"Es muy difícil estar a la altura de los ciberatacantes"

El Servicio Madrileño de Salud (SERMAS) presta atención sanitaria a millones de habitantes. ¿Con qué recursos e infraestructura cuenta actualmente?

El Servicio Madrileño de Salud presta un servicio esencial, el de la sanidad, a seis millones de ciudadanos de Madrid. Luego, aparte, tiene hospitales de referencia. Por lo tanto, también ofrece servicio a más ciudadanos de fuera de la Comunidad.

Hablando de volumetría, está formado por 35 hospitales de gestión privada y pública. En cuanto a servicios de seguridad, aunque son 29 los de gestión pública, también monitoriza los de gestión privada porque las comunicaciones son directas y compartidas. Adicionalmente, el SERMAS tiene más de 430 centros de atención primaria, así como el SUMMA.

Por otro lado, hay dados de alta en el directorio activo unos 150.000 usuarios, cuenta con 80.000 empleados, maneja más de 1.200 sistemas de información y tiene más de 2.800 conexiones con farmacias. Por tanto, el volumen del SERMAS, en cuanto a datos, es muy alto.

Y respecto a datos de seguridad, monitoriza alrededor de 160.000 dispositivos, analiza anualmente millones de eventos de ciberseguridad y tiene sondas desplegadas en más de 60 centros de salud.

«No ha habido ni una sola semana que no me hayan notificado algún ‘ransomware’ en el sector sanitario»

¿Cómo se organiza la ciberseguridad del Servicio Madrileño de Salud y de quién depende estructuralmente?

La organización ha cambiado en esta legislatura. Anteriormente, la seguridad dependía de la Dirección General de Sistemas de Información del SERMAS. Ahora se ha creado una Consejería de Digitalización, la primera en España, y todo lo relacionado con las TIC se incluye en ella. Por lo tanto, la informática del SERMAS ha pasado a esta consejería, con una dirección general llamada Salud Digital, y la seguridad depende de ella. Es un cambio a nivel organizativo alto.

En cuanto a nuestra organización, ya sabe que hay tantas organizaciones de seguridad como organizaciones existen. Nosotros tenemos una Oficina de Seguridad, de la que soy la responsable. Además, está en ciernes la creación de una nueva Oficina de Auditoría Interna para auditar tanto esa Oficina de Seguridad como todos los centros sanitarios y todo lo que conllevan las TIC, para saber dónde estamos fallando y poder seguir con ese ciclo de mejora continua, que es fundamental.

Por otro lado, hemos decidido que haya personal experto en ciberseguridad en cada una de las áreas que tiene Salud Digital. Con ellos trabajamos estrechamente, mantenemos una total coordinación y dependen funcionalmente de la CISO.

Por último, cabe destacar la creación de la Agencia de Ciberseguridad de la Comunidad de Madrid para coordinar todos los entes que existen en este territorio con competencias en seguridad y crecer a un mismo nivel de madurez.

¿En qué situación diría que se encuentra la ciberseguridad del sector sanitario español en general y de la Comunidad de Madrid en particular? ¿Qué acciones está llevando a cabo el Servicio Madrileño de Salud en este sentido para fortalecer este ámbito?

Para poder dar un buen servicio debes saber a qué te enfrentas y qué está ocurriendo en el resto de lugares. Nosotros tenemos un servicio de vigilancia digital donde a mí me notifican cada semana cuáles son los ciberataques relacionados con el sector sanitario. De hecho, todas las semanas me notifican varios incidentes. Yo creo, por ejemplo, que no ha habido ni una sola que no me hayan notificado algún ransomware en el sector. Aunque también hay mucha exfiltración de datos.

Por tanto, el panorama es preocupante. No sé compararlo con el resto de sectores, pero nuestro CERT de referencia, el Centro Criptológico Nacional, nos advierte en sus informes quincenales de que la sanidad está al alza en cuanto a ciberataques y que se prevé que continúe siendo uno de los focos objetivos de los cibercriminales.

¿Y qué estamos haciendo? Entre otras cosas, en nuestro servicio de vigilancia digital, donde además nos reportan cuáles son las vías de entrada, analizamos qué está ocurriendo, por dónde se mueven estos ciberatacantes y qué es lo que buscan. De esa manera, conocemos mejor cómo nos podemos proteger, qué es lo que más les interesa y cuáles son sus técnicas, tácticas y procedimientos para poder minimizar riesgos.