Un quadre de comandament per ajudar a millorar l'estat de ciberseguretat dels hospitals

L’Oriol Castaño, de 28 anys i membre de l’Oficina del DPD Salut de la Fundació TIC Salut Social, ha superat recentment el màster en Cybersecurity Management a l’UPC School amb una nota final de 9,7 punts.

L’Oriol és el responsable de seguretat de la informació que afecta, directa o indirectament, a la protecció de dades de salut. Realitza una tasca conjunta i paral·lela amb la resta de membres de l’oficina ocupant-se de la vessant tècnica i d’aplicació de l’Esquema Nacional de Seguertat i la ISO 27001, entre altres estàndards de ciberseguretat.

Estudia aquells estàndards, guies i procediments de ciberseguretat que afecten al sector de la salut, elaborant guies i informes abreujats per a les entitats adherides a l’Oficina del DPD. La guia de pseudonimització en /Salut o l’eina per avaluar la Ciberseguretat de les aplicacions mòbils en son dos exemples. També és la persona encarregada de gestionar de la plataforma web per realitzar Avaluacions d’Impacte en Protecció de Dades dissenyada des de l’Oficina del DPD i amb la col·laboració de The Chain Partners i l’Observatori de Bioètica i Dret de la Universitat de Barcelona (OBD).

Sobre la seva nova fita formativa ens comenta el següent:

Sobre quin tema ha tractat el Projecte Final de Postgrau (PFG)?

El PFG tracta sobre la definició d’un quadre de comandament de Ciberseguretat orientat a hospitals.

L’objectiu d’un quadre de comandament de ciberseguretat resideix, principalment, en millorar la ciberseguretat dels centres hospitalaris mitjançant el desenvolupament d’una eina de gestió que permeti conèixer l’estat de Ciberseguretat i, per tant, ajudar a la presa de decisions directives en aquesta matèria.

Amb el quadre de comandament de ciberseguretat es pretén obtenir una eina que generi informes d’estat de seguretat amb mètriques i indicadors que ajudessin a contestar preguntes com ara: “com estem afrontant els nous reptes en matèria de ciberseguretat?”, “com gestionem els controls de seguretat per a aconseguir el màxim nivell de seguretat?”, “com perceben la ciberseguretat de l’hospital els professionals i pacients?”, “com contribueix la seguretat a complir i garantir el servei prestat al pacient?”, i no menys important: “s’estan garantint els drets i llibertats dels ciutadans?”.

Per tal de definir aquest quadre de comandament m’he basat en els estàndards disponibles en aquesta matèria, com serien l’Esquema Nacional de Seguretat, la ISO 27001, el NIST 800-55, el manual CISA d’ISACA i altres indicadors d’empreses dedicades a la gestió de la Ciberseguretat, com per exemple BitSight.

En resum, aquesta eina pretén ajudar a millorar l’estat de ciberseguretat dels hospitals públics garantint i millorant la continuïtat i resiliència de l’assistència sanitària a la ciutadania en l’actual context polític, econòmic, social i cultural.

Què et va motivar a especialitzar-te en l’àmbit de la ciberseguretat?

La ràpida transformació digital que estan vivint la majoria dels sectors ve clarament acompanyada de l’arribada de nous reptes i amenaces que afecten amb major mesura a aquella la infraestructura que no està preparada per a detectar, prevenir i donar una resposta eficaç. Aquest seria el cas del sector sanitari, on la ciberseguretat és, avui dia, una tasca pendent.

La falta de cultura en ciberseguretat, d’eines de protecció, d’implantació de sistemes de gestió de seguretat de la informació, així com el tractament a gran escala de dades personals de categoria especial fa especialment vulnerables a les organitzacions que ofereixen serveis tant crítics i fonamentals per a la societat.

En plena pandèmia del Covid-19, el sector sanitari va haver de fer front a ciberatacs de diversos tipus, majoritàriament ransomware, i que tenen com a objectiu principal afectar la disponibilitat dels sistemes d’informació i de les dades depenents d’ells. Aprofitant la urgència, confidencialitat i sensibilitat d’aquestes dades, els ciberatacants demanen un rescat econòmic per a poder recuperar aquests sistemes d’informació.

Quin és el repte o dificultat més gran que t’has trobat en el procés del Projecte Final de Post-grau (PFG)?

Gran part de la dedicació del treball ha estat l’estudi i comparativa dels diferents estàndards de Ciberseguretat. Concretament d’aquells apartats que parlen de la generació d’Informes d’Estat, de gestió i recopilació d’indicadors i/o mètriques per tal de disposar de quadres de comandament de la Ciberseguretat.

Com ha estat la teva experiència a la Oficina del DPD – Fundació TIC Salut Social?

Ha estat una experiència excel·lent. D’una banda he adquirit coneixement molt potent en matèria de protecció de dades gràcies al coneixement i experiència dels meus companys; i d’altra banda, m’ha servit per entrar en el mon de la Ciberseguretat.

Acostumen a haver-hi moltes incidències de seguretat amb les dades de salut?

En general mes de les que el sistema és capaç de gestionar ja que actualment hi ha una mancança clara de professionals que es dediquin a la Ciberseguretat. Igual que passa en la resta de sectors.

Les conclusions del teu PFG apliquen al teu àmbit de treball i al de l’Oficina?

L’eina de gestió que proposo i defineixo al PFG s’extralimita a l’abast de treball de l’Oficina del Delegat de Protecció de Dades. Al tractar-se d’una eina de gestió de la Ciberseguretat, la competència és de l’Agència de Ciberseguretat de Catalunya (ACC). Tot i així publiquem el PFG obertament per tal que qualsevol entitat de salut pugui fer-se’l seu, utilitzar-lo com a guia de referència i adaptar-lo a les seves necessitats i eventualitats.

I ara quines perspectives laborals de futur tens?

Seguir especialitzant-me en l’àmbit de la Ciberseguretat i aportar tot el coneixement adquirit al postgrau de la UPC School. Per aquest motiu agraieixo a tots meus companys de l’Oficina del DPD, al director de la Fundació TIC Salut Social i a la resta de companys de la Fundació el suport incondicional i l’impuls per poder seguir endavant.