El sector salud privado está avanzando a gran velocidad hacia su transformación digital y automatización, cerrando una amplia brecha respecto a otras industrias. La pandemia fue, sin duda, un detonador importante al dar mayor impulso a la telemedicina e interconectar equipo médico que funcionó de manera aislada por mucho tiempo.
Esta interconexión abre un abanico de posibilidades para el intercambio de información médica con el fin de hacer diagnósticos más certeros en el menor tiempo posible y establecer estrategias de salud más efectivas. El crecimiento en la adopción de los dispositivos IoT, IoMT (Internet de las cosas médicas) y OT en el mundo de la salud trae, sin duda, enormes beneficios.
Al mismo tiempo, la rápida expansión de estos dispositivos está ampliando el nivel de exposición a los riesgos cibernéticos y deja al descubierto vulnerabilidades importantes que están aprovechando los ciberdelincuentes para robar información sensible de los pacientes. Así, los responsables de la ciberseguridad de TI en las instituciones de salud necesitan duplicar sus esfuerzos para integrar a sus estrategias de protección a estos nuevos componentes.
De acuerdo con Gartner, a lo largo de 2022, los ciberataques a nivel mundial crecieron 38% en relación con el año anterior, con un aumento de los ataques a las organizaciones de salud. De hecho, la médica fue la tercera industria más atacada, con un aumento de incidentes de más del 74%.
Se estima que, desde 2018, los ataques de ransomware a las organizaciones de salud ha costado a la economía global alrededor de $92,000 millones de dólares, solamente en tiempo de inactividad. De hecho, se prevé que, a lo largo de 2023, las principales amenazas provengan de los ataques de ransomware y phishing.
Potenciales riesgos
Si bien se incorpora equipo médico más moderno y sofisticado, aún se siguen utilizando aparatos obsoletos, plagados de vulnerabilidades, que son altamente propensos a ciberataques, y que pueden comprometer a los entornos de TI.
Por tanto, uno de los principales retos a los que se enfrenta el sector de la salud es la exposición y vulnerabilidad de los sistemas y dispositivos interconectados, por lo que se requiere implementar mejores prácticas de seguridad, así como establecer protocolos relativos a la detección y respuesta a incidentes.
Desafortunadamente, hay un gran rezago en este rubro debido a que pocas instituciones de salud tienen a un CISO en sus filas liderando estos esfuerzos. Es un fenómeno que está presente a escala global, y que se agrava en países como México.
La ausencia de un CISO, en consecuencia, retrasa considerablemente el avance e implementación de un plan de ciberseguridad integral. Es fundamental que los jugadores del sector salud reconozcan la relevancia de este profesional para coordinar las acciones de ciberseguridad enfocadas no solamente a generar confianza y seguridad entre los usuarios finales, sino proteger la confidencialidad de sus datos personales.
De caer en las manos equivocadas, estos datos pueden ser alterados al grado de poner en peligro la vida de los pacientes debido a un mal diagnóstico o un tratamiento equivocado. Al mismo tiempo, pone en riesgo la credibilidad y reputación de las organizaciones sanitarias al incumplir la Ley Federal de Protección de Datos en Posesión de Particulares (LFPDPP), y exponiéndolas a penalizaciones y multas.
Aunque esta ley significa un avance sustancial en México, en el terreno normativo es necesario establecer estándares enfocados a la protección sobre el intercambio de datos de salud como los que existen en otros países. En Estados Unidos, por ejemplo, existe la Health Insurance Portability and Accountability Act (HIPAA), una ley federal que establece normas acerca de quiénes pueden ver y recibir información sobre salud. En Europa, el Reglamento General de Protección de Datos (RGPD) que incluye la salvaguarda de datos personales en poder de hospitales y médicos.
Lecciones aprendidas
Como hemos visto, la industria de la salud enfrenta enormes retos para madurar sus estrategias de ciberseguridad. Si bien la acelerada transformación digital plantea riesgos significativos, puede ser también una buena oportunidad para aprender de los errores de otras industrias.
En especial, están a muy buen tiempo de implementar controles basados en el diseño de sistemas seguros antes de conectar dispositivos médicos, así como mecanismos diseñados para salvaguardar la confidencialidad e integridad de los datos de los pacientes.
Asimismo, definir estrategias de ciberseguridad claras y argumentos basados en información concreta para presentarlos a los patronatos que gestionan la operación de muchos hospitales privados en el país será fundamental para obtener no solamente los recursos, sino el respaldo de stakeholders clave para dar continuidad a una iniciativa de protección en el largo plazo.
Es vital que los organismos de salud tengan en la mira el establecimiento de un modelo de gobierno de seguridad de la información que incluya la implementación de controles tecnológicos, administrativos y normativos basados en el riesgo, que permita justificar las inversiones en ciberseguridad a fin de minimizar los impactos en la confidencialidad y la integridad de los datos de sus pacientes.