Con su implantación se adaptan una serie de medidas de seguridad, que contienen los principios básicos y requisitos necesarios para una protección adecuada de la información y de los servicios informáticos, consiguiendo “asegurar la confidencialidad, integridad, trazabilidad, autenticidad de la información, así como la disponibilidad de los servicios utilizados por medios electrónicos”, explica el responsable de Seguridad de la Información y Protección de Datos de la Fundación Jiménez Díaz, César Sendarrubias.

Refuerzo de la ciberseguridad y la confianza

Desde la creación del ENS, el número de empresas y organismos que han conseguido esta certificación aún no llega al millar, toda vez que el proceso para adecuarse a ella resulta complicado y laborioso. Los pasos para conseguirlo incluyen, por ejemplo, la elaboración de una política de seguridad de la información y normativa interna de la entidad solicitante; la identificación de la información y los servicios que se manejan, con la consiguiente categorización del sistema; la realización de un análisis GAP (siglas en inglés de análisis de brechas) de las medidas que se tienen que implantar.

También la realización de un análisis de riesgos de seguridad de la información; la elaboración de una declaración de aplicabilidad con las medidas de seguridad que se tienen que implementar en base a la categorización obtenida; y el desarrollo y mantenimiento de un plan de mejora continua de la seguridad de la información, en base a todas las insuficiencias que se vayan detectando, especialmente en los procesos de auditoría.

Concretamente, los objetivos perseguidos por esta norma, certificada por Aenor, son, por una parte, reforzar la ciberseguridad y las capacidades de defensa frente a las ciberamenazas y, por otra, concienciar a los empleados y proporcionar confianza a los pacientes en el uso de los medios electrónicos.

Implantación de medidas

Unas medidas en cuya implementación ha sido fundamental el apoyo de la Dirección de los centros, así como el esfuerzo de los responsables de sus departamentos de Sistemas y Tecnología de la Información, y que han supuesto “un gran esfuerzo de formación y concienciación del personal implicado, así como de inversión”, en palabras de Sendarrubias, pero que, como subraya, no ha sido óbice para que los cuatro hospitales hayan conseguido la certificación, convencidos de que “en el entorno sanitario se manejan datos sensibles, y resulta por tanto esencial asegurar la correcta protección de los sistemas de información ante las potenciales amenazas e incidencias internas y externas”.

Antes de este hito, los cuatro centros ya disponían de un Sistema de Gestión de Seguridad de la Información basado en la norma internacional ISO 27001 que, junto a los requisitos del ENS, las guías del Centro Criptológico Nacional (CCN) y las políticas corporativas de Quirónsalud, grupo que gestiona esta red asistencial, forman un Sistema de Gestión Integrado que amplía la confianza en la gobernanza de seguridad de los sistemas de información de estos hospitales.

Revisión y mejora continua

Conscientes de ello, como remarca Sendarrubias, esta estrategia no consiste solo en conseguir la certificación, sino en mantenerse en un “proceso de mejora continua, actualizando las políticas procedimientos y normativas internas de seguridad de la información y protección de datos, en base a los resultados de los análisis de riesgos y las tendencias de las amenazas exponenciales que existen nuevas cada día en el campo de la ciberseguridad”. En este sentido, “una parte fundamental de este trabajo es formar y concienciar a todos los empleados de los centros, reforzando la necesidad de proteger la información y de conocer cómo poder reportar cualquier evento o incidente de seguridad que se produzca sobre la misma”, continúa, añadiendo: “Todo ello -añade-, supervisado por entidades independientes que realizan las auditorías internas y auditorías externas de certificación, que detectan aspectos de mejora que tenemos que subsanar para seguir creciendo”.

La implantación de esta reconocida norma de seguridad de la información de ENS en estos cuatro hospitales de Quirónsalud se alinea con uno de sus ejes estratégicos: el de seguir mejorando sus procesos internos para proteger la información y ser más eficaces y eficientes.

La entrada Los Hospitales de Quirónsalud integrados en el Sermas obtienen la certificación ENS, que acredita la protección de sus sistemas en materia de información y ciberseguridad se publicó primero en Foro Diplomático.

El impulso a estas dos plataformas se produce en paralelo a los principios de la nueva Ley de Servicios Digitales, un proyecto que ha llevado a la Comisión Europea a reforzar el control sobre la privacidad y la protección de datos, dado que las más populares plataformas y redes sociales no están sometidas por su estatus de empresas no comunitarias

EU Voice estará basada en Mastodon, una red social con servidores descentralizados que ha visto sus usuarios crecer tras algunas polémicas por la censura de Twitter. EU Voice será la plataforma encargada de ofrecer un espacio para el microblogging, mensajes breves, imágenes y vídeos que rivalizará con Twitter y tendrá una regulación estrictamente europea.

Por su parte, EU Video será una red social de contenido audiovisual que funcionará en Peertube, una plataforma también descentralizada y de código abierto, donde se podrá subir contenido en forma de vídeos y podcast sin necesidad de depender del servicio de vídeo de Google. En ninguna de las dos plataformas que prepara el SEPD habrá publicidad, tal y como ha señalado el responsable del organismo europeo.

«EU Voice y EU Video no se basan en transferencias de datos personales a países fuera de la Unión Europea y del Espacio Económico Europeo«, señaló Wiewiórowski tras la publicación en abril del proyecto piloto con el que la Unión Europea busca impulsar la soberanía digital para la independencia de Europa en el mundo digital.‎

‎El SEPD y la Dirección General de Informática de la Comisión Europea (DIGIT) han colaborado estrechamente en el desarrollo de EU Voice y EU Video. En consonancia con los objetivos de ‎‎la Estrategia de Software de Código Abierto 2020-2023 de la Comisión‎‎, la asistencia técnica de DIGIT al SEPD demuestra la búsqueda de las instituciones por contribuir así a la soberanía tecnológica de la UE.‎

La entrada La Unión Europea prepara el lanzamiento de los sustitutos europeos de Twitter y Youtube se publicó primero en Foro Diplomático.