Red Seguridad 098

98 red seguridad tercer trimestre 2022 opinión ponsable de la seguridad será distinto del responsable del sistema, no debien- do existir dependencia jerárquica entre ambos. En aquellas situaciones excep- cionales en las que la ausencia justifi- cada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de di- ferenciación de responsabilidades (…).” Además, un aspecto característico del sector en cuanto a seguridad es que los responsables de electromedicina han estado tradicionalmente ocupados en el correcto funcionamiento de los equipos médicos y en su disponibilidad. Por tanto, sus funciones apenas se han visto vincu- ladas a los responsables de sistemas y, mucho menos, a los de seguridad. Sin embargo, es necesario un gran cambio cultural a nivel organizativo en este sentido, ya que los equipos de electromedicina están conectados a las redes y a Internet, por lo que necesitan conectividad y seguridad para su funcio- namiento. Si comparamos las caracterís- ticas de estos equipos a las de la OT en la industria, comparten que son equipos críticos para los servicios de la organi- zación, con protocolos propios poco o nada diseñados para la seguridad y con dificultades para su identificación y ges- tión en las redes. Los responsables de infraestructuras se encuentran en una situación similar a los responsables de electromedicina. Los sistemas bajo su responsabilidad tenían antes, por lo general, redes in- dependientes de las generales del hos- pital o, simplemente, no se conectaban a los sistemas. No obstante, el continuo avance de la tecnología hace que aho- ra haya dispositivos como las smart TV, con capacidad de conexión a Internet y accesibles a cualquiera que se en- cuentre en una habitación del hospital o centro médico. Coordinación En resumen, para garantizar la seguridad de estos equipos es imprescindible la co- laboración y coordinación de los cuatro perfiles −responsable de ciberseguridad, de TI, de infraestructuras y de electro- medicina− porque, de otra forma, no es posible garantizar la seguridad de los equipos y, por ende, la de los pacientes. Tampoco debemos olvidar al delegado de protección de datos, bajo cuya res- ponsabilidad está el tratamiento de los datos personales. En un centro sanitario, los datos de salud están implicados en casi todos los servicios y tratamientos. Y aunque hay una responsabilidad vincu- lada a temas legales y de derechos de los ciudadanos, esta figura es también responsable de que el tratamiento se haga con todas las garantías necesarias de seguridad. De hecho, esta coordinación está tam- bién recogida en el artículo 3 del ENS, que indica que el análisis de riesgos exi- gido en el Reglamento General de Pro- tección de Datos debe estar coordinado con el análisis de riesgos recogido en el propio ENS. Y, también, cuando incluye los riesgos derivados del tratamiento de datos personales en las políticas de se- guridad en su artículo 12. En definitiva, la responsabilidad de supervisión de la seguridad del tratamiento del delegado de protección de datos en un centro sa- nitario exige una estrecha colaboración con el responsable de ciberseguridad. Con más de 500 instituciones afecta- das este año, según el Instituto Nacio- nal de Ciberseguridad, el sector sanita- rio tiene por delante un reto que pasa, imprescindiblemente, por la coordina- ción entre los distintos responsables de la seguridad en los centros médicos, la identificación de los perfiles involucra- dos, la asignación de responsabilida- des y una apuesta por las soluciones adecuadas para prever y reducir el im- pacto de los ciberataques que garanti- ce el funcionamiento correcto de las in- fraestructuras y, por tanto, la seguridad de los pacientes.