La ciberseguridad en las organizaciones sanitarias es un aspecto extremadamente complejo sobre el que debemos responder las organizaciones. Si nos paramos a pensar en los distintos campos que abarca la tecnología en un hospital, como comunicaciones unificadas, red, sistemas, bases de datos o seguridad, entre otras, el que mayor incertidumbre plantea es la seguridad, ya que no depende exclusivamente de hacerlo bien.
Desde nuestro punto de vista, habitualmente hablamos de dos tipos de seguridad para garantizar la famosa tríada de conceptos necesarios: confidencialidad, integridad y disponibilidad de la información. Estos dos tipos de seguridad responden a la seguridad operativa (todo lo que envuelve hardware y software en la operación del día a día) y la seguridad legislativa (que abarca lo relacionado con el cumplimiento de la normativa y la legislación vigente aplicable a nuestro entorno). La realidad es que ambas conviven por separado y requieren perfiles especializados, cada una en su área; pero a la vez no se entienden la una sin la otra.
Ciberseguridad y seguridad operativa
Si nos creemos y confiamos en que estamos completamente seguros en materia operativa por tener un antivirus, antimalware y firewalls, nos equivocamos. En algunos hospitales manejamos más de 12.000 direcciones IP, existen más de 20.000 puntos de red, más de 70 armarios de comunicaciones y más de 300 aplicaciones. Además, tenemos equipamiento de diversa índole, de más de 100 fabricantes, así como innumerables modelos de equipamientos; y, por supuesto, estamos sujetos a la obsolescencia tecnológica, ya que la evolución tecnológica avanza mucho más rápido que la inversión sobre la misma. El control y la gestión de los equipos existentes, así como del software asociado, es clave para, al menos, intentar tener un mínimo control asociado a la seguridad.
Por otro lado, en los últimos años, y en especial tras la pandemia vivida, han proliferado las necesidades de conexiones remotas desde los proveedores hacia las redes de los hospitales. Es necesario mantener un procedimiento de conexión única y controlado mediante herramientas de ciberseguridad apropiadas y certificadas. Muchos proveedores nos comentan la necesidad de gestionar sus equipos y ser proactivos bajo sus procedimientos y herramientas de monitorización en remoto, pero en muchas ocasiones esto puede llegar a representar un agujero de seguridad más que un beneficio para el centro. Otro problema añadido es la gestión de todo ese tipo de conexiones.
Debemos ser exhaustivos en la aplicación de los procedimientos, protocolos y políticas que vienen marcadas por los organismos de los que somos dependientes los hospitales y, por supuesto, complementarlas con otras adicionales, estando siempre alineados. Este hecho, junto con la implantación de los ya mencionados hardware y software operativos, permite mantener unos mínimos exigidos para intentar controlar el entorno de trabajo, aunque –como comentábamos al inicio– nunca es suficiente y debemos ser conscientes de ello.
Por otro lado, uno de los aspectos clave a combinar con buenas herramientas operativas y con la aplicación de medidas organizativas es la conciencia de seguridad de los profesionales. Dependiendo de los escenarios de alerta y ciberseguridad en los cuales nos encontremos, se aplican unas medidas u otras, pero siempre en beneficio del hospital. De hecho, a la hora de aplicar cualquier medida es necesario explicar por qué, para qué y qué beneficios tangibles e intangibles ofrece al hospital.
Por ejemplo, son cada vez más habituales las medidas relacionadas con la deshabilitación de los puertos USB de los ordenadores, desactivación de puntos de red no usados, contraseñas con diversos caracteres, uso exclusivo de correo corporativo y desactivación de accesos a cuentas personales, etcétera, para intentar hacer frente a las amenazas de ciberseguridad existentes a nivel mundial. Es necesario explicar el porqué de todas estas acciones, poner ejemplos las vulnerabilidades que existen si no se aplican y, por supuesto, una vez puestas en marcha, presentar resultados de mejora. Un ejemplo representativo es que, desde la aplicación de la deshabilitación de los puertos USB, en un mes se ha pasado de recibir 120 alertas de amenazas a solo 14.
Seguridad normativa
Como hemos comentado, no solo debemos centrarnos en la parte más operativa del día a día. Los centros asistenciales también debemos cumplir una serie de medidas relacionadas con la legislación y normativa vigente, que van de la mano de la parte operativa. Nos referimos, entre otras, a normas como el Reglamento General de Protección de Datos Europeo (RGPD), el Esquema Nacional de Seguridad (ENS), la Ley de Firma Electrónica Avanzada, la Ley de Protección de Datos Personales y Garantía de Derechos Digitales o la Ley Reguladora de Autonomía de Paciente y Derechos y Obligaciones en materia de información y documentación clínica. Además de esta base, posteriormente, en función de la tecnología que se vaya aplicando, existen nuevas normativas como, por ejemplo, el Reglamente Europeo de Inteligencia Artificial, que ha visto la luz recientemente.
Con todo ello, es muy importante no solo controlar lo que existe ya dentro de los centros asistenciales, sino también lo que se va a introduciendo con el paso del tiempo. Por ello, cada vez que se quiere incorporar un nuevo sistema de información o un nuevo equipo que se conecta a la red, se recomienda cumplimentar un análisis de viabilidad previo, que determine su aptitud. Este análisis de viabilidad de seguridad forma parte de un análisis general más completo, realizado desde cuatro perspectivas, a saber: perspectiva funcional (donde se exponen todas las necesidades funcionales, circuitos de trabajo, procesos entre otros), técnica (donde se exponen las necesidades de cumplimiento tecnológicas de una organización en cuanto a bases de datos, servidores de aplicaciones, frameworks de desarrollo, integraciones, comunicaciones, puesto de trabajo entre otros), económica (si es asumible o no por la organización) y la ya comentada de seguridad.
En esta última es donde, previamente a la implantación, se revisa el cumplimiento en las materias operativa y legislativa, y por supuesto la adaptación a las políticas corporativas definidas por la organización asistencial sobre la que se quiere implantar.
Como hemos comentado a lo largo de todo el documento, estos hitos no nos aseguran el éxito absoluto, pero sirven como base incremental para que, al menos, pongan unas medidas que contengan vulnerabilidades y posibles amenazas.
Por último, creemos necesario tener registrados todos los proveedores existentes en el hospital, con el fin de que, ante cualquier brecha de seguridad por parte de alguno de ellos, seamos rápidamente conscientes y podamos actuar de manera rápida en caso de tener implantados equipos o conexiones externas a nuestros sistemas. Aunque nos avisa la propia empresa por protocolo, o el CERT del Centro Criptológico Nacional, debemos ser proactivos en la gestión de incidentes de ciberseguridad asociados a estas vulnerabilidades.
Como se puede observar, no hay una única medida a aplicar para decir que estamos completamente protegidos ante amenazas externas e internas. Al revés, debemos ser metódicos y aplicar todo lo comentado, para saber que estamos en el buen camino, pero nunca perder de vista que todos somos vulnerables en cualquier momento.
La entrada La ciberseguridad como obligación en las organizaciones asistenciales se publicó primero en Seguritecnia.