La amenaza de sufrir ciberataques es permanente para el sector salud. Si bien existen numerosas soluciones, políticas y estrategias para proteger los recursos de las instituciones, su implementación se debe evaluar periódicamente. Eso permite saber con certeza si se tiene una ciberseguridad madura y actuar en consecuencia.

Un modelo de madurez se puede definir como el conjunto de prácticas o procesos para determinar los niveles de avance en las capacidades de la institución. En algunos casos dichos modelos pueden estar determinados por disposiciones legales, como las que regulan la gestión de los datos en el cuidado de la salud.

Tener un modelo cuyo objetivo sea lograr una ciberseguridad madura facilita la identificación de las áreas que se deben priorizarse para lograr mejor protección y medir objetivamente su progreso.

Ahora bien, existen numerosos modelos para determinar si se tiene una ciberseguridad madura. Aunque difieren en qué tan detallados están y qué tan rigurosos son sus parámetros, suelen compartir ciertas características. Una de ellas es el agrupamiento de sus descripciones en cinco etapas o áreas principales. ¿Cuáles son?

Etapas de madurez

●Primera etapa. La ciberseguridad está desorganizada y sin estructurar, pues no existen políticas claramente establecidas. Las soluciones trabajan de manera aislada y los procesos de la institución no están documentados.

●Segunda etapa. En este punto los procesos de seguridad ya están documentados. De esa manera, son replicables por cualquier persona a cargo del área. Sin embargo, la integración a nivel institucional aún es incompleta y pueden persistir diferencias en la manera en que cada departamento realiza y documenta sus procesos.

●Tercera etapa. Los procesos y procedimientos de ciberseguridad están estandarizados en todas las áreas de la empresa. El personal recibe entrenamiento oportuno para que pueda comprenderlos y replicarlos de manera uniforme. También se promueve la toma de acciones proactivas y no sólo reactivas para responder a las amenazas.

●Cuarta etapa. Se monitorea y mide el trabajo y los reportes de las herramientas de seguridad. Este nivel suele incluir el uso de herramientas analíticas para obtener estadísticas cuantitativas de los eventos y controles de seguridad.

●Quinta etapa. Se alcanza una verdadera ciberseguridad madura; los procesos se monitorean, analizan y mejoran de manera continua y en muchas ocasiones, automatizada.

Cambios para tener una ciberseguridad madura

No existe un modelo único de madurez de la ciberseguridad ni tampoco una sola forma de evaluarla y mejorarla. En el mercado están disponibles diversas herramientas y soluciones para gestionar y fortalecer la seguridad de los recursos de las TIC del sector salud.

Sin embargo, sea cual sea el modelo y la metodología elegidos, la autoevaluación consistente y continua de la ciberseguridad permite dilucidar los cambios necesarios y crear tanto un cronograma como una hoja de ruta para realizarlos.

Pero eso no es todo. Una vez que la organización determina sus necesidades para fortalecer su ciberseguridad, es conveniente que los hallazgos sean revisados por un agente externo. Eso no sólo permite corroborar o enriquecer las medidas a tomar, sino que ayuda a cumplir con los requerimientos legales de manera confiable.