La ciberseguridad en las instituciones de salud es de suma importancia. Sin embargo, suele ocurrir que los responsables de TIC estén sobrecargados de trabajo y aun cortos de personal. Además, muchos de los dispositivos que en uso en las redes hospitalarias tienen características de seguridad insuficientes o, de plano, carecen de ellas. A ello se añade que pueden ocasionar problemas de interoperabilidad o presentar incompatibilidades con los sistemas de ciberseguridad, ya sea por causa del hardware o el software.
A lo anterior se suma el continuo crecimiento de la Internet de las Cosas Médicas (IoMT), tanto por aplicaciones y dispositivos utilizados por el personal médico como por los cada vez más ubicuos dispositivos wearables diseñados para monitorear y atender a los pacientes de manera remota. Si algún elemento es vulnerable a los ciberataques, la ciberseguridad de las instituciones de salud puede verse comprometida.
Por supuesto, es necesario implementar y aplicar un buen programa de entrenamiento de ciberseguridad en los hospitales; igual importancia tiene dotar a los departamentos de TIC con herramientas para contrarrestar los ataques. Entre ellas se cuentan los sistemas de Orquestación, Automatización y Respuesta de Seguridad o SOAR, por su nombre en inglés (Security Orchestration, Automation and Response), un término acuñado por Gartner.
Las plataformas SOAR están integradas por conjuntos de programas compatibles entre sí que permiten recolectar y organizar información sobre problemas de seguridad a partir de múltiples fuentes para definirlos, priorizarlos y responder a ellos sin la necesidad de intervención humana. En suma, su objetivo es mejorar la eficiencia de todos los sistemas de seguridad de la institución.
Para implementar sus sistemas de ciberseguridad, hay instituciones de salud que utilizan herramientas como las plataformas de Información de Seguridad y Gestión de Eventos (Security Information and Event Management, SIEM).
Ciberseguridad en las instituciones de salud: SOAR y SIEM
Una plataforma SIEM concentra la información generada cada día por programas, servidores, terminales, dispositivos en red y otras fuentes. Su principal función es revisar esos millones de entradas en busca de indicadores de problemas de seguridad. Una vez que detecta alguno, puede alertar al personal de TIC o responder automáticamente, ya sea al bloquear alguna actividad sospechosa, lanzar análisis de vulnerabilidades o recopilar información adicional sobre el incidente. Como apoyo, el personal de TIC suele tener manuales con pasos sistematizados a seguir ante determinados problemas.
La plataforma SOAR, lejos de sustituir a una SIEM, la complementa. Se puede decir que la manera de mejorarla mediante la automatización robótica de procesos (RPA) del área de ciberseguridad, pues las acciones que puede emprender tienen mayor alcance que aquellas para las que están diseñadas las SIEM. Esto se debe a que las SOAR pueden integrarse sin contratiempos con un abanico más amplio de programas y dispositivos que las SIEM.
Normalmente, el personal de TIC debe dedicar horas a analizar las alertas emitidas por las SIEM antes de emprender acciones concretas. Las SOAR automatizan y agilizan ese análisis (además de tomar medidas iniciales para resolver el problema), por lo que funciona como un acelerador de la ciberseguridad en las instituciones de salud.
De acuerdo con Gartner, las características más importantes de una SOAR son:
● Gestión de amenazas y vulnerabilidades, a cuya remediación mediante la integración y análisis fluidos de la información que recibe.
● Respuesta a los incidentes de seguridad, al brindar apoyo al planear, manejar, seguir y coordinar la respuesta a las amenazas y ataques.
● Automatización de las operaciones de seguridad, al orquestar la integración de flujos de trabajo, procesos, ejecución de las políticas y generación de reportes.
Ciberataques al alza
Se estima que el mercado global de las SOAR alcanzará 1,791 millones de dólares hacia 2024, contra los 868 millones del año pasado. La mayor parte de estas plataformas estará montada en como servicios en nube. Dicho crecimiento se ve impulsado, entre otras causas, por el aumento en el número tanto de ciberataques reales y falsas alarmas, además de la escasez de personal calificado.
La implementación de plataformas SOAR resulta particularmente útil para combatir dos de las principales amenazas que enfrenta la ciberseguridad de las instituciones de salud: el phising y otros ataques contra las redes hospitalarias mediante malware.
El phising suele ingresar a las redes hospitalarias a través de correos electrónicos infectados que los usuarios abren sin sospechar nada. Las SOAR pueden evitarlo al escanear los correos entrantes a la búsqueda de amenazas y neutralizarlas antes de que los usuarios tengan oportunidad de abrirlos.
El malware en las redes suele ser detectado a través de actividades previamente catalogadas como potencialmente peligrosas. Esta clasificación se basa en indicadores que no siempre son confiables. Mediante las plataformas SOAR es posible codificar un proceso de análisis automático para revisar en profundidad la actividad sospechosa. Acto seguido, la plataforma puede buscar instancias adicionales del indicador dentro de la red de la institución, para evaluar mejor la posible amenaza y, de encontrarlas, alertar a los analistas.
De la misma forma, se pueden automatizar las acciones a tomar en respuesta. Por ejemplo, se puede bloquear una dirección IP o una dirección URL a través del cortafuegos o de un proxy. También se puede aislar un dispositivo en particular para posteriormente efectuar un análisis a profundidad.