(Esta entrada ha sido elaborada por Juan Carlos Muria y Samuel Segarra.)
Y finalmente llegó: El Plan Estratégico Sectorial (PES) para el sector de la salud fue publicado a finales de octubre, y ahora llega el momento, para los operadores elegidos, de redactar el Plan de Seguridad del Operador (PSO) en menos de seis meses, sin olvidar que a continuación sólo habrá cuatro meses para detallar los Planes de Protección Específicos (PPE) para cada una de las infraestructuras críticas, y finalmente los Planes de Apoyo Operativo (PAO).
Esto es lo mínimo requerido por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), como respuesta a las reuniones mantenidas y los correos intercambiados con los distintos operadores.
La estructura de estos planes viene definida por el propio CNPIC, con lo que hemos preferido poner el foco en las cosas que un operador del ámbito sanitario debe tener en cuenta, y ya que estamos en un blog y el contenido debe ser breve y concreto, hemos decidido destacar las 5 cosas más importantes, las que no deben faltar en un PSO ¿Comenzamos?
Lo primero es que el sector salud es muy amplio, y el propio CNPIC identifica 4 subsectores: Asistencia sanitaria, Salud pública, Medicamentos y Productos sanitarios, y Sanidad animal.
Lo segundo es que, como venimos diciendo hace tiempo, la protección de las infraestructuras sanitarias tiene una repercusión muy directa en la seguridad del paciente, por tanto, además de que el impacto de los riesgos que debemos evaluar resulta muy atractivo para los atacantes, para identificar bien las amenazas y cuantificar su impacto y probabilidad son necesarios unos conocimientos profundos del sector de la salud.
- Debemos identificar infraestructuras y tecnología. La tecnología está cada vez más presente en el diagnóstico, el tratamiento y el seguimiento de los pacientes y por tanto el impacto de su indisponibilidad es grande, por lo que nuestro PSO debe enfocarse no solamente a las infraestructuras (seguridad física) sino también a la tecnología (seguridad de la información y seguridad operacional).
- Los operadores sanitarios están ya hiperconectados. Las infraestructuras de salud no son un elemento aislado, intercambia datos y procesos con aseguradoras y mutuas, sanidad privada, fabricantes de tecnología sanitaria, telemedicina, colaboración entre hospitales, entre hospital y universidades, redes de farmacias, Seguridad Social, Hacienda, servicios sociales, dispositivos implantados en pacientes, etc. Esto incrementa la superficie de ataque y los vectores de contagio, con lo que es importante complementar el análisis de riesgos con esta visión de procesos.
- Ningún plan es estático. Pero un PSO en un operador de salud lo es menos todavía. El impacto de la transformación digital en la atención sanitaria está sólo al principio, queda mucho camino por recorrer, y al mismo tiempo la atención sanitaria es un entorno VUCA (volátil, incierto, complejo y ambiguo), por lo que nuestro PSO debe estar preparado para que todas las piezas encajen. Como sabéis, debemos revisarlo cada dos años, pero en los próximos 2 años van a pasar muchas cosas que pueden obligar a revisarlo antes de tiempo… Y sí, seguramente también en los 2 siguientes ;-).
- El papel del RSE (Responsable de Seguridad y Enlace) y el Delegado de Seguridad. Debemos tener en cuenta que el RSE representa al operador crítico, no a una infraestructura crítica en concreto. ¿Qué quiere decir esto? Que será el interlocutor ante la Secretaria de Estado de Seguridad para tratar las cuestiones relativas a la seguridad de las distintas infraestructuras del operador y los propios planes que se desarrollen. Asimismo, también será el punto de contacto para canalizar las necesidades informativas (y operativas) que puedan surgir. Por otro lado, el Delegado de Seguridad constituirá el enlace operativo y el canal de información con las autoridades competentes, sin embargo, en este caso su ámbito de actuaciones se ciñe a una infraestructura crítica particular. Naturalmente, deberá existir en todo momento una comunicación y coordinación fluida entre ambas figuras, para que la gestión de la seguridad se realice eficazmente.
- La cultura se come a la estrategia para desayunar. Peter Drucker ya lo decía, y eso no quiere decir que la estrategia de seguridad no sea importante, sino que si falta cultura de seguridad (concienciación), la estrategia puede verse comprometida por la falta de concienciación de los usuarios. De la misma manera, el objetivo del PSO y los PPE no es quedarse en un cajón, por lo que es fundamental que los implicados (no sólo el RSE o el Delegado de Seguridad) estén familiarizados con los métodos y sistemáticas que se establecen para garantizar unos niveles de protección adecuados a este tipo de infraestructuras.
Sí, es verdad, existen otras cosas importantes, como la metodología de análisis de riesgos que vas a utilizar, la identificación de los servicios esenciales, la estimación del impacto que podría tener cada amenaza, etc., pero en esta entrada de Security Art Work queríamos destacar los aspectos más reseñables, que a menudo subestimamos a la hora de cuidar nuestras infraestructuras críticas y que, en el caso de la salud, son especialmente importantes.
Ahora que has llegado hasta el final, ¿cuál es el más importante para ti de todos ellos?
Enlaces relacionados
- LPIC y el RD que la desarrolla:
- Guía de contenidos mínimos del PSO y PPE
- Contenido adicional:
- Algunos informes sobre Infraestructuras Críticas publicados por S2 Grupo: https://s2grupo.es/es/publicaciones-y-descargas/
- Nota de prensa sobre la aprobación del PES para el sector salud: http://www.dsn.gob.es/es/actualidad/sala-prensa/comisi%C3%B3n-nacional-para-protecci%C3%B3n-infraestructuras-cr%C3%ADticas