Protección de los sistemas de salud en la era digital
En la actualidad, la digitalización se ha convertido en la norma en todos los sectores. Empresas de todos los tamaños están adoptando nuevas tecnologías y procesos para seguir siendo competitivas, operar de forma más eficiente y ofrecer los mejores servicios y experiencias posibles a los clientes. Aunque el cambio a un enfoque digital ha traído consigo una gran cantidad de beneficios, la velocidad vertiginosa de la digitalización ha hecho que a muchas empresas les resulte difícil proteger adecuadamente los sistemas, las plataformas recién implementadas y los datos valiosos.
Uno de los sectores más afectados es el de la atención sanitaria, que ahora depende en gran medida de las historias clínicas electrónicas (HCE) que contienen datos confidenciales de los pacientes. Por desgracia, muchas organizaciones médicas no han protegido adecuadamente sus nuevas soluciones tecnológicas ni han reforzado su seguridad. Ya sea por descuido o por falta de experiencia interna para dirigir adecuadamente el proceso, el resultado es el mismo: un aumento dramático y alarmante de los ciberataques contra las empresas del sector sanitario.
Por su propia naturaleza, el sector sanitario maneja abundante información confidencial, como registros de pacientes, historiales médicos e información financiera. Este tesoro repleto de datos, convierte a estas organizaciones en el objetivo ideal de los ciberdelincuentes, que aprovechan las vulnerabilidades para obtener acceso no autorizado a información valiosa y pedir un rescate por ella. Las consecuencias de un ciberataque realizado con éxito en una organización del sector salud pueden ser devastadoras, e incluyen desde pérdidas económicas y repercusiones legales hasta una atención al paciente comprometida y una reputación dañada debido a la pérdida de confianza.
Proteger los datos médicos mediante la HIPAA
Para abordar la protección de los datos confidenciales de los pacientes, el sector de la atención médica estadounidense aprobó la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de 1996, que se aplica a un amplio abanico de organizaciones, como proveedores de servicios médicos, dentales y oftalmológicos, farmacias, proveedores de planes de salud, centros de intercambio de información, socios comerciales de entidades cubiertas por la HIPAA, etc.
La HIPAA estableció una rigurosa normativa de cumplimiento que regula la seguridad de la información médica protegida electrónicamente (ePHI) o cualquier información médica creada, mantenida o transmitida electrónicamente.
La HIPPA contiene numerosas normas, pero las tres más importantes son:
- La norma de seguridad HIPAA: Establece estándares de seguridad para proteger la ePHI, incluyendo la implementación de medidas de seguridad administrativas, técnicas y físicas.
- La norma de privacidad HIPAA: Establece estándares de privacidad para proteger la ePHI y regula cómo las organizaciones sanitarias pueden utilizar y compartir la ePHI.
- La norma de notificación de infracciones HIPAA: Exige que las organizaciones sanitarias notifiquen a los pacientes y al gobierno si se produce una vulneración de su ePHI.
Sector sanitario: Un imán para los ciberataques
A pesar de las numerosas normativas que deberían hacer del sector un objetivo menos atractivo, los ataques contra organizaciones sanitarias aumentaron un 5% en 2022 en comparación con 2021, según un estudio de Check Point. En el tercer trimestre de 2022, el sector sanitario fue el más atacado de todos. El año pasado, CommonSpirit Health, el segundo mayor sistema sanitario de Estados Unidos, y Medibank, la mayor aseguradora médica de Australia, fueron víctimas de ciberataques.
El hecho de depender de sistemas interconectados, HCE y dispositivos médicos IoT, hace que este sector sea especialmente vulnerable a los ataques, y las consecuencias pueden ir mucho más allá de una brecha de datos puntual. Algunas de las principales consecuencias que pueden sufrir las organizaciones sanitarias son:
Interrupción de los servicios de atención médica: Un ciberataque puede dañar o destruir las HCE, impidiendo a los profesionales sanitarios acceder a la información de los pacientes y provocando retrasos en el tratamiento, diagnósticos erróneos e incluso muertes.
Fugas de datos personales sensibles: Más allá de la información médica, los historiales de los pacientes contienen datos personales que pueden ser aprovechados y utilizados para el robo de identidad o para cometer otras actividades fraudulentas.
Riesgos legales y económicos: Las organizaciones del sector salud que no protejan adecuadamente los datos de los pacientes pueden ser objeto de acciones legales y sanciones reglamentarias. Los costos asociados a la remediación de las brechas de datos, los acuerdos legales y la pérdida potencial de negocio pueden ser devastadores desde el punto de vista económico.
Estrategias de protección de los sistemas y las infraestructuras de atención para la salud
Teniendo en cuenta todo lo que está en juego, las organizaciones sanitarias deben ir más allá del nivel superior de seguridad de las HCE. Es fundamental adoptar un enfoque holístico y comprender dónde se encuentra la ePHI, ya que puede estar contenida en sistemas, software y dispositivos conectados antiguos. Las empresas pueden reducir el riesgo, reforzar la seguridad y garantizar la resiliencia operativa implantando un programa de cumplimiento y siguiendo las mejores prácticas de eficacia probada.
Actualización y aplicación de parches: Una de las estrategias más eficaces para hacer frente a las vulnerabilidades conocidas y prevenir los ataques es contar con un proceso de actualización y aplicación de parches que abarque todo el software y los sistemas. Según un estudio del Ponemon Institute, casi el 60% de las brechas podrían haberse evitado con un parche adecuado, pero a menudo este proceso se pasa por alto o no se le da la importancia que merece.
Desconexión de los sistemas antiguos de Internet: Muchas empresas del ámbito de la salud siguen utilizando sistemas antiguos que están obsoletos, entre ellos sistemas operativos como Windows 7, que llegó al final de su vida útil hace varios años y ya no recibe parches de seguridad. Esto las convierte en objetivos fáciles para los atacantes, aunque desconectar estos sistemas vulnerables de Internet minimiza la exposición y reduce el riesgo de acceso no autorizado.
Implantación de soluciones de seguridad: La adopción de una serie de soluciones de seguridad avanzadas es fundamental para reforzar los sistemas. Las soluciones de detección y respuesta de dispositivos (EDR) permiten identificar y responder de forma proactiva a posibles amenazas, mientras que la autenticación multifactor (MFA) puede añadir una capa adicional de seguridad al requerir múltiples pasos de verificación antes de conceder el acceso al usuario.
Asociarse con un proveedor de SOC puede garantizar un enfoque integral de la seguridad. Los SOC no solo vigilan, detectan y responden a las amenazas en el entorno digital de una organización, sino que además sus estrategias proactivas pueden ayudar a prevenir ataques de puerta trasera y proporcionar apoyo en materia de cumplimiento y recomendaciones para mejorar las posturas de seguridad.
Protección de los datos y sistemas médicos
Las organizaciones sanitarias manejan grandes cantidades de información confidencial y deben ser conscientes de la alta probabilidad de que se produzcan ciberataques. El cumplimiento de normativas como la HIPAA es esencial, aunque es igualmente crucial adoptar medidas de seguridad proactivas.
Aplicando las mejores prácticas, como dar prioridad a las actualizaciones periódicas, desconectar los sistemas antiguos e implantar soluciones de seguridad avanzadas, incluyendo un SOC, las empresas del sector sanitario pueden mitigar los riesgos asociados a los ataques. A medida que aumenta la dependencia de los sistemas digitales e informáticos, el sector salud debe centrarse en la ciberseguridad e invertir en ella.