Red Seguridad 102

red seguridad tercer trimestre 2023 33 salud 5.0 monográfico evitar estos ataques y, si no es posible evitarlos, minimizar sus consecuencias? Las respuestas están en la Disposi- ción adicional primera, “Medidas de seguridad en el ámbito del sector públi- co”, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Per- sonales y garantía de los derechos digi- tales. Ésta dice: “El Esquema Nacional de Seguridad (ENS) incluirá las medi- das que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tra- tamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679”. Es decir, como integrantes de las ad- ministraciones públicas y, por ende, en- tes a los que aplica el cumplimiento del ENS, las personas responsables de los servicios sanitarios públicos, actuando como responsables del tratamiento, de- ben aplicar a los tratamientos de datos personales que lleven a cabo las me- didas de seguridad que correspondan de las previstas en el ENS (medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo). Estas medidas también deberán ser aplicadas tanto por el/los encargados del tratamiento con los que el respon- sable trabaje como por cualquier otra entidad que preste un servicio a dicho responsable bajo cualquier régimen (encomienda de gestión, encargo, con- trato, concesión…). Y ya que hablamos de actividades de tratamiento, no hay que olvidar que en el caso de entidades sanitarias es obli- gatorio (básicamente porque incluyen categorías especiales de datos) por parte del responsable y del encargado o de sus representantes llevar un regis- tro de dichas actividades de tratamien- to efectuadas bajo la responsabilidad de estas entidades. Gestión de la seguridad Para poder cumplir con el ENS (Real De- creto 311/2022, de 3 de mayo), muchas organizaciones se basan en la opera- ción de un sistema de gestión de la se- guridad de la información (un sistema basado en la mejora continua) como puede ser la ISO 27001. Eso sí, con las adaptaciones pertinentes, ya que, por ejemplo, el ENS trabaja con cinco dimensiones o garantías de seguridad (disponibilidad, integridad, confidencia- lidad, autenticidad y trazabilidad) y la ISO 27001 sólo considera tres: disponi- bilidad, integridad, confidencialidad. Las entidades obligadas a cumplir con el ENS deben disponer de procedi- mientos para la gestión de incidentes y su registro, considerando los incidentes como sucesos inesperados o no desea- dos con consecuencias en detrimento de la seguridad de las redes y sistemas de información, y que se correspon- den con las medidas de seguridad [op. exp.7] y [op.exp.9] del ENS, encuadra- das en el marco operacional (en el área de la explotación). Este marco protege la operación del sistema como un con- junto integral de componentes para un fin; y si un incidente de seguridad afecta a datos personales, pasa a ser una brecha de seguridad de datos per- sonales. Por tanto, se deberá notificar a la autoridad de control competente, entrando en juego el delegado de pro- tección de datos de la entidad. Otras medidas de protección a aplicar dentro de este marco operacional son la [op.exp.6] “protección frente a código dañino”, que entre otros aspectos toma en consideración herramientas para detectar actividades sospechosas en puestos de usuario y servidores (herra- mientas denominadas EDR), así como el “mantenimiento y actualizaciones de seguridad” [op.exp.4], que hace referen- cia a la política de actualizaciones de seguridad, parches y nuevas versiones de productos.