Las pruebas de penetración fortalecen la ciberseguridad en el sector salud. También conocida como hacking ético o pentesting, son realizadas por un hacker o grupo de hackers, quienes simulan ciberataques a la red de una organización o un departamento individual, tales como aplicaciones o dispositivos móviles, imitando las tácticas usadas por verdaderos criminales. Se utilizan para detectar las fallas o debilidades de un sistema y determinar la probabilidad de que sean explotadas por un hacker.

Suelen formar parte del arsenal de herramientas de seguridad de la información y se realizan por varios motivos, incluyendo:

  • Responder a una falla de seguridad en una organización similar.
  • Cumplir con regulaciones o normatividad.
  • Garantizar la seguridad de nuevas aplicaciones o cambios significativos a procedimientos de negocio.
  • Manejar los riesgos de usar un mayor número y variedad de servicios tercerizados.
  • Evaluar el riesgo de que los datos o sistemas críticos se vean comprometidos.

Pruebas de penetración: sus tipos

  • Externas de red, que incluyen todos los servicios de red, servidores, hosts y dispositivos que conectan a Internet o a sistemas externos.
  • Internas de red para asegurar que la red esté segura tanto contra usuarios internos como de ataques no autorizados.
  • Aplicaciones web para identificar vulnerabilidades de seguridad que resulten de un desarrollo inseguro de software.
  • Penetración de red inalámbrica para detectar puntos de acceso o dispositivos no autorizados dentro del entorno de la organización.
  • Ingeniería social, cuya meta es evaluar la factibilidad de que los empleados rompan reglamentos de seguridad o den acceso involuntario a información.

Pruebas de penetración en sector salud: cuando sí, cuándo no

Es mucha la heterogeneidad de los sistemas informáticos dentro de las instituciones del sector salud. Hay una gran variedad en la infraestructura y número de dispositivos. También su antigüedad es heterogénea. Por ello, hay ocasiones en que el pentesting no es un procedimiento eficiente. Si se decide emprender una iniciativa de este tipo, es recomendable hacerla por fases o acotarla a ciertos sistemas, como aquellos expuestos a Internet.

Considerar si la institución está lista. Es aconsejable fortalecer primero la seguridad de la información, puesto que el objetivo de una prueba de penetración es evaluar y mejorar las estrategias y tácticas implementadas, no crearlas.

Establecer límites para la prueba. Las instituciones de salud tienen aparatos médicos y dispositivos que pueden ser utilizados en cualquier momento. Si hay uno o varios que puedan afectar los servicios de salud prestados, es importante establecerlo antes de realizar la prueba. Así, de ser necesario, se sabrá cuándo detenerse la prueba.

Conocimiento del sector salud

Adicionalmente, las instituciones de salud suelen contar tanto con equipo muy disímbolo. Lo mismo tienen dispositivos habilitados con IoMT, que aparatos y computadoras viejos que no tienen los niveles correctos o actualizados de seguridad. Por lo tanto, es importante que el proveedor esté familiarizado con las realidades de las instituciones de salud. También es aconsejable que tenga la suficiente disponibilidad y flexibilidad para trabajar con el equipo interno de TIC.

Tomar en cuenta los hallazgos para realizar mejoras. Hay veces que los descubrimientos de las pruebas de penetración no resultan en cambios a los planes de seguridad informática. Es importante crear un inventario de los hallazgos, priorizarlos e implementar mejoras.