SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

Política General de Seguridad

aplicable al usuario final del SCS

A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se

describen las medidas de seguridad contenidas en el RLOPD que deben ser
implantadas en los sistemas de información que tratan datos de carácter personal.
Las políticas de seguridad son de obligado cumplimiento para todos aquellos
usuarios, internos o externos, del Servicio Cántabro de Salud, que accedan a
datos de carácter personal.
Este documento pretende resumir las medidas de aplicación al usuario final de los
Sistemas de Información, recogidas en el documento de seguridad, con el fin de
facilitar al mismo su conocimiento y ayudar así a su cumplimiento.

Funciones y obligaciones de los usuarios finales de ficheros

automatizados.

Se consideran usuarios finales a todo personal interno o externo, con acceso directo o
indirecto a datos de carácter personal responsabilidad del Servicio Cántabro de Salud.

q Cumplir con la Política General de Seguridad del Servicio Cántabro de

Salud, las políticas y procedimientos de seguridad aplicables a las
funciones y obligaciones que le ha asignado la Dirección Gerencia de
la cual depende.

Confidencialidad y deber de secreto

Se considera información confidencial al conjunto de todos los datos personales
responsabilidad del Servicio Cántabro de Salud.
q Se debe proteger la información confidencial, y en especial aquella
información que contenga datos de carácter personal, estableciendo medidas de
control que garanticen su confidencialidad, e impidan el acceso no autorizado a
los datos de carácter personal, incluyendo la simple visualización.
q Se debe guardar la máxima reserva y no divulgar, ni utilizar directamente, ni
a través de terceras personas o empresas, los datos, documentos, metodologías,
claves, análisis, programas y demás información a la que se pueda tener acceso
durante su relación con el Servicio Cántabro de Salud.
q Se debe mantener en todo momento el secreto profesional respecto a la
información confidencial con la que se trata. Esta obligación persistirá por
tiempo indefinido, aún después de finalizar sus relaciones profesionales con el
Servicio Cántabro de Salud.
q Se debe llevar a cabo un tratamiento adecuado de la información, evitando
cualquier manipulación que pueda producir la modificación, alteración o

Servicio Cántabro de Salud 1/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013
 destrucción de los datos almacenados, responsabilizándose de cualquier
actuación contraria a la norma.
q Se debe reducir el uso de información confidencial del Servicio Cántabro de
Salud a lo estrictamente necesario, adoptando las debidas precauciones y
medidas para evitar el acceso a los mismos por cualquier persona no autorizada
y destruir la información confidencial una vez que haya dejado de ser útil para el
objeto con el que se recabó.
q Los soportes físicos y documentos que contengan información confidencial
deben ser almacenados en un lugar seguro, con los controles de acceso físico
adecuados para evitar posibles accesos no autorizados a la información
contenida en los mismos.
q Queda prohibida la transferencia de información confidencial a terceros,
por cualquier medio (en soporte papel, magnético, electrónico, etc.), excepto a
las personas o entidades debidamente autorizadas.

Notificación y registro de las incidencias de seguridad

Se considera incidencia de seguridad cualquier incidencia o anomalía que pueda ser
detectada en relación con la seguridad en los sistemas de información: pérdida de
listados, deterioros de soportes, accesos de terceros no autorizados,…
q Es obligación de todo el personal que accede a los sistemas de información,
comunicar cualquier incidencia
q La comunicación de la incidencia se llevará a cabo mediante los canales
establecidos por el Servicio Cántabro de Salud y de forma inmediata a su
conocimiento.
q Con el fin de garantizar el cumplimiento de esta obligación, la Organización
establecerá un régimen de incidencias LOPD que será publicado y distribuido
entre los trabajadores de la Organización para que tengan pleno conocimiento de
las posibles incidencias que se pueden materializar.
q Cada Gerencia del Servicio Cántabro de Salud se compromete a mantener un
Registro de Incidencias de Seguridad en el que se almacene y revise toda
información relativa a las posibles incidencias y en concreto, aquella que puedan
afectar a la seguridad de los datos de carácter personal.

Identificador de usuario y contraseña de acceso al sistema de

información automatizado.
q Todos los usuarios con acceso a un sistema de información automatizado
dispondrán de una autorización de acceso, compuesta por identificador de
usuario y mecanismo de autenticación basado en contraseña, o bien basada
en certificado electrónico.
q Cada empleado con acceso a los sistemas de información del Servicio
Cántabro de Salud tiene asignado un identificador de usuario y una
contraseña o bien un certificado electrónico, de cuyo uso se responsabiliza
personalmente.

Servicio Cántabro de Salud 2/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013
 q El identificador de usuario y su contraseña son de carácter personal e
intransferible. El usuario tiene la obligación de cambiar la contraseña si se
sospecha que un tercero la puede conocer.
q La contraseña deberá ser cambiada al menos cada 12 meses, sin perjuicio de
los periodos de caducidad específicos que se asigne a cada sistema de
información automatizado, debiendo el empleado asignar una nueva.
q La longitud mínima de las contraseñas deberá ser de seis (6) dígitos
recomendándose que estén constituidas por una combinación de caracteres
alfabéticos y numéricos y se omita la referencia a cosas o conceptos sencillos de
adivinar.
q Los usuarios no deben almacenar contraseñas, identificadores de usuario o
cualquier otra información de acceso, en sistemas portátiles o remotos. Si se
utilizan generadores de contraseñas dinámicos u otros mecanismos de control de
acceso, éstos no deben almacenarse en el mismo lugar que los ordenadores
portátiles.
q Ningún usuario recibirá un identificador de acceso a recursos informáticos o
aplicaciones hasta que no acepte formalmente el documento de Política General
de Seguridad.
q Los usuarios tendrán acceso autorizado exclusivamente a aquellos datos y
recursos que precisen para el desarrollo de sus funciones, conforme a los
criterios establecidos por cada Responsable de Autorización de Accesos.

Seguridad física y control de acceso físico a áreas de acceso

restringido.
Se consideran áreas sensibles de acceso restringido, aquellas instalaciones donde se
ubiquen soportes, equipos o archivos documentales que contengan datos de carácter
personal.
En concreto se considerarán áreas sensibles, la ubicación del archivo documental
central así como los centros de procesamiento de datos –CPD- y las áreas de
ubicación de equipos informáticos o archivos departamentales aislados que
almacenen ficheros no automatizados con datos de carácter personal de nivel medio
y alto.
q Únicamente el personal autorizado tendrá acceso a las áreas sensibles.
q Se definirán normativas y procedimientos para controlar el acceso del
personal interno y externo a dichas áreas.
q Todo el material confidencial se almacenará con las debidas medidas de
seguridad, incluso cuando se localicen en áreas seguras y estando disponibles
solamente para el personal autorizado.
q Es preciso evaluar y prevenir riesgos potenciales de incendios, catástrofes
naturales y otro tipo de riesgos. El análisis de la seguridad física no quedará
limitado al emplazamiento de los sistemas de información, sino que tendrá en
cuenta los peligros del entorno.

Gestión de ficheros temporales, copias de trabajo de documentos y

tratamientos de datos fuera de las instalaciones del fichero.

Servicio Cántabro de Salud 3/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013
 Aquellos archivos que se creen exclusivamente para la realización de trabajos
temporales o auxiliares, mediante las extracciones totales o parciales de bases de
datos con datos de carácter personal, serán denominados ficheros temporales, con
independencia de que la información se encuentre almacenada en un soporte
informático o en un documento en papel (copia del original).
q El usuario autorizado para la generación de ficheros temporales, debe cumplir
las siguientes medidas de seguridad:
- Deberán someterse a las mismas medidas de seguridad que los ficheros
corporativos, en virtud de la tipología de datos que almacenen.
- Si se reproducen ficheros temporales, ya sean de nivel básico, medio o
alto, en soportes extraíbles o en documentos en papel, y se prevé un periodo
de conservación del soporte superior a tres (3) meses, el usuario que ha
generado el soporte extraíble deberá etiquetar los soportes/documentos y
mantener un inventario actualizado de los mismos.
- El usuario deberá garantizar la confidencialidad, disponibilidad e
integridad de los ficheros temporales que genere, respondiendo de su guarda
y custodia frente al Servicio Cántabro de Salud.
- En relación a los ficheros temporales almacenados en sistemas
automatizados, se deberá garantizar la realización de las copias de
respaldo de los soportes extraíbles con datos de carácter personal, cuando la
información que maneja no se encuentre actualizada en el sistema de
información central del Servicio Cántabro de Salud.
Por tanto, el usuario evitará siempre que sea posible almacenar
información en la unidad local de su puesto de sobremesa. La información
del usuario será almacenada en su carpeta personal de red, así como en la
carpeta de red de su departamento/área.
- Todo fichero temporal o copia de trabajo debe ser borrado o destruido
una vez haya dejado de ser necesario para los fines que motivaron su
creación.
q La generación de copias o reproducciones de documentos automatizados de
nivel alto (historias clínicas) únicamente podrá ser realizada bajo el control
del personal autorizado por el Responsable de Seguridad del fichero no
automatizado competente, y aplicando a dichos documentos las medidas de
seguridad de nivel alto, en los mismos términos que a la documentación original.
q La información sensible no debe salir de los locales del Servicio Cántabro de
Salud, evitando siempre que sea posible su almacenamiento en el disco duro del
soporte. En el supuesto de ser necesario trasladar información sensible fuera de
las oficinas, cuyo traslado haya sido aprobado por el Responsable de
Autorización de Accesos, se protegerá durante su transporte con las
herramientas de cifrado aprobadas por la Organización.
La información sensible reproducida en documentos mantendrán las medidas
necesarias para garantizar la confidencialidad e integridad de la información aún
cuando hayan abandonado los locales de ubicación habitual de la información.
q Únicamente el personal autorizado podrá trabajar con datos personales
extraídos de los sistemas de información del fichero, fuera de las instalaciones
del Servicio Cántabro de Salud. La necesidad de autorización para el tratamiento

Servicio Cántabro de Salud 4/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013
 de datos fuera de las instalaciones del fichero aplica a la información
almacenada en soportes informáticos y documentos papel.
El personal capacitado para trabajar fuera de las instalaciones del fichero, será
autorizado por el Responsable de Autorización de Accesos del fichero
automatizado competente o en su caso para el tratamiento de documentos en
formato papel, por el Responsable de Seguridad del fichero no automatizado al
que haga referencia el tratamiento de datos.
q El personal autorizado para realizar trabajos con datos de carácter personal
fuera de las instalaciones del fichero, será responsable de la guardia y
custodia del equipo asignado y la información que contiene. Debe garantizar la
confidencialidad, integridad y disponibilidad de la información que almacene en
soportes extraíbles o en documentos en papel.

Uso apropiado de los recursos físicos y lógicos que tratan datos de

carácter personal
q Los recursos de los sistemas de información y sistemas de archivo están
disponibles exclusivamente para el cumplimiento de las funciones y
obligaciones de cada puesto de trabajo y propósito de la operativa para la que
fueron diseñados e implantados.
q Únicamente el personal autorizado podrá enviar por correo electrónico
soportes o cualquier otro método de tratamiento automatizado de datos, de
información con datos de nivel alto.
q El personal capacitado para el envío de soportes físicos, documentos o
comunicaciones telemáticas que contengan información catalogada con nivel
alto de seguridad será autorizado por los Responsables del Servicio designados
como Responsables de Autorización de Accesos (o el Responsable de Seguridad
de los ficheros no automatizados).
q El envío telemático de datos de nivel alto ya sea como fichero adjunto o dentro
del texto de correo electrónico debe transmitirse cifrado.
q La conexión remota a los sistemas de información del Servicio Cántabro de
Salud requiere una aprobación específica por parte del Responsable de
Seguridad.
q Cada equipo corporativo del Servicio Cántabro de Salud (servidor, puesto de
sobremesa, portátil o cualquier otro terminal informático) estará asignado a un
usuario o grupo de usuarios. Cada usuario será responsable de garantizar la
guardia y custodia del mismo, impidiendo el acceso no autorizado al
terminal.
q El entorno de trabajo debe mantener las condiciones que satisfagan
continuamente las normas de seguridad física y no permitan deterioros.
q El personal debe apagar el equipo de sobremesa que utilice para el desarrollo
de sus funciones, al final de la jornada laboral o ante una ausencia
prolongada. Podrá mantenerse encendido siempre que el puesto se mantenga
con un bloqueo de pantalla mediante contraseña.

Servicio Cántabro de Salud 5/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013
q Los usuarios finales deberán observar, además las siguientes normas:
q Todos los equipos o puestos de trabajo han sido asignados a un usuario o
servicio concreto. Estos usuarios son los responsables de garantizar que la
información mostrada por estos equipos no sea visible por personas no
autorizadas.
En caso de impresoras, el usuario responsable del equipo debe asegurarse de
que no quedan documentos impresos en la bandeja de salida que contengan
datos protegidos. Si las impresoras son compartidas con otros usuarios no
autorizados para acceder a los datos del fichero, los responsables de cada puesto
deberán retirar los documentos conforme vayan siendo impresos.
q El usuario responsable de un equipo, cuando abandone éste, por espacio
superior a cinco minutos, deberá dejarlo en un estado que impida el acceso
a los datos protegidos mediante el bloqueo del terminal basado en contraseña.
q Se prohíbe la instalación de aplicaciones por el usuario final, responsable del
equipo o la modificación significativa en la configuración del sistema operativo
que no hayan sido autorizadas por el Servicio Cántabro de Salud.

Servicio Cántabro de Salud 6/6

Grupo de Coordinación de Seguridad de Ficheros Automatizados Marzo 2013