La ciberseguridad del hospital requiere implicación total del trabajador

Las amenazas digitales y la mayor presencia de la tecnología en el día a día han hecho necesario un replanteamiento de las medidas de ciberseguridad. De hecho, proteger los datos cobra todavía más importancia en los ámbitos sanitarios, donde su valor es alto y los ciberdelicuentes lo saben. Por ello, los expertos han debatido en el XI Encuentro Global de Ingeniería Hospitalaria, organizado por Redacción Médica con la colaboración de Carburos Médica, sobre cuáles son las principales soluciones para frenar estos ataques y una de ellas está muy clara: la formación en ciberseguridad de los sanitarios.

"Tenemos que estar concienciados y saber que las personas somos la principal puerta de entrada de estos ataques. Existe un ciberdelicunencia especializada en sanidad y los datos sanitarios se venden muy caros en el mercado negro", ha explicado Inés de Lózar, responsable del Centro de Operaciones de Ciberseguridad de la Gerencia Regional de Salud de Castilla y León.

https://youtu.be/7oFfJFTJHlU

Los hospitales son lugares críticos debido al volumen de información que manejan y los ataques más comunes que reciben son el phishing (suplantación de identidad), la fuga de información y el ciberataque ransomware (secuestro de datos). Pero, además, tienen varios factores de riesgo que los hacen estar en peligro. Según ha señalado De Lózar, entre estos elementos están: el personal rotatorio y sin conocimientos sobre ciberseguridad, y la presencia de tecnologías muy heterogéneas que no se pueden actualizar.

"Es necesario que mejoremos la visibilidad del equipamiento que forma parte de un hospital y lo conozcamos para poder aplicar las medidas de conexión de seguridad a cada tipo concreto", ha destacado. En este sentido, ha mencionado varios proyectos en los que trabajan en Castilla y León y uno de ellos se centra en la tecnología de control de acceso a red: Con él podemos controlar qué equipo se conecta porque se basa en un sistema de reconocimiento de dispositivos y perfilado de los mismos. De forma que permite unas políticas de seguridad u otras y conseguimos una detección en tiempo real de todos los elementos de la red".

"Los hospitales están poniendo el precio a sus datos"

No obstante, la formación en ciberseguridad no tiene que hacerse solo desde hospitales o centros de salud, sino que debe ser una educación que parta ya desde la universidades. Así lo ha considerado Óscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña. Concretamente, el 75 por ciento de las entradas de estos ataques son a través del usuario y el 51 por ciento de hospitales que sufren 'ransomware' o 'secuestro de datos' se paralizan. "Son los hospitales los que están poniendo precio a los datos que les han cifrado e intentan recuperar. Podemos continuar pagando o solucionarlo", ha asegurado Díaz.

Para revertir esta situación, la Agencia de Ciberseguridad de Cataluña ha presentado recientemente un modelo de ciberseguridad para el ámbito sanitario que se divide en cuatro fases. En la primera se hace un diagnóstico de la seguridad y obsolescencia y se aconsejan ciertas acciones a corto plazo, sin apenas costes y grandes esfuerzos, pero cuya implementación ya mejora la posición de seguridad del centro.

Tal y como ha relatado Díaz, la segunda parte consiste en un plan de seguridad con iniciativas concretas para conseguir "una base mínima de protección". "La tercera fase es la puesta en marcha o integración de los servicios operativos. De forma que la agencia comparte los conocimientos y la información con la entidad correspondiente", ha indicado. Por último, están los servicios recurrentes, a los que se puede acudir en cualquier momento para crear una cultura de ciberseguridad, para la comunicación, etc.

Seguridad desde el diseño

En este debate en el marco del XI Encuentro Global de Ingeniería Hospitalaria, donde han colaborado también Grupo Empresarial Electromédico (GEE), Polygon Technical Solutions y Serveo, y ha sido auspiciado por la Asociación Española de Ingeniería Hospitalaria (AEIH); se ha puesto el foco en el diseño de la seguridad desde el principio. Luis Santiago Sánchez, subdirector del Equipo Provincial de Tecnologías de la Información y Comunicaciones (TIC) de Sevilla, ha señalado que trabajar en ello "no se puede hacer a posteriori".

En la opinión de Sánchez, para lograr que los sistemas sanitarios sean más seguros hay que licitar contratos que incluyan cláusulas de seguridad e incluso penalizaciones si no se cumplen con las mismas. "Otra opción es evaluar la madurez de las empresas que contratamos y ver si cuentan con la certificación del Esquema Nacional de Seguridad (ENS). Así se verá el compromiso de las compañías con la seguridad", ha expuesto Sánchez.

En esta misma línea, José Arjona, subdirector de Ingeniería, Inversiones y Mantenimiento del Hospital Virgen del Rocío (Sevilla), ha especificado que la seguridad "requiere dinero":  "Tenemos que mantener la asistencia, no solamente es el riesgo de la confidencialidad, sino que la prestación asistencial se puede ver paralizada y ese es nuestro principal reto", ha especificado.

Contar con unos equipamientos modernos también será fundamental para optimizar su seguridad. En el Virgen del Rocio cuentan con 18.500 equipos electromédicos y con instalaciones críticas en infraestructuras (quirófanos, ucis, unidades infecciosas, laboratorios y neonatos). Sin embargo, el perfil tecnológico de equipamiento instalado está un poco lejos de lo deseable. "El objetivo es que el 60 por ciento del equipamiento tenga hasta 5 años, el 30 por ciento entre 6 y 10 años, y el 10 por ciento 10 años. Sin embargo, en la actualidad hay 44 por ciento; 28 por ciento y 28 por ciento, correspondientemente", ha concretado.

Confidencialidad, disponibilidad e integridad

Todos los hospitales son cada vez más conscientes de la importancia de proteger su seguridad y el Hospital Fundación Alcorcón ha tomado medidas concretas desde años, tal y como ha contado Isabel Sastre, subdirectora de Sistemas y Tecnologías de la Información del centro. "Desde el principio hemos puesto foco en la seguridad, queremos proteger la confidencialidad (obligando a guardar el secreto médico a los profesionales), la disponibilidad (que sean accesibles los datos) y la integridad (que la información de los pacientes sea veraz y completa)", ha comentado.

¿Qué han hecho al respecto? Sastre ha enumerado que cuentan, entre otros, con: segregación de red, cortafuegos, port security, antivirus, antispam, actualización software base, cámaras de seguridad, concienciación al profesional, control de acceso por medio de tarjeta física y segregación funcional.

Con todo ello logran determinar quién puede acceder al sistema y a qué información, evitar la alteración o pérdida de datos y garantizar su recuperación en caso necesario; y adaptar los sistemas de información a los niveles de servicio, entre otras funciones.

Fuente Redacción Médica