Os hospitais Sermas de Quirónsalud obtêm a certificação ENS para a proteção dos seus sistemas de informação e cibersegurança

Os Hospitais Quirónsalud integrados na rede hospitalar pública de Madrid (Sermas) obtiveram recentemente o reconhecimento como entidades certificadas no Esquema Nacional de Segurança (ENS), que acredita a proteção dos sistemas de informação e cibersegurança desta rede de cuidados de saúde, composta pelos hospitais universitários Fundación Jiménez Díaz (Madrid), Rey Juan Carlos (Móstoles), Infanta Elena (Valdemoro) e General de Villalba (Collado Villalba).

Com a sua implementação, foi adaptada uma série de medidas de segurança, que contêm os princípios e requisitos básicos necessários para a proteção adequada da informação e dos serviços informáticos, conseguindo “garantir a confidencialidade, integridade, rastreabilidade, autenticidade da informação, bem como a disponibilidade dos serviços utilizados por meios eletrónicos”, explica o responsável pela Segurança da Informação e Proteção de Dados da Fundación Jiménez Díaz, César Sendarrubias.

Desde a criação da ENS, o número de empresas e organizações que obtiveram esta certificação é ainda inferior a mil, uma vez que o processo para a obter é complicado e trabalhoso. Os passos para a sua obtenção incluem, por exemplo, a elaboração de uma política de segurança da informação e de um regulamento interno da organização candidata; a identificação da informação e dos serviços tratados, com a consequente categorização do sistema; a realização de uma análise GAP (Gap Analysis) das medidas que necessitam de ser implementadas; a realização de uma análise GAP (Gap Analysis) das medidas que necessitam de ser implementadas; a realização de uma análise GAP (Gap Analysis) das medidas que necessitam de ser implementadas; e o desenvolvimento de uma análise GAP (Gap Analysis) das medidas que necessitam de ser implementadas; a realização de uma análise de risco de segurança da informação; a elaboração de uma declaração de aplicabilidade com as medidas de segurança a implementar com base na categorização obtida; e o desenvolvimento e manutenção de um plano de melhoria contínua da segurança da informação, com base em todas as deficiências que forem detetadas, nomeadamente nos processos de auditoria.

Concretamente, os objetivos prosseguidos por esta norma, certificada pela Aenor, são, por um lado, o reforço da cibersegurança e das capacidades de defesa contra as ciberameaças e, por outro, a sensibilização dos colaboradores e a confiança dos doentes na utilização dos meios eletrónicos.

Estas medidas foram implementadas com o apoio fundamental da direção dos centros, bem como com o esforço dos responsáveis pelos seus departamentos de Sistemas e Tecnologias de Informação, e implicaram “um grande esforço em termos de formação e sensibilização do pessoal envolvido, bem como de investimento”, nas palavras de Sendarrubias, mas que, como sublinha, não impediu os quatro hospitais de obterem a certificação, convictos de que “no ambiente da saúde são tratados dados sensíveis, pelo que é fundamental garantir a correta proteção dos sistemas de informação contra potenciais ameaças e incidentes internos e externos”.

Antes deste marco, os quatro centros já dispunham de um Sistema de Gestão de Segurança da Informação baseado na norma internacional ISO 27001 que, juntamente com os requisitos da ENS, as diretrizes do Centro Criptológico Nacional (CCN) e as políticas corporativas da Quironsalud, o grupo que gere esta rede de cuidados de saúde, formam um Sistema Integrado de Gestão que aumenta a confiança na governação da segurança dos sistemas de informação destes hospitais.

REVISÃO E MELHORIA

Consciente disso, como salienta Sendarrubias, esta estratégia não consiste apenas em obter a certificação, mas também em manter um “processo de melhoria contínua, atualizando as políticas, procedimentos e regulamentos internos de segurança da informação e proteção de dados, com base nos resultados das análises de risco e nas tendências das ameaças exponenciais que existem todos os dias no domínio da cibersegurança”.

Neste sentido, “uma parte fundamental deste trabalho é a formação e sensibilização de todos os colaboradores dos centros, reforçando a necessidade de proteger a informação e de saber reportar qualquer evento ou incidente de segurança que ocorra”, continua, acrescentando: “Tudo isto”, acrescenta, “é supervisionado por entidades independentes que realizam auditorias internas e auditorias externas de certificação, que detetam aspetos de melhoria que precisamos de corrigir para continuar a crescer”.

A aplicação desta norma reconhecida de segurança da informação nestes quatro hospitais está em conformidade com um dos seus eixos estratégicos: melhorar ainda mais os seus processos internos para proteger a informação e ser mais eficaz e eficiente.