Por Redacción Curar con Opinión

El Club Excelencia en Gestión, una asociación multisectorial sin ánimo de lucro dedicada a compartir conocimiento sobre gestión y transformación de organizaciones, ha recopilado valiosas lecciones sobre ciberseguridad en el sector sanitario a través de sus foros de benchmarking. Estos encuentros han sido llevados a cabo con el objetivo de compartir experiencias y promover el conocimiento en materia de ciberseguridad, y han contado con la participación del Consorci Sanitari Integral y de Leet Security.

El sector de la salud, debido a la información sensible que almacena en sus bases de datos y a su alto grado de digitalización, se ha convertido en uno de los más vulnerables a los ciberataques. En España, se estima que es el tercer sector más atacado por ciberdelincuentes, y a nivel mundial, ha sido el más afectado en el año 2022, con un aumento del 74% en incidentes en comparación con el año anterior, superando el promedio general del 38%.

A partir de estas experiencias, el Foro de Sanidad del Club Excelencia en Gestión ha identificado 7 claves fundamentales para mejorar la ciberseguridad en el ámbito de la salud:

1. Invertir al máximo: Si bien es importante ser eficiente en la inversión, no se debe escatimar en gastos para mejorar la ciberseguridad, ya que los ciberataques pueden tener consecuencias devastadoras que pueden ascender a un costo promedio de 10 millones de euros. El ejemplo del sufrido por la aseguradora estadounidense Anthem en 2015, que afectó a 78,8 millones de pacientes y le costó unos 400 millones de euros en limpieza, recuperación, demandas e investigaciones, es un claro ejemplo de esto.
2. Seguridad en la cadena de suministro: Casi la mitad de los datos que son extraídos fraudulentamente de una organización sanitaria provienen de proveedores con los que existe algún tipo de vínculo. Por ello, se debe exigir a los proveedores un fuerte compromiso con la ciberseguridad certificada.
3. Estar al tanto de las nuevas ‘cibernormativas’: Es esencial contar con asesoramiento continuo en materia de ciberseguridad para cumplir con la legislación vigente y prevenir problemas detectados en otros sectores. La próxima entrada en vigor de la regulación española de la directiva europea NIS2, que busca garantizar la seguridad de las redes y sistemas de información, es un ejemplo de esto.
4. Comprensión desde la gobernanza: La directiva NIS2 exige que los órganos de dirección de las organizaciones sanitarias aprueben y asuman la responsabilidad de las medidas de gestión de riesgos de ciberseguridad adoptadas. Esto implica una mayor formación y comprensión para aumentar la concienciación.
5. Políticas de seguridad y análisis de riesgos: Es fundamental medir y buscar constantemente los puntos débiles para corregirlos de manera inmediata. Además, es importante incorporar en los equipos especialistas en gestión de incidentes capaces de detectar y neutralizar vulnerabilidades.
6. Formación para concienciar: La mayoría de los trabajadores en el sector sanitario utilizan recursos informáticos conectados a la red de la organización, por lo que es esencial que estén informados sobre las prácticas básicas de ciber higiene, como evitar descargas y hacer clic en enlaces sospechosos. La formación adecuada es clave para concienciar sobre los riesgos asociados.
7. Mecanismos de acceso fuertes: Es imprescindible garantizar contraseñas seguras y renovar las infraestructuras informáticas para evitar que queden obsoletas. Asimismo, se recomienda segmentar las redes de un mismo centro para minimizar el impacto en caso de un ciberataque y evitar que afecte a todas las áreas de gestión de la organización.