martes, octubre 29, 2019

Recomendaciones de Ciberseguridad para la industria de la Salud


Es necesario que las empresas del sector asignen partidas presupuestarias y proyectos para impulsar la Ciberseguridad en sus establecimientos, y en la formación de su Alta Gerencia, como así también del personal de gestión.

Hace varios años que se está marcando el problema que existe de subestimación, ignorancia – o incluso negligencia, con respecto a la ciberseguridad. Y es que las empresas del sector Salud (Obras Sociales, Empresas de Medicina Prepaga, Prestadores médico-asistenciales, laboratorios farmacéuticos, clínicas y hospitales y Farmacias) no toman conciencia de que es fundamental equiparse adecuadamente para la protección de los datos de sus pacientes y clientes.
El FBI hace ya dos años que viene avisando que esto está sucediendo, y que los objetivos de los ciberdelicuentes y la sofisticación de sus ataques, está causando estragos en esta industria.
¿Será que no cuentan con las estructuras de personal informático para poder hacer frente a estas vicisitudes? ¿Será que los CEOs o Gerentes Generales son médicos, quizás bastante alejados de los requisitos informáticos de protección de datos, o de cumplimiento de las normativas, regulaciones y fundamentalmente las leyes de ciberdelitos en vigencia? Es un poco de todo esto.
Desde las universidades y centros de capacitación venimos ofreciendo cursos y conferencias orientadas a lograr la concienciación en estos temas, en las mentes de los directivos médicos, comenzando por ellos, para que luego ellos mismos vean la necesidad de formar a su propio personal.
Es justamente esta oportunidad que desean explotar los ciberdelincuentes, al saber que las medidas tomadas son muy débiles, incompletas, o directamente inexistentes.
Por otra parte, hay una necesidad de tecnificación y automatización de procesos y procedimientos de gestión de datos en el área de salud. Son ejemplos de esto los siguientes puntos:
Historia médica Electrónica: permite que sea compartible y accesible por diversos profesionales cuando atienden en distintas localidades, a un mismo paciente, inclusive si necesitan hacer interconsultas de centros menos dotados y casi aislados, hacia los grandes centros hospitalarios y clínicas en las grandes ciudades o municipios. Todo esto requiere de un severo marco de seguridad para que la confidencialidad de los datos no se vea afectada.
Receta médica electrónica: permite que los centros farmacéuticos puedan tener registrados los requerimientos de medicinas para sus pacientes, y poder verificar si los consumos son acordes por sexo, edad, diagnóstico y enfermedades, además que los centros asistenciales como las Obras Sociales y las Empresas de Medicina Prepaga puedan llevar un control de las erogaciones mensuales en materia de medicamentos consumidos por sus afiliados. Si este tipo de información es accedida por personas no autorizadas, los datos de personas/pacientes con enfermedades determinadas o terminales, puedan caer en manos de delincuentes que se pueden aprovechar de estas situaciones y manipular a esas personas.
Por otro lado, ¿no les parece sugerente que, en un porcentaje importante, cuando los pacientes concurren a los consultorios médicos, la PC en el escritorio, es un mero adorno, por estar apagada, ¿y no ser aprovechada con la tecnología vigente? El acceso a la mayor biblioteca de información del mundo está en Internet, y muchas veces ayuda a confirmar un determinado diagnóstico o tratamiento.
Hablar hoy de tecnificación informática en centros médico-asistenciales, son bombas de tiempo en los tiempos que transcurren, si esa tecnificación no goza de la debida protección.
Los ataques de WannaCry en Mayo 2018 y de Petia y NotPetia en Junio 2018, han puesto de manifiesto la falta de conciencia en segurizar y mantener segurizados los servidores de aplicación, pues esos ataques con virus Ramsonwares han sido exitosos porque las víctimas no habían aplicado los parches y actualizaciones que Microsoft había detectado y liberado en marzo 2018.
Consecuencia, muchos hospitales y clínicas de Inglaterra, tuvieron que suspender las atenciones a sus pacientes, y reprogramar cirugías, simplemente porque su plataforma tecnológica informática, había quedado devastada. El Centro de Ciberseguridad perteneciente a Telefónica de España, también fue víctima de este ataque en España.
A manera de sugerencia, los protagonistas del segmento de Salud, deben asesorarse con especialistas en ciberseguridad, para saber cuáles son las brechas de seguridad existentes, y hacer un plan de remediación de todo lo encontrado, acorde con los niveles de ciberdelincuencia del día de hoy. Una consultoría de Análisis de Brecha en Seguridad, un Análisis de Riesgo y un Análisis de Vulnerabilidades, permitirán tener el diagnóstico de cada una de estas empresas del sector Salud.
Y no todo requiere de grandes inversiones, dado a que existen muchas soluciones gratuitas que permiten reducir los riesgos de seguridad, aunque no sean lo óptimo, pero al menos es algo más que nada.
El standard HIPAA en Estados Unidos, y la norma ISO/IEC 27799:2016 facilitan la interpretación de las acciones a ser llevadas a cabo, para tener un marco de protección adecuado de los datos y de la información de las empresas del sector.
Espero que las empresas de este sector, reitero, identificadas por el FBI hace más de dos años, como las menos inversoras en cuestiones de ciberseguridad respecto de otras industrias, se den cuenta de todo esto.
Es necesario que las empresas del sector asignen partidas presupuestarias y proyectos para impulsar la Ciberseguridad en sus establecimientos, y en la formación de su Alta Gerencia, como así también del personal de gestión.
Por MBA Lic. Roberto G. Langdon*
*Doctorando para PhD en Cybersecurity and CyberDefense – Atlantic International University, Hawaii, USA
UNIVERSIDAD CAECE (Buenos Aires – Argentina),  
Departamentos de Sistemas y de Ingeniería para la Licenciatura e Ingeniería en Sistemas: Profesor de Auditoría y Seguridad Informática
Departamento de Educación Contínua y Posgrados: Director Académico y Profesor de la Diplomatura en CyberSeguridad y CyberDefensa; Director Académico y Profesor del Programa Ejecutivo de Dirección de CyberSeguridad y la Industria; Director Académico y Profesor de la Diplomatura en Pericias Informáticas Forenses

No hay comentarios.:

Publicar un comentario