El aumento de las amenazas cibernéticas en el área de salud, como el ransomware, obligan a generar una mayor ciberseguridad en las organizaciones de atención médica.
El Político
Sin embargo, los hospitales y los sistemas de salud deben hacer más que protegerse contra los ataques cibernéticos; necesitan recuperarse y permanecer operativos, incluso si se trata de una capacidad reducida, en caso de que ocurra un ataque.
Esta capacidad de resistir un ataque cibernético con una interrupción mínima de servicios está en el corazón de la resiliencia cibernética, un concepto generado a raíz de violaciones de datos cada vez más serias.
Mediante la evaluación de riesgos, la mejora de los controles de seguridad y el aumento de amenazas conciencia interna y externamente, las organizaciones pueden mitigar daños causados por ataques cibernéticos y continuar brindando atención al paciente.
ALE en 4 pasos
Si bien no es un proveedor de ciberseguridad, ALE incluye ciberseguridad en todos sus productos, desde el desarrollo hasta las pruebas y más allá.
David Rodríguez, director de Preventas y Servicios en ALE para Latinoamérica recomienda que cada sistema de salud tome cuatro amplios pasos para mejorar sus tiempos de recuperación de incidentes cibernéticos y crear redes y sistemas de TI más resistentes a las amenazas.
El primer paso es identificar todas las debilidades, ya que las organizaciones de salud necesitan saber dónde y cómo son vulnerables, ya sea debido a fallas en productos, procesos, políticas, procedimientos y/o personas.
Esto es especialmente importante en el cuidado de la salud, donde el costo promedio de una violación de datos de atención médica ahora promedia un récord de 10,1 millones de dólares, según el último Informe de violación de datos IBM de 2022.
A diferencia de un pago comprometido de tarjeta de crédito, que se puede cancelar para limitar el riesgo, los datos robados en la atención médica son irreversibles. “Con los datos de salud, si hay una fuga de información, eso es para siempre”, señaló David Rodríguez.
Un segundo paso es establecer políticas, normas, medios y herramientas para abordar debilidades de ciberseguridad, que cuando ya han sido detectadas, hay que crear o actualizar políticas y procedimientos para fortalecer su postura de seguridad física y ciberseguridad.
Esto incluye medidas como planificación de preparación y capacitación basada en escenarios para todos los que están dentro o son afiliados a un hospital o institución médica.
Es importante que las organizaciones piensen en diferentes tipos de escenarios, incluido el peor y deben tener claro cómo actuar para mantener esa resiliencia de ciberseguridad.
Un punto básico es no concentrar tu estrategia en un solo punto, ya que esto al estar comprometido te puede dejar sin capacidad de reacción.
El factor humano.
Incluso los mejores planes pueden verse socavados por lo que los expertos en ciberseguridad han llamado durante mucho tiempo al eslabón más débil: las personas.
Rodríguez argumenta que el paso más importante para establecer la resiliencia cibernética es capacitar regularmente a los usuarios, desde pacientes hasta proveedores a pagadores, sobre el uso seguro cibernético de todas las herramientas, dispositivos, datos y aplicaciones.
Todos en una organización de atención médica deben comprender cómo manejar adecuadamente la información de salud personal (PHI), particularmente cuando se trata de evitar estafas de phishing diseñadas para robar credenciales y acceder a datos confidenciales.
Eso incluye a los ejecutivos que, por lo general, se centran estratégicamente en tratamientos y atención especializada en lugar de amenazas cibernéticas que podrían afectar negativamente los resultados de salud.
Además, los proveedores deben incluir a los contratistas y subcontratistas en los programas de concientización sobre seguridad, ya que terceras partes pueden plantear riesgos considerables.
“Con la seguridad cibernética como una fuerza tan fuerte y omnipresente, hemos estado trabajando para crear una cultura de seguridad cibernética que incluya conciencia y capacitación en todos los niveles de nuestro sistema de salud.”
Otro punto importante es someterse a una formación continua y reforzar las mejores prácticas de ciberseguridad para todos en el trabajo, especialmente a la luz del panorama dinámico de amenazas sanitarias, por lo que los empleados deben ser conscientes de la actualidad, de las amenazas emergentes, y los equipos de seguridad y operaciones de TI deben aprender de las experiencias de otros en el manejo de los datos.
Además, se deben acortar los tiempos de recuperación si un mal actor irrumpe con éxito en la red. Es una situación crítica para el cuidado de la salud y los proveedores, que deben atender a los pacientes independientemente de las interrupciones del sistema de TI y minimizar el tiempo que lleva restaurar operaciones normales.
