Instituciones académicas en alerta: una guía para mantener las aulas libres de riesgos
Deciembre 2022
Pongámonos en contexto. A principios de 2020, las organizaciones y los proveedores de servicios sanitarios de todo el Reino Unido se vieron abocados a un nuevo entorno lleno de retos en materia de ciberseguridad. Tanto el personal como los pacientes comenzaron a hacer un mayor uso de los servicios digitales, trasladando sus datos confidenciales, los cuales necesitaban una protección constante, a la nube.
En esta coyuntura, era imprescindible que todos los dispositivos conectados funcionasen de forma coherente y segura para conceder distintos niveles de acceso a los pacientes, médicos, personal no médico, departamento de TI y contratistas externos. Por un lado, la gran cantidad de información que se trasladó a los sistemas basados en la nube y, por otro, los nuevos dispositivos que necesitaban conectarse a una amplia red expusieron a muchas organizaciones a ciberataques.
El hecho de que el sector sanitario sea uno de los principales objetivos de los ciberdelincuentes no resulta sorprendente, ya que los datos de los pacientes son extremadamente valiosos, y normalmente la historia clínica electrónica (HCE) de una persona incluye su nombre completo, número de la seguridad social, historial médico, información bancaria, tarjetas de crédito y nombres de familiares; una gran cantidad de información muy preciada por los hackers. A esto se le une el gran reto que supone la protección de un entorno de este tipo, especialmente cuando muchos profesionales de la salud carecen de conciencia cibernética y no tienen tiempo para reforzar sus conocimientos digitales.
Una de las mayores vulnerabilidades del sector sanitario es la cantidad de puntos de acceso que tiene su infraestructura informática, es decir, tecnologías operativas que van desde resonancias magnéticas conectadas, iPads y ordenadores de sobremesa utilizados por el personal hasta routers inalámbricos de los hospitales y otros dispositivos electrónicos que pueden conectarse a la red. Si no se dispone de una seguridad adecuada, los actores de amenazas utilizarán cualquiera de estos puntos de acceso como una vía para acceder al resto del sistema y así explotarlo.
Es importante que recordemos cuánto ha beneficiado la tecnología operativa al sector sanitario, especialmente durante la pandemia. Esta tecnología permitió que los trabajadores y pacientes pudieran llevar a cabo conexiones remotas durante uno de los periodos más difíciles a los que este sector se ha tenido que enfrentar, haciendo que lo que antes se consideraba como una utopía fuera ahora una realidad.
Sin embargo, no todas las áreas de servicios de la sanidad consiguieron funcionar con normalidad durante los confinamientos. Algunos sanitarios tuvieron dificultades para llevar a cabo ciertas cuestiones relativas a la prestación de servicios, como por ejemplo cuando las empresas externas no podían realizar pruebas de papel y lápiz in situ. Esto supuso un gran reto para muchos hospitales y proveedores de servicios sanitarios que se enfrentaban cada vez a un mayor número de ciberamenazas sin saber cuándo la prestación de dichos servicios volvería a la normalidad.
Además, las organizaciones sanitarias tuvieron que trabajar sin los suficientes profesionales de la informática, lo que dio lugar a otra importante vulnerabilidad. Evidentemente, el objetivo principal de los sanitarios era la atención al paciente, y a menudo no les quedaba casi tiempo para centrarse en la mejora del departamento de TI.
En muchos casos, el equipo informático era muy pequeño y operaba con un presupuesto reducido –a pesar de tener largas listas de tareas pendientes–, trabajaba para cumplir con las estrictas normas de seguridad y tenía la enorme responsabilidad de proteger los valiosos datos de los pacientes además de la vulnerable infraestructura de TI. No cabe duda de que estos equipos trabajan duro: al fin y al cabo son profesionales formados. No obstante, los equipos de TI, normalmente pequeños y, con frecuencia, sobrecargados de trabajo, constituyen una potencial vulnerabilidad para la seguridad de la sanidad si estos no consiguen estar a la altura de todas las exigencias que una ciberseguridad adecuada requiere. Esto significa que las organizaciones sanitarias necesitan apoyo adicional para garantizar una seguridad completa.
Las organizaciones de la salud deben intentar acabar con estas vulnerabilidades ya que los datos que gestionan son probablemente los más importantes que existen. Las necesidades específicas y las normas de cumplimiento requieren que las soluciones utilizadas por las organizaciones para abordar las vulnerabilidades tengan varias cualidades principales.
En primer lugar, las soluciones adecuadas deben ser de bajo impacto para que la prestación de la asistencia sanitaria no se vea afectada. También deben estar orientadas a los resultados para garantizar la mitigación de las vulnerabilidades, así como ser fáciles y rápidas de implementar y también deben incorporar los principios de seguridad desde el diseño, con el objetivo de minimizar la carga de trabajo de los informáticos a la vez que se maximiza la seguridad en todos los sistemas.
A todas estas cualidades, que son cruciales, hay que añadirles el control del acceso remoto, la supervisión de todos los usuarios en el sistema, la aplicación adecuada del principio del mínimo privilegio para evitar la fuga de datos y la agilización de la gestión de los equipos de seguridad.
Como satisfacer todos estos requisitos de ciberseguridad es pedir mucho a un equipo de seguridad que está sobrecargado de trabajo, una solución sólida de gestión de accesos privilegiados (PAM) puede contribuir a lograrlos. Lo cierto es que si se establece un componente de gestión de los accesos los equipos de seguridad pueden obtener una mayor visibilidad y control sobre el acceso privilegiado. De esta forma, los Session Managers pueden definir privilegios para cualquier usuario, garantizando que éste solo pueda ver los sistemas y realizar las tareas para las que está autorizado.
Los equipos de seguridad, además de asignar privilegios, también necesitan visibilidad de la actividad de inicio de sesión y de cualquier acción que los usuarios con privilegios realicen mientras están en el sistema. La visibilidad ayuda a estos equipos a identificar actividades inusuales en la red antes de que se produzca un posible incidente de seguridad.
Asimismo, las organizaciones sanitarias pueden aumentar aún más su seguridad adoptando capacidades de gestión de sesiones automatizadas y en tiempo real. Esto permite que los Session Managers detecten por sí mismos la actividad inapropiada, además de finalizar automáticamente dicha sesión o emitir avisos en tiempo real, para que los administradores puedan examinar dicha actividad inusual más de cerca antes de tomar las medidas necesarias. Es fundamental que las organizaciones sanitarias sean capaces de terminar automáticamente la actividad sospechosa de una sesión o emitir avisos en tiempo real a los equipos de seguridad, ya que estas acciones pueden detener en seco a los actores de amenazas.
Aquellas soluciones PAM que pueden registrar todas las sesiones ofrecen una pista de auditoría para el cumplimiento de la normativa y pueden utilizarse como una herramienta para formar a los empleados. De este modo, el personal sanitario contará con los conocimientos y ayuda necesarios para reconocer si los equipos, como los escáneres de resonancia magnética, han sido actualizados incorrectamente o han sufrido una verdadera avería mecánica.
La educación en materia de ciberriesgos también es clave para superar los retos a los que se enfrentan los profesionales sanitarios. Está demostrado que si la formación es atractiva será eficaz. Además, las organizaciones pueden realizar actividades de grupo y vídeos de simulación para mostrar cómo funcionan las soluciones de ciberseguridad y explicar claramente a qué elementos deben prestar atención.
Aunque evidentemente la principal preocupación de los profesionales de la salud sea proporcionar una atención adecuada a sus pacientes, la educación en materia de ciberseguridad es esencial para toda empresa, especialmente por el hecho de que este sector sigue siendo un objetivo principal para los actores de amenazas. Asimismo, la programación de sesiones de formación breves y periódicas permite que los profesionales repasen sus conocimientos sobre seguridad sin que esto les lleve demasiado tiempo.
Está claro que la tecnología ha ayudado significativamente a las organizaciones sanitarias durante la pandemia, permitiendo que los flujos de trabajo continuasen y que los profesionales sanitarios siguieran trabajando a distancia. Sin embargo, los nuevos sistemas adoptados por las organizaciones sanitarias han creado nuevos riesgos y desafíos: las superficies de ataque se han ido ampliando a medida que los actores de las amenazas vigilaban con atención las redes vulnerables, lo que ha provocado que todo el sector sanitario haya tenido que actuar rápidamente para reforzar sus defensas.
No obstante, las organizaciones sanitarias no pueden disponer de una formación adecuada en materia de ciberseguridad de la noche a la mañana, sobre todo si tienen plantillas muy ocupadas. Por ello es por lo que las soluciones de ciberseguridad, como la gestión de accesos privilegiados, contribuyen a la reducción del creciente riesgo cibernético en el sector sanitario. Estas organizaciones de la salud, al estar equipadas con soluciones seguras y formación periódica en ciberseguridad, pueden recuperarse del COVID-19 y estar totalmente preparadas para operar en un mundo digital.