REVISTA AUDITORÍA PÚBLICA / 83






         respaldar el desarrollo de las capacidades de respuesta   III.2.5.    Retos y lagunas de los equipos de respuesta a
         a incidentes dentro de su sector. De estos, la mayoría se         incidentes de seguridad informática.
         basó en el modelo SIM3 (Security Incident Management
         Maturity Model) y, en menor medida, en la herramienta   Las quinta conclusión que obtenemos del estudio es
         de madurez del CSIRT nacional disponible en su país. No   que a la hora de dar respuesta a incidentes,  los equipos
         obstante, a juicio de la Agencia todas las metodologías   CSRT de salud se encuentran con  tres problemas: en
         se consideran pertinentes para mejorar la madurez de   primer lugar,  la falta de cultura de seguridad entre los
         los CSIRT.                                          Operadores de Servicios Esenciales (OES); en segundo
                                                             lugar, el hecho de que la gestión (y la seguridad) de la in-
         Además, señalaron que los factores clave que facilitan   fraestructura de la infraestructura informática de las OES
         el desarrollo de la madurez de CSIRT sanitarios y/o sus   se suele  subcontratar; y, por último, la falta de herra-
         capacidades de respuesta (IR) dependen principalmente   mientas y canales de cooperación establecidos con los
         de lo siguiente:                                    equipos de respuesta a incidentes de OES.

         ¡  El establecimiento de regulaciones específicas del   A.  Desafíos de ciberseguridad de los OES.
            sector que aclaren los requisitos de seguridad y res-
            ponsabilidades (18% de las respuestas).          En general, los operadores sanitarios se enfrentan a
                                                             complicaciones específicas en el ámbito de la cibersegu-
         ¡  La difusión de información sobre amenazas, el inter-  ridad y la respuesta a incidentes, debido a la naturaleza
            cambio de buenas prácticas y experiencias aprendi-  de los servicios del sector sanitario. En consecuencia, la
            das (16% de las respuestas).                     eficacia de los CSIRT sanitarios es menor que en otros
                                                             ámbitos.
         ¡  En menor medida, el establecimiento de acuerdos
            de cooperación entre instituciones nacionales y acto-  A continuación, señalamos los principales problemas a los
            res sectoriales (13% de las respuestas).         que se enfrentan los proveedores de servicios sanitarios:

                                                             ¡ Equipo: sistemas antiguos sin diseño ciberseguro. Los
                                                             sectores tradicionales, incluido el sanitario, son más vul-
                                                             nerables a los ciberataques ya que los sistemas y equi-
                                                             pos tienen una vida útil prolongada (15 años de prome-
                                                             dio). En muchos casos no fueron diseñado para hacer
                                                             frente a ciberataques.

                                                             Ello ha dado lugar a un aumento constante del número
                                                             de vulnerabilidades detectadas en los proveedores de
                                                             dispositivos digitales y en los fabricantes de hardware.
                                                             Ha obligado a los hospitales a actualizar y adaptar sus
                                                             sistemas en muy poco tiempo dada la alta vulnerabilidad
                                                             derivada de la obsolescencia de la tecnología informática
                                                             a lo largo de su ciclo de vida. De ahí que el ritmo de las
                                                             actualizaciones se vea rápidamente superado por el de
                                                             la evolución de la tecnología informática. Además, esta
                                                             dependencia de los proveedores se ve acentuada por la
                                                             adopción de dispositivos IoT por parte de los proveedo-
                                                             res del sector sanitario, lo que amplía enormemente las
                                                             áreas que pueden ser atacadas . El hecho de que esta
                                                                                        16





         15  En el marco del modelo ENISA, alcanzar el nivel básico de madurez implica que el CSIRT analizado está operativo, con un proceso básico de gestión de incidentes en
         funcionamiento, su información disponible para otros equipos, sus servicios son definido de acuerdo con el RFC2350, y el equipo ha alcanzado un nivel adecuado de madu-
         rez. https://www.enisa.europa.eu/publications/study-on-csirt-maturity
         16   l Internet de las cosas (IoT) es el proceso que permite conectar los elementos físicos cotidianos al Internet: desde los objetos domésticos comunes, como las bombillas
         de luz, hasta los recursos para la atención de la salud, como los dispositivos médicos; las prendas y los accesorios personales inteligentes; e incluso los sistemas de las
         ciudades inteligentes.  Los dispositivos del IoT que se encuentran dentro de esos objetos físicos suelen pertenecer a una de estas dos categorías: son interruptores (es
         decir, envían las instrucciones a un objeto) o son sensores (recopilan los datos y los envían a otro lugar).


          130