Un cuadro de mando para ayudar a mejorar el estado de ciberseguridad de los hospitales

Oriol Castaño, de 28 años y miembro de la Oficina del DPD de Salut de la Fundació TIC Salut Social, ha superado recientemente el máster en Cybersecurity Management a la UPC School con una nota final de 9,7 puntos.

Oriol es el responsable de seguridad de la información que afecta, directa o indirectamente, a la protección de datos de salud. Realiza una tarea conjunta y paralela con el resto de miembros de la oficina ocupándose de la vertiente técnica y de aplicación del Esquema Nacional de Segueridad y la ISO 27001, entre otros estándares de ciberseguridad.

Estudia aquellos estándares, guías y procedimientos de ciberseguridad que afectan al sector de la salud, elaborando guías e informes abreviados para las entidades adheridas a la Oficina del DPD. La guía de pseudonimització en /Salut o la herramienta para evaluar la Ciberseguridad de las aplicaciones móviles en su dos ejemplos. También es la persona encargada de gestionar de la plataforma web para realizar Evaluaciones de Impacto en Protección de Datos diseñada desde la Oficina del DPD y con la colaboración de The Chain Partners y el Observatorio de Bioética y Derecho de la Universitat de Barcelona (OBD).

Sobre su nuevo hito formativo nos comenta lo siguiente:

¿Sobre qué ha trata el Proyecto Final de Posgrado (PFG)?

El PFG trata sobre la definición de un cuadro de mando de Ciberseguridad orientado a hospitales.

El objetivo de un cuadro de mando de ciberseguridad reside, principalmente, en mejorar la ciberseguridad de los centros hospitalarios mediante el desarrollo de una herramienta de gestión que permita conocer el estado de Ciberseguridad y, por lo tanto, ayudar a la toma de decisiones directivas en esta materia.

Con el cuadro de mando de ciberseguridad se pretende obtener una herramienta que genere informes de estado de seguridad con métricas e indicadores que ayudaran a contestar preguntas como por ejemplo: “¿Cómo estamos afrontando los nuevos retos en materia de ciberseguridad?”; “¿Cómo gestionamos los controles de seguridad para conseguir el máximo nivel de seguridad?”; “¿Cómo perciben la ciberseguridad del hospital los profesionales y pacientes?”, “¿Cómo contribuye la seguridad a cumplir y garantizar el servicio prestado al paciente?”, y no menos importante: “¿Se están garantizando los derechos y libertades de los ciudadanos?”.

Para definir este cuadro de mando me he basado en los estándares disponibles en esta materia, como serían el Esquema Nacional de Seguridad, la ISO 27001, el NIST 800-55, el manual CISA de ISACA y otros indicadores de empresas dedicadas a la gestión de la Ciberseguridad, como por ejemplo BitSight.

En resumen, esta herramienta pretende ayudar a mejorar el estado de ciberseguridad de los hospitales públicos garantizando y mejorando la continuidad y resiliencia de la asistencia sanitaria a la ciudadanía en el actual contexto político, económico, social y cultural.

¿Qué te motivó a especializarte en ciberseguretat?

La rápida transformación digital que están viviendo la mayoría de los sectores viene claramente acompañada de la llegada de nuevos retos y amenazas que afectan con mayor medida a la infraestructura que no está preparada para detectar, prevenir y dar una respuesta eficaz. Este sería el caso del sector sanitario, donde la ciberseguridad es, hoy en día, una tarea pendiente.

La falta de cultura en ciberseguridad, de herramientas de protección, de implantación de sistemas de gestión de seguridad de la información,… Así como el tratamiento a gran escala de datos personales de categoría especial hace especialmente vulnerables a las organizaciones que ofrecen servicios tan críticos y fundamentales para la sociedad.

En plena pandèmia del Covid-19, el sector sanitario tuvo que hacer frente a ciberataques de varios tipos, mayoritariamente ransomware, y que tienen como objetivo principal afectar la disponibilidad de los sistemas de información y de los datos dependientes de ellos. Aprovechando la urgencia, confidencialidad y sensibilidad de estos datos, los ciberatacantes piden un rescate económico para poder recuperar estos sistemas de información.

¿Cuál es el reto o dificultad más grande que te has encontrado en el proceso del Proyecto Final de Posgrado (PFG)?

Gran parte de la dedicación del trabajo ha sido el estudio y comparativa de los diferentes estándares de Ciberseguridad. Concretamente de aquellos apartados que hablan de la generación de Informes de Estado, de gestión y recopilación de indicadores y/o métricas para disponer de cuadros de mando de la Ciberseguridad.

¿Cómo ha sido tu experiencia a la Oficina del DPD – Fundació TIC Salut Social?

Ha sido una experiencia excelente. Por un lado he adquirido conocimiento muy potente en materia de protección de datos gracias al conocimiento y experiencia de mis compañeros; y por otro lado, me ha servido para entrar en la Ciberseguridad.

¿Acostumbran a haber muchas incidencias de seguridad con los datos de salud?

En general más de las que el sistema es capaz de gestionar puesto que actualmente hay una carencia clara de profesionales que se dediquen a la Ciberseguridad. Igual que pasa en el resto de sectores.

¿Las conclusiones de tu PFG aplican a tu ámbito de trabajo y al de la Oficina?

La herramienta de gestión que propongo y defino en el PFG se extralimita del alcance de trabajo de la Oficina del Delegado de Protección de Datos. Al tratarse de una herramienta de gestión de la Ciberseguridad, la competencia es de la Agencia de Ciberseguridad de Cataluña (ACC). Aun así publicamos el PFG abiertamente para que cualquier entidad de salud pueda hacérselo suyo, utilizarlo como guía de referencia y adaptarlo en sus necesidades y eventualidades.

¿Y ahora qué perspectivas laborales de futuro tienes?

Seguir especializándome en el ámbito de la Ciberseguridad y aportar todo el conocimiento adquirido en el posgrado de la UPC School. Por este motivo agradezco a todos mis compañeros de la Oficina del DPD, al director de la Fundació TIC Salut Social y al resto de compañeros de la Fundación el apoyo incondicional y el impulso para poder seguir adelante.