La iniciativa del gobierno de ese país incorpora un equipo técnico dedicado al monitoreo y respuesta ante incidentes digitales en doce entidades del sector salud, apoyado por un contrato vigente hasta junio de 2026.
El Ministerio de Salud y Protección Social de Colombia informó recientemente la formalización del CSIRT Salud, un equipo técnico sectorial que asumirá la gestión de incidentes cibernéticos en un grupo de entidades públicas de ese sistema. La propuesta define, entre otras cosas, un esquema de monitoreo continuo, reporte obligatorio y coordinación con otros equipos de respuesta del Estado.
El alcance contempla doce instituciones, entre ellas el propio Ministerio de Salud, el Instituto Nacional de Salud, el Invima, la ADRES, la Superintendencia Nacional de Salud, el Instituto Nacional de Cancerología y el Centro Dermatológico Federico Lleras Acosta. Cada una deberá identificar y reportar sus activos críticos, como bases de datos regulatorias, plataformas de vigilancia, sistemas de pago y registros clínicos.
Para su operación inicial, el proyecto se apoya en un contrato ya adjudicado mediante el año pasado a un operador técnico y que se extiende hasta el 30 de junio de 2026. La continuidad posterior dependerá de una nueva decisión administrativa, ya sea a través de otra contratación o mediante gestión directa por parte del Ministerio.
En esta nueva etapa, las entidades participantes estarán obligadas a designar un responsable en seguridad de la información, habilitar la infraestructura tecnológica necesaria y conectarse al sistema central de monitoreo del CSIRT Salud. Según el documento, el equipo deberá encargarse del seguimiento de eventos, la gestión de vulnerabilidades, la atención a incidentes y el intercambio de conocimiento entre instituciones.
El proyecto introduce también el concepto de “bolsa de horas” para servicios especializados que requieran las entidades agrupadas en el sector, incluido el análisis forense digital, y que podrá utilizarse previa justificación técnica. Entre las obligaciones adicionales figuran la notificación de incidentes, el análisis de causas y la aplicación de recomendaciones emitidas por el CSIRT. El manejo de información sensible estará regulado por protocolos de confidencialidad entre el Ministerio, el operador y las entidades.
La iniciativa contempla la elaboración de informes mensuales con datos sobre vulnerabilidades, desempeño, madurez digital y alertas de seguridad. Esta producción de información deberá integrarse a la red nacional, que incluye al CSIRT Gobierno de ese país y otros CSIRT sectoriales, empleando estándares de intercambio como STIX/TAXII y TLP.
El marco normativo de la propuesta se articula en los documentos CONPES 3701, 3854 y 3995, en los que se fijan las políticas de ciberseguridad y seguridad digital en Colombia, así como con el Decreto 338 de 2022 y la Resolución 500 de 2021, que se refieren a la seguridad digital y el modelo de seguridad y privacidad de la Información para entidades públicas. Estos documentos orientan la estrategia de ciberseguridad en el país y respaldan la creación de capacidades técnicas permanentes en sectores estratégicos.
Uno de los puntos críticos del proyecto es la sostenibilidad financiera. Dado que el contrato actual cubre la gestión del CSIRT Salud solo hasta mediados de 2026, la continuidad del organismo dependerá de nuevos recursos y de personal especializado. No obstante, el esquema podría facilitar cooperación interinstitucional y, en el futuro, abrir la posibilidad de extender servicios a hospitales públicos con menor capacidad técnica.
El proyecto plantea una estructura que busca centralizar y ordenar la gestión de incidentes digitales en el sector salud, con un énfasis en procesos, datos y coordinación. Su impacto dependerá de la adopción efectiva por parte de las entidades y de la disponibilidad presupuestaria para mantener la operación más allá del periodo contractual vigente.