La ciberseguridad en el sector salud es hoy indispensable. Si bien los hackers tienen múltiples vías de acceso para atacar las redes informáticas, la mayor vulnerabilidad de cualquier organización reside en acciones del personal (como abrir correos electrónicos con phishing o navegar por sitios web infectados). Por ende, su capacitación constante para hacer frente a los ataques es también una de las mejores maneras de mejorar la ciberseguridad de cualquier organización.

De acuerdo con el Instituto Infosec (especializado en capacitación en seguridad), los principales riesgos a la ciberseguridad en el sector salud se concentran en cinco rubros:

Inversión insuficiente en ciberseguridad: un estudio efectuado en 2016 por Symantec reveló que mientras el gobierno federal estadounidense destinó a ciberseguridad 16% de su presupuesto para TIC y el sector financiero entre el 12% y el 15%, los hospitales destinaron menos del 10%, tendencia que se mantendrá hacia el 2020. Por otra parte, un reporte de la auditora KPMG reveló que el 53% de las instituciones de salud no tienen preparativos de ciberseguridad suficientes.

Alta demanda de los ECE en el mercado negro: de acuerdo con el FBI, la información contenida en un solo expediente clínico electrónico (ECE) vale en el mercado negro hasta 50 veces más que el número de una tarjeta de crédito. ¿La razón? Los ECE incluyen datos como el nombre, cumpleaños, números de pólizas e información de facturación, que pueden ser utilizados para forjar identificaciones falsas luego utilizadas para la compra de equipo o medicamentos destinados a la reventa. En algunos casos, la información se puede utilizar para intentar defraudar a las aseguradoras. Para rematar, tomar mucho tiempo detectar el robo de un ECE y la información que contiene —a diferencia de un número de tarjeta— no puede ser cancelada con una llamada telefónica.

Amenazas a evitar

Negligencia de los empleados: El personal sin capacitar es más propenso a realizar acciones que resultan en quebrantos de la ciberseguridad. Un estudio de Wombat Security Technologies y el Grupo Aberdeen mostró que una correcta capacitación ayuda a disminuir a los hospitales a disminuir del 70% a sólo 45% la probabilidad de sufrir un ciberataque.

Ransomware: Los hospitales son especialmente vulnerables porque mucho de su hardware carece de características de seguridad suficientes. Dada la naturaleza de sus operaciones, los hospitales resienten mucho la pérdida de acceso a los sistemas de cómputo y datos de sus pacientes, por lo que son más proclives a pagar el rescate para recuperar el control. Otra razón por la que los hospitales están dispuestos a pagar la apunta un estudio reciente del Instituto Ponemon, el cual muestra que para los hospitales mantener fuera de línea sus sistemas les puede costar hasta 9,000 dólares por minuto.

Políticas defectuosas de BYOD: Si bien muchos hospitales permiten que su personal use dispositivos personales para el trabajo, alrededor de la mitad no toma ninguna acción para asegurarse de que se utilicen de manera segura. En muchos hospitales no sólo son inexistentes los protocolos para establecer conexiones seguras a las redes ni para determinar qué tipo de información se puede procesar en esos dispositivos, sino que alrededor de dos tercios de ellos transmite por Internet información sensible sin antes encriptarla, según reveló un estudio de BMC Medicine.

Ciberseguridad en el sector salud: entrenamiento inteligente

Ante este escenario, la solución más inmediata pasa por capacitar de manera constante e inteligente al personal. Para lograrlo, el principal reto consiste en establecer una buena comunicación interna, según reveló una investigación publicada por Trend Micro a principios de enero pasado.

De acuerdo con expertos de ISACA (asociación internacional de profesionales de la seguridad en TIC originalmente llamada Information Systems Audit and Control Association, con más de 159,000 miembros en 180 países), la mejor manera de enfocar este entrenamiento continuo es de manera análoga a las actualizaciones de software: no hacerlas oportunamente genera riesgos que crecen con el tiempo.

Las recomendaciones de ISACA son:

  • Crear un plan integral de ciberseguridad y actualizarlo conforme a las amenazas más recientes.
  • Establecer políticas de comunicación interna efectivas para inculcar en los empleados las mejores prácticas.
  • Inculcar en el personal una cultura de ciberseguridad desde el momento de su contratación.
  • Hacer evaluaciones periódicas tanto del personal como de los equipos, para determinar las vulnerabilidades.
  • Ofrecer entrenamiento continuo a lo largo del año a los empleados de todos los niveles.
  • Designar en cada área a un empleado que funja como delegado del departamento de TIC para dar seguimiento al entrenamiento de ciberseguridad y mantener motivados los demás.
  • Entrenamientos con “fuego real”: simular ataques organizados por el departamento de TIC (como el envío de correos con phishing) para evaluar y analizar la respuesta del personal para luego retroalimentarlo sobre la mejor forma de proceder.
  • Educar a los empleados en la importancia de mantener buenas prácticas de ciberseguridad también en su vida privada.
  • Recompensar a los empleados que ayuden a identificar amenazas a la ciberseguridad y las comuniquen oportunamente a los encargados de TIC.