Juan Manuel Fernández, Luis
Santiago Sánchez, José Arjona, Isabel Sastre, Óscar Díaz y Inés de Lózar.
Las
amenazas digitales y la mayor presencia de la tecnología en el día a día
han hecho necesario un replanteamiento de las medidas de
ciberseguridad. De hecho, proteger los datos cobra todavía más importancia
en los ámbitos sanitarios, donde su valor es alto y los ciberdelicuentes lo
saben. Por ello, los expertos han debatido en el XI Encuentro Global de
Ingeniería Hospitalaria, organizado por Redacción Médica con la
colaboración de Carburos Médica, sobre cuáles son las principales soluciones
para frenar estos ataques y una de ellas está muy clara: la formación
en ciberseguridad de los sanitarios.
"Tenemos
que estar concienciados y saber que las personas somos la principal
puerta de entrada de estos ataques. Existe un ciberdelicunencia
especializada en sanidad y los datos sanitarios se venden muy
caros en el mercado negro", ha explicado Inés de
Lózar, responsable del Centro de Operaciones de Ciberseguridad de la
Gerencia Regional de Salud de Castilla y León.
Los
hospitales son lugares críticos debido al volumen de información
que manejan y los ataques más comunes que reciben son el phishing (suplantación
de identidad), la fuga de información y el ciberataque
ransomware (secuestro de datos). Pero, además, tienen varios factores
de riesgo que los hacen estar en peligro. Según ha señalado De Lózar, entre
estos elementos están: el personal rotatorio y sin conocimientos
sobre ciberseguridad, y la presencia de tecnologías muy heterogéneas que
no se pueden actualizar.
"Es
necesario que mejoremos la visibilidad del equipamiento que forma parte de un
hospital y lo conozcamos para poder aplicar las medidas de conexión de
seguridad a cada tipo concreto", ha destacado. En este sentido, ha
mencionado varios proyectos en los que trabajan en Castilla y León y uno de
ellos se centra en la tecnología de control de acceso a red: Con él
podemos controlar qué equipo se conecta porque se basa en un sistema de
reconocimiento de dispositivos y perfilado de los mismos. De forma que
permite unas políticas de seguridad u otras y conseguimos una detección en
tiempo real de todos los elementos de la red".
"Los
hospitales están poniendo el precio a sus datos"
No
obstante, la formación en ciberseguridad no tiene que hacerse solo desde
hospitales o centros de salud, sino que debe ser una educación
que parta ya desde la universidades. Así lo ha considerado Óscar Díaz, jefe
de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de
Cataluña. Concretamente, el 75 por ciento de las entradas de
estos ataques son a través del usuario y el 51 por ciento de
hospitales que sufren 'ransomware' o 'secuestro de datos' se
paralizan. "Son los hospitales los que están poniendo
precio a los datos que les han cifrado e intentan recuperar. Podemos
continuar pagando o solucionarlo", ha asegurado Díaz.
Para
revertir esta situación, la Agencia de Ciberseguridad de Cataluña
ha presentado recientemente un modelo de ciberseguridad para el ámbito
sanitario que se divide en cuatro fases. En la primera se hace un diagnóstico
de la seguridad y obsolescencia y se aconsejan ciertas acciones a corto
plazo, sin apenas costes y grandes esfuerzos, pero cuya implementación ya
mejora la posición de seguridad del centro.
Tal
y como ha relatado Díaz, la segunda parte consiste en un plan de seguridad
con iniciativas concretas para conseguir "una base mínima de
protección". "La tercera fase es la puesta en marcha o integración
de los servicios operativos. De forma que la agencia comparte los
conocimientos y la información con la entidad correspondiente", ha
indicado. Por último, están los servicios recurrentes, a los que se puede
acudir en cualquier momento para crear una cultura de
ciberseguridad, para la comunicación, etc.
Seguridad
desde el diseño
En
este debate en el marco del XI Encuentro Global de Ingeniería Hospitalaria,
donde han colaborado también Grupo Empresarial Electromédico
(GEE), Polygon Technical Solutions y Serveo, y ha sido auspiciado por la
Asociación Española de Ingeniería Hospitalaria (AEIH); se ha puesto el foco en
el diseño de la seguridad desde el principio. Luis Santiago
Sánchez, subdirector del Equipo Provincial de Tecnologías de la Información y
Comunicaciones (TIC) de Sevilla, ha señalado que trabajar en ello "no se
puede hacer a posteriori".
En
la opinión de Sánchez, para lograr que los sistemas sanitarios sean más seguros
hay que licitar contratos que incluyan cláusulas de seguridad e
incluso penalizaciones si no se cumplen con las mismas. "Otra opción es evaluar
la madurez de las empresas que contratamos y ver si cuentan con la
certificación del Esquema Nacional de Seguridad (ENS). Así se verá el
compromiso de las compañías con la seguridad", ha expuesto Sánchez.
En
esta misma línea, José Arjona, subdirector de Ingeniería, Inversiones y
Mantenimiento del Hospital Virgen del Rocío (Sevilla), ha especificado que la
seguridad "requiere dinero": "Tenemos que mantener la
asistencia, no solamente es el riesgo de la confidencialidad, sino que la
prestación asistencial se puede ver paralizada y ese es nuestro principal
reto", ha especificado.
Contar
con unos equipamientos modernos también será fundamental para optimizar
su seguridad. En el Virgen del Rocio cuentan con 18.500 equipos electromédicos
y con instalaciones críticas en infraestructuras (quirófanos, ucis, unidades
infecciosas, laboratorios y neonatos). Sin embargo, el perfil tecnológico de
equipamiento instalado está un poco lejos de lo deseable. "El objetivo es
que el 60 por ciento del equipamiento tenga hasta 5 años, el 30 por
ciento entre 6 y 10 años, y el 10 por ciento 10 años. Sin embargo, en la
actualidad hay 44 por ciento; 28 por ciento y 28 por ciento,
correspondientemente", ha concretado.
Confidencialidad,
disponibilidad e integridad
Todos
los hospitales son cada vez más conscientes de la importancia de proteger su
seguridad y el Hospital Fundación Alcorcón ha tomado medidas concretas
desde años, tal y como ha contado Isabel Sastre,
subdirectora de Sistemas y Tecnologías de la Información del centro.
"Desde el principio hemos puesto foco en la seguridad, queremos proteger
la confidencialidad (obligando a guardar el secreto médico a los
profesionales), la disponibilidad (que sean accesibles los datos) y la
integridad (que la información de los pacientes sea veraz y completa)", ha
comentado.
¿Qué
han hecho al respecto? Sastre ha enumerado que cuentan, entre otros, con:
segregación de red, cortafuegos, port security, antivirus, antispam,
actualización software base, cámaras de seguridad, concienciación al profesional,
control de acceso por medio de tarjeta física y segregación funcional.
Con
todo ello logran determinar quién puede acceder al sistema y a qué
información, evitar la alteración o pérdida de datos y garantizar su
recuperación en caso necesario; y adaptar los sistemas de información a
los niveles de servicio, entre otras funciones.
Fuente Redacción Médica
No hay comentarios.:
Publicar un comentario