Red Seguridad 106

red seguridad tercer trimestre 2024 57 salud 5.0 entrevista de correos que nos hacen llegar don- de se cuestionan su autenticidad, tanto en los simulacros como ante posibles ataques de phishing reales. Además, hemos visto un aumento de preguntas y consultas relacionadas con este tema, lo que refuerza la idea de que la concien- ciación está calando profundamente en la organización. En su opinión, ¿cuáles son los pilares fundamentales que deben disfrutar las organizaciones sanitarias en general y las que su ámbito de actuación es la investigación en particular para dispo- ner de una política de ciberseguridad, privacidad y protección de datos acor- de a las necesidades? Los pilares fundamentales en los centros de investigación biomédica se articulan en torno a varios elementos clave. Primero y fundamental, debe haber un compromiso firme desde la alta di- rección. La ciberseguridad, la privacidad y la protección de datos no pueden ser tareas delegadas únicamente al área técnica; deben formar parte integral de la estrategia organizativa. Y reitero, esta implicación es esencial para proporcio- nar los recursos y el soporte necesario para implementar una postura de segu- ridad efectiva. Además, la creación de un Comité de Seguridad de la Información es esencial para mantener a la organización actua- lizada en normativa y coordinar los es- fuerzos de todas las áreas en materia de seguridad, asegurando el cumplimiento del ENS y otras normativas. Así como asesorar a la dirección, revisar la política de seguridad y proponer mejoras. Y, por otra parte, un Comité Técnico de Seguridad de la Información que gestio- ne la implementación operativa de las medidas del ENS, llevar a cabo análisis de riesgos y promover programas de formación, garantizando que los proce- dimientos de seguridad se ajusten a las exigencias legales y operativas. Segundo, es vital contar con un mar- co normativo sólido y actualizado. Las organizaciones deben alinearse con normativas nacionales e internaciona- les, como es en el caso de los centros de Investigación Biomédica, el ENS y el Reglamento General de Protección de Datos. Estas normativas proporcionan un marco adecuado para gestionar la seguridad y la privacidad de los datos, además, su cumplimiento debe ser un objetivo continuo. Otro pilar consiste en garantizar que todo el personal utilice herramientas y equipos corporativos, principalmente, para disponer de un control centralizado de los dispositivos, aplicar configuracio- nes seguras, gestionar accesos y realizar auditorías periódicas. Esto no solo cum- ple con el principio del ENS de gestionar los activos de la organización, sino que también refuerza la seguridad mediante controles de acceso y supervisión. Otro cimiento es la concienciación y formación del personal. Las tecnolo- gías y procedimientos más avanzados no pueden ser efectivos si el factor hu- mano no está preparado. Invertir en la educación de los empleados sobre buenas prácticas de seguridad, tanto a nivel profesional como personal, es im- prescindible para prevenir ciberataques como el phishing y la ingeniería social y minimizar riesgos internos. Por último, una monitorización conti- nua y capacidad de respuesta rápida es vital. Las organizaciones deben estar en constante vigilancia para detectar y mi- tigar amenazas en tiempo real. Esto in- cluye tanto la implementación de herra- mientas de detección avanzada como la creación de equipos de respuesta ante incidentes, capaces de actuar de forma proactiva ante cualquier intento de ata- que o fuga de información. Estos pilares, combinados con una cultura organizacional de seguridad y privacidad, son esenciales para garanti- zar que las organizaciones sanitarias e investigadoras puedan proteger adecua- damente sus activos y cumplir con sus obligaciones éticas y legales.