ESPECIAL PROTECCIÓN DE DATOS Y CIBERSEGURIDAD EN LOS NUEVOS MODELOS ASISTENCIALESS
Plan de sensibilización basado en campañas de phishing en el Servicio de Salud de las Illes Balears (Ib-Salut) Aurora Ripoll Ingeniero Superior de Tecnologías de la Información en el Servicio de Salud de las Illes Balears
PALABRAS CLAVE Concienciación, sensibilización, phishing, correo electrónico, campañas
INTRODUCCIÓN El phishing es una técnica de ciberataque por medio de correo electrónico en la que los ciberdelincuentes, suplantando la identidad de una persona u organización, tratan de obtener información personal o confidencial de los usuarios. Este ataque es comúnmente utilizado para comprometer directamente a las organizaciones, por lo que la sensibilización de sus trabajadores en esta materia es uno de los aspectos clave para reducir el riesgo de exposición a este tipo de ataques y minimizar cualquier impacto relacionado. El Servicio de Salud de las Illes Balears (de aquí en adelante, “IB-Salut”) invierte grandes esfuerzos en formar y concienciar a sus trabajadores en materia de ciberseguridad, prestando especial atención a la actuación que estos deben realizar ante la recepción de posibles correos de phishing. Uno de los métodos utilizados por el IB-Salut para formar y concienciar a este respecto, es el lanzamiento de campañas internas de phishing, las cuales se basan en el envío controlado de correos electrónicos a sus profesionales simulando ser ataques reales de este tipo.
to 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad a través de su artículo 5 y las medidas referentes a Concienciación [mp.per.3] y Protección del correo electrónico (e-mail) [mp.s.1] las cuales son aplicables a todos los sistemas de información: Artículo 5. La seguridad como un proceso integral. [...] 2. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad. Medidas de protección referentes a la Concienciación [mp.per.3]. Se realizarán las acciones necesarias para concienciar regularmente al personal acerca de su papel y responsabilidad para que la seguridad del sistema alcance los niveles exigidos. En particular, se recordará regularmente:
OBLIGACIONES LEGALES
a) La normativa de seguridad relativa al buen uso de los sistemas.
Al hablar de la importancia que tiene la concienciación y sensibilización en materia de seguridad de la información, sin duda cabe recordar que dicha gestión es una obligación a la cual tenemos que dar cumplimiento las Administraciones Públicas según establece el Real Decre-
c) El procedimiento de reporte de incidentes de seguridad, sean reales o falsas alarmas.
28 _ INFORMÁTICA + SALUD 149
b) La identificación de incidentes, actividades o comportamientos sospechosos que deban ser reportados para su tratamiento por personal especializado.
