El Servicio de Salud de las Islas Baleares ha apostado en la mejora de la seguridad de la información con el fin reducir al máximo cualquier brecha de seguridad que puedan tener sus sistemas. No obstante, el blindaje absoluto que reduzcan a cero los riesgos es imposible, como ya saben, sostiene María del Carmen Moreno, Subdirectora de Tecnologías de la Información de Ib-Salut. No obstante, en los últimos años han llevado a cabo acciones de mejora que les han permitido mejorar la situación ante posibles ciberamenazas “lo que nos ha posicionado en una situación de referencia a nivel nacional en esta área”.
¿Cuáles son las amenazas más importantes para su organización en 2023/24?
Las amenazas principales contra las que trabajamos activamente serían el robo de la información clínica, robo de credenciales, y ataques ransomware. Para una organización como la nuestra, una pérdida del servicio que afecte directamente a la continuidad de la asistencia sanitaria, la salud del paciente y a la confidencialidad de sus datos la entendemos no sólo uno de los mayores impactos, sino el que más, al que estamos sujetos los servicios sanitarios.
En 2020 se activó una alarma en los sistemas de monitorización de seguridad del Servicio de Salud de las Islas Baleares. Esta indicaba que se producía un ataque contra los sistemas de información ¿qué lecciones habéis aprendido?
Por un lado, el ciberincidente sufrido nos permitió identificar nuestras debilidades, pero también nos ayudó a medir nuestra capacidad de contención y respuesta ante un ciberataque. Pudimos comprobar que éramos capaces de evitar que se comprometieran nuestros sistemas y pudimos contenerlo con daños mínimos sin que los sistemas de información clínicos ni la actividad asistencial se vieran afectados. Ese episodio nos permitió acelerar el despliegue de medidas mediante un plan de acción con medidas a corto, medio y largo plazo que nos han ubicado en un escenario de seguridad óptimo. A día de hoy, prácticamente el 100% de estas medidas están desplegadas o en vía de ejecución.
Por otro lado, la transformación digital en salud ha permitido dar visibilidad a esta área, haciéndola indispensable en todos los ámbitos de nuestro Sistema de Salud, dándole un espacio en la financiación europea (fondos MRR) para llevar a cabo una estrategia a nivel nacional de ciberseguridad poniendo en marcha un proyecto a nivel nacional llamado CIBERAP que lideramos desde el Servicio de Salud Baleart y que tiene como objetivos fundamentales los referentes a la mejora de la resiliencia y securización de los sistemas de información, dispositivos y centros de salud. Para ello, se ha creado un grupo de trabajo en el que participamos 13 Comunidades Autónomas con las que se han consensuado 14 líneas de actuación para las que se están definiendo los requisitos básicos. Con su ejecución se obtendrán activos de valor para la Transformación Digital del Servicio Nacional de Salud, que serán presentados en la Comisión de Salud Digital y podrán ser adoptados como estándares del SNS e implantados en cualquier Servicio de Salud particular. Concretamente, se espera alcanzar una serie de estándares de interoperabilidad, modelos de integración o definiciones técnicas o que puedan ser adoptados en el conjunto del SNS gracias a la definición de necesidades, funcionalidades y especificaciones técnicas comunes.
¿Cómo se refuerza en su organización la seguridad del acceso remoto a la red para teletrabajo a empleados y terceros usuarios?
El Servicio de Salud lleva a cabo toda su actividad sanitaria a través de diferentes centros (hospitales, centros de atención primaria, atención sanitaria urgente, salud mental, transporte sanitario no urgente, etc.) Es obvio decir que el trabajo asistencial ocupa el mayor porcentaje de actividad, actividad que necesariamente se debe llevar a cabo de forma presencial. No obstante, es importante destacar que tenemos implantado el teletrabajo en todas las áreas dedicadas a la gestión. Los empleados y terceros usuarios acceden remotamente a los sistemas mediante redes privadas virtuales.
CIBERAP es un proyecto a nivel nacional que lideramos desde el Servicio de Salud Balear y que tiene como objetivos los referentes a la mejora de la resiliencia y securización de los sistemas de información, dispositivos y centros de salud.
Se han implantado las medidas de seguridad, entre las que cabe destacar, la autenticación de doble factor, perfilado del usuario y restricciones de navegación, así como, el filtrado de correo electrónico. Por otro lado, tenemos un programa muy completo para mejorar la concienciación de los usuarios para lo que lanzamos periódicamente campañas y sesiones de formación al usuario como, por ejemplo, son las sesiones realizadas en materia de seguridad de conexión doméstica, uso de memorias externas y actualización de los dispositivos domésticos.
¿Qué control de acceso tiene hacia las redes cableadas de su organización?
Actualmente, en la Subdirección de Tecnologías de la Información estamos trabajando en la implantación de un sistema NAC (Network Access Control) a nivel corporativo. Por tanto, dependiendo del sistema/usuario que se conecta a nuestra red tendrá unos privilegios de navegación bien diferenciados el cual vendrá a mejorar las medidas de seguridad ya implantadas en todos los centros y áreas dependientes del Servicio de Salud.
¿Qué controles de seguridad utilizan o tiene previstos para los dispositivos médicos y otros dispositivos iOT del entorno hospitalario?
Es obvio que la transformación digital de la sanidad tiene grandes beneficios, tanto para las propias organizaciones como para los pacientes; pero, a la vez, nos hacen más vulnerables ante los ciberdelincuentes. Crece el número de dispositivos médicos conectados a nuestra red, y con ellos, crece el uso de conexiones remotas para mantenerlos, con los avances tecnológicos de la industria sanitaria cambia la forma tradicional atender a los pacientes, pasando cada vez más a tener pacientes monitorizados para hacer seguimiento de su proceso de salud, tanto dentro como fuera de los hospitales, se fomenta el uso de dispositivos inteligentes para acceder a la información de salud por parte de pacientes y profesionales, … En definitiva, sin duda, la transformación que el sector salud está experimentando la hace cada vez más vulnerable a los ataques y a sufrir un ciber incidente. Esta situación, más allá de lo que la propia normativa nos exige, nos obliga a implantar medidas para paliar los riesgos. Por ello, creemos que es necesario y prioritario mejorar la securización de los dispositivos médicos y otros dispositivos iOT conectados a nuestra red puesto que efectivamente suponen una brecha de seguridad ante posibles amenazas. Para ello, el Servicio de Salud ha definido una estrategia de inversión y mejora en la identificación y securización de estos dispositivos en el marco del proyecto colaborativo CIBERAP financiado por el Ministerio de Sanidad que vendrá a dotarnos de capacidades de identificación y securización de estos tipos de dispositivos. Del trabajo realizado en el marco del proyecto colaborativo CIBERAP se desprende que el control de los dispositivos conectados a la red es una de las cuestiones que más preocupan a los servicios de salud en general. El abordaje de una solución para mejorar el control y la identificación de estos dispositivos es una de las líneas que se están desarrollando dentro de CIBERAP. En este sentido, hemos avanzado en la definición de los requisitos mínimos que servirán de base para la contratación de soluciones desde las Comunidades Autónomas, y recientemente, se ha realizado un piloto para conocer y gestionar los dispositivos conectados dentro del entorno del Hospital Universitario Son Espases y del Hospital Ca’n Misses que ha permitido comprobar las ventajas que aporta a la gestión de estos dispositivos.
¿Daría un valor adicional a servicios y productos de ciberseguridad de empresas nacionales o productos certificados del catálogo STIC 105 del CCN-CERT en su organización? ¿Por qué razones?
Sí, sin ninguna duda apoyamos totalmente la estrategia del CCN-CERT. Precisamente, como muestra de nuestro compromiso, quiero aprovecha la oportunidad para destacar que el Servicio de Salud de las Islas Baleares ha obtenido recientemente la certificación en el Esquema Nacional de Seguridad de nivel alto, convirtiéndose en el primer servicio de salud del territorio nacional que lo ostenta. Para el Servicio de Salud, y en especial para la Subdirección de Tecnologías de la Información, esta certificación supone un reconocimiento a la gestión que lleva a cabo el equipo de la Seguridad de la Información, además de dotar de confianza a la relación con los ciudadanos y demuestra el grado de excelencia de nuestra responsabilidad y compromiso para garantizar la privacidad y la seguridad de la información en el tratamiento de los datos de nuestros pacientes. Por tanto, está dentro de nuestra línea estratégica de actuación el cumplimiento y la adecuación al ENS en nuestra actividad, así como que nuestros proveedores cumplan con él.
¿Algo más que añadir?
sóloSañadir que la seguridad de la información y la ciberseguridad en el ámbito sanitario, tanto público como privado, se ha convertido en un actor imprescindible en las estrategias de crecimiento y transformación digital de las organizaciones sanitarias puesto que la criticidad de la información que manejamos nos convierte en uno de los objetivos prioritarios de los ciberdelincuentes. Estamos en su punto de mira y eso nos hace vulnerables, por lo que no podemos relajar la vigilancia y actualización de nuestros sistemas y equipos de seguridad.