Estrategias para que los hospitales se mantengan «ciberseguros» durante una pandemia

Los sistemas de salud y los hospitales no son inmunes a la amenaza de los piratas informáticos durante la pandemia de COVID-19.

Conclusiones más importantes

• Durante una pandemia, es más importante que nunca que los hospitales garanticen que sus redes sean seguras para resguardar la seguridad de sus pacientes.
• La evaluación de riesgos y los análisis de riesgo son fundamentales para preservar la seguridad informática de los hospitales y sistemas de salud, según un experto en seguridad.

Un ataque informático contra el Departamento de Salud y Servicios Humanos (HHS) de los EE. UU. a principios de este mes podría ser una llamada de advertencia para directivos de sistemas de salud y hospitales de que no hay ninguna organización inmune a los ataques informáticos, incluso durante una pandemia como la de COVID-19. Los ataques informáticos pueden afectar aspectos críticos de los sistemas de salud y hospitales que dependen de la red informática de una organización, por ejemplo para acceder a datos y las historias clínicas de los pacientes.

Según informa Bitdefender, parece que una mayor seguridad informática es más importante que nunca en hospitales y sistemas de salud, ya que «se incrementó la cantidad de informes de actividad maliciosa relacionada con el coronavirus» en más de un 475% en lo que va de marzo, en relación con febrero, y uno de los sectores más afectados es el de atención médica.

HealthLeaders habló con Jorge Rey, director de Seguridad de la Información y socio de Seguridad Informática y Normativa de Kaufman Rossin acerca de las estrategias que sugiere que sigan los hospitales para garantizar su seguridad informática durante una pandemia. Rey encabeza la división de consultoría en Seguridad Informática, que incluye servicios de capacitación en seguridad informática, evaluación de riesgos de ciberseguridad y normativa HIPAA para proveedores de atención médica y asociados comerciales.

Esta transcripción fue editada para aportar claridad y brevedad.

HealthLeaders: ¿Los sistemas de salud y hospitales tienen que tener mayor vigilancia que nunca para resguardar sus redes informáticas debido al brote de COVID-19?

Jorge Rey: La respuesta es sí. Hemos observado sin dudas un incremento en fraudes de robo de identidad (phishing) en relación con el coronavirus, contra los sistemas de salud. En las últimas dos a tres semanas hubo un aumento pronunciado en estos tipos de ataques.

HL: ¿Qué medidas pueden adoptar los ejecutivos del sector de atención médica para garantizar la seguridad de las redes de sus organizaciones durante una pandemia?

Rey: En definitiva, el mejor canal es mejorar la comunicación y garantizar que todos conozcan bien cuáles son los riesgos y las mejores prácticas. Seguir las [políticas] que fueron diseñadas e implementadas es clave a la hora de garantizar que nuestros hospitales no tomen atajos sin entender los riesgos que esto conlleva.

HL: ¿Qué normas generales pueden seguir los hospitales y sistemas de salud para mantenerse a salvo y fortalecer su sistema informático de salud durante una pandemia?

Rey: Creo que en definitiva debe ser un abordaje caso por caso. En este momento un montón de empresas, incluidos hospitales, enfrentan dificultades específicas provocadas por la naturaleza de esta situación.

Estamos todos en una situación que se conoce como «de recuperación ante catástrofes». Muchas compañías están trabajando con su plan de continuidad del negocio, lo que significa que están haciendo trabajo remoto. Al hacerlo creamos un riesgo algo diferente para los hospitales.

Idealmente, lo que deben hacer los hospitales desde el punto de vista de la seguridad es revisar sus evaluaciones de riesgos y validar la posibilidad de que el trabajo remoto o a distancia aumente su riesgo, y luego garantizar que tengan un sistema de seguridad actualizado y en marcha. Deben procurar que podrán gestionar el riesgo en adelante.

HL: ¿Cuál es el mayor riesgo? ¿Considera que el trabajo remoto o el uso de servicios de telesalud suponen un mayor riesgo para la seguridad informática? ¿Aumenta el riesgo si los hospitales usan software desactualizado?

Rey: Sí creo que con la situación actual del coronavirus existe un riesgo mayor, y las razones de esto son diferentes.

En principio, hay fraudes de robo de identidad orientados que ofrecen ayuda a las personas con el coronavirus como disparador. Se modificaron las operaciones actuales para trabajar en forma remota y eso, por diseño, cambia el riesgo.

No creo que tener software más antiguo aumente el riesgo, siempre y cuando haya sido contemplado en una evaluación de riesgo anterior, y los hospitales hayan identificado sistemas de control complementarios. A veces, en estas situaciones, tenemos limitaciones del sistema que no nos permiten actualizar a un software mejor o más nuevo. Pero eso no significa que el sistema sea menos seguro por su diseño. Lo importante es verificar que haya sido evaluado y protegido. Por ejemplo con un firewall.

Sí creo que la situación actual modificó el riesgo y el panorama de amenazas. Si antes no trabajaba en forma remota y ahora sí, ¿tiene acceso para imprimir información de salud personal desde su casa, y los métodos apropiados para destruir dicha información? ¿La computadora que usa para conectarse al hospital está en una red segura?

HL: ¿Hay algo más que le gustaría agregar?

Rey: En definitiva, nos encontramos frente a un reto, y lo que tenemos que hacer es adaptarnos a esa situación. Si los hospitales no hicieron su evaluación de riesgos y su análisis de riesgos, creo que se están creando su propio riesgo.

No sabemos cuándo terminará esta pandemia, pero todos sabemos que terminará. Así que esperemos que cuando eso ocurra hayamos aprendido algunas lecciones que podamos incorporar a la cultura de la seguridad en adelante.

«…Lo que deben hacer los hospitales desde el punto de vista de la seguridad es revisar sus evaluaciones de riesgos».
-Jorge Rey, socio de Seguridad de la Información, Ciberseguridad y Normativa de Kaufman Rossin