Los Hospitales de Quirónsalud integrados en la red hospitalaria pública madrileña (Sermas) han obtenido recientemente el reconocimiento como entidades certificadas en el Esquema Nacional de Seguridad (ENS), que acredita la protección de los sistemas en materia de información y ciberseguridad de esta red asistencial, formada por los hospitales universitarios Fundación Jiménez Díaz, Rey Juan Carlos, Infanta Elena y General de Villalba.
Con su implantación se adaptan una serie de medidas de seguridad, que contienen los principios básicos y requisitos necesarios para una protección adecuada de información y servicios informáticos, consiguiendo “asegurar la confidencialidad, integridad, trazabilidad, autenticidad de la información, así como la disponibilidad de los servicios utilizados por medios electrónicos”, indica el responsable de Seguridad de la Información y Protección de Datos de la Fundación Jiménez Díaz, César Sendarrubias.
Los objetivos perseguidos por esta norma, certificada por Aenor, son, por un lado, reforzar la ciberseguridad y las capacidades de defensa frente a las ciberamenzas, y, por otro, concienciar a los empleados
Desde la creación del ENS, el número de empresas y organismos que han conseguido esta certificación aún no llega al millar, aunque es cierto que el proceso para adecuarse a ella es complicado y laborioso. Entre los pasos para conseguirlo se encuentran la elaboración de una política de seguridad de la información y normativa interna de la entidad solicitante; la identificación de la información y los servicios que se manejan, con la consiguiente categorización del sistema; la realización de un análisis GAP de las medidas que se tienen que implantar; la realización de un análisis de riesgos de seguridad de la información; y la elaboración de una declaración de aplicabilidad.
Concretamente, los objetivos perseguidos por esta norma, certificada por Aenor, son, por un lado, reforzar la ciberseguridad y las capacidades de defensa frente a las ciberamenzas, y, por otro, concienciar a los empleados y proporcionar confianza a los pacientes en su uso de medios electrónicos.
Estas medidas han sido fundamentales en el apoyo de la Dirección de los centros, así como el esfuerzo de los responsables de sus departamentos de Sistemas y Tecnología de la Información. “Un gran esfuerzo de formación y concienciación del personal implicado, así como de inversión”, en palabras de Sendarrubias, pero que, no ha sido un obstáculo para que los cuatro hospitales hayan conseguido la certificación convencidos de que “en el entorno sanitario se manejen datos sensibles, y resulta por tanto esencial asegurar la correcta protección de los sistemas de información ante las potenciales amenazas e incidencias internas y externas”.
Esta estrategia no consiste solo en conseguir la certificación, sino en mantenerse en un “proceso de mejora continua, actualizando las políticas de procedimientos y normativas internas de seguridad de la información"
Antes de alcanzar este logro, los cuatro centros ya disponían de un Sistema de Gestión de Seguridad de la Información basado en la norma internacional ISO 27001 que, junto a los requisitos del ENS, las guías del Centro Criptológico Nacional (CCN) y las políticas corporativas de Quirónsalud, forman un Sistema de Gestión Integrado que amplía la confianza en la gobernanza de seguridad de los sistemas de información de estos hospitales.
Conscientes de ello y tal y como remarca Sendarrubias, esta estrategia no consiste solo en conseguir la certificación, sino en mantenerse en un “proceso de mejora continua, actualizando las políticas de procedimientos y normativas internas de seguridad de la información y protección de datos, en base a los múltiples análisis. Todo ello, supervisado por entidades independientes que realizan las auditorías internas”.
La implantación de esta reconocida norma de seguridad de la información en estos cuatro hospitales se alinea con uno de sus ejes estratégicos: el de seguir mejorando sus procesos internos para proteger la información y ser más eficaces y eficientes.