporte (comunicaciones, electricidad, etc.) debe comunicarlo inmediatamente para que se tomen las medidas oportunas y registre la incidencia.

Se establecerán responsabilidades y procedimientos de gestión de incidencias para asegurar una respuesta rápida, eficaz y ordenada a las incidencias en materia de seguridad. Existirán procedimientos que abarquen todos los tipos posibles de incidentes.

7.14 Gestión de la continuidad

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

VIRCELL garantiza que los servicios no se interrumpen. Para conseguirlo se han realizado análisis y planes en la materia. 

                                                 La Dirección