Introducción

NEXUS/Spain (en adelante “NEXUS”, fiscalmente identificada como Nexus SisInf SLU) es la compañía subsidiaria de la multinacional alemana Nexus/AG para operar en España.

 

Misión y valores

Misión. Digitalización y transformación del sector social y sanitario mediante soluciones software innovadoras, versátiles e integrables que optimicen los procesos clínicos y de gestión. Nos enfocamos en liberar tiempo y recursos para que los profesionales asistenciales puedan centrarse en lo más importante: el cuidado del paciente. Nos impulsa la convicción de que la tecnología debe estar al servicio de las personas, contribuyendo de forma tangible a una atención sanitaria más eficiente, humana y segura.

Valores.  

  • Profesionalidad e Innovación tecnológica. Conlleva desempeñar el trabajo con aplicación y seriedad, siendo un referente de integridad, honradez y eficacia. Buscamos continuamente nuevas tecnologías que aporten valor real al sistema sanitario. Nuestra creatividad y agilidad nos permiten mantenernos a la vanguardia del sector HealthTech.
  • Compromiso y Responsabilidad. Más allá de cumplir tareas a tiempo, es la dedicación a la visión y valores de la empresa, trabajando de forma constante para su éxito y crecimiento continuo. Nos mueve una profunda vocación por mejorar el bienestar del paciente, de nuestros empleados, y la calidad del trabajo de los profesionales sanitarios. Este propósito guía cada uno de nuestros proyectos.
  • Calidad y colaboración. La calidad es nuestra firma. Se trata de esforzarnos constantemente por superar las expectativas y entregar un trabajo que refleje nuestra excelencia y dedicación. Fomentamos la cooperación entre equipos multidisciplinares e internacionales, enriqueciendo nuestras soluciones con experiencias y conocimientos compartidos.
  • Entusiasmo y Orientación al cliente. El entusiasmo impulsa nuestro trabajo diario, convirtiendo cada tarea en una oportunidad para crecer. Trabajamos estrechamente con los profesionales sanitarios, adaptando nuestras soluciones a sus necesidades específicas y acompañándolos en todo el proceso de implementación y evolución tecnológica.
  • Interoperabilidad y proximidad. Nuestras soluciones son independientes del fabricante de hardware e intentan integrarse con otros softwares, garantizando libertad a nuestros clientes para elegir los dispositivos y soluciones que mejor se ajusten a sus necesidades. Actuamos con integridad, transparencia y cercanía, construyendo relaciones de confianza con nuestros clientes en cada territorio donde operamos.

 

Productos y Servicios

Nexus diseña, desarrolla, comercializa, implanta y da mantenimiento correctivo y evolutivo de un gran portfolio de productos software para el sector salud y social. En España, el catálogo de productos Nexus se complementa con los servicios que ponemos a disposición de nuestros clientes.
Si bien en el grupo Nexus/AG existen decenas de productos, los básicos esenciales con los que se trabaja en España son los siguientes:

  • Gestión Asistencial de Residencias y Centros de Día.  
  • Facturación clínica.  
  • Sistema de Información para la Gestión de Laboratorios Clínicos.  
  • Sistema de Informes Avanzados para la Unidad de Endoscopia.  

Desde NEXUS se realizan proyectos de implantación de producto, y además se prestan los siguientes servicios:  

  • Desarrollo e integración de software sanitario.  
  • Servicios Gestionados de IT.  
  • Formación a usuarios.  

 

Justificación de la política de seguridad de la información

Necesidad de seguridad en los sistemas de información

Para el cumplimiento de su misión, la prestación de los servicios identificados y el logro de sus objetivos, NEXUS depende críticamente de los Sistemas TIC (Tecnologías de la Información y Comunicaciones). Estos sistemas gestionan información altamente sensible, incluyendo datos de carácter personal y datos de salud, cuya protección es prioritaria.

Por ello, los sistemas son administrados con la máxima diligencia, adoptando medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan comprometer la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad tanto de la información tratada como de los servicios prestados.

El objetivo de la seguridad de la información es garantizar la protección de estos activos clave y asegurar la prestación continuada de los servicios. Esto se logra mediante actuaciones preventivas, supervisión constante de la actividad diaria y una capacidad de reacción eficaz ante posibles incidentes.

Los sistemas TIC están protegidos frente a amenazas en constante evolución, que podrían impactar en la seguridad, el uso previsto o el valor de la información y los servicios. Para hacer frente a estos riesgos, NEXUS implementa estrategias de seguridad dinámicas y adaptables, alineadas con las condiciones cambiantes del entorno, asegurando así la continuidad y fiabilidad de los servicios ofrecidos al sector sanitario.

 

Requisitos de seguridad

NEXUS aplica las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad (ENS), así como realiza un seguimiento continuo de los niveles de prestación de servicios, sigue y analiza los riesgos y vulnerabilidades a los que están expuestos los servicios y la información, y prepara una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Toda la organización debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y los recursos para su implantación deben ser identificados e incluidos dentro de la operativa diaria de la organización.  

Además, NEXUS en su compromiso por la seguridad integral, está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.

 

Marco normativo

El marco legal en materia de seguridad de la información viene establecido por la siguiente legislación:

  • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración.  
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de derechos digitales.

 

Principios de protección

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:  

  • Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
    Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad.
  • Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad, constituyendo una actividad continua y permanentemente actualizada. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.  
  • Prevención, detección, respuesta y recuperación: La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.
    Las medidas de prevención, que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.
    Las medidas de detección irán dirigidas a descubrir la presencia de un incidente de seguridad y ciber incidente.
    Las medidas de respuesta, que se gestionan en tiempo oportuno, están orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad, actuando de forma eficaz antes los mismos.  
    Sin merma de los restantes principios básicos y requisitos mínimos establecidos, el sistema de información garantizará la conservación de los datos e información en soporte electrónico.
    Para garantizar la disponibilidad de los servicios, NEXUS desarrolla planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
  • Existencia de líneas de defensa: El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita:
    Desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.
    Minimizar el impacto final sobre el mismo.
    Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
  • Vigilancia continua y Reevaluación periódica (mejora continua): Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y dedicado.  
  • Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad y el responsable del sistema, que se encarga de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo.

Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la Política de Seguridad. Se establecen los siguientes:

a. Organización e implantación del proceso de seguridad.

b. Análisis y gestión de los riesgos.

c. Gestión de personal.

d. Profesionalidad.

e. Autorización y control de los accesos.

f. Protección de las instalaciones.

g. Adquisición de productos de seguridad y contratación de servicios de seguridad.

h. Mínimo privilegio.

i. Integridad y actualización del sistema.

j. Protección de la información almacenada y en tránsito.

k. Prevención ante otros sistemas de información interconectados.

l. Registro de la actividad y detección de código dañino.

m. Incidentes de seguridad.

n. Continuidad de la actividad.

o. Mejora continua del proceso de seguridad.

 

Estructura organizativa

Roles en seguridad de la información

La seguridad debe comprometer a todos los miembros de la Organización.  

La responsabilidad de NEXUS recae, en última instancia, en su Dirección. La Dirección es responsable de organizar las funciones y responsabilidades, la política de seguridad y de facilitar los recursos adecuados para alcanzar los objetivos propuestos.

NEXUS cuenta con una estructura organizativa de seguridad, y jerarquía para el proceso de decisiones.

Todos los roles conocen sus funciones y responsabilidades en materia de seguridad y en el ámbito del Esquema Nacional de Seguridad.  

Comité de Seguridad

NEXUS ha constituido el Comité de Seguridad, que se reúne de forma periódica. Se han definido y asignado funciones y responsabilidades tanto a sus miembros como al propio Comité.  

 

Estructura normativa

La estructura jerárquica de la documentación de seguridad se basa en:

  • Políticas.
  • Normativas.
  • Procedimientos.  
  • Instrucciones técnicas.  
  • Guías.  

 

Gestión de riesgos

Todos los sistemas sujetos a la política deben contar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.

El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad.

El proceso de análisis, gestión de los riesgos y selección de medidas de seguridad a aplicar, (proporcionales a los riesgos y debidamente justificadas), es revisado y aprobado cada año por NEXUS.  

 

Obligaciones del personal  

El personal de NEXUS tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información, así como el marco normativo de seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

El personal de NEXUS atenderá a una sesión de concienciación en materia de seguridad TIC al menos una vez cada dos años. Se establece un programa de concienciación continua para atender al personal de NEXUS, en particular al personal de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación es obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
El cumplimiento de la presente política de seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos de NEXUS, constituyendo su incumplimiento infracción grave a efectos laborales.

 

Terceras partes

NEXUS da a conocer un extracto de la Política de Seguridad a través de su página web y hace participe de la misma a terceras partes pertinentes para su sistema de seguridad de la información.  

 

Revisión y aprobación de la política de seguridad

La Política de Seguridad de la Información es revisada por el Comité de Seguridad al menos anualmente, o siempre que se produzcan cambios ya sean menores o significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.

Los cambios sobre la Política de Seguridad de la Información deben aprobarse por la Dirección de NEXUS.

Cualquier cambio sobre la misma debe difundirse a todas las partes afectadas.

 

Difusión de la Política de Seguridad

Cualquier usuario o tercera parte podrá solicitar la Política de Seguridad completa a través del correo info@nexus-spain.com.

Necesitas ayuda? Estamos encantados de ayudarle
Contacto Mail
X
Lightbulb
¿Qué estás buscando? Soluciones, departamentos, expertos y mucho más
¿No es el resultado que deseabas? Utiliza el buscador global. Buscar