Hoja de Control de Modificaciones

Introducción

El sistema de acceso remoto seguro al Servicio Andaluz de Salud (en adelante SAS) está implementado a través de una solución basada en sistemas locales, en la que se despliegan equipos portátiles configurados y bastionados por el SAS para que puedan utilizar Internet como medio de
acceso de forma remota segura a los servicios corporativos.

Cuando se utiliza el Servicio VPN, se crea un túnel privado dentro de la red pública (Internet) entre el emisor y el receptor. Antes de que los datos salgan del emisor, estos se encriptan y encapsulan, y luego se dirigen al receptor. En el destino, el proceso es exactamente lo contrario, hasta que el receptor tenga el dato original y realice el procesamiento de la acción enviada. Esto sólo es posible debido a que antes de que se establezca la conexión, tanto el emisor como el receptor tienen su preconfiguración que permite la validez del acceso, encriptando y descifrando los datos.

Utilizando este servicio de acceso remoto, se cubrirá la necesidad que tienen algunos trabajadores del SAS para realizar su trabajo independientemente de la ubicación en la que se encuentren.

Tal y como se indica en la medida de seguridad org.4 PROCESO DE AUTORIZACIÓN del MARCO ORGANIZATIVO del ENS, “ningún sistema de información con responsabilidades sobre la información que maneja o los servicios que presta, debería admitir elementos no autorizados por cuanto la libre incorporación de elementos socavaría de raíz la confianza en el sistema, al modificar la superficie de ataque y dar pie a nuevas vulnerabilidades susceptibles de ser explotadas” siendo por tanto necesario disponer de un procedimiento aplicable a cualquier tipo de autorización.

Para cualquier duda o sugerencia sobre este documento se podrá contactar con el coordinador del estándar o bien el responsable de gestión de estándares.

• Coordinador del estándar: Baldomero López Sánchez de Puerta (baldomero.lopez@soprasteria.com)
• Responsable gestión de estándares: Alberto Vargas Palomino (ustic.stic.sspa@juntadeandalucia.es)

Objeto

La finalidad de este estándar es definir el proceso de autorización y provisión para la conexión remota a los Sistemas del Servicio Andaluz de Salud para los profesionales del mismo.

Ámbito

Este procedimiento aplica al Servicio Andaluz de Salud y entidades vinculadas o dependientes que se encuentren adscritas orgánicamente al Servicio Andaluz de Salud.

En su ámbito material este procedimiento es aplicable a todas las solicitudes relacionadas con el uso del Servicio VPN del Servicio Andaluz de Salud, ya sean de ámbito corporativo, local o departamental.

Vigencia

Este procedimiento entrará en vigor y se aplicará a partir del día de la fecha de su aprobación por el Comité de Seguridad TIC de la Subdirección TIC del Servicio Andaluz de Salud.

Normativa aplicable

Cumplimiento legal

• DECRETO 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
• Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
• Decreto 70/2017, de 6 de junio, por el que se modifica el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
• El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, con las modificaciones introducidas por el Real Decreto 951/2015, de 23 de octubre. Este procedimiento deriva del control del marco
  organizativo. org.4, Proceso de autorización.
• RESOLUCION de 27 de septiembre de 2004, de la Secretaria General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la
  Junta de Andalucía.

Normativa interna

• Este procedimiento deriva de la política “POLÍTICA DE SEGURIDAD TIC PARA EL SERVICIO ANDALUZ DE SALUD”.
• A su vez, este procedimiento deriva de la norma “NORMAS PARA PROCESOS DE AUTORIZACIÓN”.

Buenas prácticas

• Este procedimiento da cumplimiento al control de Dominio 6 ASPECTOS ORGANIZATIVOS DE SEGURIDAD DE LA INFORMACIÓN objetivo de control A.6.2.2 TELETRABAJO de la norma ISO/IEC 27002:2013.

Descripción

Perfiles que intervienen en el proceso de autorización para el acceso remoto a través de VPN

• Subdirección TIC
• Subdirectores Provinciales TIC
• Responsables de Área de la Subdirección de Tecnologías de la Información y Comunicaciones.
• Responsable de Soporte Tecnológico y Comunicaciones de los Servicios Centrales del SAS.
• Responsable funcional del usuario solicitante.

En el caso en el que alguno de los perfiles antes mencionado no pueda autorizar las solicitudes VPN, por cualquier motivo: vacaciones, baja laboral...deberá asignar a la persona que se encargará de hacerlo.

Acceso remoto a través de VPN por parte de un Usuario Interno

El siguiente diagrama explica el procedimiento que un usuario interno al SAS tendrá que seguir para solicitar un acceso remoto a través de VPN a sus sistemas:

 Figura. Diagrama de flujo del procedimiento de solicitud de acceso remoto a través de VPN usuario interno

A continuación, se detalla el procedimiento a seguir:

1. Cumplimentar por parte del usuario interesado o por parte de otra persona en su nombre, la correspondiente solicitud de alta que tendrá que rellenar a través del formulario de solicitud disponible en la herramienta Mi Centro de Servicios (http://mics.sas.juntaandalucia.es/) y cuyo nombre es Solicitud de acceso remoto a través de VPN.
2. En la solicitud se tendrán que cumplimentar, al menos, los siguientes campos:
   1. Datos del usuario para el que se solicita acceso remoto a través de VPN.
   2. Responsable funcional SAS del usuario solicitante (Aprobador).
   3. Autorizador.
   4. Descripción de las aplicaciones a las que se solicita acceso remoto.
3. Una vez cumplimentada la solicitud, se realizará el escalado para su aprobación por parte del responsable funcional SAS del usuario solicitante, que deberá ser al menos el jefe de servicio, director de UGC o asimilado, y para su posterior autorización, atendiendo a su ubicación / Proyecto:
   1. Para profesionales que desarrollan su labor en centros sanitarios (Hospital / Distrito /Centro de Salud o centros adscritos orgánicamente al SAS) o bien están contratados a través de un contrato licitado por la STIC, pero desarrollan su labor en centros sanitarios, dicha solicitud se le asignará al subdirector TIC Provincial para que la autorice.
   2. Para los profesionales adscritos a la STIC-Cartuja o para los profesionales que desarrollan su labor bajo contratos de servicios TIC centralizados, dicha solicitud se le asignará al Responsable de Área al que pertenezca dicha persona para que la autorice.
   3. Para profesionales que desarrollan su labor en Servicios Centrales, dicha solicitud se le asignará al responsable de Soporte Tecnológico y Comunicaciones de los Servicios Centrales del SAS para que la autorice.
4. La persona autorizadora (ver apartado 8.1 del presente documento) aceptará o rechazará la solicitud, según criterio.
5. En el caso en el que la solicitud sea rechazada, la persona autorizadora tendrá que justificar su rechazo y se cerrará la solicitud recibiendo el solicitante y su aprobador una notificación de cierre.
6. En el caso en el que la solicitud sea autorizada, se escala al grupo de resolución para realizar el alta en el sistema. Una vez tramitada, se procede al cierre de la solicitud.

La solicitud de alta para acceder de forma remota a los sistemas del SAS para un usuario interno deberá incluir obligatoriamente el contenido del Anexo I Buenas prácticas, cláusulas de Confidencialidad y de Información en la recogida de datos personales para usuarios internos.

Anexo I: Buenas prácticas, cláusulas de Confidencialidad y cláusulas de información en la recogida de datos personales para usuarios internos

Al aceptar el uso de acceso remoto el profesional que solicita alta en el Servicio VPN se compromete a cumplir los términos y condiciones expuestos a continuación:

1. Guardar la confidencialidad de la información incorporada los sistemas a los que acceda.
2. El personal con responsabilidades en los sistemas de información no accederá a la misma aprovechando sus privilegios de administración.
3. A observar en todo momento las instrucciones de carácter interno contenidas en la Resolución de 12 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el Manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía, que se podrá descargar en formato PDF a través del formulario web. Será imprescindible que revise este Manual de comportamiento de los empleados públicos y marque el check habilitado en el formulario web, ya que no se tramitará ninguna solicitud que no venga con este check marcado.
4. A observar el cumplimiento de las obligaciones en materia de confidencialidad y protección de datos de carácter personal de conformidad con lo dispuesto en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).
5. Hacer uso pertinente y profesional del acceso a las redes de comunicación.
6. Hacer un buen uso del acceso a Internet a través de la red corporativa, extremando las medidas de seguridad en los equipos y aplicaciones.
7. Hacer un uso profesional de las aplicaciones informáticas a las que se accede.
8. Comunicar a la Subdirección de Tecnologías de la Información y Comunicaciones de cualquier modificación en mi situación laboral que afecte a mis derechos de acceso.
9. Asegurarse de actualizar el equipo remoto con los últimos parches del sistema operativo, aplicaciones y antivirus.
10. Cerrar su conexión cuando ya no sea necesario para evitar su utilización por terceras personas que pudieran tener acceso al equipo remoto.
11. Cerrar las aplicaciones correspondientes a Sistemas de Información del Servicio Andaluz de Salud cuando no las esté utilizando (logout).
12. Asegurarse de que su antivirus realiza análisis programados periódicos exhaustivos, incluso aunque no se reinicie el equipo remoto.
13. Aplicar las actualizaciones programadas.
14. Tener especial cuidado con las unidades de disco compartidas.
15. Asegurarse que su antivirus escanea también los dispositivos USB conectados a su equipo.
16. El equipo remoto deberá disponer de herramienta de antivirus actualizada.
17. Activar el cortafuegos personal del equipo remoto.
18. En el caso de que almacene información de pacientes o confidencial en su equipo remoto recuerde que debe estar autorizado para ello y que esta información debe almacenarse debidamente cifrada mediante mecanismos debidamente autorizados y certificados.

Por otra parte, en cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), le informamos que:

• El responsable del tratamiento de sus datos es el Servicio Andaluz de Salud.
• Estos datos son necesarios para darle de alta y asignarle una VPN y con esta finalidad los trataremos al amparo de lo dispuesto en el artículo 6.1.b) del RGPD, esto es, la ejecución de un contrato.
• Usted puede ejercer sus derechos de acceso, rectificación, supresión, así como otros derechos, según se explica en la información adicional publicada en: https://www.sspa.juntadeandalucia.es/servicioandaluzdesalud/politica-de-privacidad

Control

La Unidad de Seguridad TIC del SAS llevará a cabo los controles de cumplimiento de este estándar.

Siempre que se produzca una incidencia relacionada con este procedimiento se procederá a realizar una revisión de cumplimiento y completitud del documento.

Se realizarán controles en dos niveles.

• Seguimiento periódico. Es un seguimiento semestral, a partir de los estándares creados durante el período.
• Auditoría periódica. Control a través de auditorías periódicas al Sistema de Gestión de Seguridad de la Información.

Penalizaciones

Se dará de baja a un usuario del Servicio VPN en el caso en que se detecte mal uso del mismo por su parte.

Divulgación

Responsable divulgación: los relacionados a continuación en sus ámbitos respectivos.

• Unidad organizativa
• Subdirección TIC SAS
• Jefe Servicio TIC
• Responsables Área STIC
• Delegado de Protección de Datos
• Subdirecciones Provinciales TIC

Glosario de Términos

Acceso remoto: El acceso remoto es el acto de conectarse a servicios, aplicaciones o datos de TI desde una ubicación distinta a través de una conexión a Internet o telecomunicaciones.

VPN: Es una Red Privada Virtual que proporciona conexiones virtuales seguras, construidas sobre una red física no segura (normalmente una red pública, como por ejemplo Internet). La VPN proporciona múltiples mecanismos de seguridad que aportan la protección y el control necesario a la información transmitida.

Documentación Referenciada

No aplica

Palabras Clave

Procedimiento, Estándar, Autorización, Solicitud, Red Privada Virtual, acceso remoto.