Tirón de orejas del Consejo de Cuentas al Sacyl por la baja inversión en ciberseguridad

El Pleno del Consejo de Cuentas de Castilla y León aprobó este martes el informe sobre el análisis de la gobernanza en materia de ciberseguridad de la Gerencia Regional de Salud de Castilla y León, auditoría que será remitida al Parlamento autonómico y publicada en la página web de la Institución fiscalizadora, tal y como informó el ente.

El trabajo pone de manifiesto que la Gerencia dispone de una política sobre la seguridad de los sistemas de información adecuada a sus objetivos que cumple con lo establecido al respecto por el Esquema Nacional de Seguridad (ENS) y la Directiva europea SRI 2.

Un tercio del presupuesto

Este nuevo trabajo de fiscalización subraya que el presupuesto de la Gerencia ascendió en 2024 a 4.737 millones de euros, lo que supone un tercio del presupuesto total consolidado de la Comunidad.

El personal dedicado a las tecnologías de información y comunicaciones TIC alcanzó en dicho ejercicio las 376 personas, de las que 15 se dedicaban específicamente a la seguridad de la información. En esta línea, los gastos en TIC sumaron 61 millones de euros, de los que 1,4 se destinaron a seguridad.

Seguridad de la información

En el contexto actual, la seguridad de la información es un aspecto fundamental para cualquier organización, especialmente en el sector público, ya que se caracteriza por la gestión de datos altamente sensibles y críticos. En este sentido, la implementación de una gobernanza efectiva en seguridad se vuelve imprescindible para garantizar una gestión eficaz y eficiente de la seguridad en el ámbito público.

La gobernanza de seguridad del sector salud adquiere una relevancia esencial al establecer los procesos, estructuras y políticas que garantizan la protección integral de los datos personales sanitarios y de los sistemas que los gestionan.

A fin de gestionar eficazmente los riesgos que surgen en este entorno sanitario, es necesario analizar en profundidad tanto los aspectos técnicos como los organizativos y de gestión relacionados con la seguridad de la información de carácter personal y sanitario. Este enfoque permite identificar las áreas de mejora y fortalecer las garantías de protección de los datos clínicos, contribuyendo así a la confianza de los usuarios y a la seguridad en la prestación de servicios de salud pública.

La Gerencia de Salud

La Gerencia Regional de Salud (GRS), creada mediante la Ley 1/1993, de Ordenación del Sistema Sanitario de Salud de Castilla y León, es un organismo autónomo adscrito a la Consejería de Sanidad que ejerce las competencias en materia de sanidad y asistencia sanitaria en la Comunidad. En su estructura periférica conviven seis Gerencias de Atención Sanitaria en seis áreas de salud (Ávila, El Bierzo, Palencia, Segovia, Soria y Zamora), con cuatro Gerencias de Salud de Área (Burgos, León, Salamanca y Valladolid) subdivididas en cinco Gerencias de Atención Primaria y ocho Gerencias de Atención Especializada.

La GRS forma parte del sector salud definido en la Directiva europea sobre ciberseguridad SRI 2, puesto que tiene como misión ejercer las competencias de administración y gestión de servicios, prestaciones y programas públicos sanitarios de carácter asistencial y de atención a la salud. A falta de trasposición de la dicha directiva europea por parte de España que determine si la GRS es una entidad importante o esencial en este sector, a efectos de esta fiscalización tiene la consideración de entidad importante.

El informe del Consejo de Cuentas

Política de seguridad, normas y procedimientos

La GRS dispone de una política formalmente aprobada en el Decreto 14/2023 sobre la seguridad de los sistemas de información adecuada a sus objetivos y a su misión y comunicada a todas las partes interesadas mediante su publicación en el BOCYL, en su web corporativa y en su intranet. Esta política cumple con lo establecido al respecto por el Esquema Nacional de Seguridad y la Directiva SRI 2.

La GRS dispone de un «Código de conducta y buenas prácticas en materia de seguridad de la información y protección de datos» que determina el uso correcto de equipos, servicios e instalaciones, así como lo que se considera uso indebido, adaptado a las necesidades de la entidad y disponible en su intranet. Este código da cumplimiento a lo establecido en el ENS.

El Comité de Seguridad de la Información de la GRS ha aprobado 13 normas de seguridad de un total de 20 previstas. Las siete restantes se encuentran actualmente en fase de borrador.

Además de las normas de seguridad, la GRS dispone de un conjunto de 21 documentos que desarrollan su política de seguridad de la información y que se encuentran publicados en su intranet corporativa.

Comité de seguridad, roles y responsabilidades

La política de seguridad de la información de la GRS define correctamente los diferentes roles de seguridad que se indican en el ENS y todos ellos están representados en su Comité de Seguridad de la Información.

Compromiso de la dirección

La dirección y la alta dirección de la GRS forman parte del Comité de Seguridad de la Información. La GRS ha facilitado recursos económicos para el funcionamiento de la gestión de la seguridad de la información a través de la contratación de servicios gestionados de la Oficina de Seguridad de la Información y de un Centro de Operaciones de Seguridad.

Gestión de riesgos

La política de seguridad de la información de la GRS se basa en la gestión de los riesgos y se ha desarrollado a través de su correspondiente norma de análisis de riesgos, aspecto exigido por la Directiva SRI 2 que cumple con el ENS. La norma de análisis de riesgos tiene en consideración el tratamiento de datos personales como activos esenciales que forman parte de los sistemas de información, realizándose una valoración conforme al enfoque de gestión de riesgos previsto en la normativa

El responsable de seguridad ha realizado análisis de riesgos del 64% de los sistemas de información de los servicios centrales. El 53% de los análisis de riesgos realizados presentan una antigüedad superior a dos años, pese a que la propia GRS establece una revisión mínima bienal en su política de seguridad.

Cumplimiento legal

La GRS ha categorizado 131 sistemas de información de los servicios centrales en 2023 y 121 en 2024 conforme al ENS, siendo la mayor parte de ellos de categoría alta. Sin embargo, no cuenta con información referente al número de sistemas de las gerencias territoriales ni de su categorización.

La GRS ha designado correctamente a la persona delegada de protección de datos personales y dispone de un Registro de Actividades de Tratamiento conforme a lo establecido. Dispone además de un procedimiento de gestión de incidentes de seguridad exigido por la Directiva SRI 2, que sigue las guías del Centro Criptológico Nacional y las buenas prácticas del Instituto Nacional de Ciberseguridad y realiza la gestión de copias de seguridad de forma adecuada.

Recursos del departamento TIC y de seguridad

El personal dedicado a las tecnologías de la información y comunicaciones de la Gerencia Regional de Salud en 2024 - propio y externo-, lo conformaban 376 personas, de las que 15 se dedicaban específicamente a la seguridad de la información, un 4% del total, porcentaje sensiblemente inferior a la media de las entidades incluidas en la Directiva SRI 2 y al promedio del subsector de proveedores de servicios sanitarios.

Los gastos en TIC de la GRS ascendieron en 2024 a los 61 millones de euros y los destinados a seguridad 1,4 millones, un 2,4% del total, porcentaje notablemente inferior al registrado por la Agencia de la UE para la Ciberseguridad en organizaciones sujetas a la Directiva SRI 2, incluido el sector salud.

Finalmente, eI Consejo de Cuentas realiza 16 recomendaciones para contribuir a la mejora de la gobernanza en materia de ciberseguridad. Entre ellas, incrementar la dotación de personal y presupuestaria hasta alcanzar niveles alineados con el subsector de proveedores de servicios sanitarios de la Directiva SRI 2.

Asimismo, las gerencias de la estructura periférica deberían impulsar la gobernanza de ciberseguridad de los sistemas de información.