Las consecuencias de los últimos ciberataques en instituciones sanitarias son devastadoras: parálisis de servicios, operativa limitada, robo de información y riesgos para la seguridad del paciente. Una receta efectiva para reforzar las capacidades de defensa ante esta oleada consiste en desarrollar una buena cultura de ciberseguridad, sustentada en una formación y concienciación de sus profesionales adecuada.
Situación actual
Según la ENISA (Agencia de la Unión Europea para la Ciberseguridad), la cultura de ciberseguridad organizacional hace referencia a los conocimientos, actitudes, normas y valores de las personas en relación con la ciberseguridad y a cómo se manifiestan en el comportamiento de las personas con las tecnologías de la información.
Actualmente, muchas entidades sanitarias continúan dirigiendo sus esfuerzos a aplicar soluciones técnicas y a realizar acciones de formación y concienciación aisladas, pero no parece suficiente.
La realidad es que la mayoría de los ciberataques que sufren tienen su origen en el factor humano, ya sea por desconocimiento o por error. En este contexto, el desarrollo de una cultura de ciberseguridad, apoyada en unos programas de formación y concienciación apropiados, garantiza que cada profesional entiende el riesgo y las responsabilidades de su puesto, lo que fortalece la defensa contra los ciberataques y la fuga de datos.
Sin embargo, no es una tarea sencilla dadas las dificultades que presentan los entornos sanitarios. Primero, este tema no es una preocupación para muchos profesionales, sino un obstáculo. Por ejemplo, si tienen que dedicar mucho tiempo a autenticarse para acceder a la historia clínica electrónica, buscan atajos.
Segundo, hay una variada gama de perfiles laborales y un diferente grado de exposición a riesgos y amenazas cibernéticas. El acceso privilegiado a información más valiosa del equipo médico o de la alta dirección frente al personal de apoyo los convierten en objetivos de amenazas mayor.
Tercero, existen múltiples prácticas laborales inseguras difíciles de modificar, como utilizar cuentas genéricas para acceder a los dispositivos médicos, compartir credenciales para entrar en los sistemas, dejar sesiones abiertas al acabar la jornada laboral, uso no profesional de ordenadores, etcétera.
Aspectos clave de una cultura de ciberseguridad
Para vencer estos obstáculos, necesitamos un compromiso real de los profesionales, con unos comportamientos seguros. Por ello, algunos aspectos claves que debemos considerar para que los programas de formación y concienciación faciliten el avance de una cultura de ciberseguridad son:
–Equipo especializado. Es fundamental contar con la orientación de profesionales expertos en formación y concienciación en ciberseguridad sanitaria. Su misión es mejorar la capacitación, las habilidades y las competencias de los diferentes perfiles de profesionales a través del diseño y desarrollo de programas de formación y concienciación en ciberseguridad específicos. Además, son responsables de actualizar los conocimientos de manera periódica ante nuevas ciberamenazas.
Para conseguir estos objetivos, fomentan una formación y concienciación centrada en la gestión de riesgos y en instigar comportamientos positivos basadas en un aprendizaje vivencial que abarque unos conocimientos que permitan cumplir tanto con los requisitos legales establecidos como reforzar la cultura de ciberseguridad organizacional e individual.
–Compromiso y liderazgo activo. La dirección debe comprometerse y liderar activamente los procesos formativos y de concienciación. Para ello debe proporcionar los recursos necesarios para garantizar que se priorice y se financie la formación y concienciación en ciberseguridad, entendiendo que la inversión en este ámbito no es un gasto, sino una medida estratégica para proteger la organización.
Asimismo, ha de ser la encargada de aprobar y supervisar la puesta en práctica de los planes de formación y concienciación, respondiendo legalmente en caso de incumplimiento, tal como prevé la Directiva NIS 2, que debe trasponerse al ordenamiento jurídico español antes de finales del año que viene.
Además, tiene que asistir de manera periódica a formaciones personalizadas de gestión de riesgos de ciberseguridad, así como alentar y fomentar regularmente la adquisición de conocimientos y destrezas suficientes de sus empleados.
–Capacitación personalizada. Las acciones de formación y concienciación deben ser periódicas y adaptarse a los heterogéneos perfiles profesionales sanitarios, con diferentes roles, responsabilidades y conocimientos respecto al mantenimiento de la seguridad de los datos y la privacidad de los pacientes.
Según el tamaño de la organización, se trata de una tarea compleja, pero fundamental, para garantizar que todos comprendan los riesgos y sepan cómo proteger la información que manejan. En algunos casos, se impartirá formación y concienciación básica; en otros especializada, pero siempre personalizada.
–De lo profesional a lo personal. Para poder inculcar una cultura de seguridad efectiva es esencial transformar la ciberseguridad en un tema accesible y comprensible para todos los profesionales sanitarios, fomentando un cambio en su actitud y una mayor sensibilidad ante los riesgos, tanto en su vida laboral como personal.
En este sentido, las actividades formativas y de sensibilización deben ser variadas (campañas de ingeniería social, eventos, formación con la familia, campañas para un riesgo específico, etcétera) y centrarse en situaciones de la vida real, lo que facilita el aprendizaje vivencial. Esto permite reforzar la retención y aplicación de conocimientos tanto en el ámbito profesional como familiar.
–Mejora continua. Los programas de formación y concienciación han de fundamentarse en la mejora continua, como todos los procesos que conforman la ciberseguridad. Los conocimientos deben adaptarse a la evolución de las amenazas y riesgos cambiantes.
Para ello, implementar un proceso de revisión y retroalimentación de los programas es primordial para adaptarse y anticiparse a las nuevas formas de ataque. De esta forma, la formación y concienciación en ciberseguridad se presenta como algo continuo y activo, en vez de pasivo y único.
–Evaluación. En una cultura de ciberseguridad sólida es indispensable disponer de métricas para demostrar el éxito. Por ese motivo, definir objetivos claros, establecer indicadores clave de rendimiento y realizar evaluaciones periódicas permiten ver el grado de funcionamiento y ajustes de las medidas formativas y de concienciación implementadas. Esta retroalimentación constante es vital para que nuestros programas sean efectivos.
Conclusión
No podemos evitar que sigan produciéndose ciberataques, pero formar y concienciar a los profesionales con la información necesaria para reconocer las ciberamenazas y reaccionar ante ellas es un remedio eficaz que disminuye el riesgo y ayuda a implantar una cultura de ciberseguridad en cualquier institución sanitaria.
