124 red seguridad segundo trimestre 2025 opinión Este artículo se hace con la finalidad de mostrar cómo sería determinar la categoría del sistema de información que, de conformidad con el artículo 40 del Esquema Nacional de Seguridad (RD 311/2022 de 3 de mayo), resulta aplicable a los sistemas de información que dan soporte a los servicios de monitorización de glucosa y sistemas de infusión de insulina que deben intervenir en la transmisión de los datos de salud y que, a su vez, han de integrarse con la historia clínica electrónica. Antecedentes Multitud de servicios y consejerías de salud optan por implantar este tipo de sistemas para mejorar la calidad de vida y la atención de los pacientes que sufren estos trastornos en los niveles de glucosa. Y tal y como establece el artículo 2.3 del RD 311/2022 de 3 de mayo, y lo establece específicamente, “los pliegos de prescripciones administrativas o técnicas de los contratos que celebren las entidades del sector público incluidas en el ámbito de aplicación de este real decreto contemplarán todos aquellos requisitos necesarios para asegurar la conformidad con el ENS de los sistemas de información en los que se sustenten los servicios prestados por los contratistas, tales como la presentación de las correspondientes declaraciones o certificaciones de conformidad con el ENS”. La necesidad de cumplir con estos requisitos es lo que da pie a este informe técnico. Consideraciones preliminares Lo primero que este técnico quiere establecer es el motivo por el cual es fundamental categorizar un sistema de información correctamente. La correcta determinación de la categoría de un sistema de información es un proceso fundamental, ya que de la categoría del sistema de información depende la selección de medidas de seguridad que un organismo debe seleccionar e implantar para proteger adecuadamente sus sistemas de información, porque con esto se minimiza el impacto (daño) que un incidente de seguridad provocaría. Una mala categorización genera que el sistema de información pueda ser más vulnerable frente a las amenazas a las cuales el sistema se ve expuesto, ya que las medidas a implantar para protegerlo están vinculadas a esa categorización. Documentación de referencia Para la generación del presente informe se han tenido en consideración las siguientes disposiciones normativas: Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Guía 803 valoración de un sistema de información en el ENS (Guía de Seguridad de las TIC CCN-STIC 803). Guía CCN-STIC-808 verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad. Metodología Para llevar a cabo la categorización del sistema de información que nos permita decidir en último término la categoría de seguridad que le corresponde, estos son los pasos que deben llevarse a cabo: Crearemos un modelo con lo que deberían tener los sistemas de información que dan soporte a los servicios de monitorización de glucosa y sistemas de infusión de insulina que han de intervenir en la transmisión de los datos de salud y que, a su vez, deben integrarse con la historia clínica electrónica. Valoraremos, según la Guía 803 del Centro Criptológico Nacional (CCN), la información y los servicios en las dimensiones de disponibilidad en caso de los servicios demandados; y la autenticidad, integridad, confidencialidad y trazabilidad en el caso de los datos. Determinaremos la categoría del sistema de información basándonos en la valoración que hayamos hecho de los diferentes niveles. Categorización en el ENS de un sistema de monitorización con sensores Antonio Grimaltos Experto en Ciberseguridad
RkJQdWJsaXNoZXIy MTI4MzQz