Ciberseguridad y atención sanitaria
Dado que otros sectores ya cuentan con una tecnología más sofisticada para detectar y bloquear ciberataques, los delincuentes han empezado a buscar de forma activa nuevas fuentes de datos valiosos y se han dado cuenta de que un candidato potencialmente interesante es el sector sanitario.
Las instituciones sanitarias como conjunto gestionan enormes cantidades de información sensible sobre la gran mayoría de la población y, en algunos casos, sus sistemas TI también se conectan a datos de los servicios financieros.
En lo que respecta a la seguridad TI, las instituciones sanitarias han tardado en adoptar el tipo de prácticas de prevención que han funcionado en otros sectores. Gran parte del personal médico desconoce los riesgos de la seguridad de datos (a pesar del énfasis que este sector pone desde siempre en la privacidad del paciente). Las instituciones sanitarias también suelen tener presupuestos y equipos de seguridad más limitados que las empresas de otras áreas, lo que obviamente plantea otros retos.
A medida que instituciones y empresas adoptan y aceptan las nuevas tecnologías para impulsar la flexibilidad, la rentabilidad y el crecimiento, es importante que los directores de los departamentos de informática construyan infraestructuras TI seguras, capaces de soportar un ataque y que, además, cuenten con procesos de backup instalados para garantizar que los datos sigan disponibles para todo aquel que los necesite.
La necesidad de prevenir
El axioma “prevenir es mejor que curar” es una verdad en el campo de la seguridad TI del mismo modo que lo es en la atención sanitaria. Es preciso insistir en lo eficaz que es una acción preventiva contra las amenazas de la ciberseguridad. Los backups offsite y offline mitigan los efectos del ransomware y si además los combinamos con el paquete de seguridad adecuado y con formación para concienciar a los empleados, se puede prevenir por completo el problema. Sin embargo, en el tema de la seguridad y los backups de datos, la diferencia entre lo que se debería haber hecho y la realidad es sorprendente.
Un estudio de Veeam sugiere que menos de la mitad de los responsables de la toma de decisiones TI ponen a prueba los backups cada mes. Permitir que pasen largos periodos de tiempo entre cada prueba puede incrementar las posibilidades de tener problemas cuando sea necesario recuperar los datos. Y si nos fijamos en los que sí llevan a cabo pruebas de backup, apenas un 26 % prueba más del 5 % de sus backups.
Hay varias formas de hacer backup externo de datos, de discos de sistema y unidades extraíbles de disco duro, a dispositivos de cinta offline y backups en cloud. Independientemente de la opción elegida por la empresa o institución, el repositorio de backup debe estar protegido contra ataques.
Mitigar el impacto del ransomware
Hay algunos pasos obvios que toda empresa debe dar para evitar ataques tipo ransomware. Tener todo el software actualizado y llevar a cabo un análisis de amenazas con el equipo de seguridad (incluyendo pruebas de penetración para encontrar cualquier vulnerabilidad). Una de las principales razones por las que la NHS se vio tan afectada por el ataque WannaCry fue que dentro de la organización existía una falta generalizada de parches en los sistemas. Ninguno de los 80 centros que se vio afectado por el ataque había implantado el último parche de seguridad, a pesar de que el departamento digital de la NHS se lo había aconsejado en abril de 2017
Ahora que las amenazas de ransomware son cada vez más frecuentes y complejas, las empresas e instituciones tienen que asegurarse de que pueden mitigar el impacto de este tipo de ataques adoptando buenas prácticas comunes para la gestión de datos inteligente. Una vez se ha producido el ataque, hay dos líneas de acción: pagar el rescate (sin garantía de poder recuperar los archivos cifrados o prevenir una nueva infección) o restaurar los datos de la forma más rápida y fiable posible.
Una de las mejores y más fiables reglas de protección de datos, capaz de mitigar de manera eficaz un ataque tipo ransomware, es la regla 3-2-1 que recomienda a las empresas:
Tener al menos tres copias de los datos, la primaria y dos copias, para evitar perder datos si falla un backup.
Guardar las copias en dos tipos diferentes de medios, como cinta, disco, almacenamiento secundario o cloud. Mantener una copia en una ubicación offsite (cinta o cloud) por si se producen amenazas locales o infecciones ransomware dentro de la red.
Cumplir la regla 3-2-1 supone que las empresas o instituciones siempre tendrán un backup de los datos y sistemas disponible que pueden usar. Esta es una precaución fundamental en este mundo en el que un ataque ransomware puede dejarte offline en un instante.
Campañas de concienciación
En la actualidad la principal causa de los fallos de seguridad graves es el error humano. Todas las empresas e instituciones deben dar prioridad a la formación obligatoria para todo el personal, esto es especialmente pertinente en el sector sanitario, en el que el personal a veces tiene que tomar decisiones de vida o muerte y, lógicamente, no puede centrarse en las mejores prácticas de ciberseguridad cuando eso ocurre.
Ahora que todavía no se ha olvidado el impacto de estos ataques y fallos de ciberseguridad, podemos aprovechar la oportunidad y asegurarnos de que el personal está preparado con el mejor conocimiento posible sobre los procesos y prácticas de prevención que han demostrado una mayor eficacia.
Un enfoque integral
Proteger la información relativa a la salud de los pacientes tras ataques como el WannaCry requerirá un esfuerzo coordinado entre entidades y empresas de atención sanitaria, así como importantes inversiones para implantar nuevas herramientas y nuevos procesos. No obstante, las líneas básicas que hemos descrito aquí pueden marcar una gran diferencia en poco tiempo.
Es más, para que contemos con una gestión de datos inteligente en el sector sanitario, los directores de los departamentos de informática en este sector tendrán que hacer frente a los riesgos de ciberseguridad en toda su organización y no limitarse únicamente a un área nicho (el acceso a las historias clínicas de los pacientes, por poner un ejemplo). Además, deberán prepararse para compartir lo que aprendan con otros compañeros.
En la actualidad, los hospitales deben enfrentarse al riesgo de infecciones en los sistemas TI con la misma seriedad con la que luchan contra las infecciones médicas. Gracias a la gestión de datos inteligente, las empresas e instituciones del sector sanitario pueden garantizar los procesos necesarios para asegurar que las infecciones en los sistemas TI basadas en malware se pueden extirpar quirúrgicamente antes de que pongan en peligro la vida del paciente.