La sanidad está ya gestionada digitalmente. Los historiales médicos, las citas, el control de la vacunación, hasta la gestión de los centros. Pero la ciberseguridad en este sector tan sensible no ha evolucionado a la par, y ahora, en pandemia, lo hemos notado, y mucho. El caso más reciente ha sido el del sistema nacional de salud irlandés, paralizado por un ransomware en plena campaña de vacunación.
Es una constante en todos los sectores: la tecnología comienza a utilizarse porque abarata los costes y/o porque posibilita actividades que, de otra manera, serían imposibles. Su funcionalidad, su versatilidad y la productividad que permiten hacen que más pronto que tarde no podamos vivir sin ella.
Pasó en el sector financiero, pasó con los sistemas de control industrial y ha pasado en el sector salud.
Y, al igual que en anteriores ocasiones, la ciberseguridad no ha ido en paralelo con el desarrollo tecnológico: al principio, nadie pensó en ella, luego llegaron algunos fallos o errores que nos hicieron pensar en la necesidad de asegurar su disponibilidad (básicamente, porque llega un momento en que sin sistemas, es im-po-si-ble seguir trabajando) y llega un día en que nos damos cuenta de que algún agente de amenaza (competencia, usuario descontento, cibercriminal u otro cualquiera) han conseguido acceder a nuestro sistema y nos han robado información. O, lo que es peor, nos enteramos de que han secuestrado nuestros sistemas y nuestra información porque recibimos una nota pidiendo un rescate (en el momento de escribir esto, el sistema irlandés aún tiene problemas para acceder a los datos médicos de los pacientes y miles de citas e intervenciones se han cancelado).
Seguramente esta película nos suena porque es el pan nuestro de cada día. Los ciberdelincuentes son conscientes de que, a mayor dependencia de los sistemas y menor madurez de la organización, mayor probabilidad de que se acceda a pagar por recuperar el sistema (de hecho, se rumorea que, últimamente, hasta priorizan a las que tienen una ciberpóliza). Y si hay un sector que lo está sufriendo recientemente, ese es el sector de la salud, porque por desgracia reúne todas las condiciones para la tormenta perfecta: dependencia creciente de los sistemas de información; uso de información muy sensible para los usuarios; utilización de dispositivos con código propietario embebido (muy próximo al IoT y a los sistemas de control industrial); un nivel de capacidades en ciberseguridad, en promedio, todavía bajo (o, al menos, por debajo de lo que cabría esperar de su dependencia de los sistemas), y una cadena de valor muy compleja.
Y, por si esto fuera poco, una pandemia galopante que les ha hecho trabajar al 200% y no poder permitirse estar inoperativos ni un segundo.
Doble vía
¿Qué podemos hacer para revertir esta situación? Siendo conscientes de que la seguridad absoluta no existe y que siempre cabrá la posibilidad de sufrir un incidente, solo cabe trabajar en una doble vía.
En primer lugar, aumentar la preparación de la organización. Es cierto que siempre vamos a estar expuestos a incidentes, pero eso no debe desalentarnos, sino todo lo contrario. Debe incentivar nuestra mejora continua: lo que se conoce como incrementar nuestras capacidades en ciberseguridad. Porque, de esta manera, será menos probable que suframos un incidente y, por otro, cuando llegue, estaremos mejor preparados para responder y el impacto será menor (que, al fin y al cabo, es el objetivo final: vernos poco afectados por los avatares de la vida).
Y, en segundo lugar, trabajar con la mentalidad de que los atacantes siempre van a encontrar la vía para conseguir su objetivo. Esto es lo que se conoce como confianza cero. Estos modelos, cada vez más utilizados, nos ayudan a diseñar soluciones y sistemas más preparados a fallos e incidentes: si diseñamos los sistemas con la certeza de que van a ser atacados, serán más robustos y nos harán una organización mucho más resiliente (la premisa contraria: definir sistemas confiando en que los sistemas preventivos siempre van a funcionar, nos hace mucho más vulnerables cuando el incidente se materializa porque no hemos previsto dicha situación).
Desgraciadamente, en la segunda parte hay poco que podamos hacer a corto plazo, puesto que los sistemas están ya definidos y solo podremos implantar esa confianza cero paulatinamente, a medida que vayamos haciendo cambios, sustituciones o implantaciones de nuevos sistemas.
Ser un 'boy scout'
Pero en el primer punto sí que podemos trabajar para ser un boy scout y estar mejor preparado para lo que la ciberseguridad nos tiene deparado:
- Evaluar nuestro nivel actual de capacidades en ciberseguridad [nosotros no podemos por menos que ofrecer nuestra herramienta gratuita EQualify Corporate para ir empezando; para aquellos más avanzados pueden ir directamente a la versión Premium, pero no es recomendable para principiantes].
- Trabajar con la dirección para definir nuestro nivel objetivo de capacidades. En el caso que hablamos del sector salud, dada la criticidad de la información gestionada y de la operativa nos enfrentamos a un escenario muy exigente: será necesario alcanzar un nivel alto de confidencialidad (en la terminología de LEET Security, al menos una B o una A) puesto que la información de salud es considerada información sensible de las personas. En integridad, también será necesario un nivel alto puesto que no podemos permitirnos modificaciones no autorizadas de información relativa a diagnósticos o tratamientos por las consecuencias en vidas humanas. Y no digamos en disponibilidad, donde la inoperatividad (y más en los tiempos que corren) sería potencialmente letal. En este caso, al menos de una parte de los sistemas, el objetivo sería alcanzar el máximo nivel posible de preparación (una A+, en nuestra terminología).
- Establecer una hoja de ruta con inversiones, plazos y responsables para alcanzar el nivel anterior. La parte buena de los modelos de construcción de capacidades es que, no sólo nos identifica nuestra situación actual, sino que nos identifica lo que nos falta para estar en los niveles siguientes y su prioridad, facilitando (incluso para los que no saben mucho) definir un plan de acción para mejorar su preparación.
Sabemos que no es un camino fácil, pero es inevitable. Es una inversión con un gran retorno que además, en cuanto comencemos, notaremos una gran mejoría. Así que, pongamos manos a la obra: "Caminante no hay camino, se hace camino al andar".
via Noticias de diariomedico.... https://ift.tt/35giwwk
No hay comentarios:
Publicar un comentario