El Sector Salud es uno los principales consumidores de ciberseguridad. Tanto desde el punto de vista de la Protección de Datos, por ser habitualmente Responsables o Encargados de Tratamiento, como desde el cumplimiento específico del ENS, dado que las entidades públicas deben cumplir y proveedores TI del Sector Público ven repercutida la obligación del cumplimiento. Así que, en este ámbito, la gestión de la seguridad de la tecnología es fundamental. Más allá de habilitar la posibilidad de presentarse a pliegos y poder dar servicios relacionados con la salud, que también.
Si bien el tamaño de la Multinacional es mareante (más de 100 mil empleados en todo el mundo) el servicio a certificar es muy concreto y solo a nivel España, con lo que se reduce muchísimo el Alcance. Lo analizamos con mucho cariño para incluir sólo lo necesario porque estas empresas tan grandes suelen tener poco margen de maniobra, como más adelante pudimos comprobar.
El arquetipo es el de una entidad que tiene una excelente base de seguridad tecnológica (basada en la 27002) y que busca la certificación para, principalmente, poder seguir generando confianza en sus servicios a los clientes del sector Salud en los que está presente y poder presentarse a nuevos pliegos. El objetivo concreto que nos proponen es alcanzar la certificación en un nivel MEDIO con un doble objetivo: disponer del certificado y, en cierta manera, valorar el impacto de los trabajos durante el proceso de integración antes de abordar objetivos más ambiciosos.
Los puntos de dolor (el «pain») de una multinacional suelen ser diferentes que en una PYME. Por concretar, os resaltamos un par, aunque uno de ellos es también un «gain». El principal dolor es la «rigidez» en tanto en cuanto, la gestión de la ciberseguridad se centraliza en un único punto y estaba pensada como de un único dominio de seguridad. Eso tiene sus ventajas, lógicamente, pero desde el punto de vista de un cumplimiento específico y exhaustivo como el ENS un buen número de medidas de seguridad chocaban con una implementación no alineada (o insuficientemente alineada) con el ENS. Ese desacople no era fácil abordar porque la centralización de la seguridad no favorecía en nada implementaciones de ciberseguridad específicas para dominios concretos. Esto generó más de un dolor de cabeza.
El otro ‘punto de dolor’ que a la vez es un ‘beneficio’ es la implementación de la 27002 como referencia de ciberseguridad. En sí es bueno, pero el alcance de la 27002 era a nivel global de la compañía y el cumplimiento del ENS era a nivel España con lo que había huecos por rellenar o implementaciones que se quedaban cortas. Total que hubo que hacer un análisis pormenorizado y un «matching» para poder utilizar toda normativa posible ya desarrollada, pero generar los criterios, procedimientos y evidencias que la 27002 no contemplaba. Todo un rompecabezas.
Fundamental ahí la labor de la persona responsable del proyecto en la multinacional porque, en estos casos, el conocimiento interno es absolutamente clave para llevar a buen puerto el proyecto. Y más en una empresa global.
El servicio a certificar prestado por la entidad no era en exceso complejo ni extenso, pero la responsabilidad de la administración de la seguridad recaía en la empresa matriz que estaba ubicada en otro país y se manejaba en otro idioma. Total: complicaciones. Los técnicos no siempre están por la labor de prestarse de buena gana a los asuntos relacionados con el cumplimiento. Eso ocurre aquí y en todos lados. Eso sí, desde el punto de vista tecnológico, la ciberseguridad estaba como los chorros del oro.
La integración
La hoja de ruta del proyecto se abordó en cinco iteraciones, que se llevaron a cabo repartidas en siete meses (con el verano de por medio) con las que diseñar, desarrollar y completar un Sistema de Gestión para la filial española que encajara con el Sistema de Gestión de la matriz y desplegar e integrar ciertas medidas del ENS que no estuvieran implementadas con la 27002 de la matriz. Todo un encaje de bolillos.
La comprobación de la Lista de Tareas Técnicas inicial y el diseño del Programa de Seguridad nos dio ya inicialmente una imagen muy precisa del estado de la ciberseguridad técnica (que ya intuimos que era buena), pero también de cómo implementar la parte organizativa dentro de la filial. En ello nos centramos durante el proyecto. Con cada Comité asentábamos las acciones y decisiones tomadas durante la iteración y habilitábamos las de la siguiente iteración. Con las sucesivas iteraciones íbamos además generando la dinámica de cumplimiento que es esencial para la construcción de un Sistema de Gestión sostenible y alcanzar el ENS con MADAC. Las NC que hubo en la Auditoría de certificación estaban en su gran mayoría relacionadas con aspectos concretos de documentación y con ciertas implementaciones técnicas que estaban preestablecidas desde la matriz y que no se podían cambiar y que se subsanaron con medidas compensatorias.
Los puntos clave de este proyecto
El primero. Hacer una correcta selección del ALCANCE. Fue fundamental en este caso para establecer correctamente la parte tecnológica, pero aún más importante para establecer responsabilidades claras entre la matriz y la filial. A la ciberseguridad en concreto, y a la seguridad en general, no le gusta que haya zonas grises en las responsabilidades. El ENS se enfoca muy claramente en que queden patentes las relaciones con el proveedor, independientemente de que el proveedor tecnológico principal sea la propia matriz de la empresa.
El segundo. ENCAJE de los SISTEMAS DE INFORMACIÓN y de la SEGURIDAD DE LA INFORMACIÓN. Es decir, el trabajo de análisis pormenorizado del Sistema de Gestión (27001) y de la Seguridad de la Información (27002) vigente de la matriz (aunque no certificado), que en gran medida sirve para la filial, pero no en todos los casos, dado que el ENS es más restrictivo y preciso en sus requisitos. De ese análisis surgió que se pudo utilizar mucha documentación y medidas de seguridad implementadas. Y por otra parte, se fue muy quirúrgico a la hora de generar documentación y procesos dentro de la filial y que en ningún caso contravinieran las directrices de la matriz.
El Tercero. Fundamental. La CONFIANZA plena tanto del Comité de Seguridad como de la persona responsable del proyecto en esta metodología ágil (MADAC) y en el equipo Cibergob para poder guiarles en el camino a la zona de cumplimiento del ENS sin salirnos de los requisitos de la empresa matriz.
Equipo CIBERGOB