En un abrir y cerrar de ojos hemos visto cómo el Plan Estratégico Sectorial (PES) del ámbito de la Salud, aprobado por la Comisión Nacional para la Protección de las Infraestructuras Críticas el 30 de octubre de 2018, alcanzaba su primer año de vida.
Tras su aprobación, el primer hito fue la comunicación a las entidades designadas, con el nombramiento como operadores críticos. A partir de ahí, las cartas estaban repartidas y las obligaciones como operador debían satisfacerse. Para que esto ocurriera, el punto de partida radicaba en definir los roles y responsabilidades que garantizaran la consecución de las acciones a realizar. Por tanto, comenzaron los nombramientos del responsable de Seguridad y Enlace y del delegado de Seguridad por cada infraestructura crítica de las organizaciones designadas.
El segundo hito concernía a la elaboración del Plan de Seguridad del Operador (PSO), en el cual era necesario definir la política general para garantizar la seguridad integral del conjunto de instalaciones o sistemas, así como detallar el marco de gobierno, la relación de servicios esenciales prestados por el operador, la metodología de análisis de riesgos a utilizar y los criterios de aplicación de las salvaguardas.
Hasta este momento, la finalidad de las acciones a realizar por los operadores del sector de la Salud podía ser de índole similar a la del resto de operadores designados en otros sectores estratégicos, pero nada más lejos de la realidad. Y es que existían –y existen– diversos factores que implicaban un esfuerzo adicional para adaptar el PSO a la realidad del contexto en el que se desarrolla la actividad del sector sanitario, como a continuación detallo.
Líneas de acción
A diferencia de los anteriores PES, que se regían por la Estrategia de Seguridad Nacional de 2013, el del sector de la Salud se sustenta sobre los principios definidos en un entorno de ciberamenazas y desafíos más cercano, como es el marco de referencia desarrollado en la Estrategia de Seguridad Nacional de 2017. De facto, la primera línea de acción que encontramos afirma: «adaptar servicios de salud pública del Estado y comunidades autónomas para asegurar una adecuada capacidad de respuesta operativa».
En paralelo, observábamos con la cautela necesaria que precisa la publicación de nuevos aspectos jurídicos relacionados con la seguridad de la información y cómo se incrementaban los requerimientos para los operadores de servicios esenciales mediante la Directiva NIS (UE 2016/1148) y su transposición a través del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. En concreto, esta última normativa tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, así como establecer un sistema de notificación de incidentes.
En el sector Sanitario, una amenaza asociada a los activos de equipamiento/maquinaria o a la red de comunicaciones puede generar unas consecuencias catastróficas.
En este sentido, nos encontrábamos ante un reto complejo, con multitud de aspectos a contemplar y que requería de la colaboración tanto de entidades públicas como privadas. Esto es debido a que el objetivo de proteger los servicios esenciales que son necesarios para el mantenimiento de las funciones sociales básicas (la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas) debía y debe compartirse por todas las partes involucradas en este cometido.
Riesgos de seguridad
Así pues, en Sothis hemos vivido en primera línea la exigencia y esfuerzo de la empresa que implica desarrollar de forma conjunta con el operador crítico el PSO en un sector tan sensible como es el Sanitario. En él, además de los habituales riesgos de seguridad a los que se encuentra expuesta cualquier organización, se presenta el escenario en el que una amenaza asociada a los activos de equipamiento/maquinaria o a la red de comunicaciones, que son necesarios para la intervención médica, se materialice. Y, de igual forma, que genere unas consecuencias tan catastróficas como la posible parada de la actividad de los hospitales. De este modo se produciría, en concreto, un impacto tan alto como la puesta en riesgo de la vida de los pacientes.
El elemento más importante para desarrollar esta labor ha sido disponer del apoyo de la dirección del organismo, puesto que el punto de partida del PSO precisa establecer claramente cuáles son las líneas de actuación de manera homogénea en materia de seguridad integral (física y ciberseguridad), así como reflejar el apoyo y compromiso en el marco de referencia para la protección de las infraestructuras críticas, es decir, en la política de seguridad.
El siguiente paso concernía a la definición y asignación de funciones, tal y como se requiere en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas. La designación del responsable de Seguridad y Enlace, del delegado de Seguridad por infraestructura crítica y de los sustitutos de estos, precisaba de un ejercicio de adaptación a la estructura organizativa, de forma que la asunción de responsabilidades fuera lo menos drástica.
Una vez definido el ámbito organizativo, era el momento de determinar la metodología o metodologías de análisis de riesgos a emplear por el operador crítico para garantizar la continuidad de los servicios, contemplando tanto las ciberamenazas físicas como las lógicas. Aquí debemos recalcar la importancia de poder utilizar una o varias metodologías de gestión de riesgos, ya que es necesario cubrir las ciberamenazas de ámbitos tan distintos y a la vez tan complementarios a las que están expuestos los activos que sustentan las infraestructuras críticas.
En la actualidad existen diversos marcos de gestión de riesgos o de seguridad que contemplan esta gestión y que se pueden utilizar como referencia para adaptarlo a cada entidad, como por ejemplo la ISO 31000:2018, ISO 27005:2018, ISO 27001:2013, Magerit v3.0, IEC 62443, NIST 800-37, ENSI_ARLI-SI (borrador), etc.
Criterios
A partir de nuestra experiencia en servicios profesionales de gestión de riesgos en materia de seguridad, conseguimos ajustar las fases de diferentes metodologías a las necesidades del operador. Estas se priorizaron en todo momento por la valoración de los activos desde una vertiente horizontal y otra vertical en función de la criticidad, gravedad y consecuencias de la perturbación o destrucción de una infraestructura crítica.
Estos criterios, junto a la consideración de aquellas ciberamenazas de origen terrorista o intencionado, conformaban los dos elementos principales y diferenciadores respecto a otros entornos donde se evalúan y se tratan periódicamente los riesgos de seguridad de la información.
Como apunte, en aras de evitar posibles retrabajos en el futuro, es aconsejable abordar el PSO desde la integración de aquellos aspectos comunes a las diversas normativas y regulaciones que sean de aplicación a la entidad, y no tratándolo de forma aislada. Como ejemplo, se pueden requerir diferentes roles que compartan responsabilidades y que, en el caso de que se analice y que no exista un conflicto de intereses, se puedan integrar; así como disponer de objetivos e indicadores de seguridad únicos en el mismo cuadro mando con el fin de poder tomar las decisiones lo más ágil posible y con la información necesaria centralizada.
Experiencia previa
Ha finalizado el año, uno de los objetivos se ha conseguido, pero ahora llega el momento de la verdad, en el que es necesario identificar las medidas que son necesarias implementar con el desarrollo de los planes de protección específicos.
Para ello es necesario, entre otras cosas, resaltar la importancia de disponer de experiencia previa en el sector Sanitario para comprender el contexto interno y externo, además del modelo estratégico, táctico y operacional en el que se desarrollan los procesos rutinarios y de mejora continua; elementos clave para el éxito de los proyectos que se llevan a cabo en este tipo de infraestructuras críticas.
