Contacte
El Model integral de ciberseguretat pel sector sanitari és l’eina que l’Agència de Ciberseguretat de Catalunya (ACC) posa a disposició de les entitats per tal de promoure la ciberseguretat amb l’objectiu de reduir l’exposició a les amenaces actuals de l’entorn sanitari i, conseqüentment, reduir l’afectació enfront de ciberatacs. Les iniciatives associades a aquest model són les següents:
- Desplegament del Model integral de ciberseguretat als diferents àmbits del sector sanitari, començant per l’atenció especialitzada, i fent-lo extensiu progressivament a l’atenció sociosanitària i de salut mental, i a l’atenció primària.
- Un cop desplegat el Model, posada en marxa de les oficines de serveis recurrents per al seguiment i l’evolució de la ciberseguretat en els àmbits desplegats.
- Visibilitat de l’àmbit i detecció de situacions anòmales que podrien transformar-se en un incident de ciberseguretat.
El Model de protecció proposat es divideix en 5 fases:
Identificació del grau actual de protecció de l’àmbit sanitari respecte a les principals amenaces aplicables:
- Anàlisi externa de febleses i riscos (pentest)
- Consultoria interna (arquitectura, ENS, backup, segmentació, obsolescència, etc.)
Determinació del Pla de Seguretat per a cada hospital per tal de desenvolupar més resiliència davant les amenaces:
- Pla de Seguretat: conjunt de projectes per reduir les febleses
Desplegament dels processos i serveis associats a la integració de l’hospital amb l’ACC:
- Integració en el SOC – Salut
- Definició del model de relació
- Desplegament del Protocol de resposta davant incidents
Desplegament de diferents serveis i d’oficines amb l’objectiu de desplegar diferents funcionalitats i capacitats:
- SOC – Salut (Monitoratge i Resposta 24x7). Desplegament a partir de la integració dels registres de les eines tecnològiques de seguretat de l’entitat, de capacitats d’intel·ligència operativa, detecció, prevenció i resposta.
- Programa de Formació i Capacitació. Generació d’un pla de formació per a diferents col·lectius i els continguts corresponents.
- Oficina d’Adequació Normativa. Acompanyament de les entitats en el compliment de l’Esquema Nacional de Seguretat i preparació per a la certificació, inicialment en el Perfil de Compliment de Requeriments Essencials (35 controls) i posterior evolució cap al Perfil Específic de Salut (54 controls).
- Servei de Governança i Comunicació. Acompanyament periòdic a les entitats i seguiment de les accions del pla d’acció per fer seguiment de l’evolució de l’entitat en relació amb els objectius fixats pel que fa al perímetre de seguretat i al compliment de l’ENS, així com resoldre vulnerabilitats i reduir l’exposició a l’amenaça.
- Oficina d’Evolució en Ciberseguretat. Resolució de dubtes tècnics i suport als projectes transversals de Salut i les entitats previstes en l’abast del projecte.
- Simulacres d’incidents. Sessions preparatòries amb les entitats perquè coneguin com es gestiona una cibercrisi i avaluar-ne la capacitat de gestió enfront d’un ciberincident i el seu grau de preparació a través d’exercicis teòrics i pràctics, sense afectació en l’atenció assistencial.
La cinquena fase de Certificació en l’Esquema Nacional de Seguretat (ENS) facilita la certificació de les entitats a través de l’ACC la qual, des del 4 d’agost de 2023, està reconeguda com a Òrgan d’Auditoria Tècnica (OAT).