Oficina Virtual GRATIS 2 MESES

Oficina Virtual GRATIS 2 MESES
CONSIGUE TU OFICINA VIRTUAL GRATIS

domingo, 6 de agosto de 2023

Ciberseguridad: siete claves para evitar que los 'hackers' se ceben con el sistema sanitario

Profesión
Rosalía Sierra
Sáb, 05/08/2023 - 14:55
Recomendaciones del Club de Excelencia en Gestión
El sector salud se ha incorporado a la ciberseguridad más tarde que otros.
El sector salud se ha incorporado a la ciberseguridad más tarde que otros.

Hasta hace no muchos años, al menos en España, se creía que la informática sanitaria estaba a salvo de los ciberdelincuentes, más preocupados por robar datos bancarios o de seguridad que de secuestrar información médica. Pero si esta información tiene un alto nivel de protección es por algo y, hoy, se calcula que es el tercer sector más perseguido por los ciberdelincuentes en España. De hecho, a nivel global es el que más incidentes notificó en 2022, un 74% más que en el año anterior (muy superior al 38% general).

Buscando dar pasos para mejorar esta situación (algo que aún le cuesta al sistema sanitario), el Club de Excelencia en Gestión, a través de uno de sus encuentros del Foro de Sanidad, ha diseñado un listado de recomendaciones que pueden ayudar a prevenir estos ciberataques y, si ocurren, a minimizar su impacto.

Estas son las 7 claves para mejorar la ciberseguridad en sanidad:

  • Invertir al máximo: de una forma eficiente pero sin escatimar en gastos, porque las repercusiones que suele tener un ciberataque son desastrosas, rondando de media los 10 millones de euros. El ejemplo más llamativo es el sufrido por la aseguradora estadounidense Anthem en 2015, que afectó a 78,8 millones de pacientes y le costó unos 400 millones de euros en limpieza, recuperación, demandas e investigaciones. Según comenta Alberto Pardo, coordinador del mencionado Foro de Sanidad, de todas las variables en que se puede invertir considera prioritario "hacer hincapié en la importancia de la concienciación y la formación de los profesionales como base de la ciberseguridad, ya que muchas de las brechas que nos encontramos tienen relación con el uso inadecuado del sistema por su parte (por ejemplo, el uso de las contraseñas), representando, en su conjunto, un eslabón débil".
  • Seguridad en la cadena de suministro: se calcula que casi la mitad de los datos que salen de una manera fraudulenta de una organización sanitaria lo hacen de manera silenciosa canalizados a través de proveedores con los que se tiene algún vínculo. A ellos también se les debe exigir un fuerte compromiso con la ciberseguridad de forma certificada. Según detalla Pardo, "a nivel general existe un marco de seguridad que es el Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo) para la prestación de los servicios públicos, aunque también se aplica a los sistemas de información de las entidades del sector privado. Su objeto es el establecimiento de los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias".
  • Estar al tanto de las nuevas cibernormativas: tener asesoramiento continuo en este ámbito es esencial, para cumplir con la ley y también para prevenir problemas detectados desde otros sectores. Un ejemplo es la trasposición a la regulación española de la directiva europea NIS2, para eliminar las divergencias existentes entre los Estados miembro en cuanto a seguridad de las redes y sistemas de información, que entrará en vigor el próximo otoño. En cuanto a este asesoramiento, el experto recuerda que existen entindades como la Oficina de Seguridad de Sistemas de Información (OSSI), de la Comunidad de Madrid y el Instituto Nacional de Ciberseguridad (Incibe), y con el Centro Criptográfico Nacional (CCN).
  • Comprensión desde la gobernanza: uno de los puntos que esa directiva NIS2 exige a las organizaciones sanitarias que los órganos de dirección deben aprobar y responsabilizarse de las medidas para la gestión de riesgos de ciberseguridad adoptadas. Lo que implica formación y comprensión, con el fin de que haya una mayor concienciación. En este sentido, el también subdirector general de Calidad Asistencial de la Consejería de Sanidad de la Comunidad de Madrid, piensa que "lo importante, y donde nos deberíamos centrar, es en conseguir que todos los agentes implicados conozcan la importancia de la ciberseguridad y conozcan las actuaciones que se deben desarrollar para prevenir sus posibles consecuencias, sabiendo que tenemos un camino que recorrer".
  • Políticas de seguridad y análisis de riesgos: medir de forma constante y buscar los puntos débiles para corregirlos de forma inmediata, y al mismo tiempo incorporar en los equipos especialistas en gestión de incidentes, capaces de detectar y anular vulnerabilidades. "Como en cualquier análisis de riesgos, lo primero es identificarlos; una vez que lo hacemos debemos establecer su frecuencia y gravedad. Con estas variables podemos calcular su impacto y, por tanto, priorizar estos riesgos y, de forma individual, establecer las medidas correctoras, los responsables y el cronograma para su puesta en marcha", recuerda Pardo.
  • Formación para concienciar: en las organizaciones del sector sanitario trabajan muchas personas, y la mayoría utilizan recursos informáticos enlazados a la red del centro. Todos ellos deben estar al tanto de las prácticas básicas de ciberhigiene: evitar descargas, pinchar en enlaces sospechosos, uso de dispositivos USB externos… Y para concienciar sobre los problemas que esto puede acarrear, la formación es esencial, y "debemos considerar la formación por agentes externos que aportarán su conocimiento, pero complementándolo con el entorno y el conocimiento de los procesos que tienen los miembros de la organización".
  • Mecanismos de acceso fuertes: un clásico que no puede pasarse por alto, porque en ocasiones la entrada de los ciberdelincuentes se da a través de contraseñas sencillas. De la misma forma, es importante renovar las infraestructuras informáticas para evitar que se queden obsoletas y segmentar las redes de un mismo centro para que, si llega un ciberataque, no afecte a todas las áreas de gestión de la organización. Muchos aspectos son importantes en esta línea, "formación, inversión y profesionales, pero si tenemos que elegir por dónde empezar, deberemos concienciar y formar a los miembros de nuestras organizaciones dedicando, en cualquier caso, inversión para desarrollar la ciberseguridad".
El 'eslabón' humano, principal reto para la ciberseguridad, Los servicios sanitarios, objeto de deseo para el cibercrimen, El correo electrónico, ‘puerta de entrada’ del 84% de los ciberataques
La ciberseguridad es un elemento esencial a la hora de medir la excelencia y los niveles de innovación de las organizaciones del sector sanitario y es
El Club de Excelencia en Gestión lanza una serie de recomendaciones para 'blindar' los sistemas sanitarios ante la ciberdelincuencia. Off Rosalía Sierra. Madrid Profesión Profesión Off

via Noticias de diariomedico.... https://ift.tt/sfkZFw2
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)