En CLUB DE INNOVACION  usted puede dar de alta su empresas en nuestra BASE DE DATOS DE PROVEEDORES INNOVADORES y ofrecer información completa de su empresa, su oferta a las Administraciones Públicas, sus proyectos y casos de Éxito y sus datos de contacto.

Los usuarios registrados como Administración Pública podrán consultar su oferta, sus proyectos y casos de éxito. Además podrán contactar directamente con su empresa para solicitarles información sobre los proyectos, pedirles propuestas o comunicarles concursos directamente.

Este área esta "solo abierta para su consulta a los usuarios registrados como Administración Pública"

Introduzca la información a continuación. (Consulte condiciones de contratación)
(Para su cumplimentación recomendamos leer las informaciones adjuntas a algunos apartados)


Incorpore su Caso de Éxito/ Proyecto innovador en nuestro portal.
(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado)

*Al remitir la ficha se le enviará un correo electrónico como confirmación del envío.

En CLUB DE INNOVACION  usted puede encontrar o aportar información sobre SUBVENCIONES y convocatorias de interés para usted y para los posibles beneficiarios relacionados con las diferentes Áreas de Innovación consultando sus registros o incorporando nuevos registros.

Este área esta abierta a todos los usuarios registrados.

Introduzca libremente la información a continuación.
(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado)
En CLUB DE INNOVACION  usted puede encontrar o aportar información sobre NORMATIVAS de interés para usted y para otras Administraciones Públicas, empresas proveedoras y usuarios relacionados con las diferentes Áreas de Innovación consultando sus registros o incorporando nuevos registros.

Este área esta abierta a todos los usuarios registrados.

Introduzca libremente la información a continuación.

(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado)
En CLUB DE INNOVACION  usted puede encontrar o aportar información sobre INFORMES de interés para usted y para otras Administraciones Públicas, empresas proveedoras y usuarios relacionados con las diferentes Áreas de Innovación consultando sus registros o incorporando nuevos registros.

Este área esta abierta a todos los usuarios registrados.

Introduzca libremente la información a continuación.

(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado) En CLUB DE INNOVACION  usted puede encontrar o aportar información detallada sobre SOLICITUDES DE OFERTAS de interés para usted o para otras Administraciones Públicas innovadoras.
Al solicitar una oferta puede seleccionar que aparezca visible en el portal o que se dirija la solicitud a los proveedores del portal que usted seleccione al dar el alta. También puede optar por ambas opciones a la vez.
Con esta sección queremos facilitarle el encontrar soluciones innovadoras, sin necesidad de haber llegado a la fase de concursos. El objetivo es que usted conozca las opciones posibles y tome las decisiones más acertadas teniendo en cuenta propuestas innovadoras nuevas.

Este área esta abierta a todos los usuarios registrados.

Introduzca libremente la información a continuación.
(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado)
En CLUB DE INNOVACION  usted puede encontrar o aportar información detallada sobre SOLICITUDES DE OFERTAS de interés para usted o para otras Administraciones Públicas innovadoras.
Al solicitar una oferta puede seleccionar que aparezca visible en el portal o que se dirija la solicitud a los proveedores del portal que usted seleccione al dar el alta. También puede optar por ambas opciones a la vez.
Con esta sección queremos facilitarle el encontrar soluciones innovadoras, sin necesidad de haber llegado a la fase de concursos. El objetivo es que usted conozca las opciones posibles y tome las decisiones más acertadas tenendo en cuenta propuestas innovadoras nuevas.
proveedoras
y para los usuarios del portal, así como para otros responsables de adminisatraciones públicas, relacionados con las diferentes Áreas de Innovación consultando sus registros o incorporando nuevos registros.

Este área esta abierta a todos los usuarios registrados. En CLUB DE INNOVACION  usted puede encontrar o aportar información detallada sobre CONCURSOS PÚBLICOS de interés para las empresas innovadoras proveedoras y para los usuarios del portal, así como para otros responsables de adminisatraciones públicas, relacionados con las diferentes Áreas de Innovación consultando sus registros o incorporando nuevos registros.

Este área esta abierta a todos los usuarios registrados.

Introduzca libremente la información a continuación.
(Para su cumplimentación recomendamos leer las informaciones adjuntas a cada apartado)

Directorios

OFICINA DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN (OSSI)

La OSSI está constituida como una unidad que sirve de instrumento de prevención, detección, respuesta a amenazas e incidentes, así como responsable de asesorar sobre políticas y medidas de seguridad en el ámbito sanitario de la Comunidad de Madrid.

Los servicios son prestados a los organismos del Servicio Madrileño de Salud (SERMAS), tanto a nivel técnico como legal. Esta área es dependiente de la Dirección General de Sistemas de Información (DGSIS). Actualmente se rige por el pliego adjudicado PA SER- 5/2014-INF. La empresa adjudicada es el Grupo Oesía Networks.

Actualmente, los servicios prestados por la OSSI son realizados por un grupo multidisciplinar con conocimientos y experiencia en seguridad de la información. Dicho grupo está dirigido por personal de la Administración Pública y conformado por consultores especializados en la materia, tanto de perfil técnico como legal. La OSSI nació en el año 2006.

*La OSSI cuenta con la certificación ISO/IEC 27001 de su Sistema de Gestión de Seguridad de la Información (SGSI). (Desde Junio 2013).
 
Fecha
Marzo de 2017

Autor
José Manuel Laperal González

Administración / Proveedor que lo propone
CSCM - DGSIS – Área de la Sub. Gral. De Innovación y Arquitectura Tecnológica

Administración objetivo
  • Otros

Área responsable del proyecto
  • Otras

En caso de haber elegido Otras en el apartado anterior, especifíquelas
Oficina de Seguridad de Sistemas de Información (OSSI).

Estado del Proyecto / Caso en la fecha del alta
Proyecto ya consolidado.

Carácter innovador
El objetivo de la OSSI es el de dotar a la CSCM de un servicio completo de seguridad de la información en 360º, que permita la mejora y evaluación continua de dicha seguridad, en todas sus vertientes.

Problemática
La normativa que vincula la salvaguarda de la información sanitaria es doble, por un lado, la normativa sanitaria a la que hay que añadir la de protección de datos.

En nuestro país la legislación vigente es la Ley General de Sanidad de 25 de abril de 1986 y la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica. A ello hay que añadir las normativas autonómicas.

La regulación en materia de protección de datos de carácter personal se constituye por la Ley Orgánica 15/1999, de 13 de diciembre, y las normas dictadas en su desarrollo, quizás la más importante el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

Las inquietudes sobre seguridad y confidencialidad inciden en tres categorías: las técnicas, las organizativas y las legales. La aplicación de las TIC a la seguridad, en sanidad, agiliza los procesos y la convierte en algo mucho más sencillo de llevar a cabo.

Solución planteada
Las líneas de servicio que ofrece la Oficina de Seguridad son los siguientes:
  • Cumplimiento Legal y Normativo.
  • Asesoría y Auditoría de Controles Seguridad de TI.
  • Monitorización y Correlación de Eventos de Seguridad.
  • Análisis de Software y Hardware.
  • Comunicación y Formación en Seguridad de la Información.
  • Gestión Documental.
  • Transporte y custodia de copias de seguridad.
  • Nuevas líneas de servicio.
  • Actuación de la OSSI en el PIC

Detalles de la solución
1. Cumplimiento Legal y Normativo

El servicio que presta la OSSI está orientado al desarrollo de actividades de asesoría y consultoría para el cumplimiento de la legislación vigente y normativa relacionada con las tecnologías de la información, incluyendo actividades relacionadas con administración electrónica.

Comprende servicios tales como:
  • Asesoría y Consultoría Legal.
  • Revisión de Convenios, Pliegos y Contratos.
  • Revisión de Órdenes, Leyes y Reales Decretos.
  • Elaboración de Procedimientos, Protocolos y Normativa Interna.
  • Auditoria LOPD.
  • Soporte Derechos ARCO.
  • Informes de Cumplimiento Legal.
  • Creación del aplicativo Dian@ para gestionar todo lo relativo a la protección de datos requerido para la Consejería de Sanidad de la Comunidad de Madrid.
Esquema Nacional de Seguridad (ENS)

La Consejería de Sanidad de la Comunidad de Madrid (CSCM) provee servicios a través de sistemas de información a los cuales el ciudadano accede directamente a través de Internet o presencialmente por quioscos instalados en centros de salud y hospitales. Estando todos ellos adecuados a la normativa vigente en materia de seguridad de la información. Desde la OSSI se gestionan las tareas para que cualquier servicio de la CSCM se alinee con el ENS.

2. Asesoría y Auditoría de Controles de Seguridad de TI

El servicio que se presta la OSSI tiene como objetivo velar por un adecuado grado de madurez de la seguridad de los sistemas de información en los hospitales y centros de salud de la CSCM, que asegure la continuidad del servicio y otros riesgos como perdida de datos o confidencialidad.

Este proceso se basa en la asesoría y el seguimiento de la normativa aplicable, así como de estándares y códigos de buenas prácticas, relacionados con la seguridad de los sistemas de información.

Comprende servicios tales como:
  • Auditorías de controles generales de TI en centros de la CSCM.
    • Indicadores de Contrato Programa y Diagnósticos de Seguridad (ISO 27002).
  • Auditorías de seguridad física y medioambiental de la infraestructura tecnológica (CPDs).
    • Clasificación TIER Estándar ANSI/TIA 942.
  • Asesoría en desarrollo de medidas de seguridad TI.
    • Auditoría de trazas de acceso a Historias Clínicas Electrónicas, aportando valor más allá del cumplimiento normativo con la herramienta Horus Track.

3. Monitorización y Correlación de Eventos de Seguridad (Servicio SOC- Centro de Operaciones de Seguridad)

En la actualidad es imprescindible centralizar la custodia e interpretación de eventos y logs generados por los sistemas de red y las diferentes aplicaciones existentes en un entorno corporativo. Por ello, se ha implantado una solución de Gestión del Ciclo de Vida de Logs y Correlación de Eventos de Seguridad (SIEM) que permite la motorización y gestión de eventos centralizada.

El SIEM está conectado a 32 sondas actualmente, distribuidas en 29 hospitales y 3 centros de atención primaria, aunque durante el 2017 se prevé la instalación de 10 sondas más.

Esta monitorización nos permite alertar a los hospitales ante incidentes de seguridad en un corto periodo de tiempo, evitando así, la infección masiva de terminales y a su vez, realiza una tarea de prevención ante amenazas.

Así, desde la OSSI podemos observar las evoluciones del malware en sus distintas fases y alertar a los centros antes de que, por ejemplo, un malware de bajo impacto evolucione a un malware de alto impacto y peligrosidad.



Comprende servicios tales como:


4. Análisis de Software y Hardware

En relación a este servicio, la OSSI se encarga de la identificación de riesgos de seguridad de la información en aplicaciones y sistemas de la CSCM mediante la revisión de las medidas de seguridad implementadas o existentes y la identificación de vulnerabilidades o no conformidades.

Informes sobre el ciclo de vida de aplicaciones

El método de trabajo consta de la elaboración de informes integrales que constan de los siguientes módulos diferenciados:

  • Módulo General (mitigación de riesgos)
  • Módulo de Arquitectura (posibles problemas de arquitectura)
  • Módulo de Cumplimiento Normativo y legal (controles de seguridad y LOPD)
  • Módulo de Gestión de Usuarios (entidad, control de accesos a la información)
  • Módulo de Trazabilidad (logs, eventos del sistema de información)
  • Módulo de Auditoria Técnica y análisis dinámico (gestión de las vulnerabilidades de software o hardware del sistema de información)
  • Módulo de Continuidad (Continuidad de la aplicación)
  • Análisis del código de las aplicaciones. (código estático). Análisis multilenguaje.
Con este tipo de informes que realiza la OSSI se pretende dar cumplimiento, entre otros, al Reglamento Europeo de Protección de Datos, que introduce como novedad el concepto Privacy by Design y Privacy by Default, para referirse al ciclo de vida de las aplicaciones en cuanto a su correcto desarrollo desde el principio, concepto que, por otro lado, la OSSI ya comprobaba desde su creación como oficina de seguridad.

5. Comunicación y Formación en Seguridad de la Información

Formación en Seguridad de la Información

El servicio que se presta desde la OSSI en esta materia está orientado a la concienciación y formación en materia de seguridad de la información, y al entendimiento de la legislación y normativa que les aplica a todos los entes de la CSCM.

Comprende servicios tales como:

  • Desarrollo de material de formación relacionado con la seguridad de la información y normativa aplicable
  • Impartición de cursos en:
    • Seguridad de la Información.
    • Normativa como LOPD, ENS, entre otras.
    • Estándares Internacionales y Códigos de Buenas Prácticas.
  • Gestión del contenido del portal de la Intranet de la OSSI.
  • Elaboración y comunicación del Boletín de Seguridad de la CSCM. V Generación de canales de comunicación para la concienciación en materia de seguridad de la información.
  • Gestión y asesoría en utilización de herramientas web 2.0.

Hasta la fecha, la OSSI ha impartido aproximadamente 240 sesiones formativas para unos 9400 asistentes (personal sanitario).

Además, la OSSI ha desarrollado un Programa de Formación Virtual en Protección de Datos Personales en el Ámbito Sanitario cuyo objetivo es potenciar los medios de formación y educación de los empleados públicos de la Comunidad de Madrid en el área de la protección de datos personales.

Boletín de seguridad - Newsletter

Con el objetivo de aumentar el grado de servicio útil a los usuarios, proporcionando con fluidez un nivel adecuado de información provechosa para ellos, el equipo de la OSSI procede a la elaboración de una Newsletter cuyo contenido radica en noticias de actualidad en materia de seguridad de la información.

La publicación de esta Newsletter se realiza bimensualmente en la Intranet Salud@ de la Consejería de Sanidad.

6. Transporte y custodia de copias de seguridad

Desde la OSSI se llevan a cabo las siguientes directrices en torno a las copias de seguridad:

Servicio de Backup

Definido para aplicaciones departamentales a las cuales no se les realiza un Backup centralizado, servidores a los cuales no se les realiza otro tipo de Backup y ordenadores personales de directivos (VIPs).

La implantación de este servicio de Backup, se ha realizado de forma que se almacene una copia de seguridad en un dispositivo ubicado en el propio hospital, respaldado por otra copia en otro hospital. De esta forma se garantiza la información en dos ubicaciones diferentes. Las copias locales y remotas están pareadas.

Servicio Búnker

Transporte y Custodia de Copias de Seguridad en soporte físico. El servicio Búnker permite disponer de una copia física de los soportes de Backup en un lugar seguro, externo a la organización (lugar y personas) y disponible siempre a través de unos estrictos procedimientos de seguridad.

Servicio de destrucción de datos

Este servicio garantiza desde el principio hasta el final del proceso de destrucción de datos, la confidencialidad, la adecuada custodia hasta su destrucción y el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). El Servicio se consta de dotar de un contenedor o varios a cada centro sanitario, transporte periódico de los contenedores, destrucción por lotes con custodia en búnker de seguridad y emisión de certificado válido para la LOPD.

7. Gestión Documental

El servicio que se presta de gestión documental está enmarcado en el contexto de la OSSI, así como asesoría y gestión de documentación del SERMAS que tenga relación con el cumplimiento de la LOPD en cuanto a la cesión de datos, entre otros.

Comprende servicios tales como:
  • Gestión documental de la OSSI alineada con la normativa ISO 27001 y el ENS.
  • Asesoría en la gestión de contratos y documentación propia del SERMAS.

8. Nuevas líneas de servicio

Análisis Forense Descripción y objetivos

La informática forense se encarga del estudio y detección de pistas sobre ataques informáticos, robo de información, emails maliciosos, etc. Ante la creciente cantidad de amenazas a las que nos enfrentamos en el SERMAS, hemos creado un laboratorio de análisis forense, que provee las herramientas y medidas necesarias para el procesado, almacenamiento y evaluación de evidencias de delitos informáticos en la organización.

9. Actuación de la OSSI en el PIC

Antecedentes

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. El Plan nacional de Infraestructuras Críticas (PIC) tiene por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de infraestructuras críticas, previa identificación y designación de las mismas, para mejorar la prevención, preparación y respuesta de nuestro Estado frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas.

Desde la OSSI se ha creído conveniente impulsar la iniciativa y proactividad y realizar un Plan de Seguridad del Operador (PSO) y un Plan de Protección Específico (PPE) del departamento de Urgencias de un gran Hospital de la Comunidad de Madrid como medida de innovación y mejora continua.

Ventajas
  • Prevención y detección de ciberamenazas.
  • Da respuesta a estas amenazas e incidentes.
  • Mejora y evaluación continua de la seguridad de la información, en todas sus vertientes.
  • Mantenimiento de un adecuado grado de madurez de la seguridad de los sistemas de información en los hospitales y centros de salud de la CSCM que asegure la continuidad del servicio y otros riesgos como perdida de datos o confidencialidad.
  • Permite la identificación de riesgos de seguridad de la información en aplicaciones y sistemas de la CSCM.
  • Facilita una protección persistente que acompaña al documento dentro y fuera de la red.
  • Permite el control remoto de documentos que hayan salido de la red.
  • Hace posible una auditoría de accesos: quién accede, cuando, dónde, con qué permisos, alertas…
  • Permita que los documentos se puedan compartir por email, USB o cualquier otro medio.
  • Formación en materia de seguridad de la información a personal sanitario.
  • Permite el estudio y detección de pistas sobre ataques informáticos, robo de información, emails maliciosos, etc.

Financiación
Pública

Dificultades y costes
--

Requerimientos técnicos / tecnológicos, personales, inversión...
--

Persona de contacto en el proyecto (1)
José Manuel Laperal González

Cargo
Responsable de Seguridad de Sistemas de Información Sanitaria

Correo electrónico

Dirección
Plaza Carlos Trias Bertrán, 7 - Edificio Sollube II - 6ª Planta - Despacho 610

C.P
28020

Ciudad
Madrid

Provincia
Madrid

 |  |  | 
Veces añadido:
0
  Añadir a favoritos