Page 125 - Revista Auditoria Pública nº 83
P. 125
Recomendaciones de la Agencia Europea de Ciberseguridad ante incidentes de seguridad en el sector sanitario
III.2. Cuestiones para tener en cuenta en la futura
legislación europea.
La gran mayoría de los miembros de la UE consultado
(73%) destacaron la necesidad de apoyo de grupos/foros
para el intercambio de información, buenas prácticas y
experiencia en respuesta a incidentes de ciberseguridad
en el sector de salud. Este intercambio de información es
clave para la mejora de la creación de capacidad sectorial
de respuestas conjuntas europeas a incidentes informáti-
cos en salud. En este sentido, sugirieron que la necesidad
de una estrecha vinculación con las instituciones públicas
de la UE, organismos y agencias de la UE para compar-
tir información. Otros foros mencionados son los grupos
internacionales, como los miembros de la red de CSIRT.
En la misma línea, los encuestados entienden que las
iniciativas existentes de creación de capacidades a nivel
europeo, en relación con las herramientas de intercam-
bio de información y las acciones de concienciación, re-
lativos a incidentes de seguridad son muy útiles para me-
jorar la eficiencia de los equipos de intervención CSIRT
sanitarios, frente ataques informáticos, en particular sus
capacidades de IR.
Además, se pone de relieve la necesidad de una mayor
intervención sobre el uso de sistemas sanitarios de pro-
veedores.
Con respecto a las herramientas/procesos específicos III.2.1. Creación de equipos de respuesta.
existentes en su organización que ayudarían a mejorar la La primera conclusión que obtenemos de los informes
efectividad de las capacidades de IR del sector en otros de la Agencia es la necesidad de creación de capaci-
CSIRT de Salud, los encuestados señalaron las siguien- dades de respuesta a incidentes (IR) específicas en el
tes necesidades principales:
sector de la salud en los países miembros. Las razones
¡ Capacitaciones y ejercicios sobre políticas y fundamentales las podemos agrupar: en primer lugar, la
procedimientos. falta de conocimiento sectorial del CSIRT Nacional, en
segundo lugar, la importante experiencia acumulada de
¡ Herramientas de respuesta a vulnerabilidades.
respuestas a incidentes pasados; y, por último, la imple-
¡ Acciones de intercambio de información. mentación de la Directiva NIS en el ámbito europeo.
Finalmente, hay un consenso generalizado hacia la crea- ¡ La primera razón se centra en la necesidad de supe-
ción de programas de asociación público-privada, que rar la falta de conocimiento o capacidad específica
ayudaría a crear una visión común entre los Operadores del sector sanitario del CSIRT Nacional. Es la razón
de Servicios Esenciales y los equipos de respuesta a in- más relevante que provoca la creación de capacida-
cidentes de seguridad informática, minimizando la falta des IR específicas del sector de la salud (27% de las
de confianza entre ellos. respuestas).
Dicho esto, seguidamente vamos a analizar, con mayor ¡ La segunda razón más importante (18% de las res-
detalle, las conclusiones más importantes relativas a la puestas) es la puesta en marcha de la Directiva NIS.
situación en que se encuentran las administraciones sa- La legislación europea tiene un impacto importante
nitarias de la UE en relación a las capacidades de los y positivo en impulsar en los países de la UE el de-
equipos de respuesta frente a incidentes de ciberseguri- sarrollo de capacidades sectoriales. En particular, los
dad informática en el sector sanitario. Estas conclusiones encuestados indicaron que la Directiva NIS tuvo los si-
han de coadyuvar a la normativa comunitaria, en materia guientes impactos sobre su actividad relacionada con
de ciberseguridad, que se legisle en un futuro próximo. la creación de capacidades sectoriales de salud (IR):
125
