caso de éxito

Seguridad 360º: Velando por la viabilidad de más de 295 aplicaciones

Cliente

Oficina de Seguridad de Sistemas de Información Sanitaria (OSSI) dependiente del Servicio Madrileño de Salud (SERMAS) de la Consejería de Sanidad de la Comunidad de Madrid (CSCM)

Sector

Sanidad Digital

Capacidades utilizadas

  • Personal técnico y jurídico para realizar un análisis 360º de los aplicativos que vayan a pasar a producción.
  • Software para análisis dinámico y estático de las vulnerabilidades.
  • Cuestionario sobre aspectos relevantes relativos a protección de datos y sistemas de información.
  • Parametrización de los controles aplicables.

Situación

En 2016 se notificó a la OSSI la existencia de aplicativos en la Consejería de Sanidad que se instalaban sin ningún tipo de restricción lo que producía que la organización fuese más vulnerable a fallos y ataques, así como a incumplimientos normativos. Todo ello teniendo en cuenta, que nos encontramos en un sector tan sensible y con tanto valor en el mercado negro.

En este sentido, y persiguiendo hacer efectivo lo establecido en el Reglamento General de Protección de Datos 2016/679, de 27 de abril de 2016, sobre el principio de responsabilidad proactiva, que se traduce, entre otras cosas, en implementar controles adecuados para mitigar el riesgo, así como medidas que permitan garantizar la privacidad desde el diseño, entendiendo ésta como la aplicación de garantías de protección de datos desde la fase inicial de planificación para cualquier desarrollo tecnológico. Por otra parte, implica también la privacidad por defecto, entendida como la aplicación de medidas que garanticen que únicamente se tratan los datos necesarios para la finalidad perseguida.

Para este fin, para cada nuevo proyecto de sistema de información, se deberá crear un primer documento de definición y alcance del tratamiento de datos y medidas de seguridad, en el que se aporte la información básica que garantice la viabilidad del aplicativo.

Adicionalmente, en la Disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales se indica que las Administraciones Públicas tienen la obligación de implantar y cumplir con lo establecido en el Esquema Nacional de Seguridad que resulte de aplicación.

Tareas

Desde la OSSI se desarrolla una metodología de análisis basada en la realización de un “Análisis preliminar de viabilidad de aplicativos” (AVA), que tiene como objetivo el análisis previo de la aplicación, a fin de detectar problemas básicos que se pueden encontrar en el futuro, y la viabilidad preliminar (o no) de la misma, otorgando la oportunidad al responsable de solucionar los problemas iniciales que se hayan detectado.

El AVA incluye una serie de preguntas específicas destinadas a conocer en profundidad la funcionalidad del aplicativo, así como, las medidas de seguridad concretas previstas en las disposiciones del ENS y RGPD.

En este documento, además de recoger las especificaciones técnicas para la implementación de una aplicación, se realiza una revisión adicional desde una perspectiva de protección de datos, con el fin de comprobar que, aquel organismo que haya solicitado la instalación de cualquier aplicativo, haya informado con carácter previo.

Con la información cumplimentada, la OSSI emite una serie de recomendaciones destinadas a que dicho aplicativo cuente con las medidas necesarias para garantizar su cumplimiento en materia de protección de datos y seguridad de la información.  Posteriormente, las recomendaciones emitidas, son validadas y firmadas por el Comité Delegado de Protección de Datos de la CSCM, de acuerdo a las competencias recogidas por el RGPD sobre la supervisión de las disposiciones contempladas en el mismo.

Esta metodología pretende ser un control efectivo y preventivo de privacidad desde el diseño, teniendo en cuenta que ningún aplicativo se instalará en la CSCM, sin el visto bueno de la OSSI y del Comité Delegado de Protección de Datos de la CSCM.

Acción

Desde la OSSI se emiten una serie de recomendaciones jurídico-técnicas sobre los sistemas de información que sean objeto de análisis, con el fin de que las organizaciones responsables, incorporen las mejoras propuestas o medidas compensatorias con carácter previo a su puesta en producción.

En caso de estimarse necesario, se mantienen reuniones con los intervinientes necesarios con el fin de aclarar aquellos aspectos que se consideren relevantes.

Durante el transcurso del análisis es habitual solicitar subsanaciones por falta de información, o incluso determinar que el sistema es no viable.

Actualmente, y entendiendo el avance tecnológico impulsado por la situación excepcional del COVID-19, se ha incrementado sustancialmente el análisis de aplicaciones que contemplan tecnologías avanzadas basas en Big data, Iot, IA. Lo que ha supuesto entre otras cosas, la supervisión de los procesos de anonimización, para asegurar la irreversibilidad de los datos.

Así mismo, y con la caída del privacy shield, se ha visto incrementado el número de aplicaciones que no contaban con las garantías necesarias para la realización de transferencias internacionales, por lo que ha resultado necesario realizar un análisis pormenorizado de las mismas.

Resultado

El control jurídico y técnico antes de la puesta en producción de las aplicaciones ha permitido:

  • Implementar acciones que tienen por objetivo la privacidad desde el diseño.
  • Mejorar con carácter global el cumplimiento en materia de protección de datos, mediante, la actualización o nueva firma de los “Contratos de Encargado de Tratamiento” con los proveedores y “Acuerdos de Confidencialidad” personalizados, en cumplimiento del Reglamento General Europeo de Protección de Datos y demás legislación vigente.
  • La adecuación de los requisitos técnicos del software a las necesidades reales de las organizaciones de la CSCM.
  • El control sobre posibles brechas de seguridad en los Sistemas de Información instalados mediante la realización de los correspondientes análisis de vulnerabilidades.
  • Centralización y actualización del inventario de aplicaciones que conforman el entramado de la CSCM.
  • Descartar aplicaciones que, por sus características y prestaciones, podrían poner en riesgo la información de la organización.
  • Mayor colaboración entre los servicios y organizaciones de la CSCM, optimizando los recursos y la administración de los sistemas.