Ciberseguridad

Ciberseguridad en el sector de la salud

El aumento de la atención que los ciberdelincuentes están dando al sector de salud no es sorprendente. La información de salud protegida y otra información de identificación personal de sus pacientes que las empresas de atención médica almacenan es exactamente el tipo de datos que se monetizan fácilmente. La ciberseguridad en la salud, un aspecto clave en el ecosistema.

Ciberseguridad en los hospitales

ciberseguridad
Ciberseguridad en los hospitales

Los hospitales, como la mayoría de las organizaciones modernas, dependen cada vez más de sistemas de información para una gran variedad de funciones administrativas y clínicas. Hablamos de organizaciones altamente complejas en términos de procesos que; por su propia naturaleza, pueden llegar a tener una actividad las 24 hs los 365 días del año. Esto, sin olvidar que la mayoría de los equipos y medios de diagnósticos modernos que utiliza la medicina tienen un alto componente informatizado. Toda esta red de dispositivos, equipamientos y sistemas que, muchas veces, además, necesitan estar conectados con sistemas externos, conforman un entorno crítico y complejo de controlar.

A la enorme complejidad organizativa, la necesidad de sistemas dispersos que necesitan conectarse entre sí y a la extensa red de equipos médicos informatizados, debemos agregar lo que quizás sea una de las piezas más valiosas para un cibercriminal: la información clínica de los pacientes.

Un ciberataque a una organización de salud deriva en incalculables riesgos en relación con la atención sanitaria y seguridad de los pacientes.

Ciberseguridad. La información clínica de los pacientes es altamente sensible.

El robo de la información clínica deriva en diversas acciones criminales. Estas van desde el uso de la información robada con fines de fraude administrativo, el consumo ilícito de fármacos hasta incluso la venta de ficheros de datos a otros cibercriminales. Es importante recordar que la información clínica de un paciente es altamente sensible. El robo y/o mal uso de esta tiene serias consecuencias para la propia seguridad del paciente. Esto incluye para su elegibilidad en términos de aseguramiento, impacto en sus finanzas (procedimientos costosos realizados a un tercero de forma fraudulenta usando su identidad y cobertura médica), etc.

¿Cuáles son los riesgos de una mala gestión de la ciberseguridad en salud?

Ciberseguridad, hacker
Los ataques al sistema de salud son cada vez más frecuentes

Un estudio realizado en Estados Unidos por la HIMSS (1), basado en una encuesta a más de 150 hospitales, arrojó datos de gran importancia. Las principales motivaciones para atacar un hospital recaen en el robo de identidad médica, comercialización de información robada en el mercado negro; e incluso el acceso no autorizado y robo de información de pacientes. Sin embargo, las consecuencias de un ciberataque a un hospital no se limitan al robo o filtración de información médica. Conllevan asociados además otros riesgos relacionados con la práctica clínica y operacional de estas organizaciones.

Los hospitales tienen necesidad de adoptar medidas serias, estratégicas y estructurales para proteger su entorno y parque informatizado libre de ataques. Puesto que una caída o no disponibilidad de las tecnologías puede resultar en una amenaza grave para la continuidad operativa de la organización.

Ciberseguridad, una apuesta firme

Los sucesos de ransomware en la industria hospitalaria demuestran el riesgo al que se expone un hospital en caso de que estos códigos maliciosos bloqueen o encripten información; como por ejemplo de sistemas operacionales claves como la Historia Clínica Electrónica, donde reside toda la información de un paciente.

Por eso, se torna cada vez más imprescindible que, desde las organizaciones de salud, se haga una apuesta firme en materia de ciberseguridad. Plantearse si los sistemas de información que están utilizando son lo bastante seguros. Gestionar de forma adecuada la seguridad de la información en salud es un elemento esencial y proactivo que supone la implementación de diversas medidas organizativas y técnicas. Estas deben ser abordadas desde diferentes ámbitos: legal, normativo, tecnológico y educativo, por mencionar los más importantes.

Inversión estratégica en infraestructura como elemento de prevención

ciberseguridad en la salud
Inversión estratégica en infraestructura como elemento de prevención

Los problemas de ciberseguridad no deben ser un elemento que frene el imparable y necesario proceso de informatización hospitalaria. Al contrario, la mejor manera de controlar y proteger la información de nuestros pacientes y las infraestructuras críticas es con el uso de herramientas y tecnologías existentes que permiten controlar accesos no permitidos, bloquear virus y ataques varios, registrar cada uno de los acceso a información protegida y controlar otras vulnerabilidades de la evolución tecnológica, como la llamada Internet de las Cosas.

Sería absurdo privar a nuestra población de los avances científicos y tecnológicos en la medicina y en el sector salud, pues forma parte consustancial del bienestar personal de cada ciudadano y de la sociedad en su conjunto. El enfoque debe ser poner la ciberseguridad como un elemento central en la agenda de los ejecutivos del sector. Desafortunadamente, muchas veces reaccionamos a los eventos catastróficos y nos falta continuidad y visión estratégica, donde la seguridad informática sea parte de la agenda de la Transformación Digital de los hospitales.

Las posibilidades del Cloud en materia de ciberseguridad

Para poder implementar sistemas que cumplan con los requisitos mínimos de disponibilidad y seguridad para considerarse fiables, se precisa de una importante inversión en infraestructura hardware, en software y en personal técnico. Pese a ser algo esencial, no todos los hospitales tienen capacidad para asumir los costes y tiempos de implantación que esta infraestructura requiere. Es por ello que una de las opciones más recurridas en la actualidad pasa por la implementación de soluciones en la nube, que permite reducir los costes y obtener un mayor retorno de la inversión.

El uso de la computación en la nube y, más concretamente de soluciones SaaS, reporta numerosas ventajas pero, al mismo tiempo, también recelos y preocupaciones a las organizaciones de salud. La clave para poder realizar el salto a la nube dejando atrás dichas preocupaciones es implementar correctamente la seguridad en los datos que se gestionan antes de plantear siquiera el despliegue de los mismos en la nube. Para ello, es importante implementar mecanismos de cifrado que ayuden a proteger adecuadamente la información almacenada, protegiéndola así de accesos indebidos.

Las PyMEs del sector salud, las más vulnerables

Las pequeñas y medianas empresas de salud son especialmente vulnerables. Estas organizaciones necesitan una manera rentable de priorizar su protocolo de ciberseguridad porque, además de proteger la información de los pacientes, recientes estudios muestran que el 60 % de las PyMEs que sufrieron un ciberataque debieron cerrar sus puertas en los seis meses siguientes al hecho.

Las PyMEs tienden a caer en la trampa de pensar que son demasiado pequeñas para ser blanco de los ciberdelincuentes. Sin embargo, pensar de esta manera es un grave error. Los ciberdelincuentes se preocupan menos de lo grande que es su objetivo y más acerca de los datos que poseen y el tiempo y esfuerzo que tomará conseguirlos. Las PyMEs tienen la misma información de los pacientes que las grandes empresas, solo en una escala menor.

ciberseguridad en las Pymes
La ciberseguridad debe ser abordada con honestidad y visión estratégica.

No podemos vivir de espaldas al avance técnico. Debemos ser consciente que el sector salud y el sector hospitalario, por sus características y particularidades, es especialmente sensible. La ciberseguridad debe ser tomada muy en serio y abordada con honestidad y visión estratégica. La falta de recursos humanos especializados y la falta de recursos financieros pueden ser barreras o dificultades para enfrentar el problema; pero muchas de las vulnerabilidades pueden controlarse contando con un buen análisis de situación y un planteamiento estratégico. De esta manera enfrentar y gestionar el reto de la seguridad informática en nuestros hospitales.

La ciberseguridad una cuestión de ética

Una refutación común a la creciente atención a los peligros de la seguridad cibernética es: “¿Entonces qué?, ¿se supone que debemos dejar de innovar por temor a los ataques?” La respuesta es, no exactamente. Sin embargo, podría ser útil para las empresas ver la ciberseguridad como una cuestión de ética. Es decir, la ciberseguridad no debería ser simplemente una cuestión de tecnología sino también de moralidad. Después de todo, ¿es ético crear y vender tecnología que deje a los consumidores vulnerables? Con Silicon Valley “una cultura de crece o muere” y, a veces, una cultura miope, es probable que esta actitud sea impopular.

Sin embargo, hay un precedente en otros sectores. Por ejemplo, la American Medical Association y American Bar Association requieren que los profesionales sigan sus respectivos códigos éticos. Los médicos deben comprometerse al Juramento hipocrático, uno de los documentos vinculantes más antiguos de la historia; que ordena que los médicos prometan proteger a sus pacientes. Del mismo modo, los abogados siguen unas Reglas Modelo de Conducta Profesional, donde juran proteger y respetar a sus clientes.

Todos haríamos bien en recordar que aunque la tecnología puede aparecer y desaparecer, lo correcto y lo incorrecto nunca cambia.


Si deseas recibir artículos relacionados, puedes suscribirte a nuestro blog. En Smart Health Digital App, estaremos orgullosos de compartir toda la información disponible.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Ir arriba