El Ministerio de Salud y Protección Social (Minsalud) publicó el proyecto de resolución de 2025 “por medio de la cual se crea, implementa y adopta el Equipo de Respuesta a Incidentes de Seguridad Informática del Sector Salud y Protección Social – CSIRT Salud, y se dictan otras disposiciones”. La medida busca institucionalizar la respuesta digital ante ciberataques e incidentes informáticos en las entidades públicas del sector, fortaleciendo la seguridad de la información y la continuidad operativa de los servicios de salud.
El proyecto se enmarca en la estrategia de seguridad y confianza digital del Estado colombiano, desarrollada por los CONPES 3701 de 2011, 3854 de 2016 y 3995 de 2020, y en las obligaciones derivadas de los Decretos 1078 de 2015, 338 de 2022 y la Resolución 500 de 2021.
¿Qué propone el proyecto de resolución del CSIRT Salud?
El documento sometido a consulta define como objetivo crear e implementar el CSIRT Salud, un equipo técnico sectorial encargado de prevenir, detectar, analizar y responder ante incidentes de ciberseguridad que comprometan la información de las entidades públicas del sistema sanitario.
En su ámbito de aplicación, el proyecto cobija a doce entidades nacionales, entre ellas el Ministerio de Salud, el Instituto Nacional de Salud (INS), el Invima, la ADRES, la Superintendencia Nacional de Salud, el IETS, el Instituto Nacional de Cancerología, el Centro Dermatológico Federico Lleras Acosta, los Sanatorios de Agua de Dios y Contratación, el Fondo de Previsión Social del Congreso y el Fondo de Pasivo Social de Ferrocarriles Nacionales.
El CSIRT cubrirá los activos de información críticos y priorizados por cada entidad, incluyendo plataformas de vigilancia, bases de datos regulatorias, sistemas de pago y registros clínicos. Su operación se soporta en el Contrato 1734 de 2024, adjudicado a COINSA S.A.S. mediante la Resolución 2173 del 7 de noviembre de 2024, con ejecución hasta el 30 de junio de 2026.
El proyecto aclara que, tras ese periodo, la continuidad del CSIRT dependerá de la disponibilidad presupuestal y técnica del Ministerio, pudiendo operarse mediante nueva contratación o gestión directa.
¿Cómo afectará esta medida a las instituciones públicas del sector salud?
La implementación del CSIRT Salud implica ajustes operativos inmediatos para las entidades cobijadas. Cada institución deberá designar un responsable o punto de contacto en materia de seguridad de la información, habilitar los espacios físicos y tecnológicos necesarios y asegurar la integración con los sistemas de monitoreo del CSIRT.
Entre las funciones principales se incluyen el monitoreo de eventos cibernéticos, la gestión de incidentes de seguridad, la gestión de vulnerabilidades y la transferencia de conocimiento. Además, el proyecto incorpora un mecanismo de “bolsa de horas” para servicios especializados, como análisis forense digital, que las entidades podrán solicitar bajo justificación técnica y aprobación del supervisor del Ministerio.
Esta medida busca reducir el impacto operativo de los ciberataques, garantizar la disponibilidad de plataformas críticas y preservar la integridad de los datos de salud, un desafío creciente en la era de la interoperabilidad y la historia clínica electrónica.
Los informes mensuales de vulnerabilidades, desempeño y madurez digital, junto con alertas y boletines de ciberseguridad, crearán una línea base de vigilancia digital y promoverán una cultura de prevención tecnológica dentro del sistema sanitario.
Marco normativo y alineación con la política nacional de seguridad digital
El proyecto de resolución consolida un entramado jurídico previamente disperso. El Decreto 338 de 2022 integró al Ministerio de Salud como miembro del Comité Nacional de Seguridad Digital; la Resolución 500 de 2021 obligó a implementar el Modelo de Seguridad y Privacidad de la Información; y el CONPES 3995 de 2020 formalizó la Política Nacional de Confianza y Seguridad Digital, con el mandato expreso de fortalecer capacidades sectoriales en ciberseguridad.
De igual modo, el proyecto se articula con la Resolución 2486 de 2024, que creó el Grupo de Seguridad de la Información e Innovación del Minsalud, encargado de coordinar la adopción de buenas prácticas y estándares de seguridad y privacidad.
El CSIRT Salud se integrará, además, con el CSIRT Gobierno y con otros CSIRT sectoriales y regionales, en un esfuerzo por centralizar información sobre amenazas y unificar protocolos de respuesta bajo las mejores prácticas internacionales (como los modelos STIX/TAXII y TLP). Esta coordinación es clave para fortalecer la resiliencia nacional frente al cibercrimen y garantizar una respuesta articulada ante emergencias digitales.
Estructura operativa y responsabilidades compartidas
El texto proyectado detalla una estructura de roles en la que el operador técnico, actualmente COINSA S.A.S., actúa bajo la coordinación y supervisión directa del Ministerio de Salud y Protección Social.
Cada entidad adscrita deberá reportar incidentes, colaborar en su análisis e investigación, y adoptar las recomendaciones o planes de remediación derivados de los informes del CSIRT. Por su parte, el equipo de respuesta deberá analizar causas raíz, emitir recomendaciones técnicas y dar seguimiento a los planes de mejora.
El proyecto contempla también la elaboración de protocolos de confidencialidad y no divulgación, obligatorios para el manejo de información sensible o reservada. Estos documentos regularán la comunicación entre el operador, el Ministerio y las entidades del sector, garantizando la protección legal y técnica de los datos.
A través de estos lineamientos, el CSIRT busca instaurar una cultura de gestión del riesgo digital, más allá del cumplimiento normativo, hacia un enfoque de madurez organizacional y respuesta temprana.
Desafíos financieros y sostenibilidad del modelo
Uno de los puntos críticos del proyecto es su viabilidad financiera en el mediano plazo. Actualmente, la operación está respaldada por los recursos del Contrato 1734 de 2024, pero su continuidad dependerá de la asignación presupuestal posterior a junio de 2026.
La sostenibilidad del CSIRT Salud exigirá financiación recurrente, retención de talento especializado, y la capacidad de mantener una operación continua 24/7, requisitos indispensables para un centro de respuesta de este tipo.
El modelo, sin embargo, abre una oportunidad de cooperación interinstitucional que podría derivar en beneficios de escala, al consolidar infraestructura, conocimiento técnico y procedimientos comunes. También sienta las bases para extender la estrategia de seguridad digital a hospitales públicos y entes territoriales, actualmente más expuestos a ciberataques por su menor capacidad técnica.
Proyección: hacia una cultura de ciberresiliencia en salud
El proyecto de resolución del CSIRT Salud representa un avance estructural en la gobernanza digital del sistema sanitario colombiano. Si es adoptado, permitirá al Ministerio de Salud coordinar de forma sectorial la detección, contención y mitigación de ciberincidentes, articulando esfuerzos que hasta ahora estaban dispersos. Su implementación efectiva dependerá de tres factores clave:
- La adopción activa por parte de las entidades cobijadas;
- La integración técnica y comunicativa con el CSIRT Gobierno y las redes internacionales;
- La garantía de sostenibilidad financiera y operativa más allá del contrato vigente.
En un escenario de creciente digitalización, interoperabilidad y amenazas informáticas, el CSIRT Salud se proyecta como un pilar estratégico para proteger la continuidad de los servicios, la seguridad de los datos clínicos y la confianza institucional en el sistema de salud colombiano.
Descargue aquí el proyecto de resolución:
