El Servicio Madrileño de Salud (SERMAS), atendiendo a su complejidad, necesitaba un instrumento que permitiese la prevención, detección, respuesta a amenazas y riesgos de seguridad (CERT), así como la coordinación e implantación de políticas y medidas de seguridad de la organización, y que a su vez, prestase servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad en sus distintos centros.
La implementación del modelo de la Oficina de Seguridad de Sistemas de Información Sanitaria (OSSI) en el SERMAS, ha supuesto una mejora notable en la seguridad de la información y en la protección de datos, tan necesarias en el desarrollo de proyectos y acciones en la Consejería de Sanidad de la Comunidad de Madrid (CSCM).
El modelo de la Oficina de Seguridad de Sistemas de Información Sanitaria (OSSI)
Antecedentes
Se requería la adopción de un modelo de cumplimiento que apostase por una visión integral de 360 grados para el SERMAS, permitiendo identificar e implementar las soluciones necesarias para ayudar a nuestros usuarios a enfrentarse a posibles ataques, incidentes u obligaciones que puedan afectar a un negocio.
Retos
• Continuar y evolucionar el modelo de servicio de gestión de la seguridad en un entorno VUCA (volátil, incierto, complejo y ambiguo) para satisfacer las necesidades actuales del SERMAS y prestar un servicio a la ciudadanía con las máximas garantías.
• Contar con apoyo experto en materia de seguridad en los proyectos de desarrollo, mantenimiento y evolución de los sistemas de información que dan servicio a los entornos sanitarios.• Mejorar las medidas de seguridad existentes y prestar apoyo al desarrollo de la función TIC.
• Optimizar los costes asociados a la gestión de la seguridad en el SERMAS.
• Disponer de flexibilidad ante necesidades no previstas.
• Contribuir a que el área de seguridad pueda disponer de una visión global de la seguridad del conjunto de la organización que permita trabajar de forma más eficiente, con mejor capacidad de respuesta y garantía de la continuidad del servicio.• Salvaguardar los derechos fundamentales de los pacientes y usuarios del SERMAS.
Fases
El hecho de que el modelo de la OSSI esté compuesto por un equipo multidisciplinar de consultores especializados en la materia con perfil técnico, legal y mixto, le otorga una resiliencia única para adaptarse a los tiempos y necesidades que se manifiesten, tanto en el área de la ciberseguridad como en el área normativa que están sometidas a cambios constantes, sumándole a ello la criticidad del sector sanitario.
Nuevos Servicios
En este sentido, las líneas de actuación abiertas en el SERMAS desarrolladas en el Pliego “PA SER-24/2018-INF”, adjudicado a Oesía Networks, S.L. son:
• Cumplimiento legal y normativo.
• Comunicación y formación en seguridad de la información.
• Análisis de Software y Hardware.
• Monitorización y correlación de eventos de seguridad (Servicio SOC).
• Asesoría y auditoría de controles de seguridad de TI.
• Laboratorio de ciberseguridad.Los servicios gestionados cubren las necesidades de seguridad y del entorno TI con observancia de la legislación vigente en la materia, de obligado cumplimiento, con el fin de garantizar la seguridad y los derechos de los titulares de los datos que se manejan en el SERMAS.
Conclusiones
Desde la OSSI, se llevan a cabo acciones destinadas a apoyar técnica y jurídicamente a los organismos que integran la Consejería de Sanidad de la Comunidad de Madrid, con el fin último de mejorar la atención a la ciudadanía, teniendo en cuenta que la prevención se configura como la mejor estrategia.Además, la actividad de la OSSI se ha destinado no solo a dar cumplimiento de los requisitos mencionados sino a dar un valor añadido, por ejemplo, con el asesoramiento continuo de los sistemas de información que se han tenido que implementar durante la pandemia, así como en el fomento de una cultura de protección de datos y seguridad de la información en la organización, a través de acciones formativas, contando para ello con un equipo multidisciplinar que permite identificar de forma continua las acciones de mejora.