La información sobre salud es tanto personal como crítica. Después de todo, si tus cuentas bancarias son comprometidas podrías asustarte y perder dinero, pero esas pérdidas a menudo son aseguradas por compañías responsables. En cambio, si se filtra tu información médica te verías afectado directamente, físicamente, posiblemente de formas que una aseguradora no podría reparar.
El 39% dijo que su organización no sabe cómo protegerse de ciberataques
Pensemos en ello: si los estafadores empiezan a cambiar detalles de un registro médico, podrían ocasionar daño físico sustancial. Si uno es clonado y vendido en el mercado negro, alguien más que el propio paciente podría usar los beneficios de atención médica para su propio provecho, o incluso crear un clon digital, una "persona virtual" basada en la información detallada que obtuvo.
Entonces ¿qué tan seguro es el ecosistema del sector de salud? Expertos en todo el mundo se vienen haciendo esta pregunta desde hace al menos un año, y continuamente surgen nuevos ejes a considerar: el equlibrio entre accesibilidad y confiabilidad, la incorporación de nuevas tecnologías sin recaudos y su uso irresponsable.
Siguiendo la reciente oleada de brechas en este sector, nos propusimos determinar cómo se ve la ciberseguridad desde donde se sientan sus profesionales de TI. En conjunto con el respetable Instituto Ponemon, hicimos estas difíciles preguntas; a continuación, el equipo de investigación de ESET analiza los mejores hallazgos del estudio, que titulamos El estado de la ciberseguridad en Organizaciones de Salud en 2016 (disponible en inglés).
La "falta de colaboración" es vista como un desafío principal
Los encuestados citaron a la falta tanto de personal como de presupuesto como serios desafíos a su postura de ciberseguridad; ninguna de ellas es un buen augurio para la solución rápida de las muchas fallas de seguridad que este estudio documenta. Aún más preocupante, sin embargo, es el obstáculo más citado: la falta de colaboración con otras funciones.
Si bien vengo escuchando evidencia anecdótica de esto por parte de mis colegas en el sector de salud desde hace algún tiempo, este es el primer estudio donde lo veo documentado. Yo creo que refleja la creciente toma de conciencia respecto a que este entorno particular de TI es más complejo y desafiante de lo que se creía anteriormente.
Por Stephen Cobb, investigador de seguridad senior de ESET
Al 52% le preocupan los sistemas heredados, al 51% la tecnología nueva y a poco menos de la mitad los empleados
Las máquinas viejas son un problema, y las máquinas nuevas son un problema... ¿cuán estrecha es la ventana entre estos dos estados, especialmente dado el número de personas que reportó problemas debidos a vulnerabilidades de entre 0 y 3 meses de antigüedad?
¡Es el principio de Ricitos de Oro aplicado a la seguridad! La propuesta de uno de los tres osos es siempre demasiado en un extremo (demasiado caliente o demasiado grande), otra es demasiado en el extremo opuesto (demasiado frío o demasiado pequeña), y la otra es un equilibrio más justo.
El 50% no tiene un plan de respuesta a incidentes
Este punto, sumado al anterior, me dice que mientras que la tecnología externa a su zona de confort puede ser preocupante, hay una gran falta de planificación por parte del factor humano de esta ecuación. Debe haber una evaluación de riesgos, planeamiento ante incidentes y educación a los empleados.
Si ni siquiera el equipo de seguridad tiene un plan de acción en caso de una amenaza, ¿qué los hace creer que el resto del personal lo tendrá?
Por Lysa Myers, investigadora de seguridad de ESET
1 de cada 4 profesionales de TI en salud no entiende su propia defensa
Algo que sorprendió a todos los que analizamos los datos fue todo lo que los encuestados simplemente desconocen. Según el estudio, cerca de un cuarto de personas encargadas de proteger datos en el sector de salud no saben:
- Cuántos ciberataques sufrió su organización en el último año
- Si experimentaron un incidente resultante en pérdida o exposición de datos de pacientes
- Si los ciberataques evadieron sus sistemas de prevención de intrusiones (IPS), sus soluciones antivirus u otros controles de seguridad tradicionales
- Si están preparados para detener APT
Los ejecutivos de salud deben comprender qué ataques están viendo. Si no sabes cómo estás siendo atacado, no puedes saber lo que necesitas hacer para defenderte.
El 39% dijo que su organización no tiene "ninguna comprensión de cómo protegerse contra ciberataques"
Es hora de cambiar la cultura en el sector de salud. La información en la sala de calderas no ha llegado a la alta dirección, como sí lo ha hecho en otras industrias. Sin embargo, con este nuevo estudio de Ponemon, no puede haber más debate: la industria está en crisis.
Le está costando millones de dólares al año a las organizaciones, y ahora que esos costos son visibles, es hora de tomar medidas para proteger no solo la línea de fondo, sino también la información de pacientes e incluso sus vidas.
Por Cameron Camp, investigador de seguridad de ESET
En última instancia, el informe muestra que este sector todavía tiene mucho por hacer y que aún no se toma la ciberseguridad en serio.
Sigue leyendo: Infografía sobre riesgos en salud y cómo afrontarlos