Cada vez con mayor frecuencia somos testigos de noticias que hablan del robo de gran cantidad de datos de usuarios a diferentes empresas y organizaciones. Y es que los datos se han convertido en una gran fuente de información y, por lo tanto, de dinero y cada vez se encuentran con mayor frecuencia en el ojo de los ciberdelincuentes, que tratan de hacerse con la mayor cantidad posible para comerciar con ellos.
La página World’s Biggest Data Breaches muestra de manera gráfica y muy visual los mayores robos de datos de los que se tiene constancia, con información detallada sobre cada uno de ellos. Merece la pena echar un vistazo para darse cuenta de la cantidad y el alcance de los delitos que se están produciendo hoy en día.
El sector sanitario, en riesgo
El sector sanitario es uno de los que más riesgo tiene de sufrir ataques informáticos. La cantidad de información manejada así como la especial sensibilidad de la misma hacen de estas organizaciones el foco de muchos delincuentes que tratan de hacerse con la información custodiada.
Buena prueba de la necesidad de proteger la información sanitaria es el desarrollo a nivel mundial de nuevas normativas para proteger la información, incluyendo mayores exigencias para los centros sanitarios que deben cumplir de forma más rigurosa. Las organizaciones deberán permanecer especialmente atentas a cualquier incidente de seguridad y el incumplimiento de las normativas podrá acarrear importantes sanciones económicas.
Por este motivo será fundamental que en los próximos años las organizaciones sanitarias revisen sus protocolos de seguridad y actualicen sus procedimientos, invirtiendo (que no gastando) en nuevas políticas y sistemas que aseguren la seguridad de la información. Ésta deberá ser una de las grandes prioridades de los centros sanitarios en los próximos años.
Wearables e IoT en el punto de mira
Sin embargo no hay que restringirse únicamente al ámbito de los sistemas hospitalarios o internos de las organizaciones. Con la creciente incorporación al entorno de la salud de smartphones, wearables y dispositivos relacionados con el IoT que recogen y transmiten información sanitaria personal, el entorno a proteger se amplía sobremanera.
Recientemente hemos asistido a grandes ataques que han utilizado este tipo de dispositivos (para otros fines en este caso) lo que demuestra su gran vulnerabilidad. Es por este motivo que los dispositivos móviles también deben formar parte de la estrategia de seguridad, asegurando que los datos de los pacientes que los usan quedan en todo momento protegidos.
Adoptar medidas proactivas, no reactivas
Una de las cosas que más sorprende hoy en día es que las brechas de seguridad se detectan (en muchas ocasiones) cuando la información se pone a la venta por parte de los delincuentes que se han hecho con ella.
Las organizaciones, además de adoptar todas las medidas necesarias para garantizar la seguridad de la información, deberán realizar una vigilancia activa, que les permita anticiparse a los ataques o, al menos detectarlos tan pronto se produzcan. Nunca estaremos suficientemente protegidos y será labor de las organizaciones mantener los sistemas actualizados para prevenir (en la medida de lo posible) abrir puertas que se puedan utilizar para sustraer información.
Concienciar a todos de la importancia de la seguridad
Pero quizás el aspecto más importante que debe realizarse desde el punto de vista de la seguridad de la información es concienciar a todos los agentes de que la seguridad es cosa de todos, no sólo de los servicios de IT.
Un mal diseño de una aplicación, un error de implementación de un servicio, una brecha en un sistema operativo o la no instalación de un parche son problemas que abren la puerta a que posibles delincuentes puedan acceder a los datos. Estos son problemas conocidos y a los que habitualmente se trata de poner remedio desde el análisis y el trabajo con los proveedores.
Pero no pensemos solo en temas técnicos. Un móvil robado, un portátil extraviado o simplemente un ordenador desatendido pueden igualmente servir de punto de entrada a personas que quieran hacerse con nuestros datos. Cualquier punto de entrada a los sistemas de las organizaciones puede ser la puerta que dé acceso a una persona a los datos de los pacientes. Y todas deben estar protegidas, tanto por sistemas como por personas.
El mundo sanitario está cada vez más expuesto a sufrir ataques por parte de personas que quieren hacerse con sus datos para comerciar con ellos. Las organizaciones deben trabajar e invertir recursos para proteger estos datos pero sin olvidar que la seguridad y la protección de los mismos es algo en lo que todos los miembros de la organización deben trabajar activamente.
¿Creéis que se presta suficiente atención a la seguridad de la información en los centros sanitarios? ¿Está todo el personal concienciado de la importancia de la seguridad? Queremos conocer vuestra impresión.
..Pedro Gonzalo. Hablando de eSalud
