El Consejo de Cuentas insta a reforzar "de manera urgente" la ciberseguridad en el Sacyl

El Pleno del Consejo de Cuentas de Castilla y León ha aprobado un informe de fiscalización sobre la gobernanza en materia de ciberseguridad de la Gerencia Regional de Salud (Sacyl). El documento, que será remitido a las Cortes autonómicas, concluye que, aunque la política de seguridad se adecúa a los objetivos generales, es necesario reforzar de manera urgente los recursos humanos y económicos destinados a proteger los sistemas de información sanitarios.

Durante el ejercicio de 2024, el presupuesto global de la Gerencia Regional de Salud ascendió a 4.737 millones de euros, una cifra que representa un tercio del presupuesto total consolidado de la Comunidad. Sin embargo, el análisis revela que las partidas destinadas específicamente a la ciberseguridad se encuentran notablemente por debajo de las medias recomendadas a nivel europeo para el sector sanitario.

Ante esta situación, el órgano fiscalizador ha emitido un total de 16 recomendaciones dirigidas a la Consejería de Sanidad. El objetivo principal es corregir las deficiencias detectadas en la gestión de riesgos y garantizar la protección de los datos clínicos de los usuarios en todas las áreas de salud de la región, incluida la provincia de Soria.

El informe detalla que el personal dedicado a las tecnologías de la información y comunicaciones (TIC) en el Sacyl sumaba 376 profesionales en 2024, entre personal propio y externo. De esta plantilla, únicamente 15 personas se dedicaban de forma específica a la seguridad de la información, lo que representa un 4% del total. Este porcentaje es sensiblemente inferior a la media de las entidades sujetas a la Directiva europea SRI 2.

En el apartado económico, los gastos en tecnologías de la información alcanzaron los 61 millones de euros in el mismo ejercicio. De esa cantidad, solo 1,4 millones de euros se destinaron a la seguridad informática, un 2,4% del gasto TIC total. Esta proporción es muy inferior a la registrada por la Agencia de la Unión Europea para la Ciberseguridad en organizaciones del sector salud.

¿Qué fallos se identifican en la gestión de riesgos?

El Consejo de Cuentas advierte de que el responsable de seguridad ha realizado el análisis de riesgos en el 64% de los sistemas de información de los servicios centrales. Además, el 53% de estos análisis presenta una antigüedad superior a los dos años, incumpliendo la propia normativa interna de la Gerencia Regional de Salud, que exige una revisión bienal obligatoria.

Por otro lado, aunque el organismo ha categorizado 121 sistemas de información en los servicios centrales conforme al Esquema Nacional de Seguridad (ENS) en 2024, el informe alerta de que no se dispone de información sobre el número de sistemas existentes en las gerencias territoriales ni sobre su nivel de protección.

Para solventar estas debilidades, el órgano de control externo insta a incrementar la dotación presupuestaria y de personal especializado en ciberseguridad. Asimismo, se solicita a las gerencias de la estructura periférica, como la de Soria, que impulsen de forma activa la gobernanza de la seguridad en sus respectivos sistemas locales.

Entre los aspectos positivos, el informe destaca que la Gerencia cuenta con un Código de conducta y buenas prácticas adaptado a sus necesidades y un procedimiento adecuado para la gestión de incidentes y la realización de copias de seguridad, siguiendo las directrices del Centro Criptológico Nacional y del Instituto Nacional de Ciberseguridad (Incibe).