Por qué el ENS es clave para la protección de la información en Centros de Investigación Sanitaria

Los Centros de Investigación Sanitaria son uno de los principales objetivos de los ciberdelincuentes, ya que manejan información sensible y confidencial sobre datos de Investigación, tratamientos o medicamentos experimentales entre otros. A fecha de la redacción de este artículo de opinión, lo primero que nos viene es el ataque al Hospital Clínic de Barcelona. Pero, no nos olvidemos que, en los últimos años se han producido ataques a Centros de Investigación Sanitaria como:

• Centro Superior de Investigaciones Científicas (CSIC) (ver noticia)
• Vall d’Hebron Intitut de Recerca VHIR (ver noticia)
• Instituto de Investigación Sanitaria La Fe de Valencia (ver noticia)

¿Qué es el Esquema Nacional de Seguridad (ENS)?

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS) es un conjunto de medidas y requisitos que tienen como objetivo garantizar la seguridad de la información en el ámbito de la administración pública. Este Real Decreto, actualiza el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. En este enlace podéis ver las mejoras que implementa este nuevo ENS.

El ENS, tal y como establece el «artículo 2. Ámbito de aplicación«, es de aplicación a todo el sector público, e incluso, al sector privado en virtud de una relación contractual, presten servicios o provean soluciones a las entidades del sector público. Y todo esto para proporcionar un marco de referencia y buenas prácticas que permiten proteger la información de manera más efectiva.

El ENS establece una serie de medidas y procedimientos de seguridad que deben aplicarse en diferentes áreas, como la gestión de identidades y accesos, la gestión de incidentes de seguridad, la gestión de redes y sistemas, la gestión de copias de seguridad y recuperación, y la gestión de la continuidad del negocio.

Algunos de los objetivos específicos del ENS son:

• Asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
• Identificar los riesgos y establecer medidas de seguridad para proteger la información.
• Garantizar el cumplimiento de la normativa de protección de datos y de seguridad de la información.
• Fomentar una cultura de seguridad en el personal que maneja información.

La implementación del ENS es una tarea compleja que implica la adaptación de los sistemas y procedimientos existentes, así como la formación y concienciación de todo el personal implicado. No obstante, es una inversión necesaria para garantizar la seguridad de la información en un entorno cada vez más digitalizado y expuesto a amenazas de todo tipo.

Los Centros de Investigacion Sanitaria y el ENS

Por regla general, los Centros de Investigación Sanitaria, son entes de reciente creación. Aunque en los años 90 ya existían, no es hasta hace unos 15-20 años que empiezan a tomar una forma más estructurada. Normalmente, tienen una gestión propia en todas las materias: Contratación, RRHH, formación, etc. E incluso la gestión informática y de Seguridad de la Información. Aunque no suelen contar con una amplia plantilla para la gestión de los departamentos informáticos, los Centros tienen cierta independencia para tomar decisiones, como la implementación del ENS con independencia de certificarnos.

NO OLVIDEMOS QUE EL RETO ES ESTAR PREPARADOS «DE VERDAD» ANTE UN ATAQUE, Y NO TENER UN PAPEL QUE DIGA QUE LO ESTEMOS.

Es por ello que, lo primero que se necesita es contar con el apoyo de la dirección para poder montar una estructura de Gobernanza para la Ciberseguridad. Para ello, se ha de plasmar en la Política de Seguridad de la Información. Conseguir implementar el ENS en los Centros de Investigación Sanitaria es posible, y debería de ser un reto viable para todos ellos en los próximos 3 años para garantizar la seguridad de la información, sobre todo los datos de las investigaciones.

Como dice mi amigo Antonio Grimaltos, la investigación es la sanidad del futuro, y es la que hay que proteger. La Investigación es la que conseguirá que las personas, sobre todo las que sufren algunas enfermedades puedan tener una mayor calidad de vida. Y recientemente podemos ver una noticia de uno de nuestros investigadores, Pau Montesinos, que indica que «Una pastilla experimental logra remitir el cáncer en 18 casos de leucemia muy agresiva: Puede aportar un futuro a los pacientes«. ESTO ES LO QUE DEBEMOS PROTEGER.

Beneficios del ENS en los Centros de Investigación

Además de la importancia de garantizar la seguridad de la información, se conseguirían otros beneficios, como:

1. Protección de la privacidad de la información personal.
2. Reducción del riesgo de pérdida de datos.
3. Mayor confidencialidad y seguridad de los datos.
4. Mayor capacidad para detectar y responder a incidentes de seguridad.
5. Cumplimiento con las regulaciones de privacidad y seguridad.
6. Ahorro de costes al reducir el riesgo de incidentes de seguridad.
7. Fortalecimiento de la imagen y reputación del centro.
8. Mayor confianza de los pacientes, Promotores, CRO, Centros vinculados y colaboradores.
9. Mejora de la eficiencia y efectividad de los procesos y servicios.
10. Fomento de la innovación y el desarrollo de nuevas tecnologías.

Medidas clave a implementar

Algunas de las medidas clave que pienso que se deberían implementar en un Centro de Investigación Sanitaria para empezar a cumplir con esta normativa y garantizar la seguridad de los sistemas y los datos son:

1. Identificación y autenticación de usuarios: El ENS exige que se implementen medidas de identificación y autenticación de usuarios para garantizar que sólo las personas autorizadas tengan acceso a la información. Esto incluye el uso de contraseñas seguras, el uso de tokens y la autenticación multifactor.
2. Gestión de accesos: La gestión de accesos es otra medida clave que debe implementar tu centro de investigación sanitaria. Esto implica la definición de perfiles de acceso, la gestión de permisos y la revisión periódica de los accesos.
3. Análisis de riesgos y evaluación de impacto: Es importante realizar un análisis de riesgos y una evaluación de impacto para identificar los riesgos asociados a los sistemas y datos críticos y establecer medidas de seguridad adecuadas.
4. Política de seguridad: El ENS exige que se establezca una política de seguridad que contemple todas las medidas necesarias para garantizar la seguridad de los sistemas y datos. Esto incluye la definición de las responsabilidades, el establecimiento de controles y la revisión periódica de la política de seguridad.
5. Formación y concienciación: Una medida clave para garantizar la seguridad de los sistemas y datos es la formación y concienciación de los usuarios. Es importante que los usuarios estén conscientes de los riesgos de seguridad y sepan cómo actuar en caso de un incidente de seguridad.
6. Monitorización y auditoría: Es importante implementar medidas de monitorización y auditoría para detectar posibles incidentes de seguridad y garantizar que se estén cumpliendo las medidas de seguridad establecidas en la política de seguridad.
7. Planes de contingencia y recuperación ante desastres: Es importante contar con planes de contingencia y recuperación ante desastres para garantizar la continuidad de los servicios y la recuperación de los datos en caso de un incidente de seguridad.
8. Protección de la información: El ENS exige que se implementen medidas de protección de la información, incluyendo el cifrado de los datos y la gestión de copias de seguridad.
9. Gestión de incidentes de seguridad: Es importante contar con un plan de gestión de incidentes de seguridad que establezca los procedimientos a seguir en caso de un incidente de seguridad.
10. Revisión periódica y mejora continua: Finalmente, es importante realizar revisiones periódicas de las medidas de seguridad implementadas y establecer un plan de mejora continua para garantizar que los sistemas y datos están protegidos adecuadamente.

Conclusión

En conclusión, la implementación del ENS en un Centro de Investigación Sanitaria es esencial para garantizar la seguridad y la privacidad de la información de los pacientes y la protección de los datos de investigación. Con el aumento de los ciberataques a los centros de salud y la creciente importancia de la Investigación Sanitaria, es fundamental que se adopten medidas efectivas para proteger los datos y la privacidad de estos centros.

Además, la implementación del ENS no solo ayuda a proteger la información, sino que también ofrece una serie de beneficios adicionales a un Centro de Investigación como una mayor eficiencia en la gestión de la información, una mejor organización de los recursos y una mayor confianza por parte de los actores externos al Centro de Investigación.

En resumen, la implementación del Esquema Nacional de Seguridad (ENS) en los centros de investigación sanitaria es esencial no solo para garantizar los datos de Investigación, sino para dar una continuidad a la actividad del día a día de un Centro de Investigación.