Implantación del ENS en centros HospitalariosReal Decreto 3/2010 de 8 de enero, por el que se regula el
Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica
2
2
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASES DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
ÍNDICE
32
57
65
75
80
84
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
3
3
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASES DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
4
Introducción Departamentos de Seguridad:
GESTIÓN INTEGRAL DE SERVICIOS SANITARIOS
SERVICIOS “ESENCIALES” A LA CIUDADANIA
INFRAESTRUCTURAS “ESTRATÉGICAS”
INFRAESTRUCTURAS “CRÍTICAS”
5
Introducción Departamentos de Seguridad:
“HOSPITAL ES UNA PEQUEÑA CIUDAD”
Típica expresión que por ser tan utilizada en el mundo sanitario deja de tener su importancia y complejidad
“VULNERABILIDAD PERMANENTE”:La infraestructura de un centro sanitario cuenta con todos los elementos necesarios para que los riesgos estén en constante presencia.
6
Introducción Departamentos de Seguridad:
POLITICA GENERAL Y
ESTRATÉGICA DE SEGURIAD
PLAN DE SEGURIDAD
DEL OPERADOR (PSO)
PLAN DE PROTECCIÓN ESPECÍFICO
(PPE)
PLANES DE AUTOPROT.
Y EMERGENCIAS
PLAN DE CONTINGENCIA Y CONTINUIDAD
DE NEGOCIO (BCP)
ESQUEMA NACIONAL DE SEGURIDAD.
(ENS)
REGLAMENTO EUROPEO DE PROTECCIÓN
DE DATOS (RGPD)
PLANES DE APOYO
OPERATIVO (RECURSOS EXTERNOS)
7
7
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASES DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
8
Objeto y Principios básicos:
Está constituido por los principios básicos y requisitos mínimos para una protección
adecuada de la información.
Asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad yconservación.
En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientesprincipios básicos:
SEGURIDAD INTEGRAL. GESTIÓN DEL RIESGO. PREVENCIÓN, REACCIÓN Y RECUPERACIÓN. LINEAS DE DEFENSA. REEVALUACIÓN PERIÓDICA FUNCIÓN DIFERENCIADA
9
9
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASE DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
10
Requisitos mínimos de seguridad:
La política de Seguridad establecerá con los principios básicos indicados y se desarrollará aplicando los siguientes requisitos mínimos:
a) Organización e implantación del proceso de seguridad.b) Análisis y Gestión de los Riesgos.c) Gestión de Personal.d) Profesionalidad.e) Autorización y control de los accesos.f) Protección de las instalaciones.g) Adquisición de productos.h) Seguridad por defecto.i) Integridad y actualización del sistemaj) Protección de la información almacenada y en transito.k) Prevención ante otros sistemas de información interconectadosl) Registro de actividad.m) Incidentes de Seguridad.n) Continuidad de la actividad.o) Mejora continua del proceso de seguridad.
11
11
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASE DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
12
Cumplimiento de los Requisitos mínimos de seguridad:
Para dar cumplimiento a los requisitos mínimos establecidos se aplicarán las siguientes medidas de Seguridad que se dividen en tres grupos:
a) Marco Organizativo (org)b) Marco operacional (op)c) Medidas de protección (mp)
Además:a) Se ha realizado un inventario de los activos que constituyen el sistema.b) Se ha categorizado por servicios. c) Se ha valorado del impacto que tendría sobre la organización.d) Se ha realizado un análisis de riesgo de los activos. Teniendo en cuenta las siguientes
dimensiones de Seguridad:
a) Disponibilidadb) Autenticidadc) Integridadd) Confidencialidade) Trazabilidad
13
13
CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
MEDIDAS DE SEGURIDAD
FASE DE ADAPTACIÓN
REQUISITOS MÍNIMOS DE SEGURIDAD
OBJETO Y PRINCIPIOS BÁSICOS
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
14
15
Política de Seguridad.
Normativa de Seguridad.
Procedimientos de seguridad.
Proceso de autorización.
Marco Organizativo (4):
16
Marco Operacional (31):
17
Medidas de protección (40):
18
18
LOGOTIPOS
FORMAS Y MARCADORES
FASES DE ADAPTACIÓN
TIPOGRAFÍA CORPORATIVA
GAMA CROMÁTICA
INTRODUCCIÓN DEPARTAMENTO DE SEGURIDAD
19
Tres fases para la adaptación al ENS:
1. Fase de Adecuación.2. Fase de Implantación. 3. Fase de Seguimiento y Medición.
20
1. Fase de Adecuación:
1. Identificar roles y responsabilidades. 2. Política. (Comité )3. Identificar los activos (activos del sistema de información… ) Listado actualizado. 4. Valoración de los activos con respecto los servicios. 5. Análisis diferencial del ENS para analizar el nivel de madurez. 75 Medidas.6. Análisis de Riesgos: Identificación y análisis.
a) Probabilidadb) Confidencialidadc) Integridadd) Disponibilidade) Autenticidadf) Trazabilidad.
7. Declaración de aplicabilidad que medidas seleccionamos para implementarlas y minimizar el riesgo.
8. Plan de Mejora.
21
Política (Comité):
El Comité de Seguridad de la información estará compuesto por los siguientes miembros:
a) Adjunto a Gerenciab) Dirección Médica.c) Director de Seguridad Corporativod) DPO Corporativoe) Director de Sistemas de informaciónf) Compliance officerg) Dirección de Enfermeríah) Jefa del Servicio de Admisión Y Gestión de Paciente
22
Medidas de protección Energía Eléctrica:
23
Medidas de protección Energía Eléctrica:
24
Medidas de protección Calificación de la información:
25
Medidas de protección Calificación de la información:
26
Medidas de protección Calificación de la información:
27
Medidas de protección Calificación de la información:
28
Medidas de protección Calificación de la información:
29
Medidas de protección Calificación de la información:
30
Medidas de protección Calificación de la información:
31
Medidas de protección de equipos portátiles:
32
Medidas de protección de equipos portátiles:
33
Medidas de protección de equipos portátiles:
34
Medidas de protección de equipos portátiles:
35
Medidas de protección de equipos portátiles:
36
37
2. Fase de Implantación:
1. Tratamiento de los riesgos
3. Fase de Seguimiento y Medición:
1. Evaluación del riesgo.
2. Auditorías internas.
3. Revisión por Dirección.
4. Registro de Acciones e Incidencias.
38
FIN