Prioridad, proteger los datos sanitarios
La pandemia ha acelerado la necesidad de implementar programas de ciberseguridad efectivos que permitan a las organizaciones sanitarias fortificar sus sistemas debido al auge de los ciberataques en este periodo. La crisis ha empujado a este sector hacia una innovación más rápida para proteger los datos, un factor que ha experimentado un auténtico crecimiento de valor.
La crisis de la COVID-19 ha tenido un gran impacto en cómo se gestionan los hospitales, cómo se establece la relación con los pacientes y en cómo trabajan los profesionales médicos. Pero también ha contemplado a este sector acelerar la adopción de tecnologías digitales y, en concreto, su ciberseguridad en escasos meses. Esto se ha debido principalmente a que la atención sanitaria es cada vez más intensiva en datos. Los hospitales se han convertido en centros de innovación con un uso cada vez mayor de las tecnologías.
Así se desprende del último informe de IDG Research, que pone de relieve que los centros sanitarios son también ahora centros de conocimiento, en los que los datos canalizan el aprendizaje a través de bucles de feedback, tanto hacia los profesionales como hacia la propia organización. Esto supone una transformación profunda de la atención sanitaria: la teleasistencia representa un cambio de canal, mientras que la telemedicina es un cambio de modelo apoyado en los datos.
Así pues, ello significa que los datos, que hasta ahora han sido un complemento de valor a los servicios sanitarios, están entrando en el núcleo de su actividad. De ahí la necesidad de implementar sistemas de protección que impidan la filtración y lo que es peor, perjudiquen a la gestión del tratamiento de usuarios y enfermos. En este entorno, la crisis ha servido para avanzar en una transformación que ya estaba en marcha.
Protegiendo los datos sanitarios
Según comenta Ángel Luis Sánchez, jefe del Servicio de Seguridad de Sistemas de Información (Ciso) y responsable de la Oficina de Seguridad de Sistemas de Información (OSSI) del Servicio Madrileño de Salud (SERMAS), la situación es aceptable si tenemos en cuenta que los ciberataques al sector se han multiplicado exponencialmente en los últimos años por el alto valor que tienen en el mercado negro los datos sanitarios. Es incluso superior a los bancarios. Y a pesar también de que el gasto TIC sanitario en España es menor que el de la media europea y el de otros sectores, lo que repercute también en la calidad de los servicios de ciberseguridad.
“Sabemos que la superficie de ataque es la suma de los diferentes ‘vectores de ataque’. No hay que ser un experto en seguridad para ser conscientes de la gran complejidad que supone el reto de la ciberseguridad en los grandes entornos sanitarios”, asegura. Por eso, “el objetivo es evaluar adecuadamente los riesgos para intentar minimizar cualquier posible amenaza externa; es el principal reto”.
Por su parte, Fernando Maldonado, analista de IDG Research, explica que el sistema sanitario necesita un cambio de modelo para hacer frente al envejecimiento de la población y a las presiones presupuestarias, entre otros frenos. “Durante los últimos meses hemos visto cómo se caían barreras culturales dentro de los centros hospitalarios que han acelerado la transformación. Al mismo tiempo, se demostraba que algunos supuestos sobre los canales digitales han dejado de sostenerse”, señala.
En su opinión, aunque se han dado pasos significativos, todavía queda camino por recorrer. “Quizá la mejor forma de ilustrarlo sea con el caso de la asistencia en remoto, que no telemedicina. Del mismo modo que el trabajo remoto no es teletrabajo, que a un paciente lo atiendan por una videollamada no es telemedicina”, resalta. Para que esta se produzca tiene que, entre otras cosas, integrarse dentro de los procesos del hospital. Además, no se trata de trasladar la consulta física al entorno digital sino aprovechar para transformarla, algo que, de momento, no ha sucedido.
Medidas aplicadas a este sector
Como comenta Sánchez, existen una serie de medidas que pueden resultar efectivas tanto en este sector como en otros, si bien, pueden ser realmente eficientes en la industria sanitaria. La primera hace referencia a concienciar a los directivos de la importancia de la ciberseguridad y la protección de datos. Además, conseguir aumentar el gasto en ciberseguridad para disponer de más y mejor personal experto en ciberseguridad y poder implantar las últimas tecnologías disponibles en el mercado.
Por último, y en tercer lugar, es necesario apostar por la formación y concienciación de los profesionales de la organización, pues “formar a nuestros profesionales en cómo detectar un intento de phishing o un posible incidente de seguridad es tan importante como desplegar las más avanzadas soluciones deTI”, señala el Ciso del SERMAS. Como ya se ha visto en la pandemia en grandes e importantes organizaciones, también en las sanitarias, el eslabón más débil siempre es el usuario y un clic en un enlace malicioso puede llegar a comprometer todo el sistema.
Una plataforma integrada para mayor seguridad
Para Fortinet la protección de los entornos del sector es fundamental. Los sistemas son un objetivo muy atractivo para los cibercriminales y los registros de los hospitales continúan siendo comprometidos. Su objetivo no es otro que causar la interrupción en un intento de sembrar el caos y obtener rescates. También, los datos médicos y financieros personales que se encuentran en los sistemas de las organizaciones de atención médica también son valiosos para los ciberdelincuentes.
Como indican desde Fortinet, “es necesario mantener a salvo de los ciberdelincuentes tanto los datos como de las conexiones, haciendo una gestión adecuada de dispositivos y de accesos a los mismos. Por otro lado, los ataques no sólo llegan del exterior de la organización, sino que también usuarios negligentes o descuidados pueden dejar abierta una puerta para el acceso de los 'malos' a la red”.
Con todo ello, el resultado es una superficie de ataque en aumento, un número cada vez mayor de usuarios externos que acceden a los recursos de la red y dispositivos del IoMT en proliferación para abordar todas las condiciones médicas concebibles, muchas de los cuales no se diseñaron teniendo en consideración la seguridad.
La propuesta de la firma de ciberseguridad es una plataforma integrada que agregue arquitectura de seguridad para las organizaciones de atención médica, desde el centro de datos hasta múltiples nubes y una infinidad de dispositivos de salvamento. La capacidad de consolidar funciones de voz, redes, seguridad y vigilancia en un solo sistema con visibilidad y control centralizado ayuda a luchar contra ataques ciberfísicos coordinados y ayuda a mantener seguras las instalaciones, los pacientes y los sistemas de TI.
Además, como señalan, en el sector sanitario hay una tendencia a convertirse en organizaciones distribuidas: diferentes hospitales, clínicas, en definitiva, diferentes sedes que deben conectarse entre ellas y con la sede central. “Una conexión segura y de calidad entre ellas es fundamental para el correcto funcionamiento del servicio”.
