Page 129 - Revista Auditoria Pública nº 83
P. 129
Recomendaciones de la Agencia Europea de Ciberseguridad ante incidentes de seguridad en el sector sanitario
Se deprende del estudio que más de la mitad de los En este sentido, ENISA ha desarrollado un modelo de
CSIRT del Sector Salud ofrecen procedimientos claros. evaluación de la madurez que se puede utilizar para eva-
Así, destacan que sus organizaciones tienen procedi- luar las capacidades de los CSIRT. Sobre la base de este
mientos operativos estándar (POE) y que su organización modelo de madurez, hay tres cuestiones para tener en
hizo uso de una plantilla de notificación de incidentes. cuenta y que influyen en el desarrollo de las capacidades
Esta recopilación de información es importante, ya que de los CSIRT: en primer lugar, el desempeño ininterrum-
el uso de una plantilla indica permite a los CSIRT clasifi- pido de tareas y procedimientos; en segundo lugar, una
car la información recopilada. cultura laboral de mejora continua de las capacidades
del CSIRT (seguimiento del desempeño de tareas, por
En relación con la respuesta a incidentes en situaciones ejemplo), para proporcionar una capacitación continua al
de crisis transfronterizas, mientras que la mitad de los equipo de personas (para formar y actualizar la experien-
encuestados (47%) declaró que existen procedimientos cia del equipo). Todo ello con el fin de poner en marcha
específicos para atender incidentes transfronterizos, se- políticas, procedimientos y flujos de trabajo que apoyen
ñalan que no existe un procedimiento claro sobre cómo los objetivos y tareas del equipo. Por último, estos obje-
se tratan. En algunos casos, hay un enfoque sectorial o tivos solo pueden ser alcanzables si el CSIRT cumple los
nacional, en otros casos se realiza a través de un tercero. siguientes requisitos previos: llevar un tiempo en funcio-
Además, destacan que en el 60 % de los casos, sus namiento, tener un presupuesto suficiente y tener una
CSIRT tenían establecidas medidas para informar a los baja tasa de rotación de miembros del personal.
responsables relevantes (autoridades nacionales y OES)
de países miembros sobre un incidente que pueda afec- La madurez de los CSIRT se puede medir y clasificar en
tarlos; el 47% afirma que informaría a otras partes in- tres niveles:
teresadas a través de un punto de contacto (un tercero
de confianza), mientras que solo el 13 % confiaría en un ¡ Nivel de Madurez Básico: el equipo CSIRT coordi-
contacto directo (comunicándose con los actores rele- na la gestión de incidentes, tiene un mínimo soporte
vantes utilizando su información de contacto directo, sin en cuanto a su existencia, es fácilmente accesible y
pasar por un intermediario. En particular, si bien estas cuenta con un proceso básico de gestión de inciden-
recomendaciones son de aplicación general, cada CSIRT tes.
de salud tiene necesidades específicas, que deben re-
flejarse en la confección de sus herramientas y procedi- ¡ Nivel de Madurez Intermedio: el CSIRT coordina la
mientos. gestión de incidentes, y también permite actividades
conjuntas adicionales (como la gestión de vulnera-
Por último, otro elemento clave a considerar es el uso y bilidades), tiene una base desarrollada, con descrip-
mantenimiento de las soluciones CSIRT: las herramien- ciones detalladas de las herramientas, procesos y
tas y los procesos deben administrarse, probarse y ac- recursos humanos relevantes.
tualizarse para lograr una protección completa contra las
agresiones, así como mantener una formación comple- ¡ Nivel de Madurez Avanzado: el CSIRT coordina la
mentaria continua del personal afectado. gestión de incidentes, a la vez que apoya de forma
fiable actividades conjuntas adicionales, como el in-
tercambio de amenazas y la alerta temprana datos
III.2.4. Desarrollo de las respuestas a incidentes. y manejo de vulnerabilidades. Esto implica que el
CSIRT tiene bien descrito, aprobado, y evaluados
La cuarta conclusión que el estudio ha puesto de mani- sus procesos, herramientas y los recursos humanos
fiesto es que las principales fuerzas que impulsan el de- asignados.
sarrollo de las respuestas a incidentes (IR) de los CSIRT
son las siguientes: las normas específicas sobre los re- El modelo de evaluación ofrece una imagen clara de la
quisitos de seguridad, las responsabilidades de las orga- madurez de un CSIRT. Según este modelo, más del 90%
nizaciones, y el intercambio de información relacionada de todos los CSIRT nacionales o equipos gubernamen-
con las respuestas a incidentes. tales de ámbito nacional alcanzaron el nivel de madurez
básico como mínimo, y, por término medio, estuvieron
La madurez de un CSIRT se define como la medida de su a punto de alcanzar el nivel de madurez Intermedio ya
capacidad en términos de estructura, personas, proce- que sólo necesita formalizar los procedimientos ya exis-
sos y tecnologías para afrontar con éxito una respuesta a tentes .
15
un incidente informático. Sus capacidades deben garan-
tizar que la organización pueda realizar sus actividades y Sin embargo, la consulta realizada reveló que solo el
funciones de manera consistente, así como ser capaz de 40% de los CSIRT de Salud utilizan una metodología
desarrollar continuamente estas capacidades. específica de evaluación de la madurez del CSIRT para
129
