El Esquema Nacional de Seguridad (ENS) en el SERGAS: Básico, Medio y Alto
1. ¿Qué es el ENS y cómo se aplica al SERGAS?
El Esquema Nacional de Seguridad (ENS), regulado actualmente por el Real Decreto 311/2022, de 3 de mayo, es el marco común estatal que establece la política de seguridad en la utilización de medios electrónicos en el sector público. Para los opositores de la categoría de Técnico de Sistemas TI del SERGAS, comprender cómo la Consellería de Sanidade categoriza sus sistemas de información es fundamental para superar los exámenes.
En el ámbito del Servizo Galego de Saúde (SERGAS), el ENS ampara sistemas tan críticos como IANUS (historia clínica electrónica), TELEA (teleasistencia domiciliaria) o el portal e-Saúde. La interrupción de estos servicios o la fuga de datos médicos tendría consecuencias catastróficas, por lo que su categorización y medidas protectoras están estrictamente protocolizadas.
2. Los Niveles de Seguridad en el ENS: Básico, Medio y Alto
La categoría de un sistema de información se determina realizando un análisis que evalúa el impacto que tendría un incidente de seguridad sobre las cinco dimensiones fundamentales: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad (CIDAT). Dependiendo de la gravedad del perjuicio estimado, el sistema se clasifica en tres categorías:
| Categoría del Sistema | Impacto Estimado en Dimensiones | Ejemplo Real en el SERGAS |
|---|---|---|
| BÁSICA | Ninguna dimensión supera el nivel Bajo. El impacto de un incidente de seguridad es limitado o marginal. | Portal corporativo público de información general del SERGAS (sin datos personales de salud). |
| MEDIA | Al menos una dimensión alcanza el nivel Medio y ninguna el Alto. Impacto moderado. | Sistema de gestión de turnos y agendas en centros de salud. Si falla, genera desorganización pero no expone historiales clínicos. |
| ALTA | Al menos una dimensión de seguridad (generalmente Confidencialidad o Disponibilidad) alcanza el nivel Alto. Impacto grave o catastrófico. | IANUS (Historia Clínica Electrónica). Contiene datos de categoría especial (salud) del RGPD y su caída total paralizaría las urgencias de los hospitales. |
3. Diferencias Clave en las Medidas de Seguridad
A medida que el nivel de seguridad aumenta de Básico a Alto, el ENS impone controles más estrictos. Esto incluye la implantación de un doble factor de autenticación (2FA) para los accesos (obligatorio en niveles medio y alto), auditorías regulares externas cada dos años para sistemas medios y altos (mientras que en los básicos basta con una autoevaluación), y redundancia geográfica y planes de recuperación ante desastres (DRP) en sistemas altos.
Es vital que recuerdes para el examen que el Esquema Nacional de Seguridad (ENS) y el RGPD son normas complementarias pero diferentes. Mientras que el RGPD regula la base legal de los datos, el ENS define las medidas técnicas y organizativas concretas que debe aplicar el área de TI. Las dimensiones CIDAT son 5, y el doble factor de autenticación (2FA) es estrictamente obligatorio a partir del nivel MEDIO.
Bajo el Esquema Nacional de Seguridad (Real Decreto 311/2022), ¿qué categoría de seguridad requiere de forma obligatoria la realización de una auditoría externa regular de cumplimiento al menos cada dos años?
- A) Solo y exclusivamente la categoría Alta.
- B) La categoría Básica y Media.
- C) Las categorías Media y Alta.
- D) Las categorías Básica, Media y Alta.
Justificación: Según el Artículo 34 del Real Decreto 311/2022, los sistemas de información clasificados en las categorías Media o Alta serán objeto de una auditoría regular, ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Para la categoría Básica es suficiente con una autoevaluación interna firmada por el Responsable de Seguridad.
Para profundizar en la seguridad de los datos sanitarios y conocer cómo se auditan los accesos directos en el sistema de historia clínica de Galicia, te recomendamos continuar leyendo nuestra Guía de Auditoría de Accesos a IANUS según el RGPD.