¿Cuáles son las amenazas más importantes para su organización en 2023/24?
Actualmente son tres las amenazas. Por un lado, el robo de credenciales de usuarios del Servicio Extremeño de Salud. En segundo lugar, ataques de Denegación de Servicio a los servicios publicados en internet; y por último, ataques de Ransomware que pusieran en peligro la disponibilidad de la actividad asistencial del Servicio Extremeño de Salud.
¿Cómo se refuerza en su organización la seguridad del acceso remoto a la red para teletrabajo a empleados y terceros usuarios?
A día de hoy está activado el segundo factor de autenticación en accesos remotos por la VPN-SSL del Servicio Extremeño de Salud tanto para usuarios internos como externos.
¿Qué control de acceso tiene hacia las redes cableadas de su organización?
Acceso con usuario y contraseña y acceso con certificado digital de empleado público, aunque no está completamente extendido. Se pretende a medio plazo que todos los usuarios del Servicio Extremeño de Salud accedan con certificado digital.
¿Qué controles de seguridad utilizan o tiene previstos para los dispositivos médicos y otros dispositivos iOT del entorno hospitalario?
Dentro de la iniciativa CIBERAP, liderada por el Servicio de Salud de las Islas Baleares, hay una línea de trabajo de identificación y gestión de vulnerabilidades de dispositivos médicos. El Servicio Extremeño de Salud está interesado en la implantación de esta solución.
¿Daría un valor adicional a servicios y productos de ciberseguridad de empresas nacionales o productos certificados del catálogo STIC 105 del CCN-CERT en su organización? ¿Por qué razones?
Sí, se da importancia a la adquisición de productos certificados incluidos en la guía CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC).
Estamos interesados en la implantación de soluciones de identificación y gestión de vulnerabilidades de dispositivos médicos
De hecho, en el último expediente licitado en materia de seguridad de la información (CS/99/1122052741/22/PA), en el Pliego de Prescripciones Técnicas se puede observar en el apartado 3.1, la inclusión de un requisito el cual la solución ofertada deberá estar cualificada para su uso en sistemas certificados en el ENS nivel ALTO y encontrarse en el catálogo de productos y servicios de seguridad de la información y la comunicación (Guía CCN STIC 105). Este requisito se seguirá pidiendo en sucesivas licitaciones.
¿Algo más que añadir?
En este momento, el Servicio Extremeño de Salud se encuentra inmerso en el proceso de adecuación al Real Decreto 311/2022 de 3 de mayo por el que se regula el Esquema Nacional de Seguridad para los sistemas de información de carácter asistencial.