Tras más de 10 años de vigencia de la anterior normativa, el pasado 3 de mayo se aprobó el Real Decreto que recoge la esperada actualización del Esquema Nacional de Seguridad (ENS). Una normativa que, por fin, contempla medidas adaptadas a la realidad actual y tecnológica para dar respuesta a las necesidades y retos a los que nos enfrentamos en términos de seguridad.
Esta nueva propuesta del texto incluye una nueva batería de medidas entre las que destacan interesantes novedades que, además, van a suponer un gran impacto en la ciberseguridad de los sistemas de la Administración Pública, como la vigilancia continua, la coordinación en la respuesta a incidentes o los perfiles de cumplimiento. Por ejemplo, la combinación de medidas de vigilancia con una respuesta preestablecida y coordinada va a favorecer que el sector se enfrente mucho más preparado al reto de una identificación temprana de los incidentes y a una reacción sólida que permita controlar el ataque para restaurar el servicio con el menor impacto posible.
Sin embargo, me gustaría poner el foco en los aspectos del Esquema Nacional de Seguridad que hacen referencia a la seguridad como un concepto integral en las organizaciones. Para mí y para el grupo Relyens es realmente importante visibilizar las necesidades en materia de seguridad del sector sanitario como un aspecto global en el que todas las partes están implicadas. A pesar de que el concepto de seguridad integral no es nuevo, ya estaba incluido, por ejemplo, en el anterior ENS y en la normativa sobre infraestructuras críticas. Esta nueva actualización del Real Decreto refuerza la idea, más que nunca, de una seguridad entendida de forma global y hace referencia expresa a aspectos fundamentales como la legislación sobre protección de datos personales o la coordinación de las responsabilidades de las áreas de ciberseguridad y protección de datos.
Este último es, en mi opinión, un aspecto crucial porque, sin duda, la coordinación de los diferentes responsables, la delimitación de responsabilidades y la visión de la ciberseguridad como una función transversal e integral son la base de partida para diseñar y mantener unos sistemas de información sólidos y confiables.
El ‘quién es quién’ en la ciberseguridad del sector sanitario
El sector sanitario debería ser uno de los más relevantes cuando hablamos sobre ciberseguridad, y es que casi la totalidad de dispositivos, máquinas y aparatos médicos que forman parte del entorno sanitario están conectados a una red y, por tanto, son susceptibles de ser atacados. No obstante, la foto más habitual que podemos encontrar actualmente de los sistemas sanitarios respecto a la ciberseguridad −y no solo en nuestro país− es la falta de coordinación entre responsables y la necesidad común de identificar los distintos actores del sector que intervienen en el entorno de la seguridad, sus responsabilidades concretas y favorecer la coordinación de su trabajo con el resto de actores involucrados.
El sector sanitario debería ser uno de los más relevantes cuando hablamos sobre ciberseguridad
Para ello podemos aprovechar la figura de los perfiles de cumplimiento que ofrece el Esquema Nacional de Seguridad e incluir en cada sector unos requisitos mínimos de coordinación entre diferentes roles, de forma que garanticemos una óptima aplicación del propio Esquema y de las medidas de seguridad que se definan.
En este sentido, me gustaría recoger los perfiles más decisorios, en concreto, del sector sanitario y destacar antes de enumerarlos que para conseguir una correcta coordinación de todos estos roles es imprescindible el compromiso de la dirección de los centros sanitarios. Solo puede ser la dirección la que establezca las políticas o líneas de actuación, marque las responsabilidades y dote de los recursos necesarios para su aplicación.
Te interesa: «Hemos construido entre todos el mejor Esquema de Seguridad de Europa».
Estos perfiles decisorios son los siguientes:
Responsable de TI o de sistemas: Se ocupa del diseño u operación de las redes de comunicación y de coordinar a los equipos TI. Estas redes, además, dan conectividad al resto de sistemas conectados, aunque su operación no esté necesariamente gestionada por este responsable.
Responsable de electromedicina: Gestiona la operatividad de los equipos electromédicos como máquinas de diagnóstico, de monitorización, de soporte vital, bombas de medicamentos, etc. Estos equipos se conectan a los sistemas del hospital y a Internet, tanto para el intercambio de información de los pacientes como para tareas de mantenimiento de los propios equipos.
Responsable de infraestructuras: Es el encargado del funcionamiento de equipos para el gobierno del edificio (generación eléctrica, ascensores, climatización, alarmas, bombas de agua…) y de los sistemas más orientados al confort de pacientes y profesionales (televisores, telefonía, sistemas de vídeo, etc.).
Delegado de protección de datos personales: Esta figura es obligatoria en España debido a la sensibilidad de los datos tratados. Está directamente involucrado en el modo en el que se trata, por ejemplo, la historia clínica de los pacientes.
Responsable de ciberseguridad o de seguridad de la información: Se encarga de que todos los sistemas de información anteriores operen de forma segura, estableciendo las políticas de actuación y medidas de seguridad necesarias y supervisando su cumplimiento.
La entrada El nuevo Esquema de Seguridad Nacional apuesta por la seguridad integral se publicó primero en Redseguridad.
