Els Hospitals de Quirónsalud integrats en la xarxa hospitalària pública madrilenya (Sermas) han obtingut recentment el reconeixement com a entitats certificades en l'Esquema Nacional de Seguretat (ENS), que acredita la protecció dels sistemes en matèria d'informació i ciberseguretat d'aquesta xarxa assistencial, formada pels hospitals universitaris Fundació Jiménez Díaz (Madrid), Rei Joan Carles (Móstoles), Infanta Elena (Valdemoro) i General de Villalba (Coll Villalba).
Amb la seva implantació s'adapten una sèrie de mesures de seguretat, que contenen els principis bàsics i requisits necessaris per a una protecció adequada de la informació i dels serveis informàtics, aconseguint "assegurar la confidencialitat, integritat, traçabilitat, autenticitat de la informació, així com la disponibilitat dels serveis utilitzats per mitjans electrònics", explica el responsable de Seguretat de la Informació i Protecció de Dades de la Fundació Jiménez Díaz, César Sendarrubias.
Des de la creació de l'ENS, el nombre d'empreses i organismes que han aconseguit aquesta certificació encara no arriba al miler, atès que el procés per adequar-se a ella és complicat i laboriós. Els passos per aconseguir-ho inclouen, per exemple, l'elaboració d'una política de seguretat de la informació i normativa interna de l'entitat sol·licitadora; la identificació de la informació i els serveis que s'espavilen, amb la consegüent categorització del sistema; la realització d'una anàlisi GAP (sigles en anglès d'anàlisi de bretxes) de les mesures que s'han d'implantar; la realització d'una anàlisi de riscos de seguretat de la informació; l'elaboració d'una declaració d'aplicabilitat amb les mesures de seguretat que s'han d'implementar partint de la categorització obtinguda; i el desenvolupament i manteniment d'un pla de millora contínua de la seguretat de la informació, partint de totes les insuficiències que es vagin detectant, especialment en els processos d'auditoria.
Concretament, els objectius perseguits per aquesta norma, certificada per Aenor, són, d'una banda, reforçar la ciberseguretat i les capacitats de defensa davant les ciberamenaces i, per una altra, conscienciar els empleats i proporcionar confiança als pacients en l'ús dels mitjans electrònics.
Unes mesures en la implementació de les quals ha estat fonamental el suport de la Direcció dels centres, així com l'esforç dels responsables dels seus departaments de Sistemes i Tecnologia de la Informació, i que han suposat "un gran esforç de formació i conscienciació del personal implicat, així com d'inversió", en paraules de Sendarrubias, però que, com subratlla, no ha estat obstacle perquè els quatre hospitals hagin aconseguit la certificació, convençuts de què "en l'entorn sanitari es manipulen dades sensibles, i resulta, per tant, essencial assegurar la correcta protecció dels sistemes d'informació davant de les potencials amenaces i incidències internes i externes".
Abans d'aquesta fita, els quatre centres ja disposaven d'un Sistema de Gestió de Seguretat de la Informació basat en la norma internacional ISO 27001 que, juntament amb requisits de l'ENS, les guies del Centre Criptológico Nacional (CCN) i les polítiques corporatives de Quironsalud, grup que gestiona aquesta xarxa assistencial, formen un Sistema de Gestió Integrat que amplia la confiança en la governança de seguretat dels sistemes d'informació d'aquests hospitals.
Revisió i millora
Conscients d'això, com remarca Sendarrubias, aquesta estratègia no consisteix només a aconseguir la certificació, sinó a mantenir-se en un "procés de millora contínua, actualitzant les polítiques procediments i normatives internes de seguretat de la informació i protecció de dades, partint dels resultats de les anàlisis de riscos i les tendències de les amenaces exponencials que existeixen noves cada dia en el camp de la ciberseguretat."
En aquest sentit, "una part fonamental d'aquest treball és formar i conscienciar tots els empleats dels centres, reforçant la necessitat de protegir la informació i de conèixer com poder reportar qualsevol esdeveniment o incident de seguretat que es produeixi sobre la mateixa", continua, afegint: "Tot això -afegeix-, supervisat per entitats independents que realitzen les auditories internes i auditories externes de certificació, que detecten aspectes de millora que hem de reparar per continuar creixent".
La implantació d'aquesta reconeguda norma de seguretat de la informació en aquests quatre hospitals s'alinea amb un dels seus eixos estratègics: el de continuar millorant els seus processos interns per protegir la informació i ser més eficaços i eficients.