ciberseguridad-en-el-sector-salud
Share on facebook
Share on twitter
Share on linkedin

La importancia de la ciberseguridad en el sector salud

La ciberseguridad se ha convertido en uno de los aspectos mas relevantes y de mayor importancia en los últimos 12 meses. El impacto sin precedentes del COVID-19 en la atención médica y la adopción acelerada de la telemedicina y salud digital ha puesto al descubierto los agujeros en ciberseguridad del sector salud y hospitales aumentando un 48% los ataques*

El pasado mes de Junio realizamos un webinar junto a Softcom, sobre cuáles son los principales retos de la ciberseguridad en el sector sanitario, cómo podemos mitigar estos riesgos y por qué es importante invertir en seguridad.

Webinar moderado por Omar Najid, CEO y con la participación de Savia, Avast, Softcom y el consejero de empresas como Docline, Navandu y Senniors.

Los principales retos de ciberseguridad en el sector salud

La exposición y vulnerabilidad de los sistemas y dispositivos conectados

La cantidad de dispositivos IoT conectados a la red combinado con la dificultad de actualización, controles de acceso débiles, la heterogeneidad de las redes y la dependencia de sistemas obsoletos que han sido heredados y que no están preparados para los ciberataques, los hace más vulnerables y que se vean más fácilmente comprometidos en un ataque.

La necesidad de implementar buenas prácticas y un protocolo de actuación

La principal tarea de la ciberseguridad es proteger sus sistemas y datos informáticos. Por ello, cada empresa debe establecer una serie de medidas de protección preventiva y proporcionar a todo equipo con las herramientas necesarias para reaccionar de forma rápida y adecuada ante un posible ataque.

Estas medidas deben ser parte de la cultura de la empresa y todos los empleados tienen que ser conocedores.

¨Si hay un ataque, nos afecta a todos y es responsabilidad de todos¨

Javier Pérez Caro, Consejero en Docline y Navandu + Advisor en Senniors

Preservar los aspectos fundamentales que definen la seguridad de la información

  • Confidencialidad: la información tiene que ser accesible solo para quien tenga que serlo.
  • Integridad: la información tiene que permanecer inalterable.
  • Disponibilidad: la información tiene que estar disponible en el sistema cuando se requiera para dar el servicio adecuado; cuando hablamos de la salud de la persona, la disponibilidad es bastante crítica.
  • Autenticidad:  asegurar la veracidad del origen y destino de la información, la trazabilidad del dato. 
  • Privacidad: es primordial cumplir con los últimos protocolos de seguridad.

Generar confianza y seguridad en los servicios que se presentan al paciente y ciudadano

En el sector salud se manejan muchos datos, los cuales son muy sensibles. Estamos hablando de historias clínicas y comunicaciones en tiempo real como puede ser puede una vídeoconsultas, chat médico, prescripciones electrónica, etc por lo que generar confianza y seguridad del paciente al paciente es primordial.

¨ […] El dato de una tarjeta de crédito en el mercado negro cuesta un dólar una historia clínica 40 dólares¨

Falta de formación específica 

Los profesionales de la salud no están lo suficientemente formados para manejar o gestionar algunos de los sistemas, pero no solamente hablamos del profesional de la salud que está ejerciendo su actividad y que maneja un ordenador, estamos hablando también de los responsables de sistemas de esos hospitales o grandes corporaciones que tienen muy bien bajo control lo que son los sistemas pero no tienen formación adecuada o específica en ciberseguridad, para aplicar a esos sistemas.

Hay una necesidad de formación adecuada o específica en ciberseguridad a todos los niveles de las corporaciones. 

La falta de la figura del CISO

El CISO (Chief Information Security Officer), es el máximo responsable de la seguridad en empresas de determinado tamaño y su figura es indispensable. El CISO tiene que estar en la compañía,  tiene que  aconsejar y reportar al consejo de administración, tiene que saber qué está pasando en la compañía y en el sector, además de crear eso protocolos de actuación y difundirlos en el equipo.

Falta de colaboración o comunicación 

Luis Corrons, Avast comenta ciertas peculiaridades del sistema sanitario y hospitales, quienes tienden a trabajar de forma muy aislada y separada. Esto se convierte en una debilidad ya que compartir mas información a nivel de especialistas y responsables de sistemas de los hospitales y centros sanitarios puede ayudar a la protección de otros centros y evitar ataques en un futuro.

La importancia de la inversión en Ciberseguridad

No somos conscientes que invertir en seguridad no es un gasto, sino que es rentable. Imaginemos, un ataque afectado a los departamentos core del negocio, por ejemplo en el caso hospitalario afectando al sistema de enfriamiento del laboratorio, el impacto puede llegar a tener graves consecuencias como el cese total o parcial de su actividad, pérdidas económicas, mala reputación, además de un grave peligro para los pacientes. 

Estos ataques acarrean graves consecuencias para la seguridad del paciente, trastorno en la gestión diaria, además de un importante gasto económico y pérdidas financieras y reputacionales.

¨Al final es mucho más caro no invertir en ciberseguridad¨

Luis Corrons, Security Evangelist en Avast

¨A medio plazo sale muy barato invertir en ciberseguridad no solamente por el riesgo que evitas, si no por el riesgo potencial de la pérdida de negocio, daño reputacional, etc.¨

Raúl Prieto, CIO Savia

Para las compañías que se lo pueden permitir no es una mala inversión el trabajar el tema de la ciberseguridad. Y en el mundo startup, donde prima el ¨No tenemos tiempo para esto¨, ya que existe la necesidad de innovar y reaccionar muy rápido al mercado,  existen compañías muy especializadas que ofrecen el servicio de ciberseguridad con un modelo de outsourcing, lo que permite no tener que escalar en recursos internos pero sí tener un grado de cobertura alto con un equipo muy especializado en temas de seguridad de información.

¨70% de los ciberataques son las pequeñas y medianas empresas […] y de ese 70% alrededor del 50% tienen que cerrar en los próximos seis meses después de sufrir un ciberataque¨

Antonio Gil, Director General en Softcom

¿Qué es el ROSI? 

Retorno de la Inversión en Seguridad de la Información que hace una valoración real de lo que ha supuesto o supondría para la empresa sufrir un ciberataque. 

ROSI = Mitigación del riesgo monetario – Costo del control 

Las pérdidas se reducen al implementar distintas medidas de prevención y acción ante la vulneración de la seguridad de los sistemas. De esta manera, el retorno es el valor resultante de la reducción de las pérdidas y el costo equivale al gasto realizado para incorporar dichas medidas; es decir, la inversión.

Hoy, es crucial contar con una estrategia que apueste por la prevención, la respuesta inmediata y la monitorización de nuevas amenazas cibernéticas, todavía más si cabe en estos momentos tan importantes para la continuidad asistencial. 

Si tu empresa no destina una parte del presupuesto a las labores de ciberseguridad, estás perdiendo ingresos. Además, la incertidumbre de un posible ataque también es un factor de riesgo que disminuye la competitividad de tu negocio en el mercado.

Por ello, En Docline trabajamos con Softcom, especialistas en ciberseguridad quienes nos ayudan a definir los protocolos y  elegir las mejores opciones del mercado con una inversión adecuada.

¿LISTO PARA EMPEZAR?

Descubre nuestra plataforma y todas sus ventajas.