¿Diriges un negocio orientado a la atención sanitaria? Si es así, probablemente estés centrado en nuevos estudios médicos, procedimientos mejorados y en garantizar la comodidad de tus pacientes. Sin embargo, también deberías dedicar tiempo a evaluar tu preparación en materia de ciberseguridad. Las filtraciones de datos y el robo de identidad pueden ser tan peligrosos para tus clientes como los virus o la sepsis. ¿Cómo puedes abordar esta cuestión? Explorémoslo.
Los sistemas sanitarios suelen ser blanco de ciberataques. ¿Por qué son especialmente peligrosos los ciberataques para los sistemas sanitarios? En primer lugar, el tiempo de inactividad de un hospital o incluso de una clínica privada provocado por un ciberataque puede poner en peligro la salud e incluso la vida de los pacientes, aunque las muertes provocadas por ciberataques siguen siendo raras. Cuando se interrumpen sistemas vitales, muchos procedimientos que salvan vidas pueden retrasarse o interrumpirse. Por lo tanto, estos ataques tienen un impacto psicológico significativo al infundir miedo. Los atacantes suelen ser grupos terroristas, actores de amenazas patrocinados por el Estado o sindicatos criminales internacionales.
Ataque WannaCry de 2017
Según el sitio web del NHS, el ataque WannaCry de 2017 interrumpió varios sistemas críticos en todo el mundo. Los procesos y pantallas de traspaso de ambulancias quedaron inhabilitados, el portal de reservas del Servicio de Transporte de Pacientes no estaba disponible, las tomografías computarizadas y resonancias magnéticas no se podían transferir, e incluso los procedimientos y cirugías vitales se vieron afectados.
¿Por qué tuvo éxito el ataque? Algunas organizaciones no instalaron el parche de seguridad necesario, a pesar del aviso previo de Microsoft de que lo hicieran.
Fuente de datos personales
Sin embargo, ésta no es la única razón. Aparte de la posibilidad de poner vidas en peligro, los sistemas sanitarios son una de las fuentes más ricas de datos personales que puede recoger un atacante. Los ciberdelincuentes suelen atacar estas organizaciones para robar información sensible de los pacientes, como historiales médicos personales, detalles financieros y otros datos confidenciales.
Mientras que el número de su tarjeta de crédito o sus credenciales de correo electrónico se venden por muy poco dinero en la red oscura, los historiales médicos pueden tener un valor 10 veces superior, según la Asociación Americana de Hospitales. Imagina toda la información que proporcionas, incluso a una clínica privada para un procedimiento rutinario, como la extirpación de un lunar, por ejemplo.
La clínica obtiene el nombre, DNI, credenciales de la tarjeta de crédito, número de teléfono, correo electrónico y número de la Seguridad Social. Quien los robe puede causar rápidamente un gran perjuicio, por ejemplo, mediante el robo de identidad. Para mantener a salvo a tus pacientes, debes invertir en las mejores soluciones de ciberseguridad posibles.
No hace falta que dirija un hospital para que estas cuestiones le afecten. Incluso la consulta de un dentista o un dermatólogo suele recopilar grandes cantidades de datos personales sobre sus pacientes, lo que los convierte en objetivos potenciales para los atacantes.
El ransomware es otra amenaza importante, ya que los atacantes cifran datos críticos y exigen un rescate por su liberación. Estos ataques pueden interrumpir los servicios sanitarios, retrasar la atención a los pacientes y provocar pérdidas económicas considerables.
Sin embargo, es probable que no quiera crear todo un departamento de TI para gestionar su ciberseguridad. Entonces, ¿qué puede hacer para mantener a salvo a sus clientes?
¿Qué leyes regulan la ciberseguridad en la sanidad?
En la UE, la ciberseguridad de las instituciones cruciales se rige por la Directiva NIS2, que impone estrictos requisitos de ciberseguridad y obliga a informar puntualmente de los incidentes. La directiva también mejora la cooperación entre los países de la UE e introduce sanciones por incumplimiento, garantizando un mayor nivel de ciberseguridad en sectores como la energía, la sanidad, el transporte y los servicios digitales. Fuera de la UE existe legislación similar, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de Estados Unidos. Asegúrate de cumplir la normativa pertinente en Europa y en España para evitar multas importantes como el Reglamento General de Protección de Datos (RGPD o GDPR).
No hace falta que dirija un hospital para que estas cuestiones le afecten. Incluso la consulta de un dentista o un dermatólogo suele recopilar grandes cantidades de datos personales sobre sus pacientes, lo que los convierte en objetivos potenciales para los atacantes.
El ransomware es otra amenaza importante, ya que los atacantes cifran datos críticos y exigen un rescate por su liberación. Estos ataques pueden interrumpir los servicios sanitarios, retrasar la atención a los pacientes y provocar pérdidas económicas considerables.
Sin embargo, es probable que no quiera crear todo un departamento de TI para gestionar su ciberseguridad. Entonces, ¿qué puede hacer para mantener a salvo a sus clientes?
Cómo ayudan las soluciones de seguridad
Para mitigar estos riesgos, las organizaciones sanitarias aplican diversas soluciones de seguridad. El cifrado de datos garantiza que, aunque se intercepten los datos confidenciales, no puedan leerse sin la clave de descifrado, protegiendo la información de los pacientes tanto en tránsito como en reposo. La protección de puntos finales proporciona seguridad integral para todos los dispositivos, incluidos ordenadores, dispositivos móviles y equipos médicos, evitando que el malware y otras amenazas pongan en peligro la red.
Los controles de acceso restringen el acceso a datos y sistemas confidenciales únicamente al personal autorizado, evitando accesos no autorizados y posibles violaciones de datos. Las evaluaciones periódicas de la seguridad y los análisis de vulnerabilidades ayudan a detectar y corregir posibles deficiencias en la seguridad de la organización.
La formación de los empleados es crucial para reducir el riesgo de que un error humano provoque incidentes de seguridad. Educar al personal sanitario sobre las mejores prácticas de ciberseguridad, como reconocer los intentos de phishing y utilizar contraseñas seguras, ayuda a crear un entorno más seguro. Además, contar con un sólido plan de respuesta a incidentes garantiza que las organizaciones sanitarias puedan responder y recuperarse de los ciberataques con rapidez y eficacia.
Prevención, ante todo
En ESET, siempre recomendamos que la prevención sea lo primero. ¿Qué significa esto? Esencialmente, este enfoque está diseñado para asegurar que un ataque sea desviado antes de que tenga la oportunidad de atacar. Para lograrlo, creemos que la mejor solución de seguridad debe tener las siguientes cualidades:
- Una plataforma, múltiples capas: Para una protección eficaz y directa, todas las funciones de ciberseguridad deben estar integradas en una única plataforma gestionada desde una consola. Los puntos finales, los servidores, los entornos en la nube e incluso funciones como las autenticaciones multifactor deben estar centralizadas para una gestión sin fisuras.
- Compatibilidad con terceros: La solución debe funcionar sin problemas con complementos de terceros, lo que permite una mayor protección y personalización según sea necesario.
- Automatización: Las actualizaciones, la instalación de parches y la gestión de vulnerabilidades deben automatizarse, minimizando la necesidad de intervención manual.
- Reducción de la complejidad: Una solución de panel de control único consolida todas las funcionalidades sin costes ni complejidad adicionales.
- Disponibilidad inmediata: El sistema debe estar listo para su uso inmediato, sin necesidad de una instalación exhaustiva ni de pasar horas configurando el nuevo servicio.
Todas estas funcionalidades, y más, están disponibles en nuestra plataforma ESET PROTECT. Proporciona una solución de ciberseguridad lista para usar que es fácil de gestionar, cubre toda su superficie de ataque y también le permite adelantarse a los requisitos de cumplimiento. Si opta por ESET PROTECT MDR, puede descansar aún más tranquilo, sabiendo que hay un servicio de ciberseguridad que combina IA y experiencia humana para usted las 24 horas del día, los 7 días de la semana.
Basada en la tecnología ESET LiveSense, la plataforma detecta activamente las amenazas emergentes, aprende sobre ellas e implementa medidas preventivas para proteger tus sistemas. En caso de ataque, las múltiples capas de protección de la plataforma están diseñadas para detenerlo en cada fase. Esto le permite estar tranquilo mientras lleva a cabo su actividad diaria.
