viernes, 22 de mayo de 2020

[SEIS] Revista I+S nº 139: "Seguridad de los Sistemas de Información en el Servicio Madrileño de Salud (SERMAS)", por el CISO del SERMAS, Ángel Luis Sánchez García. [La seguridad de los SSII, objetivo "prioritario" del SERMAS, los hospitales se certificarán en el Esquema Nacional de Seguridad, habrá delegados del CISO en cada hospital, ...]

NOTA PREVIA DEL EDITOR: por su relevancia para la temática de este blog de la asociación de los informáticos de la Consejería de Sanidad transcribimos íntegramente este artículo de Ángel Luis Sánchez García, Jefe del Servicio de Seguridad del SERMAS publicado en el nº 139 de  Abril de 2020 de la Revista de la Sociedad Española de Informática de la Salud [SEIS]



' Hoy, la seguridad de la información y la protección de los datos personales son cuestiones importantes a considerar por todas las organizaciones de cualquier sector. además, el hecho de que los datos personales relativos a la salud sean considerados como datos sensibles y especialmente protegidos, y tras la publicación del RGPD como una categoría especial de datos personales, la seguridad de los sistemas de información sanitarios se ha considerado un objetivo prioritario del servicio madrileño de salud (SERMAS).

Para poder afrontar con garantías la seguridad de dichos Sistemas, debemos tener en cuenta que el SERMAS:

1) Es uno de los organismos públicos más importantes y grandes del país y, una de las empresas españolas con mayor de número de trabajadores de España y, posiblemente, la mayor de la Comunidad de Madrid. Muchos de ellos son personal sanitario, altamente cualificado.

2) Dispone de Petabytes de datos de los ciudadanos, usuarios del Sistema Sanitario Público de la Comunidad de Madrid, principalmente datos personales y de salud.

3) Pone a disposición de sus profesionales y los ciudadanos más de 1200 Sistemas de Información Sanitarios, desde sus Data Center Centrales. Sistemas que requieren un alto nivel de integración e interoperabilidad.

4) Además de tener como actividad principal la asistencia sanitaria, tiene otras actividades importantes como la investigación y la formación que realizan parte de sus profesionales.


Por todo ello, la Consejería Sanidad de la Comunidad de Madrid (CSCM), consciente de los retos de seguridad a los que se enfrentaba, decidió poner en marcha ya en 2006, la Oficina de Seguridad de los Sistemas de Información (OSSI) con el objetivo principal de prevenir, detectar y dar respuesta a todas las amenazas e incidentes. También realiza asesoramientos integrales a los centros dependientes de la Consejería sobre políticas, normativas y medidas de seguridad.

Hoy, con más de 13 años de experiencia, la OSSI, dependiente del CISO de la CSCM, dispone de un equipo multidisciplinar compuesto por una serie de consultores con perfil técnico, legal y mixto, especializados en los diversos ámbitos de la seguridad de la información. El objetivo de la OSSI es disponer de una visión de la seguridad de 360o para prestar un servicio integral a todos los Centros Sanitarios y Direcciones Generales de la CSCM.


Para ello, en la OSSI se han establecido las siguientes líneas de servicio, orientadas a garantizar la seguridad de la información y protección de datos personales a distintos niveles, atendiendo las necesidades de los centros del SERMAS: asesoramiento legal, asesoramiento y auditoría de controles de seguridad, monitorización y correlación de eventos, análisis de software y hardware, comunicación y formación.

El modelo de gestión de la seguridad del SERMAS ha ido evolucionando en el tiempo, adaptándose a las nuevas normativas, los nuevos escenarios de la Ciberdelincuencia en los ámbitos sanitarios y las nuevas líneas estratégicas de la Consejería. El éxito de la labor del SERMAS y de la OSSI queda reflejado en los múltiples reconocimientos externos recibidos en los últimos años



ACTUACIONES DE LA OSSI ANTE LA CRISIS DEL COVID-19

Dentro de las actuaciones de la OSSI para gestionar la situación excepcional del COVID-19, resaltan algunas actividades específicas para el fortalecimiento de la seguridad y la mitigación de posibles riesgos, así como facilitar la labor asistencial de nuestros profesionales sanitarios y la relación con los pacientes y sus familiares, cumpliendo con la normativa vigente en protección de datos.

Se ha trabajado en la habilitación y securización del acceso remoto para que los profesionales puedan teletrabajar, de manera que el servicio se vea afectado de la menor manera posible.

Se han emitido correos de comunicación e informes de recomendaciones y buenas prácticas para que los profesionales den asistencia de manera adecuada y se han resuelto una gran cantidad de dudas remitidas al buzón de la Oficina de Seguridad en relación a situaciones puntuales y específicas de profesionales sanitarios.

A raíz de la crisis, se han propuesto diversas aplicaciones en relación a recibir instrucciones y recomendaciones sobre el COVID-19, ya sea para autodiagnóstico, servicio asistencial remoto o información a familiares, de modo que no tengan que acudir a un centro sanitario, con objeto de minimizar la posibilidad de contagio.

Dada la urgencia de la puesta en producción de estas aplicaciones, desde la OSSI se ha intensificado el servicio de auditoría tanto de la parte legal y normativa, elaborando y adecuando contratos, convenios, políticas de seguridad y acuerdos de colaboración con diferentes entidades. En la parte técnica, se han realizado test de intrusión a las plataformas para evaluar y emitir consideraciones, tanto en sus versiones web como móviles, de modo que esta puesta en producción se realizase en plazos y forma, minimizando el nivel de riesgos que tenían atribuido en su presentación. Con motivo del incremento de infectados por el virus en la Comunidad de Madrid, se ha habilitado en tiempo récord, un hospital en el recinto de IFEMA, así como múltiples hoteles medicalizados. En este aspecto, con objeto de que el servicio prestado en estos Centros fuese como si de otro hospital de la Comunidad se tratara, ha sido necesario el análisis y emisión de directrices para que las comunicaciones y el acceso a las aplicaciones corporativas fueran seguras. Además, a los nuevos Centros se les habilitó del mismo sistema de monitorización que ya disponen el resto de hospitales de gestión directa, permitiendo que el SOC 24x7 del SERMAS fuera capaz de detectar posibles incidentes de seguridad.

En esta línea, desde la DGSIES, se ha intentado intensificar la monitorización de los Data Center centrales mediante el despliegue de nuevas sondas que monitorizan el tráfico de los mismos.

Por otro lado, la OSSI ha trabajado, en perfecta coordinación con Madrid Digital, en el desarrollo de un nuevo protocolo de actuación frente a una alerta de seguridad, en aras de mejorar los tiempos de respuesta y la eficacia ante posibles incidentes.



NUEVAS LÍNEAS ESTRATÉGICAS PARA LA MEJORA DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN DE LA CSCM

El mundo de la seguridad de los Sistemas de Información se encuentra en un entorno VUCA (volátil, incierto, complejo y ambiguo según sus siglas en inglés). Esto obliga al CISO de la Consejería a plantear a la Dirección nuevas estrategias para su mejora. De esta manera, la DGSIES ha establecido una serie de líneas estratégicas a medio plazo que permitirán minimizar los riesgos a los que están expuestos los Sistemas de Información de la CSCM:

• La certificación en el Esquema Nacional de Seguridad (ENS) de los hospitales del SERMAS, así como de sus Data Center Centrales. Es importante señalar que la CSCM cuenta actualmente con los dos únicos hospitales públicos certificados en el ENS.

• Creación de un nuevo rol de seguridad: Delegados del CISO en cada uno de los hospitales del SERMAS. La finalidad es establecer una conexión directa con el CISO de la CSCM y minimizar el tiempo de respuesta ante cualquier situación que pueda surgir en cuanto a seguridad.

• Actualización de la Política de Seguridad de la CSCM, con la finalidad de poseer un paraguas que determine las directrices centralizadas de seguridad a todos los Centros Sanitarios y departamentos de la Consejería.

• Potenciación del Comité de Seguridad de la CSCM, fortaleciendo la coordinación en seguridad de la Consejería.


Ángel Luis Sánchez García. Jefe de Servicio de Seguridad de Sistemas de Información (CISO). Responsable de la Oficina de Seguridad de Sistemas de Información (OSSI). Dirección General de Sistemas de Información y Equipamientos Sanitarios (DGSIES). Servicio Madrileño de Salud (SERMAS). Consejería de Sanidad - Comunidad de Madrid'


Fuente y artículo completo con las imágenes restantes: páginas 16 a 18 de la Revista I+S nº 139 de la Sociedad Española de Informática de la Salud
Resaltados en negrita cursiva y enlaces en el texto nuestros




Entradas relacionadas:

No hay comentarios: