El Consejo de Cuentas de Castilla y León plantea 16 recomendaciones a la Gerencia Regional de Salud (Sacyl) para mejorar la gobernanza en materia de ciberseguridad. Entre ellas, propone incrementar la dotación de personal y presupuestaria e impulsar medidas de seguridad sobre los sistemas de información en la estructura periférica, conformada por seis gerencias de Atención Sanitaria y cuatro de área.
Hoy, el Pleno del Consejo de Cuentas aprobó el informe sobre el análisis de la gobernanza en materia de ciberseguridad de Sacyl, auditoría que será remitida a las Cortes y publicada en la página web de la institución fiscalizadora. En concreto, el trabajo señala que cumple con lo establecido en el Esquema Nacional de Seguridad (ENS) y la Directiva europea SRI 2.
En ese sentido, Cuentas indica que el personal dedicado a las tecnologías de la información y las comunicaciones (TIC) alcanzó en dicho ejercicio las 376 personas, de las que 15 se dedicaban específicamente a la seguridad de la información. En esta línea, los gastos en TIC sumaron 61 millones de euros, de los que 1,4 millones se destinaron a seguridad.
Asimismo, el Consejo asegura que Sacyl dispone de una política de seguridad, aprobada por Decreto en 2023, sobre la seguridad de los sistemas de información, que cumple con lo establecido por el ENS y la Directiva SRI 2. Además, dispone de un Código de conducta y buenas prácticas en materia de seguridad de la información y protección de datos.
El Comité de Seguridad de la Información de la Gerencia Regional de Salud ha aprobado 13 normas de seguridad de un total de 20 previstas. Las siete restantes se encuentran actualmente en fase de borrador. Además, cuenta con un conjunto de 21 documentos que desarrollan su política de seguridad de la información y que se encuentran publicados en su intranet corporativa.
Además, la dirección y la alta dirección de Sacyl forman parte del Comité de Seguridad de la Información. La Gerencia, recuerda, ha facilitado recursos económicos para el funcionamiento de la gestión de la seguridad de la información a través de la contratación de servicios gestionados de la Oficina de Seguridad de la Información y de un Centro de Operaciones de Seguridad.
Política de seguridad
Por otra parte, el informe señala que la política de seguridad de la información se basa en la gestión de riesgos y se ha desarrollado a través de su correspondiente norma de análisis de riesgos, aspecto exigido por la Directiva SRI 2 que cumple con el ENS. La norma tiene en consideración el tratamiento de datos personales como activos esenciales que forman parte de los sistemas de información, realizándose una valoración conforme al enfoque de gestión de riesgos previsto en la normativa.
Igualmente, el responsable de seguridad ha realizado análisis de riesgos del 64 por ciento de los sistemas de información de los servicios centrales. Además, el 53 por ciento de los análisis realizados presentan una antigüedad superior a dos años, pese a que la propia Gerencia establece una revisión mínima bienal en su política de seguridad.
De la misma forma, la Gerencia ha categorizado 131 sistemas de información en 2023 y 121 en 2024 conforme al ENS, siendo la mayor parte de ellos de categoría alta. Sin embargo, no cuenta con información referente al número de sistemas de las gerencias territoriales ni de su categorización.
También ha designado correctamente a la persona delegada de protección de datos y dispone de un Registro de Actividades de Tratamiento conforme a lo establecido. Cuenta, además, con un procedimiento de gestión de incidentes de seguridad exigido por la Directiva SRI 2, que sigue las guías del Centro Criptológico Nacional y las buenas prácticas del Instituto Nacional de Ciberseguridad (INCIBE), además de realizar una adecuada gestión de las copias de seguridad.
Personal y financiación
El personal dedicado a las tecnologías de la información y comunicaciones de la Gerencia Regional de Salud en 2024 —propio y externo— estaba integrado por 376 personas, de las que 15 trabajaban específicamente en seguridad de la información, lo que representa apenas un cuatro por ciento del total, un porcentaje que el Consejo considera “sensiblemente inferior” a la media de las entidades incluidas en la Directiva SRI 2 y al promedio del subsector de proveedores de servicios sanitarios.
Finalmente, los gastos en TIC de Sacyl ascendieron a 61 millones de euros en 2024, mientras que los destinados específicamente a seguridad alcanzaron los 1,4 millones, apenas un 2,4 por ciento del total, un porcentaje que el Consejo de Cuentas considera “notablemente inferior” al registrado por las organizaciones sujetas a la Directiva SRI 2, incluido el sector sanitario, según los datos de la Agencia de la Unión Europea para la Ciberseguridad.
