14.09.2023 / Noticias
Analizando los marcos de ciberseguridad: el congreso de ciberseguridad en el sector salud 5.0 regresa el 19 de septiembre
El congreso de ciberseguridad en el sector salud 5.0, organizado por la revista Red Seguridad y la Fundación Borredá, regresa el 19 de septiembre, tras el éxito de la edición anterior para analizar los marcos de ciberseguridad y la protección de los sistemas públicos. Con el aumento de los ataques cibernéticos en hospitales y entornos sanitarios, la ciberseguridad es el enfoque principal. El evento, en el que participará Procesia, abordará los desafíos que enfrenta el sector salud y su relación con la Directiva NIS 2 y otras regulaciones.
Se discutirá la seguridad de dispositivos médicos conectados y la protección de la información en organizaciones sanitarias. Expertos, agencias gubernamentales, hospitales y empresas del sector se unirán para compartir estrategias sobre cómo reducir riesgos y fortalecer la resiliencia del sector. Este evento híbrido permitirá la participación tanto presencial como en línea, reuniendo a una amplia gama de profesionales del ámbito de la ciberseguridad y la salud.
Los gobiernos de todos los países; si bien están adoptando una serie de medidas como los marcos de ciberseguridad para proteger los sistemas públicos que dan servicio a los ciudadanos, están aún lejos de conseguir un consenso suficiente para implementar los aspectos necesarios requeridos por un plan adecuado sobre ciberseguridad. De esta manera, es cada vez más necesario observar el uso de herramientas como el Canal de denuncias para ayudarnos en la construcción de un adecuado ecosistema del Gobierno de la Ciberseguridad.
Como ya es sabido, el mundo evoluciona de manera muy rápida hacia una digitalización en todos sus ámbitos, lo que hace que las empresas estén cada vez más a merced de los ciberdelincuentes. A medida que esta digitalización se va extendiendo también a los distintos ámbitos de la Administración Pública, dichos organismos se vuelven también vulnerables a este tipo de (ciber) delincuencia. Algo que podemos ver, por ejemplo, en el incremento de los ataques de ciberseguridad en el sector sanitario que se han disparado un 650% en el último año.
Dentro de los pasos que se van dando poco a poco en los países, nos encontramos con la creación de marcos de ciberseguridad (frameworks) que pretenden establecer unos mínimos requisitos necesarios para asegurar que tanto la información como los sistemas que manejan la información de los ciudadanos, están protegidos en lo relativo a las dimensiones de la seguridad confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad (CITAD).
Estos marcos de ciberseguridad suelen estar basados en su mayoría en algunos estándares internacionales y todos ellos ponen su foco, principalmente, en los siguientes ámbitos o dominios:
– Mantener la privacidad de la información manejada. Para este fin suelen emitirse leyes o reglamentos, como por ejemplo el Reglamento Europeo GDPR o RGPD, Reglamento General de Protección de Datos (Regulation (EU) 2016/679).
– Controlar el acceso autorizado a la información y a los sistemas que la manejan o almacenan.
– Asegurar la disponibilidad de los sistemas que manejan información con el fin de que la misma pueda estar disponible en tiempo y forma cuando el ciudadano la pueda requerir.
– Establecer un procedimiento eficiente y efectivo para responder de manera rápida ante un eventual incidente que pudiera afectar a cualquiera de las dimensiones mencionadas anteriormente (CITAD), y dando respuesta al ciudadano de manera satisfactoria y transparente.
Para conseguir esta finalidad existen una serie de objetivos de control de ciberseguridad que se deben cumplir y que cada estándar, normativa o regulación en esta materia, ordena, agrupa y clasifica de una manera diferente, dependiendo de si el marcos de ciberseguridad correspondientes abordan la solución desde una perspectiva orientada a los procesos de negocio o desde una perspectiva más técnica de protección de los sistemas.
En relación con la protección de la información manejada por los sistemas de las distintas Administraciones Públicas, cabe mencionar en este artículo el framework que es de aplicación en la Administración Pública española: el Esquema Nacional de Seguridad (ENS – Real Decreto 311/2022). Y en especial, frente a uno de los marcos de ciberseguridad más conocidos dentro del mundo empresarial (principalmente en aquellas compañías que de algún modo operan en América del Norte), que es el NIST CyberSecurity Framework (NIST CSF).
En enero de 2010, el Gobierno español tomó la decisión de crear un Esquema Nacional de (ciber) Seguridad que proporcionase al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta. Su objetivo es impulsar la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas, facilitar la cooperación y proporcionar un conjunto de requisitos uniforme a la Industria, de manera que constituya también un referente de buenas prácticas.
Con una finalidad similar, el NIST CSF fue emitido por primera vez en 2014 por el Gobierno de los Estados Unidos con el fin de conseguir una mejora de la seguridad cibernética en infraestructuras críticas, así como con la orientación de ayudar a las empresas de todos los tamaños (tanto públicas como privadas) a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común y un resumen de las mejores prácticas en ciberseguridad.
Estos marcos de ciberseguridad han realizado actualizaciones desde su primera emisión (ENS en 2015 y NIST CSF en 2018), incluyendo las más recientes con la intención de adaptar la ciberseguridad nacional de Estados Unidos (NIST CSF v2.06) y la de España (ENS – RD 311/2022) a la constante actualización y creatividad de los ciberdelincuentes para encontrar nuevas vías de (ciber) ataque.
La primera diferencia que podríamos señalar entre ambos marcos de referencia la encontramos con relación a su aplicabilidad; siendo el NIST CSF de aplicación recomendada, tanto para empresas públicas como privadas, mientras que el ENS es de obligado cumplimiento para los Organismos Públicos españoles y sus prestadores de servicios.
Hasta la última versión de NIST CSF, aún en estado borrador, existía otra diferencia fundamental entre ambos marcos de ciberseguridad: el Gobierno de la Seguridad.
Mientras que el ENS tiene en consideración desde su primera versión la importancia de un buen gobierno de la ciberseguridad para conseguir desarrollar un marco de control que se pueda reaccionar de manera rápida ante los rápidos avances de los ciberdelincuentes, es en su última versión donde NIST CSF toma consciencia de ello y lo incluye junto a sus 5 dominios (ahora 6) de clasificación de los objetivos de control a tener en cuenta.
Las guías para facilitar la implantación de los marcos de ciberseguridad
Con el fin de facilitar la implantación de ambos marcos de ciberseguridad, tanto el NIST como el CCN han publicado una serie de guías con recomendaciones:
– Serie de guías CCN-STIC 800 para la adecuación al ENS.
– Special Publication para la implantación del NIST CSF (SP 800, SP 1800, SP500).
Dentro del Estado español cabe hacer especial mención de la nueva metodología μCeENS que está desarrollando el CCN, para facilitar la adecuación y posterior certificación de los Organismos Públicos al ENS. Para ello ha desarrollado una serie de Perfiles de Cumplimiento Específico (PCE) (Guías CCN-STIC 890A y CCN-STIC 890C), con los objetivos de control marcados por el Anexo II del ENS (Requisitos Esenciales de Seguridad) que deben aplicarse como mínimo, para conseguir un nivel de protección aceptable de los sistemas y de la información contenida.
Además, esta metodología pone a disposición de los Organismos Públicos las Herramientas de la Ciberseguridad Nacional: INES y AMPARO, para facilitar la implantación de un marco de gobernanza que designe roles y responsabilidades, clave para la gestión de la ciberseguridad y la toma de decisiones estratégicas.
En lo referente al cumplimiento de medidas a adoptar, la guía CCN-STIC 890C10 declara de aplicabilidad un conjunto de 35 medidas de las indicadas en el Anexo II del ENS, facilitando a aquellas entidades comprendidas en su ámbito de aplicación alcanzar una mejor y más eficiente adaptación al ENS. Se pone especial interés en los Organismos Sanitarios, ya que permite garantizar que las medidas y los marcos de ciberseguridad implementados son los necesarios y proporcionales en relación con el contexto de la amenaza, nivel de madurez, riesgo residual asumible y recursos disponibles, así como minimizar el número de ataques o el impacto producido por ellos.
El objetivo final que se persigue es posibilitar el cumplimiento del Esquema Nacional de Seguridad (ENS) de los sistemas de información de categoría BÁSICA que soportan la tramitación de ciertos servicios prestados por los Organismos Públicos que presenten dificultades para abordar el proceso de adecuación al ENS.
Por tanto, a modo de corolario, la ciberseguridad no es sólo una preocupación presente en las empresas privadas. Cada vez más, las distintas Administraciones Públicas toman conciencia de la necesidad de protegerse frente a las amenazas digitales, llegando a definir sus propios marcos de ciberseguridad, estableciendo regulaciones, normativas o leyes de obligado cumplimiento y estableciendo mecanismos técnicos y de gobernanza, que facilitan su implantación de manera rápida, gestionada y efectiva, consiguiendo así el mínimo grado de conformidad exigible, en el cumplimiento con requisitos esenciales.
Si estás interesado en mantener actualizada tu información sobre las últimas novedades y sucesos relacionados con la seguridad informática, marcos de ciberseguridad, inteligencia artificial o análisis de grandes volúmenes de datos, te animamos a visitar nuestra sección de noticias. Además, puedes seguirnos en nuestras redes sociales y estar al tanto de la evolución de acontecimientos y aspectos relevantes de la vida digital.
