Sales Manager Iberica & Latam de Wallix
Guillaume Pillon Sales Manager Iberica & Latam Wallix

Ciberseguridad y salud: gobernanza y PAM, el dúo ganador

La protección de las infraestructuras informáticas de las instituciones sanitarias no solo requiere un presupuesto para invertir en soluciones adecuadas, sino que también precisa de conocimientos. Sin recursos humanos, los proyectos no pueden llevarse a cabo eficazmente. Por tanto, hay que hacer hincapié en la contratación, pero también en la sensibilización y formación de todos los profesionales de un hospital. La ciberseguridad, en pocas palabras, debe ser una cuestión de gobernanza.

Pero, ¿qué se puede hacer para reducir el riesgo cibernético en las instituciones sanitarias? Los presupuestos actuales de los hospitales no son suficientes, aunque la situación esté mejorando, en especial desde la pandemia, periodo durante el cual se tomó verdadera conciencia de la vulnerabilidad de estos centros y de las dramáticas consecuencias que pueden tener los ciberataques –recordemos la muerte de un paciente tras el ciberataque que se lanzó contra el hospital de Düsseldorf (Alemania)–. Es tal la amenaza, que los gobiernos de todo el mundo están desbloqueando ayudas económicas para permitir que los hospitales se protejan.

Evolución de la gobernanza

Para entender la vulnerabilidad de los hospitales es importante tener en cuenta que, durante mucho tiempo, los CIO eran en realidad médicos a los que les podía más o menos interesar la informática. Desde entonces, esta organización ha cambiado mucho: o bien algunos de estos médicos se han convertido en expertos en informática, o bien este puesto se ha asignado al CIO (Chief Information Officer, por sus siglas en inglés, o Director de los Sistemas de Información). Además del CIO, los establecimientos sanitarios han ido contratando paulatinamente un especialista en ciberseguridad, el CISO (Chief Information Security Officer o Director de Seguridad de los Sistemas de Información). Aunque este proceso ya había comenzado antes de la pandemia, los diversos ataques que sufrió el sector sanitario durante este periodo y a partir del mismo provocaron que el CISO se convirtiera en una verdadera necesidad.

Sin embargo, antes de la crisis de COVID-19, el papel del CISO era limitado. La dirección no tenía en cuenta las consecuencias potencialmente dramáticas de un ciberataque y no permitía que el CISO dispusiera del presupuesto necesario para aplicar sus recomendaciones. Tan solo una vez que la catástrofe se había producido es cuando la dirección tomaba conciencia de la importancia de la ciberseguridad.

Pongamos que un ciberdelincuente consigue parar el sistema de ventilación de los quirófanos de un hospital. Lo lógico sería cerrarlos inmediatamente ya que un quirófano sin ventilación es un quirófano que no está esterilizado y, si un paciente está en la mesa en ese momento, es su vida la que está en juego. Si la ciberseguridad fuese una cuestión de gobernanza, se podrían haber evitado o al menos contenido muchos ciberataques.

La ‘Cyber Resilience Act’ exigirá que los hospitales implanten una solución de seguridad de accesos e identidades digitales de tipo PAM

La crisis del COVID-19 ha desempeñado un verdadero papel en la concienciación y aceleración de la transformación digital de las instituciones sanitarias. Ahora ya se escucha al CISO, pero para que la ciberseguridad se maximice, todavía hay que abordar el tema de manera integral. El papel del CISO es hacer recomendaciones, pero es imprescindible que este cuente con el apoyo del CIO, de la dirección y de todo el personal. De hecho, se debería concienciar con las buenas prácticas de ciberseguridad a cada persona que trabaje en un establecimiento sanitario, así como formarla en las soluciones que el CISO implemente.

El último paso para reducir al máximo el riesgo de sufrir un ciberataque es la implantación de una solución para proteger los accesos y las identidades digitales conocida como PAM (Privileged Access Management). Actualmente esta solución es imprescindible para todas las instituciones sanitarias, así como para las organizaciones de todo el mundo provenientes de todos los sectores. Es la única manera de saber quién se conecta a la infraestructura informática (personas, máquinas o aplicaciones), de garantizar la identidad de esa persona/máquina/aplicación y de hacer un seguimiento de todo lo que esta hace. De este modo, si se sospecha que un pirata informático ha conseguido penetrar un sistema, el ciberataque se detendrá inmediatamente.

Ciberseguridad y salud ¿Y la normativa?

Los reglamentos (RGPD, NIS2, etc.) son realmente importantes porque nos permiten disponer de normas de ciberseguridad y obligan a la dirección de las instituciones sanitarias más reticentes a hacer de la ciberseguridad una prioridad. Pero, una vez más, se trata tan solo de una base, ya que la aplicación de la ley no será suficiente si los presupuestos no persisten y si la ciberseguridad no se convierte en una cuestión de gobernanza. Para reducir al máximo el riesgo cibernético, es necesario que todo el hospital se sume y que las autoridades liberen fondos para modernizar la infraestructura digital de las instituciones sanitarias.

La llegada de la Ley de Ciberresiliencia (Cyber Resilience Act o CRA por sus siglas en inglés) de la Unión Europea complementa las normas ya existentes. Una de las principales lagunas de seguridad en los hospitales son los equipos biomédicos, que hoy en día incluyen todo tipo de objetos conectados. La CRA permitirá que todos los objetos conectados que se vendan en Europa estén protegidos by design, es decir, desde el momento en que se diseñan. Esto añadirá una capa adicional de ciberseguridad y facilitará el trabajo del CISO, que hasta ahora tenía que asegurarse de que cada acceso a un objeto conectado era seguro, ya que el propio objeto representaba una vulnerabilidad potencial. Ahora son los fabricantes los que se adaptan a las necesidades de ciberseguridad de los centros sanitarios y no al revés. Además, en Wallix, nuestras tecnologías de seguridad de accesos e identidades digitales pueden integrarse by design en los productos de los fabricantes con los que ya estamos en contacto.

Sin embargo, esta ley europea también exigirá que los hospitales implanten una solución de seguridad de accesos e identidades digitales de tipo PAM. Esto seguirá siendo siempre una necesidad, y también ayudará a cumplir con la normativa vigente en materia de ciberseguridad. Por un lado, hay que tener en cuenta que en los hospitales no todos los dispositivos conectados son de última generación y, a menudo, están obsoletos desde el punto de vista informático, como los escáneres o las resonancias magnéticas, lo que provoca que estos representen puntos de vulnerabilidad que deben estar protegidos.

Además, los accesos digitales que hay que proteger no son solo los objetos conectados, sino también el teletrabajo, el uso de servicios en la nube, el mantenimiento biomédico, la videoconferencia, etc. En definitiva, todos los accesos al sistema de información de un hospital, ya sean humanos o mecánicos, han de estar protegidos.