Red Seguridad 102
34 red seguridad tercer trimestre 2023 monográfico salud 5.0 Recuperación Dentro del marco operacional del ENS anteriormente descrito, y para la con- tinuidad del servicio, existen una serie de medidas que sirven, entre otras co- sas, para poder recuperar los sistemas de información de los ciberataques. Por ejemplo, los del tipo ransomware , que afectan a datos personales y en los que se ven comprometidas, sobre todo, las garantías de confidencialidad y disponi- bilidad de dichos datos personales. Entre estas medidas cabe destacar: [op.cont.2] el “plan de continuidad” (plan que establece las acciones que se deben realizar en caso de interrupción de los servicios que se prestan con las herramientas habituales); [op.cont.3] las “pruebas periódicas”, para compro- bar que el plan de continuidad funciona de forma adecuada; y [op.cont.4] los “medios alternativos”, para poder seguir prestando servicio utilizando medios al- ternativos a los que han quedado fuera de servicio. Estas medidas inciden en la garantía de disponibilidad. El ENS también establece una serie de medidas de protección propiamente di- chas para salvaguardar los datos de los sistemas de información ante quiebras de seguridad. Entre ellas destaca, den- tro del área de protección de la informa- ción, la medida [mp.info.1] “datos per- sonales”, que recoge los requisitos de protección de datos que fija el respon- sable o encargado del tratamiento en colaboración con la persona delegada de protección de datos. Ha de tener en cuenta la evaluación de impacto, siem- pre y cuando ésta se haya realizado. No obstante, el ENS indica que se pueden “reforzar” las medidas de segu- ridad. Cuando hablamos de datos per- sonales sanitarios se puede utilizar la técnica de seudonimización: se oculta la identidad de las personas sustituyen- do uno o dos identificadores personales por identificadores artificiales y prote- giendo la relación de los identificado- res personales con los artificiales para desvincularlos. También es importante la conciencia- ción y formación de las personas, que también son medidas de protección en el ámbito del ENS: [mp.per.3] y [mp. per.4]. Por todo ello, podemos concluir que, para las entidades públicas sanitarias y organizaciones obligadas, el cum- plimiento del ENS es una herramienta que si bien no va a evitar que se su- fran ciberataques que afecten a datos personales, sí va a suponer un marco de referencia para enfrentarse a estos ataques, establecer acciones de con- tención inmediatas, proteger los datos y poder restablecer en el menor periodo de tiempo posible los sistemas y servi- cios afectados. Así se puede conseguir que la severidad del ataque sea lo más baja posible, además de servirnos como marco de referencia común de mejora continua. Cuando hablamos de datos personales sanitarios se puede utilizar la técnica de seudonimización
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz