ACHC | Revista Hospitalaria del sector salud

ACTUALIDAD
SUSCRÍBETE
CONÓZCANOS
TARIFAS
EDICIONES ANTERIORES
ACHC.ORG.CO

NOTAS DE ACTUALIDAD

Lea los últimos artículos 

EN PORTADA NUEVO ARTÍCULO

SUSCRÍBETE
INVESTIGACIÓN
EDITORIAL
CIFRAS DEL PAÍS
CIFRAS DEL SECTOR
AGENDA GREMIAL
NOTAS DEL SECTOR
INTERNACIONAL
NOS PREGUNTAN
GLOSARIO NORMATIVO
DE LOS PACIENTES
EN PORTADA
Compartir en facebook
Compartir en twitter
Compartir en linkedin
Compartir en whatsapp
  • ACHC
  • Febrero 1 de 2023
  • 1:00 PM
“Para evitar cuidados intensivos en ciberseguridad, la clave es la prevención”: KPMG

Felipe Silgado, director de servicios de
consultoría en ciberseguridad de KPMG

Felipe Silgado, director de servicios de consultoría en ciberseguridad de KPMG Colombia, explica que es necesario entender qué es un ciberataque y su impacto en las organizaciones, para asumir la obligación de la protección de los datos y la información, “nunca antes las empresas habían sido tan dependientes de la tecnología digital, por tanto, la ciberseguridad y la resiliencia son claves para construir confianza digital”.

De acuerdo con el informe Insigths de 2022 sobre ciberconfianza, esta la debe empezar a generar el equipo de seguridad dentro de las organizaciones mediante un debido manejo y gestión, para que colaboradores, clientes, la alta dirección, accionistas y demás personas que interactúan con la organización tengan más confianza en trabajar con ella y en utilizar sus servicios.

Según datos de varias encuestas a nivel mundial, el costo de una brecha de datos en una entidad del sector salud aumentó un 42 % entre 2020 y 2022. Esto significa que, cuando una entidad sufre un ataque efectivo, se llevan datos o afectan de alguna manera los datos, lo que implica costos para la organización por temas regulatorios, sanciones y reconstrucción de la información.

Según Silgado, el sector sanitario en 2022 registró un aumento del 45 % en ataques de ransomware respecto de 2021. De 381 empresas de salud encuestadas en 2022, el 66 % de estas fueron atacadas, el 61 % de ellas pagaron el rescate y el 64 % obtuvieron de vuelta los datos. Más de 59 millones de registros de pacientes fueron violados, se presentaron 956 incidentes y hubo un aumento del 30 % de violaciones de datos relacionados con empresas asociadas.

Los ataques de ransomware son los que más impactan las organizaciones y en empresas del sector salud impiden el acceso de los usuarios a los servicios. Vienen aumentando exponencialmente desde 2020, a raíz de la pandemia por COVID-19. Algunos de los más sonados en el mundo fueron los ataques a Allergy Partners, Apex Laboratory, Ireland HSE, CHwapi y al NHS (Servicio Nacional de Salud del Reino Unido), que afectó a hospitales británicos, cirugías en todo el país y rutas de ambulancias, así como canceló alrededor de 92 millones de citas y la atención en Urgencias (al final se pagó el rescate para recuperar los datos y, por lo tanto, los servicios). 

Explica el experto que en ataques de ransomware secuestran datos, los cifran para que los usuarios de la organización no tengan acceso ni disponibilidad a ellos, y con la copia de los datos extorsionan a la empresa a cambio de recuperar la disponibilidad y la no divulgación pública. Ese rescate generalmente se exige en monedas digitales no rastreables como los bitcoins y, si la organización no paga, podría no recuperar el acceso a sus datos; cuando la organización decide no pagar, el atacante le muestra su información y empieza a divulgarla: si tiene una base de datos de un millón de registros, divulga 100, 500 o 1.000 registros para demostrar que sí tiene una copia de esa base de datos. Pueden ser datos de personas, informes de la organización, resultados de exámenes de pacientes. Además, agrega Silgado: “En la medida en que la organización entra en el juego del atacante, se puede ver afectada no solo su operación, sino también su reputación y su imagen”.

Por ejemplo, el grupo delictivo RansomHouse (Casa de Rescate) hace ataques como el de Keralty en Colombia, activa el malware llamado Mario (sale el muñequito de Mario Bross), secuestra los datos y saca una copia. Aclara Silgado: “Recomendamos que no se pague rescate; a nivel mundial hay instituciones que pagaron y no todas recuperaron la información; el atacante se cierra después de ese pago y no devuelve las llaves del cifrado de la información. En encuestas a nivel mundial, casi el 22 % decidió pagar el rescate y, del porcentaje que lo paga, solamente el 65 % recupera los datos (reporte de defensa digital de Microsoft). Cuando se pagan rescates, se fomenta que eso siga ocurriendo y que a la misma organización la vuelvan a atacar más adelante”.

¿Por qué no pagar un rescate? No hay absolutamente garantías de nada, porque un cibercriminal no tiene ninguna obligación de devolver la información y probablemente está en otra jurisdicción o país. En algunas jurisdicciones es ilegal pagar por un rescate, así que debe asesorarse muy bien respecto a consecuencias legales, normativas y regulatorias que eso puede traer. Además, al pagar se envía una señal al mercado criminal de que hay un negocio y crean métodos más sofisticados, hacen mejores campañas de ingeniería social, mejoran sus tácticas, técnicas y procesos, y todos podemos seguir siendo víctimas.

Otros cibercriminales utilizan herramientas de cifrado; instituciones de seguridad como la Interpol, el FBI y la Policía Nacional recuperan llaves de cifrado cuando capturan a estas personas y las usan para descifrar la información. Silgado explica que lo primero que uno puede hacer es utilizar las herramientas públicas para tratar de descifrar la información con llaves ya existentes, y si no funcionan procurar la recuperación a partir de copias de respaldo: “La reacción es activar sus planes de contingencia para darle continuidad al negocio, planes de recuperación de desastres, recuperar los datos a partir de copias de seguridad; si no hay acceso al servidor o donde se guarda la información, hacer reinstalar otra vez desde cero y recuperar a partir del back-up. Lo importante es tener mecanismos, que puedas decir: «yo tengo copias de respaldo, un plan de continuidad, un plan de recuperación, el día que pase algo podría recuperarme, aunque me tome algún tiempo»”.

Principales conductores de cambio

Deben identificarse los riesgos llamados “conductores de cambio”, que obligan a hacer una gestión de ciberseguridad en las organizaciones.

  1. Regulación. La regulación del país en protección de datos en entes de vigilancia como la Superfinanciera o Superindustria y Comercio, regulación internacional aplicable a organizaciones en Colombia como el GDPR o el SEC, y la legislación de protección de datos personales.
  2. Amenazas de cyber. Amenazas constantes y crecientes para la empresa y sus clientes; y ataques de ransomware, pishing, malware, DDoS, exfiltración de datos, entre otros.
  3. Cambios en la organización. Llevan a extremar medidas de ciberseguridad de manera diferente, por ejemplo, proyectos de digitalización, incremento en el uso de aplicaciones, desarrollo de aplicaciones nuevas, fusiones y adquisiciones, objetivos de reducción de costos, entre otros.
  4. Cambios en el ambiente. Cambios sociales, económicos y políticos del país y del mundo; crecimiento en la tasa de cambio del dólar; cambios en los clientes de la organización; cambios postpandemia; modas y seguidores. Por ejemplo: en pandemia la gente tuvo que trabajar de manera remota, se tuvieron que crear controles nuevos para que se conectaran con seguridad.

Riesgos para la organización

Silgado indica que los ciberataques generan riesgos en la operación, en la reputación y legales, o riesgo de litigios costosos. En términos de riesgos para la organización, el riesgo de ciberseguridad generalmente se enmarca en la operación, es un riesgo operacional en la continuidad, en el trabajo del día a día, que proyecta pérdidas de ingresos porque se detiene el negocio.

Pero cuando se materializan riesgos a partir de un incidente se activa también el riesgo reputacional, porque empieza a verse la empresa comprometida públicamente; empiezan sus usuarios a quejarse; las entidades de vigilancia y control aparecen a hacer revisiones y a cuestionar la gestión interna; es posiblemente el más difícil de reparar, porque cuando se afecta la imagen de la organización es muy difícil recuperar la confianza de los usuarios.

Asimismo, un incidente también activa el riesgo legal por incumplimientos regulatorios y de contratos, por demandas de usuarios, por supervisión de la Superindustria y otros, donde incluso los representantes legales o de la alta dirección y la junta directiva pueden ser afectados directamente al tener que responder por la organización que administran cuando no hay una debida administración de la ciberseguridad. Se afecta el principio de seguridad demostrada cuando no se puede demostrar que hubo un debido trabajo, un debido cuidado y una debida gestión de seguridad. Toda la planeación de la organización debe darse hacia mitigar no solo el riesgo operacional, sino también el riesgo legal sobre todo desde el punto de vista del manejo de crisis, algo que debe tenerse en cuenta en un plan de continuidad del negocio.

¿Por qué el sector salud es un objetivo para los atacantes?

Silgado presentó varios aspectos que hacen atractivo el sector salud para los ciberataques:

  • La información privada de los pacientes vale mucho dinero para los atacantes.
  • Los dispositivos médicos son un punto de entrada fácil para los atacantes, pues no tienen un ambiente de seguridad suficientemente robusto.
  • El personal necesita acceder a los datos a distancia, lo que abre más posibilidades de ataque.
  • Los trabajadores no quieren interrumpir sus cómodas prácticas laborales con la introducción de nuevas tecnologías; estos servicios no necesariamente son prácticas seguras.
  • El personal médico y de apoyo no está sensibilizado generalmente sobre los riesgos en línea; se necesita un plan de sensibilización, porque normalmente el trabajo del día a día no permite que haya mucha sensibilización en términos de ciberseguridad.
  • El número de dispositivos utilizados en los hospitales dificulta el control de la seguridad, porque muchos que se conectan a la red requieren conexión a los datos y controlarlos es una tarea difícil.
  • Las organizaciones de salud más pequeñas también están en peligro: mientras más pequeñas, hacen menos inversiones en temas de ciberseguridad.
  • La tecnología obsoleta hace que el sector salud no esté preparado para los ataques, por lo que debe gestionar este tema, ya que las vulnerabilidades y debilidades empiezan a verse con el tiempo y permiten que ocurran ataques.

Debe anotarse que el ransomware se incrementó seis veces más desde la pandemia por COVID-19 y Colombia empezó a recibir muchos más ataques que antes (recibe el 30 % de ataques de ransomware de Latinoamérica). Por ello, hay que hacer un trabajo más formal y estructurado de ciberseguridad en las organizaciones. El costo de los negocios para recuperarse del ransomware cuesta en promedio USD $1,4 millones, y el tiempo de recuperación es de un mes.

Tipos de amenazas al sector salud

Además del ransomware, existen otros tipos de amenazas para el sector salud. Las Insider Threats o amenazas internas, por personas que trabajan en las instituciones y tienen acceso a la información, y que podrían por descuido u omisión compartir o afectar información, o porque quiere hacerle algún daño a la institución.

 

También hay riesgos de los proveedores externos de la cadena de suministro, que no cumplan buenos estándares de seguridad y que ponen en riesgo la organización. Los ataques de phishing permiten capturar datos de la organización: estos ataques también vienen creciendo; cada vez son más sofisticados y hacen que las personas no noten la diferencia entre un correo de una persona real y otra que sea ataque de phishing. Otro riesgo es la vulnerabilidad en los dispositivos médicos, aquellos de ambientes de IoT (Internet de las Cosas) o IoMT (Internet de las Cosas Médicas).

En el sector salud, este es uno de los riesgos emergentes en temas de tecnología, y hay dos interesados en atacar el sector: los cibercriminales que quieren dinero, hacen el ataque y solicitan un pago del rescate en bitcoins; y los llamados Nation-State que atacan Estados (cuando un gobierno quiere atacar a otro, afecta las infraestructuras críticas del país, dentro de las cuales están los servicios de salud, de transporte, servicios públicos como el agua, el gas, la electricidad).

Advierte Silgado que hay ataques relacionados con falta de protecciones de los datos que impactan las aplicaciones y repositorios en donde se trabaja la información, por lo que se deben implementar unas debidas protecciones en las organizaciones. Por ello, reitera que el tema se enfoca más en la prevención, en tratar de evitar que ocurra, planear para evitar que ocurra, pero que en el momento en el que ocurra, enterarse lo más rápido posible para tomar una acción: “En estas capacidades que tenga la organización de reaccionar más rápido, hace que este impacto del incidente se contenga y sea mucho menor y no se vea afectada de manera severa”.

Recomendaciones de ciberseguridad inmediata

  • Revise su estrategia de continuidad del negocio. Valide que tenga su plan actualizado, que las estrategias establecidas de recuperación de los servicios operen ante un incidente de ciberseguridad; asimismo, que tiene los protocolos de respuesta de incidentes y manejo de crisis implementados y probados. Es necesario revisar que la cobertura del plan va a servir para escenarios de nuevas afectaciones como una amenaza de ransomware, planear para las amenazas que pueden afectar a la organización y cómo se recupera de esas amenazas.
  • Hacer una prueba de sus procedimientos de respuesta a incidentes. No basta tener un plan, sino ponerlo a prueba. Valide que sus procedimientos contemplen los diferentes escenarios de ataques de ciberseguridad; diseñe y ejecute simulacros de prueba de estos escenarios en ejercicios de escritorio o tipo Table Top, incluyendo a la alta dirección como participantes, y que las personas los conozcan, porque a veces estos planes no se divulgan y el día que ocurre algo buscan el plan, lo que hay que hacer, las actividades, lo cual demora aún más la recuperación.
  • Revise los controles fundamentales de prevención y reacción. Debe implementar estos controles fundamentales para prevenir la ocurrencia de ataques.
  • Doble factor de autenticación para conexiones remotas, para accesos de administradores y para acceso de cuentas privilegiadas.
  • Parches de seguridad al día, al menos para vulnerabilidades críticas y altas. Son actualizaciones que pide el sistema operativo de las aplicaciones y las bases de datos que mantienen el sistema protegido, cierra posibles huecos en la infraestructura y en vulnerabilidades críticas y altas. 
  • Antimalware o antivirus, y XDR instalado y actualizado: el antimalware o antivirus evolucionó a una tecnología llamada XDR que tiene un sonido de respuesta, que no solo dice ‘aquí viene un virus’ sino que, a partir del comportamiento de las conexiones, del acceso a las aplicaciones, la internet y demás, permite ver si hay algún tipo de intento de ataque o no. Y cuando lo hay, la herramienta alerta, habla con otras herramientas y deciden prevenir y bloquear.
  • Datos sensibles y confidenciales protegidos con DLP y cifrado: el DLP es una herramienta de prevención de fuga de información. Cuando se identifica la información más sensible y más confidencial de la organización, se ubica y clasifica, esta herramienta la protege.
  • Protección anti-x para el correo electrónico: antivirus, antispam, antiphishing, antitipos de ataques.
  • Back-ups de la información frecuentes y probados: entre más frecuentes es mejor, porque así se pierde menos información en un ataque. Esos back-up tienen que estar fuera de la red y de los sistemas de la organización, porque cuando están dentro del mismo servidor o en otro servidor que puede ser potencialmente atacado no sirven ni serán efectivos.
  • Bloqueo de las USB: porque pasan por muchos sitios y resultan infectadas.
  • Realizar monitoreos a los eventos de los controles de ciberseguridad, considerar el uso de servicios de SOC (internos o externos): el monitoreo permite saber que está pasando. Al hacer monitoreo de dos o tres herramientas mencionadas, al tener control del monitoreo se sabe si alguien está haciendo algo y si se debe tomar alguna acción.
  • Cree una campaña de sensibilización especial de alerta a todos sus empleados y terceros. Incluya en la campaña mensajes frecuentes que ayuden a los usuarios a identificar los tipos de escenarios de incidentes (mensajes de correo o de intranet), capacitarlos en qué hacer en caso de identificar un incidente (autoestudio o sesiones virtuales o presenciales), y evalúe conocimientos de los usuarios (pruebas de phishing y de ingeniería social telefónica). Si en un ataque la persona está bien sensibilizada, no comete el error de abrir un correo sospechoso o un link. Este control se vuelve indispensable y muchas veces puede ser más fuerte que cualquiera de los otros, porque se enseña al usuario cómo prevenir, cómo identificar riesgos y advertencias.

Otro punto relevante, concluye Silgado, es darle la importancia desde la alta dirección a este tema en la organización, porque muchas veces se subestima y dicen “seguridad es una pequeña área de la tecnología, es una persona que ni siquiera trabaja tiempo completo para seguridad o el administrador de algo al que vuelven administrador de seguridad, y se cree que con eso es suficiente”. Afirma el experto: “No necesariamente una organización tiene que invertir millones para tener una buena salud en seguridad, pero sí debe tener una buena identificación de sus puntos débiles y cómo asegurarlos, eso debe ser lo fundamental”.

Diagnóstico y tratamiento de vulnerabilidades, y cultura de seguridad protectora, propone Expertos Seguridad

Alberito Henao Zuluaga, Gerente
Expertos Seguridad Limitada

Albeiro Henao Zuluaga, gerente general de Expertos Seguridad Limitada, recomienda que, ante un ciberataque, lo primero que se debe hacer es un diagnóstico de la seguridad del ciberespacio y de la información para establecer el grado de vulnerabilidad de los sistemas de información y, luego, determinar estrategias de seguridad informática que permitan neutralizar ese ataque.

El diagnóstico se puede hacer mediante un “hackeo ético”, una planificación de una intrusión mediante redes, correos electrónicos y la página web; así lo explica Henao Zuluaga: “Una vez determino qué vulnerabilidades tengo y las posibilidades de ser vulnerado por un ataque cibernético, procedo a establecer las estrategias. Nosotros tenemos herramientas como el Resecurity, un reseteo a los sistemas informáticos donde establecemos, mediante un hackeo ético, qué ventanas están abiertas y cómo pueden acceder no solo desde el punto de vista del hardware, sino del software, y desde la ingeniería social”.

Explica el experto que la ingeniería social son aquellas actividades de inteligencia humana de hackers no éticos que pretenden vulnerar los sistemas de seguridad de la información de las empresas: “Ellos recurren al malware, al phishing, estratagemas que mediante el engaño hacen que la persona acceda a un sistema operativo y abra una ventana o descargue un sistema operativo que genere los mal llamados “gusanos informáticos”, que acceden a la información, y ahí permiten vulnerar los sistemas de seguridad, sustrayendo información de manera continua o secuestrando, mediante el ransonware, información crítica de las compañías para posteriormente acudir a la extorsión o al chantaje como una medida de presión con fines lucrativos”.

Indica Henao Zuluaga que, mediante ese diagnóstico, se establece la escala de vulnerabilidad en un rango medio, bajo o alto, para adoptar las medidas de tratamiento o protección de la seguridad en el ciberespacio: “Eso implica unos modelos o herramientas de monitoreo permanente frente a ataques continuos, en primer lugar, y en segundo lugar establecer los cortafuegos necesarios. Hay un aspecto muy importante que está ausente en las entidades en general, y es la cultura de la seguridad de la información: los líderes de las empresas debemos ser conscientes que tanto la seguridad física, en sus modos generales, como la seguridad informática hoy son susceptibles de ser vulneradas frente a las amenazas latentes de la asimetría del terrorismo en el ciberespacio”.

Frente a este tema, agregó: “Anteriormente nos fijábamos solamente en que habían unos riesgos potenciales de cara a las medidas de seguridad física, eventualmente contra las locaciones, la infraestructura, las personas y demás, pero hoy después de la pandemia, la tecnología y las formas virtuales que se utilizan en el teletrabajo llegaron para quedarse; eso implica que la susceptibilidad de los sistemas de información tanto en el hogar como en la empresa, hace que exista la amenaza latente de manera permanente. Entonces ahí es donde vienen a implementarse no solo los antivirus y los firewall como los sistemas básicos de las compañías en sus entornos o ecosistemas informáticos, sino otras medidas más sofisticadas y de otro nivel”.

Por eso, Expertos Seguridad recomienda incorporar el trabajo de profesionales que tengan las capacidades y características en sus competencias acordes a la amenaza asimétrica a la que están expuestas las organizaciones y, adicionalmente, incorporar las herramientas de software o de monitoreo que permiten detectar de manera oportuna y neutralizar las amenazas de los ciberataques; es decir, básicamente hacer el diagnóstico para determinar el tratamiento.

Henao Zuluaga también recomienda unas medidas básicas como el nivel de accesibilidad de acuerdo con el rango y la confianza de los empleados, y clausurar completamente en el hardware o equipos de las empresas los puertos para sustraer información con memory kits que introducen malwares o gusanos informáticos dentro del sistema o ecosistema digital de la compañía. En suma, se proponen medidas físicas, medidas lógicas y medidas de carácter cultural o psicológico, en lo que consideran un verdadero y adecuado triángulo protector en temas de ciberespacio.

En este panorama, hospitales y clínicas son altamente sensibles a riesgos cibernéticos, y así lo aclara Henao Zuluaga: “La tecnificación y la digitalización de los procesos en las clínicas y hospitales hacen que de una u otra manera los ecosistemas sean vulnerables a bloqueos o al secuestro de la información; no solo es accesibilidad por la sensibilidad de la información sino por la sustracción y al bloqueo de la operatividad en los procesos médicos y clínicos; entonces este sector de la industria como las clínicas y hospitales son altísimamente sensibles a los ataques cibernéticos y a la vulnerabilidad que hoy genera esta economía global supeditada a la digitalización de la información y a los sistemas informáticos expuestos desde la misma internet”.

Lecciones aprendidas y recomendaciones de ciberseguridad

Expertos Seguridad se ha dedicado al fortalecimiento de la cultura de seguridad en el sector salud. Esto señala el gerente: “En diversas entidades del sector hemos fortalecido la cultura de seguridad y protección de la información y de transmitir la alerta temprana en términos de esa escalabilidad que debe mantenerse en los accesos. Es decir, hemos integrado y automatizado procesos desde el carácter físico porque controlamos desde el ingreso a hospitales y clínicas, desde el ingreso tenemos plenamente identificadas a las personas y hacemos una traza con un software que diseñamos y patentamos en Expertos Seguridad, que nos permite identificar las personas que ingresan a las dependencias y servicios asistenciales de clínicas y hospitales. Esto permite que la persona se dirija a los lugares exactos donde se determinó la autorización o el permiso, que no esté en áreas restringidas, que no esté abordando los sistemas informáticos de manera subrepticia o no controlada, y esto de una u otra manera minimiza el riesgo potencial del acceso físico del antisocial dentro de estas organizaciones”.

Henao Zuluaga hizo un llamado a los directivos: “Quiero llamar a los líderes de empresas que manejan información digital y en la nube a generar no solo planes de concienciación de la vulnerabilidad a la que estamos expuestos como una amenaza asimétrica global a las compañías de cualquier naturaleza, sino que también seamos previsivos en establecer desde nuestros presupuestos los rubros necesarios para intervenir estas áreas de gestión. La falta de conciencia de la existencia de un riesgo ya inmerso dentro de la gestión organizacional hace ver la necesidad de establecer los presupuestos necesarios para implementar las medidas de seguridad necesarias no solamente desde el software, desde la estructura y de la arquitectura de gestión que se requiere, sino también desde el hardware para efectos de tener esquemas robustos y tener los asesores necesarios en seguridad informática”.

“Concientización del equipo interno, apoyo externo y planes de contingencia para prevenir y gestionar ataques”: Méderi

Constanza Rodríguez, Jefe TIC en Méderi

“De acuerdo a como hemos visto que se realizan los ciberataques en el sector salud, lo más importante es la concienciación o concientización al equipo en las instituciones; es uno de los principales factores porque por ellos nos volvemos débiles o vulnerables, al no tener ellos una capacitación o formación permanente sobre los riesgos y amenazas que hay en el mercado. Ellos no validan y simplemente consultan lo que otros envían, sin darse cuenta que ahí, independiente del nivel que tengan dentro de las entidades, generan unos riesgos importantes como lo hemos visto en muchísimas entidades”.

Así lo afirmó Constanza Rodríguez, jefe de TIC en Méderi, quien agrega que para enfrentar los ciberataques se debe hacer gestión sobre los recursos de tecnología en las instituciones, con apoyo de expertos en seguridad externos: “Al interior de las instituciones de salud no contamos con equipos de trabajo tan grandes ni con tanto conocimiento y experiencia para lograr la seguridad. En el mercado hay unos expertos muy buenos a nivel internacional y nacional de talla mundial que tienen que ser nuestros aliados, para que, con esa experiencia y conocimiento de ellos, nosotros mitiguemos al máximo los riesgos que se presentan en las instituciones”.

Un tercer factor fundamental son los planes de contingencia, indicó Rodríguez: “Como nada de estas cosas es infalible, como lo acabamos de ver con este ataque tan monstruoso a nivel nacional e internacional (caso IFX), los planes de contingencia son la posibilidad de continuidad de nuestros servicios de salud. Y hay que estar evaluando esos planes de contingencia, porque hoy tenemos un recurso humano diferente a unos años atrás; cuando no tenemos sistema de información, el usuario final en una contingencia ya no quiere escribir, porque está enseñado a que todo se volvió electrónico. Entonces, el plan de contingencia tiene que ir de la mano con soluciones digitales”.

Explica la jefe de TIC de Méderi que los planes de contingencia son los que permiten pensar metas en doble continuidad o continuidad de la operación, es decir, tener recursos disponibles alternos para seguir operando: “Ese plan de recuperación tiene que estar en nuestras instituciones; [resulta] obvio que tiene un tema económico importante, un tema de gestión importante, pero hoy por hoy —y nos lo demostró este último ataque— perdemos más no teniéndolo, perdemos más de nuestros ingresos, perdemos más en nuestra reputación, perdemos más en nuestra confiabilidad del mercado de prestación de servicios de salud”.

Agregó que en el plan de contingencia son importantes los sistemas de respaldo de la información, los procesos de back-up, las recuperaciones y las pruebas sobre el sistema de información, para que, cuando los ciberdelincuentes sustraigan la información, las instituciones tengan otro medio de recuperación de una información que previamente esté al día. Hacer estos procesos son los grandes retos para quienes manejan los procesos de tecnología en empresas del sector salud.

Para dar una idea del volumen de intentos de ataques que puede tener una institución de salud, señaló que Méderi registra más de 350.000 intenciones de ataques al mes, lo que califica de ‘una cosa monstruosa’. Por ello, se han visto en la necesidad de alcanzar un grado de madurez en el tema y contar con aliados adecuados en estos procesos, para validar por ejemplo los intentos de phishing, que les envían a diario, y con los equipos biomédicos que constituyen hoy un riesgo altísimo para las instituciones.

Explica Rodríguez: “Antes pensábamos que una impresora o un escáner eran un riesgo, pero hoy que todos los equipos biomédicos son utilizados e intercomunicados a través de interoperabilidad con los sistemas de información, y ellos son un riesgo, entonces lo primero que debe hacerse es validar el proceso de vulnerabilidades que ellos nos generan y hacer todo el tema de remediación técnicamente para evitar que esas puertas abiertas que dejamos cuando instalamos esos equipos, se conviertan en una debilidad para nosotros y una oportunidad para el atacante”.

La jefe de TIC de Méderi señala que indiscutiblemente hay que estar siempre alerta y que las alertas tienen que estar acompañadas de tecnología, de herramientas que de forma predictiva y anticipada puedan evitar lo que quieren intentar los atacantes dentro de las instituciones o por la vía que quieren ingresar. Y ya cuando se presenta el ataque, aplicar los planes de contingencia.

“Integrar personas, procesos y tecnología en la ciberseguridad”: Fundación Santa Fe de Bogotá

Jorge Mario Arango, Oficial de Seguridad de la Información y Protección de Datos Personales de la Fundación Santa fe de Bogotá

Jorge Mario Arango García, Oficial de Seguridad de la Información y Protección de Datos Personales de la Fundación Santa Fe de Bogotá, señala que, dentro de las lecciones y recomendaciones en materia de prevenir y resolver posibles ciberataques, lo principal es abordar la ciberseguridad con un enfoque que integre las personas, los procesos y la tecnología.

El experto explica que un punto muy importante es lograr que las personas tengan conciencia de los riesgos de ciberseguridad y comprendan de forma clara cómo protegerse. En este sentido, recomienda realizar ejercicios de apropiación de conceptos y medidas en los usuarios no técnicos, y contar con indicadores que midan el efecto de las acciones realizadas en los usuarios de la entidad, buscando mejorar el nivel de cultura de ciberseguridad.

Por otro lado, y como agrega Arango García, es muy importante contar con una estrategia, con una hoja de ruta definida que se adapte a todos los riesgos emergentes que van surgiendo. En la Fundación Santa Fe de Bogotá, dicha estrategia se basa en cuatro pilares importantes que ha definido la organización:

  • Gestión del Riesgo de la Operación.
  • Datos, Privacidad y Cultura.
  • Ciberseguridad Asistencial, Clínica e Infraestructura Hospitalaria.
  • Gestión de la Cadena de Suministro.

Estas son algunas de las recomendaciones que se pueden replicar en otras organizaciones del sector salud, entendiendo que la dinámica de todas las instituciones puede ser diferente.

Finalmente, desde la experticia de la Fundación, se insiste en que, ante cualquier estrategia de prevención, es necesario comprender los riesgos propios del negocio: una vez se entienden estos riesgos, se pueden priorizar los controles de ciberseguridad correspondientes.

Controles de ciberseguridad: un reto de la era digital

La ciberseguridad es un tema que se ha convertido en un pilar fundamental para la integridad, sostenibilidad y seguridad en la era digital. Establecer controles efectivos y prepararse para recuperarse de un posible ataque cibernético es esencial para el bienestar de las empresas y sus activos. Es por esto que, desde un hospital afiliado a la Asociación Colombiana de Hospitales y Clínicas (ACHC), que pidió no ser identificado, se recomienda el siguiente enfoque estructurado para fortalecer la postura frente al control de la ciberseguridad:

  1. Marco de trabajo: definiendo estrategias. El primer paso crucial es establecer un marco de trabajo que guíe las estrategias de ciberseguridad. Así, se deben adoptar estándares reconocidos como NIST, ISO 27001 o HIPAA que proporcionan un fundamento sólido. Estos marcos no solo establecen directrices claras, sino que también facilitan la adhesión a normas globalmente aceptadas.
  2. Estrategias y líneas base: mejorando la postura de ciberseguridad. Para fortalecer la seguridad, es vital implementar estrategias específicas basadas en los marcos de trabajo seleccionados. Estas estrategias, también conocidas como líneas base, se centran en los controles de seguridad críticos de la siguiente manera:
  • Identificación: conociendo el terreno
  • Activos: identificar los activos digitales esenciales para el negocio.
  • Ambiente del negocio: comprender el contexto operativo y las interdependencias.
  • Gobierno: establecer una estructura clara de gobierno para la ciberseguridad.
  • Riesgos: evaluar y categorizar los riesgos potenciales.
  • Estrategia de riesgos: desarrollar estrategias efectivas para gestionar los riesgos identificados.
  • Protección: salvaguardando la información
  • Controles de acceso: implementar medidas robustas para restringir el acceso no autorizado.
  • Concientización del empleado: educar a los empleados sobre seguridad de datos.
  • Procesos y procedimientos: establecer protocolos para la protección de la información.
  • Tecnologías de protección: utilizar programas de protección para salvaguardar activamente contra amenazas.
  • Detección: anticipándose a las amenazas
  • Anomalías y eventos: identificar comportamientos anómalos y eventos sospechosos.
  • Proceso de detección: implementar procedimientos efectivos para la detección temprana.
  • Monitoreo continuo: mantener una vigilancia constante de la seguridad.
  • Respuesta: actuando con eficiencia
  • Plan de respuesta a incidentes: desarrollar un plan detallado para responder a posibles incidentes.
  • Plan de comunicación: establecer un protocolo claro de comunicación durante situaciones críticas.
  • Análisis, mitigación y mejoras: evaluar, mitigar y aprender de cada incidente para mejorar continuamente.
  • Recuperación: volviendo a la normalidad
  • Planes de recuperación: contar con planes detallados para restaurar operaciones tras un incidente.

Adoptar estos controles de ciberseguridad no solo protege los activos digitales de las empresas, sino que también contribuye a la confianza de los usuarios y la integridad de las entidades en un mundo digital cada vez más complejo.

Referencias

Banco Interamericano de Desarrollo [BID]. (2021). Protegiendo la salud digital: Una guía de ciberseguridad en el sector salud. Banco Interamericano de Desarrollo BID. https://publications.iadb.org/es/protegiendo-la-salud-digital-una-guia-de-ciberseguridad-en-el-sector-de-salud

Betancourt, Alejandra. (2023, 18 de noviembre). 5 millones de dólares en criptomonedas deberá pagar el INVIMA para recuperar su web. Enter.co. https://www.enter.co/colombia/5-millones-de-dolares-en-criptomonedas-debera-pagar-el-invima-para-recuperar-su-web/

City TV – El Tiempo. (2023). Los ciberdelitos han registrado un aumento del 1,8% en el territorio                nacional. https://citytv.eltiempo.com/noticias/seguridad/los-ciberdelitos-han-registrado-un-aumento-del-18-en-el-territorio-nacional_65377

Critical Insight. (2023). Healthcare breaches on the rise in 2022. https://cybersecurity.criticalinsight.com/healthcare-breach-report-h1-2022

Dräger. (2017). La ciberseguridad en los hospitales. Cómo contribuirá Dräger a que su hospital sea un lugar seguro. Drägerwerk AG & Co. KGaA. https://www.draeger.com/Content/Documents/Content/how-draeger-will-help-keep-your-hospital-safe-br-pdf-10431-es.pdf

EMR. (2023). Análisis de la Industria de la Ciberseguridad en Colombia. https://www.informesdeexpertos.com/informes/mercado-de-la-ciberseguridad-en-colombia

Gómez-Pinzón. (2023). Guía de obligaciones en materia de ciberseguridad para el sector de la salud en Colombia. https://gomezpinzon.com/wp-content/uploads/2023/06/GUIA-LEGAL-CIBERSEGURIDAD-SALUD.pdf

González, Diana. (2023). Ciberataques en Colombia siguen en aumento en el 2023. Intexus. https://blog.intexus.la/ciberataques-en-colombia-en-el-2023#:~:text=Ciberataques%20en%20Colombia%20en%20el,su%20plataforma%20de%20correo%20corporativo

Infobae. (2023). Las 34 empresas que fueron hackeadas en Colombia durante 2022. https://www.infobae.com/america/tecno/2023/01/02/las-34-empresas-que-fueron-hackeadas-encolombia-durante-2022/

Itech SAS. (2023). Listado de empresas afectadas por Ransomware en Colombia. https://www.itechsas.com/blog/ciberseguridad/listado-de-empresas-afectadas-por-ransomware-en-colombia/

Kaspersky. (2022). ¿Qué es la ciberseguridad? https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security

Luna, David; Castañeda, Ana María y Sogamoso, Ingrid. (2023). Informe de ponencia para primer debate Proyecto de Ley No. 010 de 2023 Senado “Por la cual se crea la Agencia Nacional de Seguridad Digital y se fijan algunas competencias específicas”. Gaceta del Congreso N.º 901 de 2023.

Morante, Andrea. (2017, 13 de mayo). Instituto Nacional de Salud entre víctimas de ciberataque mundial. El Tiempo. https://www.eltiempo.com/tecnosfera/novedades-tecnologia/alerta-por-cibertaque-que-golpeo-a-74-paises-87602

Resolución 866 de 2021 [Ministerio De Salud Y Protección Social y Ministerio de Tecnologías de la Información y Comunicaciones]. Por la cual se reglamenta el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y se dictan otras disposiciones. 25 de junio de 2021. Diario Oficial N.º 51.716 de 25 de junio de 2021.

Para volver al anterior, clic aquí | Atrás<<
Para descargar el artículo completo, clic aquí
GLOSARIO NORMATIVO
CIFRAS DEL PAÍS
DE LOS PACIENTES
DE LOS PATROCINADORES
Twitter Facebook Linkedin Youtube
CONOZCA QUIÉNES SOMOS AQUÍ
PAUTE CON NOSOTROS, CONSULTE LAS TARIFAS AQUÍ

SECCIONES

EDITORIAL
INVESTIGACIÓN
AGENDA GREMIAL
ACTUALIDAD
INTERNACIONAL
GLOSARIO NORMATIVO
CIFRAS DEL PAÍS
DE LOS PACIENTES

CONTÁCTENOS

    Mayor Información Tel: (+57) 601 312 4411  –Fax: (+57) 601 312 1005  Cra 4 No. 73 – 15 Bogotá D.C.

    COPYRIGHT © 2022 – Todos los derechos reservados

    Prohibida su reproducción parcial o total sin autorización escrita de su titular

    Powered by windowschannel.com