Sin embargo, los hospitales y los sistemas de salud deben hacer más que protegerse contra los ataques cibernéticos. Necesitan recuperarse rápidamente y permanecer operativos, incluso si se trata de una capacidad reducida, en caso de que ocurra un ataque.
Esta capacidad de resistir un ataque cibernético con una interrupción mínima de servicios está en el corazón de la resiliencia cibernética, un concepto generado a raíz de violaciones de datos cada vez más serias. Mediante la evaluación de riesgos, la mejora de los controles de seguridad y el aumento de amenazas conciencia interna y externamente, las organizaciones pueden mitigar daños causados por ataques cibernéticos y continuar brindando atención al paciente.
Si bien no es un proveedor de ciberseguridad, ALE incluye ciberseguridad en todos sus productos, desde el desarrollo hasta las pruebas y más allá. David Rodríguez, director de Preventas y Servicios en ALE para Latinoamérica recomienda que cada sistema de salud tome cuatro amplios pasos para mejorar sus tiempos de recuperación de incidentes cibernéticos y crear redes y sistemas de TI más resistentes a las amenazas. Los cuatro pasos son los siguientes:
Primer paso: Identificar todas las debilidades.
El primero y más importante es que las organizaciones de salud necesitan saber dónde y cómo son vulnerables, ya sea debido a fallas en productos, procesos, políticas, procedimientos y/o personas. Esto es especialmente importante en el cuidado de la salud, donde el costo promedio de una violación de datos de atención médica ahora promedia un récord de 10,1 millones de dólares, según el último Informe de violación de datos IBM de 2022. A diferencia de un pago comprometido de tarjeta de crédito, que se puede cancelar para limitar el riesgo, los datos robados en la atención médica son irreversibles. “Con los datos de salud, si hay una fuga de información, eso es para siempre”, señaló David Rodríguez.
Segundo paso: Establecer políticas, normas, medios y herramientas para abordar debilidades de ciberseguridad.
Una vez que una organización conoce sus vulnerabilidades cibernéticas, necesita crear o actualizar políticas y procedimientos para fortalecer su postura de seguridad física y ciberseguridad. Esto incluye medidas como planificación de preparación y capacitación basada en escenarios para todos los que están dentro o son afiliados a un hospital o institución médica. “No hay nada peor que estar bajo ataque y no tener las personas adecuadas para responder correctamente a ese ataque”, explicó Rodríguez. “Al igual que con los simulacros de incendio, entrenas a las personas para que sigan un plan en caso de una emergencia cibernética”. Agregó el ejecutivo.
Es importante que las organizaciones piensen en diferentes tipos de escenarios, incluido el peor y deben tener claro cómo actuar para mantener esa resiliencia de ciberseguridad. Un punto básico es no concentrar tu estrategia en un solo punto, ya que esto al estar comprometido te puede dejar sin capacidad de reacción.
Tercer paso: Gestionar el factor humano.
Incluso los mejores planes pueden verse socavados por lo que los expertos en ciberseguridad han llamado durante mucho tiempo al eslabón más débil: las personas. Rodríguez argumenta que el paso más importante para establecer la resiliencia cibernética es capacitar regularmente a los usuarios, desde pacientes hasta proveedores a pagadores, sobre el uso seguro cibernético de todas las herramientas, dispositivos, datos y aplicaciones.
Todos en una organización de atención médica deben comprender cómo manejar adecuadamente la información de salud personal (PHI), particularmente cuando se trata de evitar estafas de phishing diseñadas para robar credenciales y acceder a datos confidenciales. Eso incluye a los ejecutivos que, por lo general, se centran estratégicamente en tratamientos y atención especializada en lugar de amenazas cibernéticas que podrían afectar negativamente los resultados de salud.
Además, los proveedores deben incluir a los contratistas y subcontratistas en los programas de concientización sobre seguridad, ya que terceras partes pueden plantear riesgos considerables.
“Con la seguridad cibernética como una fuerza tan fuerte y omnipresente, hemos estado trabajando para crear una cultura de seguridad cibernética que incluya conciencia y capacitación en todos los niveles de nuestro sistema de salud”, dijo David Rodríguez.
Cuarto Paso: Someterse a una formación continua.
Las organizaciones deben reforzar las mejores prácticas de ciberseguridad para todos en el trabajo, especialmente a la luz del panorama dinámico de amenazas sanitarias, por lo que los empleados deben ser conscientes de la actualidad, de las amenazas emergentes, y los equipos de seguridad y operaciones de TI deben aprender de las experiencias de otros en el manejo de los datos.
Estos cuatro pasos fortalecen las redes, así como los dispositivos conectados a Internet y las aplicaciones que se ejecutan en esos dispositivos, los cuales amplían las superficies de ataque de la organización. Además, siguiendo estas recomendaciones se deben acortar los tiempos de recuperación si un mal actor irrumpe con éxito en la red. Es una situación crítica para el cuidado de la salud y los proveedores, que deben atender a los pacientes independientemente de las interrupciones del sistema de TI y minimizar el tiempo que lleva restaurar operaciones normales.