El Instituto de Investigación Sanitaria Incliva, vinculado al Hospital Clínico Universitario de València, ha logrado recientemente la certificación CeENS en el Esquema Nacional de Seguridad (ENS). Este marco normativo español es fundamental para garantizar la seguridad de los sistemas, datos y servicios electrónicos utilizados en la administración pública y sus proveedores. La obtención de esta certificación es un paso significativo hacia la mejora de la ciberseguridad en el ámbito sanitario, un sector que maneja información altamente sensible y que, por lo tanto, requiere de medidas robustas para proteger la confidencialidad y la integridad de los datos.
El ENS establece un conjunto de medidas de protección que buscan asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos. Esto es crucial para minimizar riesgos, prevenir ciberataques y asegurar el correcto funcionamiento de los servicios digitales. La certificación CeENS se basa en el Real Decreto 311/2022, que actualiza la normativa anterior para alinearse con estándares internacionales como la norma ISO/IEC 27001. Este enfoque no solo mejora la seguridad, sino que también promueve la confianza en los servicios digitales ofrecidos por instituciones públicas y privadas.
### Proceso de Certificación y Equipos Involucrados
El proceso de certificación ha sido meticuloso y ha requerido la colaboración de diversos equipos dentro de Incliva. Desde 2024, el instituto ha estado trabajando para cumplir con los requisitos necesarios para obtener la certificación en la categoría CeENS, que corresponde a un nivel de seguridad bajo. Este esfuerzo ha culminado en la superación de una auditoría que valida su cumplimiento con los estándares establecidos.
El equipo responsable de esta certificación ha estado compuesto por profesionales de distintas áreas, incluyendo el Área Legal, Ciencia de Datos, Protección de Datos y Calidad, así como el Área de Informática. La dirección de Incliva ha mostrado un compromiso firme con la ciberseguridad, lo que se refleja en la implicación activa de sus miembros en el proceso de certificación. Entre los integrantes del equipo se encuentran Maite Sáenz y Alejandro Francisco Pons, quienes han trabajado en el área legal; Fernando Ferragut y Gabriel Adrian Margineanu, del Área de Ciencia de Datos; y Rafael Barajas, del Área de Protección de Datos y Calidad.
El enfoque del ENS implica una categorización de los sistemas de información, asignando un nivel de seguridad que varía entre bajo, medio y alto, dependiendo del impacto que un incidente de seguridad podría tener sobre los activos de información. Cada nivel de seguridad conlleva la implementación de medidas y controles específicos que refuerzan la ciberseguridad y la trazabilidad de los datos en los diferentes sistemas de información de la fundación.
### Plan de Actuación a Largo Plazo
Además de la obtención de la certificación, Incliva está desarrollando un plan de actuación a cuatro años que tiene como objetivo garantizar una adecuación continua a las normativas de seguridad. Este plan se fundamenta en un régimen que supera las exigencias establecidas por la Guía CCN-STIC 890C, lo que permitirá alcanzar la conformidad con el ENS en la categoría correspondiente. Para ello, se realizarán auditorías externas cada dos años, asegurando así que el instituto se mantenga alineado con los estándares más altos de seguridad.
La metodología CeENS es innovadora y se beneficia de las actualizaciones del Real Decreto 311/2022, facilitando la obtención de la Certificación de Conformidad en el ENS a través de un Perfil de Cumplimiento Específico (PCE). Esta metodología no solo proporciona el acompañamiento necesario para alcanzar la certificación, sino que también automatiza el proceso mediante herramientas de Gobernanza de la Ciberseguridad, como INES-AMPARO. Esto representa un avance significativo en la forma en que las instituciones pueden gestionar su ciberseguridad, permitiendo una respuesta más ágil y efectiva ante posibles amenazas.
La certificación CeENS de Incliva no solo es un logro institucional, sino que también establece un precedente en el ámbito de la salud pública, donde la protección de datos es esencial. A medida que la digitalización avanza, la seguridad de la información se convierte en una prioridad ineludible, y la obtención de esta certificación es un paso crucial hacia la creación de un entorno más seguro para la gestión de datos en el sector sanitario.
