En la era digital, un hospital no solo se debe preocupar en que los pacientes estén atendidos, sino que también debe hacer lo propio para estar protegido por las actividades delictivas virtuales. Se ha conocido que el sector sanitario es el tercero más perseguido por los ciberdelicuentes, conscientes estos de la gran cantidad de datos sensibles que se gestionan en la sanidad.
Informes, pruebas diagnósticas, información médica y personal se alojan en los archivos de cualquier organización sanitaria y esto es oro para los hackers. Por tanto, las empresas o entidades vinculadas con la salud son las que mayores posibilidades tienen de sufrir un ciberataque. Hace escasos meses, el Hospital Clinic de Barcelona ejemplificó esta información con un ciberataque que afectó a Urgencias, laboratorio y farmacia y le obligó a reprogramar cirugías, entre otras cosas.
Aquella situación generó mucho caos y colocó en el punto de mira a todo el sistema sanitario. En aras de evitar hechos como este (y otros tantos no conocidos a nivel mediático), desde los encuentros del Foro de Sanidad del Club Excelencia en Gestión han salido unas cuantas recomendaciones para el sector salud pueda estar prevenido para evitar o minimizar el impacto de los ciberataques:
7 medidas para reducir la ciberdelincuencia en el sector salud
A nivel general, los expertos del CEG hablan del modelo de gestión de las organizaciones sanitarias y para ello se detienen en el enfoque que plantea EFQM, una herramienta que permite evaluar el grado de madurez de la administración, a nivel integrado, de una institución, para enfrentar de manera ágil la transformación, necesaria para la sostenibilidad de cualquier organización en el tiempo, buscando un equilibrio entre la optimización de su funcionamiento en el presente y su preparación para el futuro. Desde esa base, estas son las recomendaciones para prevenir la ciberdelincuencia.
- Maximizar la inversión: Estamos en un momento en el que no hay que escatima gastos con la ciberseguridad, ya que las consecuencias de un ciberataque suelen ser catastróficas, con un promedio de impacto de alrededor de 10 millones de euros. Un ejemplo destacado es el incidente sufrido por la compañía de seguros Anthem en 2015, que afectó a 78.8 millones de pacientes y tuvo un costo de aproximadamente 400 millones de euros en términos de limpieza, recuperación, demandas e investigaciones.
- Vigilar a toda la cadena de suminstro: Se estima que aproximadamente la mitad de la información que sale de una forma ilegal de una entidad de salud lo hace de forma discreta utilizando proveedores con los cuales existe algún tipo de conexión. A estos proveedores también se les debe requerir un sólido compromiso con la seguridad informática de manera oficialmente acreditada.
- Actualizarse en materia reguladora: Es crucial contar con la asesoría constante en este ámbito, tanto para cumplir con la ley como para evitar problemas detectados desde otros sectores. Un caso ejemplar es la incorporación a la legislación española de la directiva europea NIS2, con el propósito de eliminar las discrepancias existentes entre los países miembros en lo que respecta a la seguridad de las redes y sistemas de información, la cual entrará en vigencia en otoño próximo.
- Implicación de directivos y gerentes: Un requisito de la directiva NIS2 para las instituciones sanitarias es que los cuerpos directivos aprueben y asuman la responsabilidad de las medidas tomadas para la gestión de los riesgos de ciberseguridad. Esto implica educación y comprensión, con el objetivo de generar una mayor conciencia.
- Análisis de riesgos constante: Evaluar de manera continua y buscar las debilidades para corregirlas de inmediato, y también incluir en los equipos expertos en manejo de incidentes, capaces de detectar y neutralizar vulnerabilidades.
- Formación a los equipos: En el ámbito de la salud, existen numerosos profesionales que utilizan equipos informáticos conectados a la red del centro. Es fundamental que todos ellos estén familiarizados con las pautas elementales de ciberseguridad: evitar descargas, no hacer clic en enlaces sospechosos, tener precaución con el uso de dispositivos USB externos… En definitiva, un sanitario debe adoptar el perfil de un informático y actuar en consecuencia para evitar intrusiones virtuales.
- Seguridad ante todo: Un elemento primordial que no se puede ignorar, ya que muchas veces los delincuentes cibernéticos ingresan con contraseñas débiles. Asimismo, es esencial actualizar las infraestructuras informáticas para evitar su obsolescencia y segmentar las redes del centro, de manera que un ciberataque no afecte todas las áreas de gestión de la organización.