ESPECIAL PROTECCIÓN DE DATOS Y CIBERSEGURIDAD EN LOS NUEVOS MODELOS ASISTENCIALESS
Los marcos de control integrado como palanca para la gestión eficiente de los programas de cumplimiento y riesgo Luis Alonso Albir Responsable de la práctica de GRC Tools & Processes Integration en SIA, an Indra company
En el ámbito de la gestión de los riesgos tecnológicos, las Administraciones Públicas competentes en materia de sanidad se enfrentan al reto de tener que dar cumplimiento de múltiples regulaciones aplicables, tales como: •E n materia de privacidad, el Reglamento General de Protección de Datos y Ley Orgánica 3/2018. •E n materia de ciberseguridad, el Esquema Nacional de Seguridad. •E n el ámbito de la protección de infraestructuras críticas (para aquellos servicios de salud que hayan sido designados operador crítico y gestionen alguna infraestructura crítica) y/o de prestación de servicios esenciales, la ley 8/2011 y su regulación de desarrollo o el Real Decreto-Ley 12/2018 y regulación de desarrollo (seguridad de las redes y sistemas de información). Más allá de estos requisitos normativos, los servicios de salud autonómicos también están abordando procesos de alineamiento respecto a buenas prácticas y estándares internacionales, tales como ISO/IEC 27001 (sistema de gestión en seguridad de la información), ISO/IEC 27701 (sistema de gestión en privacidad), ISO 22301 (sistema de gestión de continuidad de negocio), o el NIST Cybersecurity Framework, entre otros. Todos estos lineamientos con los requisitos regulatorios como con buenas prácticas deben ser realizados en un contexto de políticas y planes de contención del gasto en las Administraciones Públicas, que requieren de la búsqueda y aplicación de nuevas fórmulas de eficiencia en su gestión, sin menoscabo de la eficacia y efectividad. La adopción de marcos de control integrado (Integrated Risk Management o IRM, por sus siglas 24 _ INFORMÁTICA + SALUD 149
en inglés) aparece como una solución adecuada a este contexto de incremento de la complejidad y búsqueda de la eficiencia. Su adopción persigue orquestar todos los esfuerzos que se realizan en este sentido y materializar sinergias a la hora de afrontar los retos habituales de una organización en el momento de implantar y operar marcos de control interno: •F unciones descentralizadas. • I ndependencia orgánica y funcional (estructura de silos). •N omenclaturas y taxonomías particulares. •E xcesivos costes tecnológicos y humanos. •B ajo nivel de documentación en los procesos. •D éficit de comunicación entre unidades organizativas. •E levado grado de manualidad en los procedimientos. •H eterogeneidad en los sistemas, programas y estructuras de datos. •A usencia de una visión holística y transversal. •E sfuerzo creciente en la adaptación a nuevas regulaciones y normativas. Uno de los habilitadores clave a la hora de implementar estos marcos de control integrados son las herramientas de GRC (Governance, Risk & Compliance), que permiten gestionar las múltiples dimensiones del riesgo y el cumplimiento de manera centralizada, aportando múltiples capacidades de manera nativa: •G estión unificada de elementos comunes (maestros) tales como procesos, políticas, controles, riesgos, amenazas, roles, flujos, etc. •G estión unificada de los catálogos de controles, lo que permite racionalizar los esfuerzos de
