El Instituto de Investigación Sanitaria Incliva, vinculado al Hospital Clínico Universitario de València, ha alcanzado un hito significativo al obtener la certificación CeENS en el Esquema Nacional de Seguridad (ENS). Esta certificación es un marco normativo español que asegura la protección de los sistemas, datos y servicios electrónicos utilizados en la administración pública y sus proveedores. La importancia de esta certificación radica en su capacidad para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos, lo que es crucial para minimizar riesgos y prevenir ciberataques en un mundo cada vez más digitalizado.
El ENS establece un conjunto de medidas de protección que deben ser implementadas para asegurar el correcto funcionamiento de los servicios digitales. La certificación CeENS, que Incliva ha logrado en la categoría de nivel bajo, se basa en el Real Decreto 311/2022, que actualiza la normativa anterior y se alinea con estándares internacionales como ISO/IEC 27001. Este enfoque no solo mejora la seguridad de los datos, sino que también proporciona un marco claro para la gestión de la ciberseguridad en instituciones públicas y privadas.
### Proceso de Certificación y Equipo de Trabajo
El camino hacia la certificación no fue sencillo. Incliva dedicó esfuerzos significativos durante 2024 y 2025 para cumplir con los requisitos necesarios. El equipo de trabajo que lideró este proceso estuvo compuesto por profesionales de diversas áreas, incluyendo el Área Legal, Ciencia de Datos, Protección de Datos y Calidad, así como del Área de Informática. Esta colaboración multidisciplinaria fue clave para superar la auditoría que valida la conformidad con el ENS.
Maite Sáenz y Alejandro Francisco Pons del Área Legal, junto a Fernando Ferragut y Gabriel Adrian Margineanu del Área de Ciencia de Datos, fueron algunos de los miembros destacados en este proceso. Rafael Barajas, del Área de Protección de Datos y Calidad, y Enrique Herreras y Miguel Herreros del Área de Informática también jugaron roles cruciales en la obtención de esta certificación. La implicación de la dirección y de los comités de seguridad de la institución fue fundamental para asegurar que todos los aspectos de la ciberseguridad fueran abordados adecuadamente.
El ENS categoriza los sistemas de información en niveles de seguridad (bajo, medio o alto) según el impacto que un incidente de seguridad podría tener en sus activos de información. Cada nivel requiere la implementación de medidas y controles específicos que se centran en la ciberseguridad y la trazabilidad de los datos. Este enfoque permite a las instituciones gestionar de manera efectiva los riesgos asociados con la seguridad de la información.
### Plan de Actuación a Largo Plazo
Con la certificación CeENS ya en mano, Incliva no se detiene. Actualmente, la institución está desarrollando un plan de actuación a cuatro años que tiene como objetivo garantizar una adecuación continua a los estándares establecidos por la Guía CCN-STIC 890C. Este plan busca no solo mantener la conformidad con el ENS, sino también mejorar continuamente la seguridad de los datos y servicios electrónicos.
El enfoque de Incliva incluye la realización de auditorías externas cada dos años, lo que garantiza que se mantenga un alto nivel de vigilancia y mejora en sus prácticas de ciberseguridad. La metodología CeENS, que se basa en el Real Decreto 311/2022, proporciona un marco innovador que facilita la obtención de la Certificación de Conformidad en el ENS. Este enfoque permite a las instituciones recibir el acompañamiento y la asistencia necesaria desde la fase previa a la adecuación hasta después de la obtención de la certificación.
La implementación de herramientas de Gobernanza de la Ciberseguridad, como INES-AMPARO, también juega un papel crucial en este proceso. Estas herramientas automatizan y optimizan la gestión de la ciberseguridad, lo que permite a Incliva centrarse en su misión principal: la investigación y mejora de la salud pública.
La obtención de la certificación CeENS no solo representa un logro importante para Incliva, sino que también establece un precedente para otras instituciones que buscan mejorar su seguridad en el manejo de datos. En un entorno donde la ciberseguridad es más crítica que nunca, iniciativas como esta son esenciales para proteger la información sensible y garantizar la confianza del público en los servicios digitales ofrecidos por las instituciones de salud y otros sectores.
