Es necesario que las empresas del sector
asignen partidas presupuestarias y proyectos para impulsar la Ciberseguridad en
sus establecimientos, y en la formación de su Alta Gerencia, como así también
del personal de gestión.
Hace varios años que se está marcando el
problema que existe de subestimación, ignorancia – o incluso negligencia, con
respecto a la ciberseguridad. Y es que las empresas del sector Salud (Obras
Sociales, Empresas de Medicina Prepaga, Prestadores médico-asistenciales,
laboratorios farmacéuticos, clínicas y hospitales y Farmacias) no toman
conciencia de que es fundamental equiparse adecuadamente para la protección de
los datos de sus pacientes y clientes.
El FBI hace ya dos años que viene avisando
que esto está sucediendo, y que los objetivos de los ciberdelicuentes y la
sofisticación de sus ataques, está causando estragos en esta industria.
¿Será que no cuentan con las estructuras de
personal informático para poder hacer frente a estas vicisitudes? ¿Será que los
CEOs o Gerentes Generales son médicos, quizás bastante alejados de los
requisitos informáticos de protección de datos, o de cumplimiento de las
normativas, regulaciones y fundamentalmente las leyes de ciberdelitos en
vigencia? Es un poco de todo esto.
Desde las universidades y centros de
capacitación venimos ofreciendo cursos y conferencias orientadas a lograr la
concienciación en estos temas, en las mentes de los directivos médicos,
comenzando por ellos, para que luego ellos mismos vean la necesidad de formar a
su propio personal.
Es justamente esta oportunidad que desean
explotar los ciberdelincuentes, al saber que las medidas tomadas son muy
débiles, incompletas, o directamente inexistentes.
Por otra parte, hay una necesidad de tecnificación
y automatización de procesos y procedimientos de gestión de datos en el área de
salud. Son ejemplos de esto los siguientes puntos:
Historia médica Electrónica: permite que
sea compartible y accesible por diversos profesionales cuando atienden en distintas
localidades, a un mismo paciente, inclusive si necesitan hacer interconsultas
de centros menos dotados y casi aislados, hacia los grandes centros
hospitalarios y clínicas en las grandes ciudades o municipios. Todo esto
requiere de un severo marco de seguridad para que la confidencialidad de los
datos no se vea afectada.
Receta médica electrónica: permite que los
centros farmacéuticos puedan tener registrados los requerimientos de medicinas
para sus pacientes, y poder verificar si los consumos son acordes por sexo,
edad, diagnóstico y enfermedades, además que los centros asistenciales como las
Obras Sociales y las Empresas de Medicina Prepaga puedan llevar un control de
las erogaciones mensuales en materia de medicamentos consumidos por sus afiliados.
Si este tipo de información es accedida por personas no autorizadas, los datos
de personas/pacientes con enfermedades determinadas o terminales, puedan caer
en manos de delincuentes que se pueden aprovechar de estas situaciones y
manipular a esas personas.
Por otro lado, ¿no les parece sugerente
que, en un porcentaje importante, cuando los pacientes concurren a los
consultorios médicos, la PC en el escritorio, es un mero adorno, por estar
apagada, ¿y no ser aprovechada con la tecnología vigente? El acceso a la mayor
biblioteca de información del mundo está en Internet, y muchas veces ayuda a
confirmar un determinado diagnóstico o tratamiento.
Hablar hoy de tecnificación informática en
centros médico-asistenciales, son bombas de tiempo en los tiempos que transcurren,
si esa tecnificación no goza de la debida protección.
Los ataques de WannaCry en Mayo 2018 y de
Petia y NotPetia en Junio 2018, han puesto de manifiesto la falta de conciencia
en segurizar y mantener segurizados los servidores de aplicación, pues esos
ataques con virus Ramsonwares han sido exitosos porque las víctimas no habían
aplicado los parches y actualizaciones que Microsoft había detectado y liberado
en marzo 2018.
Consecuencia, muchos hospitales y clínicas
de Inglaterra, tuvieron que suspender las atenciones a sus pacientes, y
reprogramar cirugías, simplemente porque su plataforma tecnológica informática,
había quedado devastada. El Centro de Ciberseguridad perteneciente a Telefónica
de España, también fue víctima de este ataque en España.
A manera de sugerencia, los protagonistas
del segmento de Salud, deben asesorarse con especialistas en ciberseguridad,
para saber cuáles son las brechas de seguridad existentes, y hacer un plan de
remediación de todo lo encontrado, acorde con los niveles de ciberdelincuencia
del día de hoy. Una consultoría de Análisis de Brecha en Seguridad, un Análisis
de Riesgo y un Análisis de Vulnerabilidades, permitirán tener el diagnóstico de
cada una de estas empresas del sector Salud.
Y no todo requiere de grandes inversiones,
dado a que existen muchas soluciones gratuitas que permiten reducir los riesgos
de seguridad, aunque no sean lo óptimo, pero al menos es algo más que nada.
El standard HIPAA en Estados Unidos, y la
norma ISO/IEC 27799:2016 facilitan la interpretación de las acciones a ser
llevadas a cabo, para tener un marco de protección adecuado de los datos y de
la información de las empresas del sector.
Espero que las empresas de este sector,
reitero, identificadas por el FBI hace más de dos años, como las menos
inversoras en cuestiones de ciberseguridad respecto de otras industrias, se den
cuenta de todo esto.
Es necesario que las empresas del sector
asignen partidas presupuestarias y proyectos para impulsar la Ciberseguridad en
sus establecimientos, y en la formación de su Alta Gerencia, como así también
del personal de gestión.
Por MBA Lic. Roberto G. Langdon*
*Doctorando para PhD en Cybersecurity and
CyberDefense – Atlantic International University, Hawaii, USA
UNIVERSIDAD CAECE (Buenos Aires – Argentina),
Departamentos de Sistemas y de Ingeniería
para la Licenciatura e Ingeniería en Sistemas: Profesor de Auditoría y
Seguridad Informática
Departamento de Educación Contínua y
Posgrados: Director Académico y Profesor de la Diplomatura en CyberSeguridad
y CyberDefensa; Director Académico y Profesor del Programa Ejecutivo de
Dirección de CyberSeguridad y la Industria; Director Académico y Profesor
de la Diplomatura en Pericias Informáticas Forenses
No hay comentarios.:
Publicar un comentario