Especial COVID-19

Comienza el contenido principal

Ciberseguridad y sanidad; una reflexión en tiempos de crisis

| Especial COVID-19 / Noticias | Ciberseguridad / Derecho Procesal

Vicente Moret y José Miguel Soriano analizan la ciberseguridad en las instituciones y empresas que son responsables de la gestión sanitaria

Desde el estallido de la pandemia de coronavirus la sociedad española ha sido consciente que nunca de la importancia de que los servicios sanitarios funcionen a pleno rendimiento y sin sufrir ninguna merma en su operatividad.

Algunas infraestructuras sanitarias, en concreto once, forman parte del Sistema de Protección de Infraestructuras críticas del sector salud, tras la aprobación del Plan Sectorial Estratégico del sector Salud en 2018.

Tras las sucesivas normas derivadas del Estado de alarma, el ámbito de lo que se define como servicios esenciales se ha ampliado notablemente incluyendo a todo el sistema sanitario, público o privado, y por ello, las obligaciones de todo tipo que recaen en estos operadores de servicios esenciales también se han ampliado.

Lo que artículo el Real Decreto que aprobó el estado de alarma fue precisamente la extensión de la aplicación de las obligaciones de los operadores de infraestructuras críticas todas aquellas empresas y proveedores que no teniendo la consideración de críticos, son esenciales para asegurar el abastecimiento de la población y los propios servicios esenciales.

No obstante, en los últimos días han aparecido noticias que descubren la perpetración de una serie de ciberataques, la mayoría de 'ransomware', contra algunas infraestructuras sanitarias y centros de investigación sanitaria, al margen de los miles de webs creadas con fines maliciosos para llevar a cabo actividades de fraude online aprovechando la pandemia.

Es por ello que resulta imprescindible resaltar la importancia de que las instituciones y empresas que son responsables de la gestión sanitaria establezcan entre sus prioridades la de fortalecer sus organizaciones en este ámbito.

El sector sanitario es muy atractivo para los ciberdelincuentes por la gran cantidad de datos sensibles e información financiera que maneja, por la gran cantidad de sistemas legacy fáciles de penetrar, y por las investigaciones en algunos casos de alto valor añadido que se llevan cabo.

En el sector sanitario hay además consideraciones añadidas que agravan las consecuencias de un ciberataque frente a otros sectores, tales como la imperiosa necesidad de continuar con la prestación de servicios.

También constituye una amenaza creciente la gran cantidad de dispositivos conectados que se están utilizando en este sector, lo cual hace que se incremente la superficie de ataque.

Las autoridades competentes han insistido mucho, desde hace ya algunos años, en la necesidad de reforzar la ciberseguridad de los servicios sanitarios, tanto a nivel nacional como europeo. Así, el CCN dependiente del CNI o ENISA, la Agencia Europea de Ciberseguridad, han ido publicando guías y recomendaciones en las cuales se insiste en la necesidad de dotarse de medidas de seguridad de carácter tecnológico que permitan construir organizaciones robustas y resilientes.

A ello hay que añadir la variable de cumplimiento normativo, dado que ya existe un Real Decreto ley que, desde noviembre de 2018, obliga a los operadores de servicios esenciales a adoptar una serie de medidas que en caso de incumplimiento pueden conllevar sanciones muy cuantiosas.

No obstante, es importante insistir en que es necesario que cada una de estas organizaciones contemple el desarrollo e implantación de una Política de ciberseguridad en la cual los aspectos tecnológicos son muy importantes, pero no son los únicos. Es imprescindible el establecimiento de unas sólidas normas internas y unos protocolos de actuación que impliquen a las personas que componen la organización a todos los niveles, ya que la ciberseguridad es un esfuerzo compartido.

La mayoría de los ciberataques en la actualidad se basan en técnicas de ingeniería social que explotan los errores, omisiones o falta de diligencia del elemento humano de la organización para implantar malware o suplantar identidades, o llevar cabo otras actuaciones maliciosas que constituyen delitos tipificados. Gran número de fraudes online se evitarían mediante normas internas jurídicamente bien construidas que permitan prevenir incidentes, protocolizar actuaciones en caso de incidentes, asignar responsabilidades, llevar a cabo acciones formativas, fijar políticas concretas y, sobre todo, concienciar de la importancia de cumplir esas normas.

Por otra parte, las inversiones destinadas a aumentar la ciberseguridad de las organizaciones no pude ser ya vista como un coste superfluo. La actual situación nos permite entender que nuestra vida tiene ya un componente digital indiscutible y se incrementará como consecuencia de esta crisis.

Las organizaciones que sepan implementar una política de ciberseguridad sólida y bien regulada, dispondrán de una serie de ventajas.

Aumentarán la resiliencia con lo cual se protege el conjunto del sistema sanitario y a los ciudadanos. Pero además se dotarán de una evidente ventaja competitiva con respeto a otras empresas del sector que no sean tan diligentes en esta materia. Se debe tener en cuenta que es un sector en el cual la confianza percibida por el paciente es esencial.

En definitiva, esta pandemia nos ha demostrado cuan dependientes somos ya de la tecnología digital.

Cualquier organización, pero especialmente aquellas que son operadores de servicios esenciales en un sector tan crucial como es el de la salud deben marcar la ciberseguridad como una prioridad.

Hay que hacer un esfuerzo adicional para situar al sector sanitario en el nivel de ciberseguridad imprescindible para poder afrontar con éxito los desafíos que la disrupción digital plantea.

Puede ver el artículo en El Economista

Fin del contenido principal