El Instituto de Investigación Sanitaria Incliva, vinculado al Hospital Clínico Universitario de València, ha alcanzado un hito significativo al obtener la certificación CeENS en el Esquema Nacional de Seguridad (ENS). Este marco normativo español es fundamental para garantizar la seguridad de los sistemas, datos y servicios electrónicos utilizados en la administración pública y por sus proveedores. La certificación CeENS es un paso crucial en la protección de la información y la prevención de ciberataques, asegurando así el correcto funcionamiento de los servicios digitales.
### Importancia del Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS) establece un conjunto de medidas de protección que deben implementarse para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos. Su objetivo principal es minimizar los riesgos asociados a la seguridad de la información y prevenir incidentes que puedan comprometer la operatividad de los servicios digitales. La normativa se basa en el Real Decreto 311/2022, que actualiza las regulaciones anteriores para alinearse con estándares internacionales como la ISO/IEC 27001.
La categorización de sistemas en el ENS se realiza asignando un nivel de seguridad (bajo, medio o alto) al sistema de información, dependiendo del impacto que un incidente de seguridad podría tener en sus activos de información. Cada nivel de seguridad implica la implementación de un conjunto específico de medidas y controles enfocados en la ciberseguridad y la trazabilidad de los datos en los diferentes sistemas de información de la institución.
Incliva ha trabajado arduamente durante 2024 y 2025 para cumplir con los requisitos necesarios para obtener la certificación en la categoría CeENS, que corresponde a un nivel bajo de seguridad. Este esfuerzo ha incluido la superación de auditorías y la colaboración de un equipo multidisciplinario que ha estado comprometido con la seguridad de la información desde diversas áreas, incluyendo legal, ciencia de datos, protección de datos y calidad, así como informática.
### Plan de Actuación y Futuras Iniciativas
En la actualidad, Incliva está desarrollando un plan de actuación a cuatro años que tiene como objetivo garantizar una adecuación que supere los estándares establecidos por la Guía CCN-STIC 890C. Este plan busca alcanzar la conformidad con el ENS en la categoría correspondiente, basado en un análisis de riesgos exhaustivo. Además, se realizarán auditorías externas cada dos años para asegurar el cumplimiento continuo de las normativas de seguridad.
La metodología CeENS es innovadora y se beneficia de las actualizaciones del Real Decreto 311/2022, facilitando así la obtención de la Certificación de Conformidad en el ENS a través de un Perfil de Cumplimiento Específico (PCE). Esta metodología no solo proporciona el acompañamiento necesario para alcanzar la certificación, sino que también automatiza el proceso mediante herramientas de Gobernanza de la Ciberseguridad, como INES-AMPARO. Esto asegura que Incliva no solo cumpla con los requisitos actuales, sino que también esté preparada para adaptarse a futuros desafíos en el ámbito de la ciberseguridad.
La obtención de esta certificación es un testimonio del compromiso de Incliva con la seguridad de los datos y la protección de la información de los ciudadanos. En un mundo cada vez más digitalizado, donde los ciberataques son una amenaza constante, contar con un marco normativo robusto y cumplir con los estándares de seguridad es esencial para cualquier institución pública. Incliva se posiciona así como un referente en la implementación de buenas prácticas en ciberseguridad, contribuyendo a la confianza de la ciudadanía en los servicios digitales ofrecidos por la administración pública.
La certificación CeENS no solo representa un logro para Incliva, sino que también establece un precedente para otras instituciones que buscan mejorar su seguridad en el manejo de datos. La colaboración entre diferentes áreas y la dedicación a la formación continua en ciberseguridad son aspectos clave que otras organizaciones pueden emular para fortalecer su propia infraestructura de seguridad. En un entorno donde la protección de datos es más crucial que nunca, el ejemplo de Incliva puede servir de guía para otros organismos que buscan implementar medidas efectivas de ciberseguridad.
