MADRID, 26 Jul. (EUROPA PRESS) -
El Club Excelencia en Gestión, asociación multisectorial sin ánimo de lucro, advierte de que las organizaciones vinculadas a la salud tienen una mayor posibilidad de sufrir un ciberataque; de hecho, estos han aumentado en un 74 por ciento en dicho sector con respecto al año anterior, una cifra muy superior al 38 por ciento general.
Esto ocurre por varios motivos. Primero, son organizaciones que protegen en sus bases de datos información sensible de todos sus pacientes: informes, pruebas, imágenes, diagnósticos, etc. Por otra parte, el caos que puede generar en espacios como un hospital, donde todos los procesos están prácticamente informatizados --consultas, compra de insumos, recetas farmacológicas, etc.-- también les pone en el punto de mira.
A través de los encuentros del Foro de Sanidad del Club Excelencia en Gestión, se ha diseñado un listado de recomendaciones que pueden ayudar a prevenir estos ciberataques y, si ocurren, a minimizar su impacto.
Por ello, proporcionan siete claves para mejorar la ciberseguridad en sanidad. Primero, invertir al máximo, "porque las repercusiones que suele tener un ciberataque son desastrosas, rondando de media los 10 millones de euros".
Tal y como recuerdan, el ejemplo más llamativo es el sufrido por la aseguradora estadounidense Anthem en 2015, que afectó a 78,8 millones de pacientes y le costó unos 400 millones de euros en limpieza, recuperación, demandas e investigaciones.
Por otro lado, se calcula que casi la mitad de los datos que salen de una manera fraudulenta de una organización sanitaria lo hacen de manera silenciosa, canalizados a través de proveedores con los que se tiene algún vínculo. A ellos también se les debe exigir un fuerte compromiso con la ciberseguridad de forma certificada.
Otro consejo pasa por estar al tanto de las nuevas 'cibernormativas'. Tener asesoramiento continuo en este ámbito es "esencial", según la organización, para cumplir con la ley y también para prevenir problemas detectados desde otros sectores. Un ejemplo es la trasposición a la regulación española de la directiva europea NIS2, para eliminar las divergencias existentes entre los Estados miembro en cuanto a seguridad de las redes y sistemas de información, que entrará en vigor el próximo otoño.
Uno de los puntos que esa directiva NIS2 exige a las organizaciones sanitarias indica que los órganos de dirección deben aprobar y responsabilizarse de las medidas para la gestión de riesgos de ciberseguridad adoptadas, lo que implica formación y comprensión, con el fin de que haya una mayor concienciación.
También es recomendable la realización de políticas de seguridad y análisis de riesgos. Abogan por medir de forma constante y buscar los puntos débiles para corregirlos de forma inmediata, y al mismo tiempo incorporar en los equipos especialistas en gestión de incidentes, capaces de detectar y anular vulnerabilidades.
También exigen formación para concienciar sobre ciberseguridad a los trabajadores del sector salud. Todos ellos deben estar al tanto de las prácticas básicas de 'ciberhigiene': evitar descargas, pinchar en enlaces sospechosos y el uso de dispositivos USB externos.
También son necesarios mecanismos de acceso fuertes. En ocasiones, la entrada de los ciberdelincuentes se da a través de contraseñas sencillas. De la misma forma, es importante renovar las infraestructuras informáticas para evitar que se queden obsoletas y segmentar las redes de un mismo centro para que, si llega un ciberataque, no afecte a todas las áreas de gestión de la organización. Por tanto, insisten en que la ciberseguridad es un elemento "esencial" a la hora de medir la excelencia y los niveles de innovación de las organizaciones del sector sanitario.