Más de 200 asistentes y 200 inscritos online pudieron ser testigos del III Congreso de Ciberseguridad en el Sector Salud, que tuvo lugar en el Centro de Innovación Digital de la Comunidad de Madrid bajo la organización de Red Seguridad y la Fundación Borredá.
Yolanda Duro, directora de Red Seguridad, saludó a los asistentes en un evento cuya inauguración corrió a cargo de Nuria Ruiz Hombrebueno, directora general de Salud Digital de la Consejería de Digitalización de la Comunidad de Madrid, quien insistió en que «nuestra salud y seguridad como sociedad están íntimamente vinculadas». De hecho, afirmó que la digitalización constituye en la actualidad el pilar fundamental de los sistemas de salud.
El primer panel de la jornada, «Resiliencia y confianza en el ADN del sector salud«, contó con la participación de Miguel Cuchí Alfaro, director médico y de Innovación del Hospital Universitario Puerta de Hierro; Raúl López, CIO del Hospital General Universitario Gregorio Marañón; Vicente González, Cybersecurity Expert de la Agencia de la Unión Europea para la Ciberseguridad (ENISA); y Juan Díez González, responsable para el sector sanitario del Instituto Nacional de Ciberseguridad (Incibe).
Moderada por Mabel González, subdirectora general de la Agencia de Ciberseguridad de Madrid, la mesa abordó la vulnerabilidad del sector sanitario y la necesidad de protegerlo ante el incremento exponencial de los ataques. González anunció que desde ENISA se iniciarán los trámites para elaborar «el primer esquema de certificación para proveedores de servicios de seguridad gestionados». Y Díez destacó que, en materia de ciberseguridad, la confianza «es una palabra crucial». En el coloquio se mencionó que, en el sector privado, esta «no llega a calar» y se puso de manifiesto cómo en sectores estratégicos como el de la salud no les llegan reportes de lo que está sucediendo, y eso denota «falta de confianza en la notificación de incidentes». «Es un buen momento para impulsar la creación de ISAC sectoriales aprovechando la transposición de la Directiva NIS2», apostilló el representante de Incibe.
Protección ante amenazas de ciberseguridad en la salud
«Ciberseguridad + Sanidad: el cóctel perfecto» fue el título de la ponencia de Carlos Tortosa, director de grandes cuentas de ESET España, en la cual se abordaron algunas de las particularidades que la sanidad presenta en materia de ciberseguridad. El ponente recordó que, en el sector sanitario, la criticidad es máxima: «Cualquier fallo o error, cualquier paro en un hospital o incluso de una farmacéutica puede promover una situación crítica para un paciente», aseguró. También destacó la importancia de proteger la información personal de los pacientes y de cumplir con normativas, que indicó que son «de las más estrictas que tenemos que aplicar».
Tortosa señaló el factor humano como la principal debilidad: «El 80 por ciento de los ataques se producen por este motivo». Entre los fallos más habituales mencionó el uso de contraseñas débiles, software no actualizado y el phishing. «El atacante necesita tener éxito una vez y el defensor necesita tener éxito siempre», apuntó.
La jornada prosiguió con la ponencia de Lydia Atienza Castell, Threat Intel Researcher de Outpost24. Bajo el título «Mejorar la ciberseguridad mediante escenarios basados en amenazas», la experta abordó la threat intelligence (inteligencia de amenazas). Atienza explicó qué es esta disciplina y cómo se integra en las estrategias de seguridad de las organizaciones. «El objetivo es que siempre se pueda utilizar para fundamentar una decisión estratégica para protegernos de esa amenaza». Riesgos que, según Atienza, pueden provenir no solo de las personas, «sino también de las herramientas que estamos usando». Este threat intelligence se materializa a través de briefings, informes y plataformas de compartición de amenazas, y pretende servir como complemento para una protección «más efectiva».
Cooperación para evitar riesgos
Después de un receso, tuvo lugar la mesa redonda «Del cumplimiento a la confianza: El reto real de la ciberseguridad en el sector salud«. Moderada por Yolanda Duro, directora de Red Seguridad, profesionales del sector como José Luis Bezares del Cueto, subdirector general de Innovación y Soluciones Asistenciales de la Dirección General de Salud Digital; Miguel Ángel Benito, subdirector de Transformación, Innovación y Salud Digital del Servicio de Salud de Islas Baleares; Jorge Prados, jefe del Servicio Gallego de Salud; y Eduardo Sánchez, Section Lead, Information Security de Roche, abordaron la manera en que el sector salud, considerado como infraestructura crítica, enfrenta una serie de riesgos que requieren la cooperación y el intercambio de experiencias.
Los integrantes manifestaron su preocupación sobre la publicación del espacio europeo de datos de salud. Señalaron que su ejecución es compleja y que, «probablemente», es la última oportunidad «para que Europa sea capaz de competir tecnológicamente en el sector digital».
En esta mesa también hubo tiempo para abordar el impacto de las nuevas obligaciones regulatorias con la implementación de la Directiva NIS2, cuya trasposición definitiva se espera para finales de año.
Más de 200 asistentes y 200 inscritos ‘online’ pudieron ser testigos de este evento que fue un ejemplo de colaboración
Entornos reales
A continuación, tuvo lugar la ponencia de José Antonio Sánchez Ahumada, Sales Director Spain and Portugal de Claroty, donde expuso su experiencia en entornos reales. En ella, compartió su experiencia en ciberseguridad como compañía que ha estado trabajando durante años en el sector de la salud, lo que ha facilitado la obtención de una serie de enseñanzas fundamentales. Una de ellas es la capacidad de realizar despliegues ágiles: «Hemos sido capaces de desplegar nuestra solución en entornos hospitalarios en los cuales había más de 50 centros». Todo ello, a pesar de que «los entornos hospitalarios, muchas veces, no están preparados para este tipo de tecnologías».
El experto planteó que la adaptación al entorno es esencial: «Podemos dar solución de acceso remoto para el mantenimiento del equipo de electromedicina», aseguró. Esto facilita un punto único, seguro y controlado de acceso y garantiza una atención más eficiente y segura. Y en este sentido, recordó que «el riesgo dentro de los centros hospitalarios no es solo con base en la ciberseguridad, sino que es el riesgo para los pacientes».
Por su parte, Antonio Hernández-Briz, Enterprise Account Director de Formalize, intervino con la ponencia «Ciberseguridad, compliance y gestión de incidentes en NIS2″, en este caso las que afectan al sector salud. Como compañía de software, dispone de vías de denuncias y una plataforma de gobernanza, riesgos y cumplimiento. El experto indicó que, con ella, «lo que pretendemos es hacer sencillas todas las tareas de cumplimiento, especialmente en materia de ciberseguridad: ISO 27, Esquema Nacional de Seguridad, Reglamento DORA o Directiva NIS2«. Sobre esta última normativa indicó que, aunque todavía no se haya traspuesto, el reglamento de ejecución de 2024 «ya es de obligado cumplimiento».
Y respecto a la administración de incidentes, la plataforma contribuye a su manejo, dado que la legislación requiere la realización de tres informes por cada incidente, no solo del propio, sino también de la cadena de suministros.
Concienciación para la prevención
La mesa redonda «¿Cómo proteger el corazón digital del sector salud?» contó con la moderación de Eduvigis Ortiz, presidenta de Women4Cyber Spain, y la participación de Juan Luis Cruz, director de Transformación Digital del Hospital Doce de Octubre; Virginia Pulido, directora de riesgos tecnológicos y resiliencia de SegurCaixa Adeslas; Rubén Ortega Guell, experto en ciberseguridad; Tomás Gómez, jefe del Área de Seguridad (CISO) del Gobierno de La Rioja; y Javier Roa, director de Seguridad de la Información de Fremap.
Los expertos coincidieron en que la concienciación, la colaboración y la anticipación son fundamentales para proteger datos, dispositivos médicos y procesos críticos. Resaltaron la importancia de pilares como el cifrado, la gestión de accesos y el principio de confianza cero. Igualmente, los participantes consideraron que la inteligencia artificial surge como una oportunidad para acelerar diagnósticos y administración hospitalaria, aunque su implementación presenta desafíos de gobernabilidad y la demanda de capacitación. Cruz puso la nota de escepticismo, pues incidió en que estamos «en un momento de experimentación», puesto que, según su opinión, «no hay tantas aplicaciones de IA con las que podamos contar, más allá de las imágenes médicas».
Tras estas intervenciones, Alex Rocha, Country Manager Iberia de Armis, abordó en su ponencia «Ciberseguridad en Salud: Visibilidad total como antídoto al caos» cómo la herramienta Armis «reduce la probabilidad y el impacto de brechas», manteniendo así los servicios al paciente operativos y seguros. Esta herramienta les permitió disminuir en un 80 por ciento las vulnerabilidades, mejorar en un 50 la rapidez en la implementación de parches y evitar brechas costosas que podrían ascender hasta 11 millones de dólares en el sector. Además, destacó cómo se gestiona y neutraliza de manera constante el riesgo regulatorio, dado que se generan documentos y paneles de cumplimiento de forma automática. Esto supone «el doble de rapidez y precisión en los informes de cumplimiento, incluyendo HIPAA, FDA, NIS2 y otros marcos normativos».
A continuación, tuvo lugar la ponencia de Kevin Vegas, sales engineer en Cipherbit-Grupo Oesía. Con el título «Protegiendo la inversión en IoMT», el experto explicó que, si las amenazas en el sector de la salud se hacen realidad, se transforman en un riesgo que hay que gestionar. Enfatizó que el desafío al que se enfrenta el sector radica en la necesidad de contar con un plan común: «La seguridad no puede depender de soluciones aisladas, sino que debe existir una visión global y un plan estructurado». Para alcanzar este objetivo, es imprescindible la visibilidad y la protección, ya que «no se puede proteger lo que no se ve».
Y sobre el aumento de los dispositivos médicos, advirtió que no se pueden aislar indiscriminadamente, ya que muchos «son críticos».
Casos tangibles de ciberseguridad en la salud
En la última sesión participaron Javier Ripoll, responsable de Seguridad de la Información del Instituto de Investigación Sanitaria La Fe de Valencia; Josep Bardallo, Global CISO de la Sociedad Europea de Trasplante de Sangre y Médula Ósea; y Antonio Grimaltos, experto en ciberseguridad, como moderador.
Desde su punto de vista en el campo de la investigación, coincidieron en que el factor humano, la reputación y la confianza son elementos fundamentales para salvaguardar los entornos sanitarios ante amenazas en aumento. Bardallo destacó la importancia de proteger los datos de investigación, mientras que Ripoll mencionó la necesidad de ser proactivos para evitar incidentes. Ambos manifestaron también cómo la obtención de certificaciones, finalmente, es la culminación de un proceso de años de trabajo.
Por último, Yolanda Duro, directora de Red Seguridad; y Mabel González, subdirectora general de la Agencia de Ciberseguridad de Madrid, clausuraron el evento haciendo alusión a la colaboración.
Archivado en:
