Page 117 - REVISTA AUDITORÍA PUBLICA 86
P. 117
REVISTA AUDITORÍA PÚBLICA / 86
¡ Las copias de seguridad cifradas fuera de línea suelen tener un impacto más público. Aunque pue-
de datos de misión crítica con información confi- de haber implicaciones financieras, éstas suelen ser
dencial (datos en reposo) pueden mitigar los ries- menos directas en comparación con las entidades
gos de fuga de datos. privadas. En cambio, para el sector privado, los inci-
dentes pueden tener un impacto directo en la con-
¡ Los programas de sensibilización y formación de fianza de los clientes y en la imagen de la organiza-
los profesionales sanitarios pueden contribuir a ción sanitaria. Aunque no sea deseable y pueda abrir
mitigar los ataques de ingeniería social y a mejo- aún más riesgos legales en el futuro, es una realidad
rar las prácticas de seguridad entre los usuarios. que debemos tener en cuenta a la hora de empren-
der el control y fiscalización de incidentes.
¡ Deben seguirse buenas prácticas en los méto-
dos de autenticación para el acceso remoto.
VII. Propuesta de una fiscalización
¡ Crear, mantener y ejercitar planes básicos de
respuesta a incidentes cibernéticos para garanti- informática como instrumento
zar que la atención al paciente no se vea afecta- de control público.
da. Estos pueden incluir planes de contingencia
en cada departamento o servicio, mejora de los Los informes recientes de ENISA insisten en la nece-
canales de comunicación, pero también cuidado sidad de implantar prácticas de ciberhigiene, planes de
de los profesionales sanitarios y de su bienestar contingencia y mecanismos de verificación continua en
mental y físico. el sector sanitario europeo. Estas recomendaciones, sin
embargo, requieren un marco de fiscalización que asegu-
¡ El compromiso de la alta dirección del sector sa- re su efectiva aplicación en las organizaciones sanitarias,
nitario es clave, especialmente ahora que la di- evitando que se conviertan en meras declaraciones de
rectiva NIS2 introduce responsabilidades para la principios.
alta dirección.
En este contexto, la fiscalización informática debe confi-
C Recomendaciones a los Estados. En Europa, las gurarse como un instrumento de apoyo a los órganos de
organizaciones sanitarias deben cumplir diversos control interno y externo de las Administraciones Públi-
reglamentos y normas, como las Buenas Prácticas cas, ampliando el alcance del control tradicional hacia la
Clínicas, la normativa sobre productos sanitarios evaluación de la seguridad digital y la protección de los
11
(MDR) y el Reglamento General de Protección de datos de salud.
12
Datos (RGPD). El incumplimiento de estas normas
puede acarrear graves consecuencias, como accio- En este sentido, la fiscalización informática puede apor-
nes legales, sanciones. tar un apoyo técnico especializado en tres líneas de
El sector sanitario maneja información muy sensible actuación coherentes con las directrices de ENISA:
y personal. Por tanto, el cumplimiento de esta nor-
mativa es crucial para proteger la intimidad de los pa- 1. Verificación preventiva: mediante auditorías
cientes, mantener la confianza y garantizar su segu- informáticas periódicas que identifiquen vulnera-
ridad y bienestar. La notificación de incidentes y sus bilidades en los sistemas sanitarios, evaluando
posibles repercusiones puede suscitar preocupación tanto la suficiencia de las medidas de seguridad
por los fallos en el cumplimiento de la normativa y, implantadas como la preparación de los planes
por tanto, revelar posibles incumplimientos. de respuesta a incidentes.
En el caso de las entidades públicas que dependen
de la financiación pública vía presupuestos de Esta- 2. Evaluación del cumplimiento normativo: com-
do y del apoyo de los contribuyentes, los incidentes probando la aplicación efectiva de la Directiva
11 Directiva 2001/20/CE del Parlamento Europeo y del Consejo, de 4 de abril de 2001, relativa a la aproximación de las disposiciones legales, reglamentarias y adminis-
trativas de los Estados miembros sobre la aplicación de las buenas prácticas clínicas en la realización de ensayos clínicos sobre medicamentos de uso humano; Directiva
2005/28/CE de la Comisión, de 8 de abril de 2005, por la que se establecen los principios y las directrices detalladas de las buenas prácticas clínicas respecto a los me-
dicamentos en investigación de uso humano, así como los requisitos para autorizar la fabricación o importación de dichos productos; Reglamento (UE) n °536/2014 del
Parlamento Europeo y del Consejo, de 16 de abril de 2014 , sobre los ensayos clínicos de medicamentos de uso humano, y por el que se deroga la Directiva 2001/20/CE
Texto pertinente a efectos del EEE;
12 Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, relativo a los productos sanitarios, por el que se modifican la Directiva 2001/83/
CE, el Reglamento (CE) no 178/2002 y el Reglamento (CE) no 1223/2009 y se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo.
116
