El Sergas refuerza su escudo digital para proteger los datos de 50.000 usuarios del sistema sanitario gallego

El Sergas prepara un nuevo paso en la protección de sus sistemas informáticos y de los datos sanitarios que maneja a diario. La Administración sanitaria gallega ha definido las condiciones técnicas para contratar un servicio de apoyo especializado en la gestión del Sistema de Seguridad de la Información del sistema sanitario público de Galicia, una estructura clave para blindar la información clínica, administrativa y tecnológica de hospitales, centros de salud y dependencias de la Consellería de Sanidade.

El documento técnico sitúa la magnitud del reto: el sistema da servicio a unos 500 centros, con una cobertura mínima de 50.000 usuarios de los sistemas de información y un volumen medio de 600.000 entradas de soporte anuales. Es decir, una red sanitaria de gran escala, en la que cualquier fallo, brecha o incidencia tecnológica puede tener impacto directo sobre profesionales, pacientes y gestión asistencial.

La contratación se plantea como apoyo a la llamada oficina de seguridad de la información, que asumirá tareas de actualización normativa, gestión de riesgos, auditorías, formación, protección de datos y respuesta ante incidencias. El objetivo final es que el Sistema de Gestión de Seguridad de la Información —conocido como SGSI— llegue al mayor número posible de unidades del Sergas y de la Consellería, incluidos centros hospitalarios, centros de salud, áreas administrativas y servicios de Salud Pública.

Un sistema ya implantado, pero en expansión

El Sergas parte de un sistema de seguridad ya implantado en la Subdirección Xeral de Sistemas e Tecnoloxías da Información y en las estructuras sanitarias de Ourense, Santiago, Ferrol, A Coruña, Lugo, Vigo y Pontevedra. El propio pliego del contrato indica que todos los trabajos previos están documentados y serán facilitados a la empresa adjudicataria para continuar sobre esa base.

La nueva fase no parte de cero. La Administración sanitaria ya ha realizado auditorías internas y también una auditoría externa de certificación del sistema, con cobertura sobre la gestión central de sistemas y tecnologías de la información y sobre centros hospitalarios de tres áreas sanitarias. Ahora, el reto pasa por actualizar el modelo, extenderlo a nuevos ámbitos y adaptarlo a un escenario tecnológico y normativo más exigente.

Entre las tareas previstas figura la actualización del SGSI ante nuevos activos tecnológicos y amenazas, la mejora continua de la gestión de riesgos, la elaboración de mapas de procesos, el mantenimiento de certificaciones y la integración de estándares como ISO 27001 y el Esquema Nacional de Seguridad. El documento también contempla estudiar la incorporación de nuevas normativas, como la directiva NIS2 o el reglamento del Espacio de Datos en Salud.

Proteger la información clínica en una sanidad cada vez más digital

La medida tiene especial relevancia en un sistema sanitario cada vez más dependiente de la tecnología. La historia clínica electrónica, las pruebas diagnósticas, la gestión de citas, las recetas, los accesos de profesionales, los servicios en la nube o la relación con proveedores forman parte de un ecosistema digital complejo. El pliego reconoce expresamente que la gestión de riesgos es cada vez más delicada en el ámbito sanitario, donde los dispositivos y sistemas de información están plenamente integrados en la práctica asistencial.

La empresa adjudicataria deberá asesorar en ámbitos como el control de accesos, la seguridad en proyectos tecnológicos, la relación con proveedores, el uso de servicios en la nube, la gestión de privilegios, la revisión independiente de la seguridad y el cumplimiento de las políticas internas.

También tendrá que colaborar en la elaboración y mantenimiento de la documentación necesaria para cumplir con el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. El pliego menciona tareas como la revisión de acuerdos de tratamiento de datos, autorizaciones a terceros, comunicaciones internacionales, actualización del registro de actividades de tratamiento, análisis de posibles brechas, evaluaciones de impacto, peticiones de derechos ARCO y auditorías de protección de datos.

Auditorías, formación y planes de contigencia

El contrato no se limita a revisar documentos. Incluye actuaciones prácticas para comprobar el cumplimiento de las normas y reforzar la cultura de seguridad dentro del Sergas. La adjudicataria deberá liderar o apoyar auditorías externas y revisiones periódicas, además de colaborar en auditorías relacionadas con sistemas de información.

El pliego también exige jornadas de coordinación para facilitar la redacción de planes de contingencia y continuidad. Estos planes son esenciales para mantener operativos los sistemas críticos o recuperarlos en caso de caída, incidente grave o problema de seguridad.

La formación será otro eje del servicio. Está prevista al menos una jornada sobre el Esquema Nacional de Seguridad y otra sobre ISO 27001, con el objetivo de facilitar su implantación y conocimiento en las áreas sanitarias y entidades públicas del sistema de salud gallego. La empresa también colaborará en acciones de concienciación sobre seguridad de la información.

Tiempos máximos ante incidencias

El documento fija además parámetros de calidad para la gestión de incidencias y peticiones de servicio vinculadas a la seguridad de la información. Las solicitudes se clasificarán por prioridad: crítica, alta, media o baja.

Para las incidencias críticas, el tiempo máximo de respuesta será de 120 minutos y el de resolución o escalado de 180 minutos. En el caso de peticiones de servicio críticas, el tiempo de respuesta será de 240 minutos y el de resolución o escalado de 360 minutos. Estos tiempos deberán cumplirse en al menos el 90% de los casos computables.

El sistema también establece umbrales mensuales de incidencias y peticiones para medir si se cumplen los acuerdos de nivel de servicio. La actividad se contabilizará a través de la herramienta corporativa de gestión TI del Sergas y seguirá procedimientos compatibles con la metodología ITIL.

Una pieza clave para la confianza del paciente

Aunque el contrato se mueve en un terreno técnico, su impacto tiene una dimensión directa para la ciudadanía. La seguridad de la información sanitaria no solo afecta a ordenadores, servidores o aplicaciones: afecta a la confidencialidad de los datos médicos, a la continuidad de la asistencia y a la confianza de los pacientes en el sistema público.

El Sergas busca con este servicio mantener actualizado su modelo de protección, reforzar auditorías y certificaciones, mejorar la respuesta ante incidencias y extender la cultura de seguridad a toda la organización. En un entorno en el que la sanidad depende cada vez más de sistemas digitales, la protección de la información se convierte en una pieza más de la seguridad asistencial.

Suscríbete para seguir leyendo