El 03/02/2025 tuvo lugar reunión de la Comisión de Digitalización de la Asamblea de Madrid contando en su orden del día , entre otros puntos, con la pregunta de contestación oral en comisión (PCOC 3491/25) a petición del Grupo Parlamentario de Más Madrid, realizada por su diputada Mariana Arce, sobre "¿Qué motiva la contratación como servicio externo de la Oficina de Seguridad de Sistemas de Información (OSSI) dependiente de la Dirección General de Salud Digital?".
Se acaba de publicar la transcripción en el Diario de Sesiones de la Asamblea de Madrid nº 675 (págs 31012 a 31016) , que por su interés reproducimos grandes extractos a continuación (con enlaces en el texto nuestros):
La DIPUTADA de Más Madrid [ARCE GARCÍA]:
[...[ 'No vamos a hablar de un contrato informático como en otros casos que sí lo hemos
hecho, ni de una decisión neutra de gestión, estamos hablamos de cómo se protege digitalmente el
sistema sanitario público de la Comunidad de Madrid y de por qué esa protección no ha sido construida
nunca como una capacidad propia; eso es lo que nos preocupa.
La Oficina de Seguridad de Sistemas de Información -OSSI- depende de la Dirección General
de Salud, depende de usted, y lleva en torno a quince o dieciséis años dentro del Sermas -más o menos;
no lo tengo claro- la seguridad de estos sistemas de información. Es decir, no significa solo proteger
datos clínicos especialmente sensibles, sino garantizar que los sistemas funcionen, garantizar accesos
indebidos, responder a los ciberataques y asegurar la continuidad asistencial. La ciberseguridad sanitaria
es una función crítica del sistema público de salud, no es un servicio accesorio, y no debería depender
estructuralmente de terceros privados. Porque, ¿qué puede pasar cuando tenemos estas cosas? ¿Que
riesgos hay? Lo primero, pérdida de control real: la Administración pasa a ser cliente de un servicio, no
titular del conocimiento de lo que está pasando en los procesos. En segundo lugar, una dependencia
tecnológica creciente; es decir que cada vez es más difícil cambiar de proveedor porque ya dependes
de este proveedor. Entonces, al final, no hay esa competitividad que deseamos dentro de estos
contratos, y además es más complicado auditar en profundidad. Y, en último lugar, tenemos un riesgo
de opacidad, porque el núcleo técnico está fuera, es decir, no lo tenemos dentro de nuestra consejería
con personal de nuestra consejería. Externalizar, al final, la ciberseguridad no elimina los riesgos, lo que
hace es sacarlos del ámbito de control directo de la Administración.
Por eso, señora directora, le pregunto: ¿qué motiva exactamente que la Comunidad de Madrid
haya optado por contratar un servicio externo de forma continuada durante años en lugar de construir
esa capacidad dentro de la propia Administración?'
La DIRECTORA GENERAL DE SALUD DIGITAL (Ruiz Hombrebueno):
[...] 'La externalización del servicio de la Oficina de Seguridad de Sistemas
de Información -OSSI-, como todos conocen, dependiente de la Dirección General de Salud Digital, se
fundamenta en la necesidad de garantizar un nivel de seguridad, cumplimiento normativo y
especialización técnica acorde con las crecientes exigencias regulatorias y operativas en el ámbito
sanitario público.
En primer lugar, el desarrollo y la implantación de tecnologías digitales, y en particular de la
inteligencia artificial en el sector salud, requiere un marco de seguridad avanzado que asegure el
cumplimiento estricto del Reglamento General de Protección de Datos, la Ley Orgánica de Protección
de Datos y Garantía de los Derechos Digitales y el recientemente adoptado Reglamento Europeo de
Inteligencia Artificial. Estas normas imponen obligaciones reforzadas en materia de transparencia,
minimización de datos, análisis de riesgos y garantías de protección de datos especialmente sensibles,
como los relativos a la salud. Asimismo, el propio marco normativo exige que cualquier sistema de IA o
solución tecnológica implantada en el Servicio Madrileño de Salud cumpla estándares reforzados de
control, supervisión y evaluación de impacto. Lo que requiere capacidades técnicas altamente
especializadas y un apoyo experto que cumplimente y refuerce los recursos internos.
En segundo lugar, la OSSI desarrolla funciones críticas para la seguridad de la información, es
una unidad de coordinación, planificación y seguimiento de la seguridad dentro de la Dirección General
de Salud Digital, se orienta exclusivamente al ecosistema sanitario, presta servicios técnicos y legales
de seguridad para hospitales, centros de salud, infraestructuras sanitarias y proyectos digitales del
sector. Además, sus funciones incluyen el apoyo al CISO y al delegado de Protección de Datos del
Sermas, supervisión de proyectos digitales sanitarios, diagnósticos de seguridad, vigilancia del entorno
sanitario, respuesta ante incidentes de alto impacto y la integración de la seguridad en el ciclo de vida
completo de los proyectos tecnológicos de la Consejería de Sanidad. Estas funciones son sectoriales y
especializadas centradas en tecnología sanitarias, datos clínicos, riesgos asistenciales, y requieren una
capacidad multidisciplinar sostenida, difícil de asumir exclusivamente con medios propios dada su
dimensión técnica y la necesidad de actualización continua ante amenazas emergentes. Por todo ello,
la contratación como servicio externo lo que nos permite es garantizar un modelo operativo, eficiente,
flexible, alineado con los estándares europeos, reforzando la solvencia técnica, la continuidad del
servicio y la seguridad, tanto de los sistemas como de los datos de los pacientes del sistema madrileño
de salud.
Al externalizar estos servicios lo que se ha buscado es asegurar una respuesta más rápida y
efectiva, aprovechando la experiencia y los recursos avanzados de una empresa especializada. La
externalización no delegada nuestra responsabilidad con los ciudadanos, simplemente fortaleza nuestra
posición en una cadena de valor integrada, robusta, que asegura la resiliencia digital de la región,
manteniendo un control riguroso sobre su ejecución.
En resumen, esta externalización no solo resuelve una necesidad operativa inmediata, sino
que también fortalece nuestra estrategia global de seguridad digital de la Comunidad de Madrid.
La DIPUTADA de Más Madrid [ARCE GARCÍA]:
[..] 'en este servicio, que es esencial, como comprenderá usted, me asusta que mis
datos sanitarios y los datos y que toda la ciberseguridad sanitaria esté externalizada. [...]
Entonces, mi pregunta es: ¿en
algún momento se van a plantear este servicio que está externalizado -y aparte usted sabe que yo
confío-, usted como directora general de Salud creo que podrían tener la capacidad- y usted podría, no
digo de golpe porque creo que es algo que no va a poder hacer de golpe, ir avanzando en hacer una
OsSI que tenga personal propio y que no esté externalizado?
La DIRECTORA GENERAL DE SALUD DIGITAL (Nuria Ruiz Hombrebueno):
[...] La OSSI es un servicio que
trabaja con nosotros presencialmente dentro de la dirección general, no es algo externo a la dirección
general. Todo el equipo completo de la OSSI está presencialmente con nosotros en la dirección general
o en el SERMAS, junto con el delegado de Protección de Datos del SERMAS; está totalmente integrado
con el equipo interno de la dirección general. La OSSI participa prácticamente en todos los proyectos
en los que se requiere un análisis de viabilidad de aplicativos. La OSSI está, digamos, gobernada
directamente por un CISO, que está allí también presencialmente con nosotros, un subdirector general,
del que depende toda esta unidad, y por mí directamente, por la directora general, además de -está
aquí el CEO de la Agencia de Ciberseguridad- por la Agencia de Ciberseguridad, que también está
presencialmente en el edificio.
Es un servicio externalizado que lleva con nosotros, como usted ha dicho,
muchísimos años y que está totalmente integrado dentro del equipo interno de la dirección, y que actúa
directamente bajo nuestras directrices y nuestra supervisión.
¿Cómo controlamos su ejecución? Pues hacemos auditorías, aparte del día a día, que estamos
con ellos todos los días, solamente hacen lo que nosotros les vamos indicando: auditorías bajo
estándares internacionales como la ISO 27001 y el Esquema Nacional de Seguridad, un sistema
avanzado de indicadores claves KPIs, que evalúa continuamente aspectos como tiempo medio de
respuesta, la calidad y análisis forense, satisfacción del cliente interno, protocolos claros para escalado
automático hacia nuestro equipo interno ante incidentes graves o estratégicos.
Pero, insisto, es un
equipo externalizado que lleva con nosotros muchísimos años, totalmente integrado con el equipo
interno de la dirección general y supervisado por un CISO, por todo el equipo, por el subdirector general,
por el delegado de Protección de Datos del Sermas y por la Agencia de Ciberseguridad de la Comunidad
de Madrid. Creo que la regulación, la vigilancia y auditoría es estrechísima.'
Entradas relacionadas:
- [02/07/2018] Nuevo concurso para la Oficina de seguridad y centro de soporte especializado en el Área de seguridad de sistemas y tecnología de la información del Servicio Madrileño de Salud (OSSI-CERT)
- [19/10/2018] Adjudicada
nuevamenta a Oesia la Oficina de seguridad y centro de soporte
especializado en el Área de seguridad de sistemas y tecnología de la
información del Servicio Madrileño de Salud (OSSI-CERT)
- [21/02/2022] El modelo de la Oficina de Seguridad de Sistemas de Información Sanitaria del Servicio Madrileño de Salud, externalizado en un concurso único, candidato a los XIV premios ASLAN de Transformación Digital en las AAPP
- [06/07/2023] La Dirección General de Salud Digital del SERMAS pasa a la Consejería de Digitalización. Nuria Ruiz, nueva Dir. Gral
- [28/12/2023] Publicada en el Boletín Oficial la Ley de creación de la Agencia de Ciberseguridad de la Comunidad de Madrid
- [02/01/2024] [Gobierno C. de Madrid/ Consejerías de Digitalización y de Sanidad] 'La Comunidad de Madrid refuerza la ciberseguridad del Servicio Madrileño de Salud para garantizar la prevención, detección y respuesta ante ataques'. 'A partir de 2024 el SERMAS contará con el importante apoyo de la nueva Agencia, que se encargará de facilitar una visión centralizada en toda la región'
- [20/02/2024] Nuevo concurso , ya bajo la Consejeria de Digitalización, para la Oficina de Seguridad (OSSI) y auditoría de los SSII del Servicio Madrileño de Salud, con notable incremento al doble de presupuesto de la oficina, que no incluirá ya SOC propio al pasar a converger en uno único de Madrid Digital
- [02/10/2024] Publicada la adjudicación, ya bajo la Consejeria de Digitalización, de la Oficina de Seguridad (OSSI) del Servicio Madrileño de Salud a CIPHERBIT de Oesia que continuará con la oficina ya sin SOC propio de Sanidad. Plexus se llevará el servicio de auditoría interna
- [09/10/2024] Publicada la adjudicación, ya bajo la Consejeria de Digitalización, del Servicio de auditoría interna de SSII del SERMAS la Oficina de Seguridad (OSSI) del Servicio Madrileño de Salud a PLEXUS
- [5 de junio de 2025] José Luiz Bezares del Cueto, nuevo Subdirector General de Innovación y Soluciones Asistenciales en la Dirección General de Salud Digital de la Consejería de Digitalización de la Comunidad de Madrid
- [12/12/2025] Convocada provisión del puesto de responsable del Servicio de Seguridad de los SSII de la Dirección General de Salud Digital de la Comunidad de Madrid, abierta a personal funcionario de la propia C. de Madrid, de otras CCAA o del Estado y a estatutario de servicio de salud (incluido el informático)
- [15/12/2025] Pregunta de la Comision de Digitalización de la Asamblea de Madrid de 4/11/2025 sobre nivel de seguridad de los datos de pacientes en los contratos con empresas privados
- [03/02/2026] Comisión de Digitalización de la Asamblea de Madrid este 3 de Febrero con pregunta sobre la externalización de la Oficina de Seguridad de Sistemas de Información de la Dirección General de Salud Digital
Entradas
No hay comentarios:
Publicar un comentario