El Instituto de Investigación Sanitaria Incliva, vinculado al Hospital Clínico Universitario de València, ha logrado un hito significativo al obtener la certificación CeENS en el Esquema Nacional de Seguridad (ENS). Este marco normativo español es fundamental para garantizar la seguridad de los sistemas, datos y servicios electrónicos utilizados en la administración pública y por sus proveedores. La obtención de esta certificación no solo representa un avance en la protección de datos, sino que también establece un estándar para otras instituciones en el ámbito sanitario.
### Importancia de la Certificación CeENS
La certificación CeENS se basa en el Real Decreto 311/2022, que actualiza la normativa anterior para alinearse con estándares internacionales como ISO/IEC 27001. Este decreto establece medidas de protección que deben implementarse para asegurar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos. El objetivo es minimizar riesgos, prevenir ciberataques y garantizar el correcto funcionamiento de los servicios digitales.
La categorización de sistemas en el ENS se realiza asignando un nivel de seguridad (bajo, medio o alto) al sistema de información, dependiendo del impacto que un incidente de seguridad podría tener en sus activos de información. Cada nivel implica la implementación de una serie de medidas y controles enfocados en la ciberseguridad y la trazabilidad de los datos en los diferentes sistemas de información de la fundación.
Incliva ha trabajado arduamente durante 2024 y 2025 para conseguir la certificación en la categoría CeENS (nivel bajo), superando con éxito la auditoría. Este esfuerzo ha sido posible gracias a la colaboración de un equipo multidisciplinario que incluye a miembros del área legal, ciencia de datos, protección de datos y calidad, así como del área de informática. La implicación de la dirección y de los comités de seguridad ha sido crucial para alcanzar este objetivo.
### Plan de Actuación y Futuro de la Ciberseguridad en Incliva
Actualmente, Incliva está elaborando un plan de actuación a cuatro años que tiene como objetivo garantizar una adecuación que supere el régimen establecido por la Guía CCN-STIC 890C. Este plan busca alcanzar la conformidad con el ENS en la categoría correspondiente, basado en un análisis de riesgos que se revisará mediante auditorías externas cada dos años.
La metodología CeENS es innovadora y se beneficia de las novedades introducidas por el Real Decreto 311/2022. Facilita la obtención de la Certificación de Conformidad en el ENS a través de un Perfil de Cumplimiento Específico (PCE). Esta metodología proporciona el acompañamiento y la asistencia necesaria para alcanzar la certificación desde la fase previa a la adecuación hasta después de su obtención, todo ello automatizado en las herramientas de Gobernanza de la Ciberseguridad (INES-AMPARO).
La importancia de esta certificación no puede subestimarse, ya que en un mundo cada vez más digitalizado, la seguridad de los datos es un aspecto crítico para cualquier institución, especialmente en el ámbito de la salud. La protección de la información de los pacientes y la integridad de los sistemas de salud son esenciales para mantener la confianza del público y garantizar la calidad de los servicios ofrecidos.
El compromiso de Incliva con la ciberseguridad y la protección de datos es un ejemplo a seguir para otras instituciones. La obtención de la certificación CeENS no solo mejora la seguridad de sus sistemas, sino que también establece un precedente para la implementación de estándares de seguridad más altos en el sector sanitario. A medida que la tecnología avanza, es vital que las instituciones se adapten y fortalezcan sus medidas de seguridad para proteger la información sensible y garantizar la continuidad de los servicios.
En resumen, la certificación CeENS obtenida por Incliva representa un paso significativo hacia la mejora de la ciberseguridad en el ámbito sanitario. Con un plan de actuación sólido y un enfoque proactivo hacia la protección de datos, Incliva está bien posicionada para enfrentar los desafíos futuros en un entorno digital en constante evolución. La seguridad de los datos no es solo una obligación legal, sino una responsabilidad ética que todas las instituciones deben asumir para proteger a sus pacientes y a la sociedad en general.
