Atos ha dado a conocer el Laboratorio de Seguridad de la Información creado para el Servicio Gallego de Salud, que ha elevado su nivel de seguridad y también la percepción, por parte de sus usuarios, de que su información es manejada con las máximas garantías. El Sergas dispone de un Cuadro de Mando que le permite disponer de un conocimiento preciso del estado de su seguridad. El proyecto de Atos ha permitido al Sergas agrupar una serie de servicios y contenidos en un Laboratorio de Seguridad de la Información. Además, se ha establecido un Servicio CERT homologado por la Universidad de Carnegie Mellon.
Solución integral
La solución de Atos contempla diferentes ámbitos de actividad como la elaboración de una Metodología de Seguridad de la información sanitaria, Guías técnicas de seguridad, los Contenidos del Portal de Seguridad de la información del Servizo Galego de Saúde, la Elaboración de un catálogo de Material Formativo en el campo de la seguridad de la información y la protección de datos en el entorno sanitario y un Centro de Respuesta ante Incidentes de Seguridad de la Información en el ámbito sanitario.
La metodología desarrollada contempla la Gestión de Incidentes de Seguridad, de acuerdo con el principio básico de “Prevención, reacción y recuperación”, y establece una Arquitectura Técnica de Seguridad que facilita una estrategia coordinada e integrada de las líneas de defensa frente a las amenazas. En paralelo, se ha creado un Cuadro de Mando de Seguridad, que permite evaluar la eficacia del sistema de gestión de la seguridad implantado. La metodología contempla también la Revisión independiente de la Seguridad, con el objetivo de disponer de información fiable y útil para la mejora de la seguridad de la organización, y la Gestión de Riesgos que incluye el soporte documental actualizado.
Guías técnicas
Desarrollan elementos como la conexión a los sistemas corporativos desde dispositivos móviles, la securización de los servicios de videoconferencia y mensajería, el establecimiento del marco para el desarrollo de aplicaciones de dispositivos móviles y el desarrollo de aplicaciones sobre todo tipo de plataformas que estén disponibles en el catálogo de arquitecturas tecnológicas soportadas por la organización. El objetivo de estas guías es el cumplimiento de la Arquitectura Técnica de Seguridad definida para la organización.
También se dispone de un Portal de Seguridad con un interfaz de colaboración con los usuarios del sistema sanitario, y una serie de contenidos prácticos, orientados a la información y concienciación en los aspectos de seguridad en Sistemas de Información.
Como parte fundamental del proyecto, se ha elaborado un catálogo de material formativo en el campo de la seguridad de la información y protección de datos en el entorno sanitario. Este material se organiza según distintos perfiles y en diferentes áreas, agrupadas en varios recorridos formativos: Sistema de Gestión de Seguridad de la Información; Estándares internacionales en materia de seguridad de la información; Recomendaciones generales de seguridad orientado a usuarios; Responsabilidad de uso de los sistemas, Uso de los servicios electrónicos de forma segura; Tratamiento de datos por parte de terceros, Recomendaciones generales de seguridad orientado a usuarios; Responsabilidad de uso de los sistemas; Uso de los servicios electrónicos de forma segura y Tratamiento de datos por parte de terceros.
Centro de Respuesta ante incidentes
Su implantación sitúa al Sergas como la institución de referencia en la Respuesta ante Incidentes de Seguridad en el entorno sanitario. Entre los retos del centro destaca la Gestión de Vulnerabilidades y la Gestión de Alertas e Incidentes, que incluye el establecimiento del flujo y operativa de trabajo.
