Red Seguridad 102

40 red seguridad tercer trimestre 2023 monográfico salud 5.0 Dentro del Estado español, cabe hacer especial mención de la nueva metodología μCeENS 9 que está desa- rrollando el CCN para facilitar la ade- cuación y posterior certificación de los organismos públicos al ENS. Para ello ha desarrollado una serie de perfiles de cumplimiento específico (guías CCN- STIC 890A y CCN-STIC 890C ) con los ob- jetivos de control marcados por el ane- xo II del ENS (requisitos esenciales de seguridad) que deben aplicarse como mínimo para conseguir un nivel de pro- tección aceptable de los sistemas y de la información contenida. Además, esta metodología pone a disposición de los organismos públicos las herramientas de la ciberseguridad nacional INES y AMPARO para facilitar la implantación de un marco de gober- nanza que designe roles y responsa- bilidades, clave para la gestión de la ciberseguridad y la toma de decisiones estratégicas. En lo referente al cumplimiento de medidas a adoptar, la Guía CCN-STIC 890C 10 declara de aplicabilidad un conjunto de 35 medidas de las indica- das en el anexo II del ENS, facilitando a aquellas entidades comprendidas en su ámbito de aplicación a alcanzar una mejor y más eficiente adaptación al ENS. Se pone especial interés en los organismos sanitarios, ya que permite garantizar que las medidas de seguri- dad implementadas son las necesarias y proporcionales en relación con el con- texto de la amenaza, nivel de madurez, riesgo residual asumible y recursos dis- ponibles, así como minimizar el número de ataques o el impacto producido por ellos. El objetivo final que se persigue es po- sibilitar el cumplimiento del ENS de los sistemas de información de categoría básica que soportan la tramitación de ciertos servicios prestados por los orga- nismos públicos que presenten dificulta- des para abordar el proceso de adecua- ción al Esquema. Por tanto, a modo de corolario, la ci- berseguridad no es solo una preocupa- ción presente en las empresas privadas. Cada vez más, las distintas administra- ciones públicas toman conciencia de la necesidad de protegerse frente a las amenazas digitales, llegando a definir sus propios marcos de control de la ciberseguridad y estableciendo regula- ciones, normativas o leyes de obligado cumplimiento y mecanismos técnicos y de gobernanza que facilitan su implan- tación de manera rápida, gestionada y efectiva. Así consiguen el mínimo grado de conformidad exigible en el cumpli- miento con requisitos esenciales. Referencias 1 www.eleconomista.es/salud/noticias/ 12211068/03/23/los-ciberataques-al- sector-sanitario-se-disparan-un-650. html 2 El Canal de denuncias es una herra- mienta desarrollada fruto de la cola- boración entre las empresas IDBO y Procesia: procesia.com/canal-de-de- nuncias/ y idbocompliance.com/com- pliance/servicios/canal-denuncias/ 3 www.boe.es/doue/2016/119/L00001- 00088.pdf 4 Conjunto completo de requisitos a alto nivel a tener en cuenta para realizar un control efectivo de la ciberseguridad aplicada a los sistemas que manejan información. 5 NIST: National Institute of Standards and Technology. 6 www.nist.gov/cyberframework/upda- ting-nist-cybersecurity-framework-jour- ney-csf-20 7 www.boe.es/buscar/act.php?id=BOE- A-2022-7191 8 Organismo responsable de dar res- puesta a las necesidades planteadas en el Real Decreto 421/2004, de 12 de marzo. Dentro de estas necesidades está la de contribuir a la mejora de la ciberseguridad española. 9 Metodología para alcanzar la certifica- ción de conformidad en el ENS en base a un perfil de cumplimiento específico. 10 www.ccn-cert.cni.es/pdf/guias/6957- ccn-stic-890c-perfil-de-cumplimiento- especificode-requisitos-esenciales-de- seguridad/file.html