Pablo Malo Segura
La ciberseguridad en el sector sanitario está adquiriendo una importancia clave ante la sofisticación de los ciberataques y la necesidad de proteger datos extremadamente sensibles. Sara Gómez, directora del centro Roche Informatics Madrid, aborda en una entrevista con iSanidad los puntos críticos de protección y la necesidad de formación en este ámbito. Roche Informatics Madrid ha impulsado un decálogo de ciberseguridad y protocolos actualizados que ofrece bases sólidas para la seguridad en entornos de salud. “Los datos son uno de los grandes activos en salud y tenemos que asegurar su protección al máximo nivel“, subraya.
¿Cuáles son los principales desafíos de ciberseguridad a los que se enfrenta el sector sanitario en la actualidad?
El sector sanitario se enfrenta a desafíos significativos en términos de ciberseguridad debido, sobre todo, a la creciente sofisticación de los ciberataques y la sensibilidad de los datos que manejamos. Entre estos desafíos podemos citar la protección de datos personales y de salud, que requieren el máximo nivel de salvaguarda, la prevención de ataques de ransomware (o secuestro de datos), la gestión de dispositivos médicos cada vez más interconectados, y la necesidad de implementar sistemas seguros en entornos cada vez más digitalizados y descentralizados. No podemos olvidar tampoco la necesidad de equilibrar la accesibilidad a la información con la seguridad, algo especialmente crítico en nuestro sector.
¿Cuál es la importancia de la formación y la concienciación del personal para la prevención de brechas de seguridad en entornos sanitarios?
Es clave fomentar una cultura de seguridad que motive a los empleados a seguir prácticas seguras y reportar comportamientos sospechosos de manera proactiva. La concienciación y formación del personal es fundamental para que reconozcan amenazas potenciales como el phishing (suplantación de identidad para fines maliciosos).
“La concienciación y formación del personal es fundamental para que reconozcan amenazas potenciales como el phishing”
A pesar de que nuestros expertos en ciberseguridad se encargan de establecer los controles y mecanismos adecuados para proteger la información, es necesario que todos los empleados adopten hábitos y prácticas seguras. Por ejemplo, si un empleado fuera víctima de phishing y compartiera sus credenciales corporativas, todas las medidas establecidas a nivel organizacional podrían ser insuficientes.
¿Qué buenas prácticas en ciberseguridad deberían implementar las organizaciones sanitarias para minimizar los riesgos de ataques?
En nuestro caso, Roche como empresa biotecnológica que maneja muchos datos, incluyendo datos sensibles, estamos reforzando cada vez más el área de ciberseguridad. A día de hoy, todas las organizaciones sanitarias deberían tener en cuenta tres aspectos: el creciente volumen de ataques y amenazas; la cada vez mayor sofisticación de las mismas; y la aceleración de la transformación digital del sistema sanitario.
Entre estas buenas prácticas podemos destacar evaluaciones periódicas de riesgos, identificando y mitigando posibles vulnerabilidades; proteger la información mediante el cifrado de datos; utilizar sistemas de gestión de acceso y autenticación multifactor; o tener siempre actualizados los parches de seguridad y el software.
“Todas las organizaciones sanitarias deberían tener en cuenta el creciente volumen de ataques y amenazas, la cada vez mayor sofisticación de las mismas, y la aceleración de la transformación digital del sistema sanitario”
Roche Informatics Madrid ha desarrollado un decálogo de ciberseguridad para el sector sanitario. ¿En qué consisten los puntos principales y cómo puede beneficiar a otras entidades sanitarias?
Como uno de los centros líderes en ciberseguridad dentro del grupo Roche, hemos reunido en un decálogo una serie de medidas de ciberseguridad. Por una parte, incluye consejos de medidas técnicas avanzadas de seguridad, como el control de acceso a la red de datos, reducir la exposición de sistemas críticos, desarrollo seguro de aplicaciones, etc. También pone el foco en la importancia de llevar a cabo auditorías periódicas para identificar y mitigar riesgos, así como la educación y formación continua en este ámbito.
Adicionalmente, hay que tener preparados protocolos de respuesta a incidentes con estrategias claras para detectar, responder y recuperarse de ciberataques, así como realizar periódicamente copias de seguridad y probar la capacidad de restauración. Otro punto clave sería seguir fomentando la colaboración constante con otras entidades sanitarias para compartir información sobre amenazas y mejores prácticas.
“Hay que tener preparados protocolos de respuesta a incidentes con estrategias claras para detectar, responder y recuperarse de ciberataques, así como realizar periódicamente copias de seguridad y probar la capacidad de restauración”
Pensamos que estas medidas y el resto que forma parte del decálogo pueden ayudar a otras entidades sanitarias a establecer una base sólida de ciberseguridad, permitiendo proteger mejor los datos de los pacientes y asegurar la continuidad operativa en caso de ciberataques. Los datos son uno de los grandes activos del sector salud y tenemos que asegurarnos de que están siempre protegidos al máximo nivel.
¿Cómo se garantiza en el centro Roche Informatics Madrid que los protocolos y sistemas de ciberseguridad se mantengan actualizados frente a las amenazas emergentes?
En Informatics Madrid mantenemos nuestros protocolos y sistemas de ciberseguridad permanentemente actualizados a través de un enfoque proactivo y desde distintas líneas de acción. Por ejemplo, hacemos mucho hincapié en la monitorización de las amenazas con herramientas avanzadas y en la actualización continua del software y los parches de seguridad.
Más allá de los protocolos, cabe destacar el aprendizaje continuo de nuestros profesionales, que se mantienen al día tanto de las tendencias en el mercado como de las nuevas amenazas y ciberdelincuencia para proponer soluciones innovadoras. También es muy importante hacer simulacros de ciberataques cada cierto tiempo para evaluar nuestra preparación y mejorar nuestras respuestas. Para ello contamos también con el Programa de Recompensas por Vulnerabilidad, por el que invitamos a hackers reales a buscar errores y fallos de seguridad en los sistemas de la empresa.
