El sector sanitario es uno de los doce sectores estratégicos que conforman el sistema de protección de infraestructuras críticas. Esto implica que es obligatorio cumplir con la legislación aplicable en esta materia, lo que requiere implementar medidas restrictivas y exigentes en materia de seguridad de la información a nivel de personas, procesos y tecnología.
A lo largo de nuestra vida, todos formamos parte de este sector. Cedemos una gran cantidad de datos personales, de naturaleza íntima y privada, que deben ser protegidos con especial rigurosidad.
Por otro lado, la situación de emergencia en la que está inmerso el sistema sanitario ha impulsado nuevas formas de relacionarse con pacientes, usuarios, proveedores y aseguradoras a través de tecnologías de la información. Todo esto provoca que se generen nuevos riesgos para la seguridad de los datos y de las infraestructuras. Los ciberataques contra sistemas del sector sanitario han sido tendencia mundial en 2020.
¿Cuáles son las ciberamenazas a las que se enfrenta hoy el sector sanitario?
En cuestión de ciberamenazas del sector sanitario, tan importante como el rango de vector de ataque son la intensidad y la sofisticación de su ejecución, este sector es especialmente vulnerable a las ciberamenazas. Esto se debe a la cantidad de información y servicios sensibles que lo integran, a la necesidad de garantizar la operativa asistencial de forma continuada y efectiva, y la integridad e inviolabilidad de la información. También es importante que los equipos tecnológicos de las entidades sanitarias estén actualizado para dotarlos de una capacidad de protección suficiente contra los vectores de ataque más sofisticados.
Los principales riesgos a los que está expuesto el sector sanitario
- Ataques de ransomware: es uno de los vectores de ataque más utilizados contra los sistemas de información del sector sanitario.
- Ataques de phishing: el funcionamiento de dispositivos particulares dentro de los recintos, la mayor facilidad de acceso a datos personales y la cantidad de profesionales implicados en la atención sanitaria convierten al phishing, o suplantación de identidad, en otro vector de ataque frecuente en el sector.
- Fuga de información: que puede servir para nutrir otros ciberataques o para solicitar rescates.
- Ataques a los dispositivos médicos conectados a la red: que pueden paralizar, ralentizar o alterar el proceso asistencial sanitario.
Para garantizar la protección de los datos custodiados y la continuidad de los servicios en el sector sanitario, es necesario gestionar estos riesgos de la forma más eficaz posible, con estrategias y herramientas de seguridad que permitan evitarlos, neutralizarlos y minimizarlos.
¿A través de qué medios puede protegerse el sector sanitario?
Es necesario definir e implementar una estrategia de seguridad de la información articulada desde la protección de estos tres elementos:
- Las personas que conforman el sistema sanitario, es decir profesionales y pacientes.
- Los datos de carácter especial que conforman la historia clínica de cada paciente.
- La tecnología que sustenta las operaciones de negocio de las entidades públicas o privadas que prestan servicios en el sector sanitario.
Esta estrategia de seguridad debe contener soluciones orientadas tanto a modelos de gobierno de la seguridad como a modelos operativos.
Modelos de gobierno de la seguridad
- Implantación de un sistema de gestión de la seguridad de la información.
- Definición de roles y responsabilidades en el sistema de gestión.
- Identificación del nivel de madurez del modelo de seguridad de la entidad sanitaria.
- Cumplimiento de los requisitos y obligaciones establecidos por la regulación europea y la legislación nacional sobre protección de datos.
Modelos operativos
- Despliegue de arquitecturas de protección.
- Monitorización continua de sistemas y redes para identificar y anular las ciberamenazas en tiempo real.
- Contención de los incidentes que se materialicen para anular o minimizar sus consecuencias, posibilitando la vuelta al normal funcionamiento con la mayor rapidez posible.
Nuestro equipo
En Sothis, contamos con un equipo de profesionales con amplia experiencia en el sector hospitalario y sanitario, encargado de diseñar y desplegar nuestras soluciones con las que enfrentarse a las ciberamenazas del sector sanitario.
Estas soluciones abarcan la implantación del modelo de gobierno de la seguridad de la información el cual se apoya en marcos nacionales e internacionales reconocidos. Como el Esquema Nacional de Seguridad (ENS) o la norma internacional ISO/IEC 27001. También, incluye la asunción de funciones de los servicios de Delegado de Protección de Datos o el apoyo al equipo designado por la entidad. Además, también nos encargamos del diseño de las soluciones operativas, con despliegue de arquitecturas de protección. Así como de la monitorización continua de los sistemas y las redes de los centros sanitarios desde nuestro SOC. Y, gracias a nuestro equipo de respuesta ante incidentes, ayudamos a nuestros clientes a contener, minimizar y recuperar el normal funcionamiento en el menor tiempo posible.