¿Cómo describe Open Cloud Factory la importancia de la ciberseguridad en el sector salud?
Es una palabra muy relacionada con la salud “critica”.
La transformación digital en el sector de salud se ha acelerado de manera tremenda debido a la pandemia para compartir información con otros sistemas, proveedores, trabajadores etc. El foco, como es lógico, ha sido en la comunicación para ser operativos, pero en el proceso la superficie de exposición del sector ha crecido de manera exponencial, lo que se traduce en un mayor riesgo.
El sector es un blanco muy atractivo por el valor de la información que maneja (historial médico, información de trabajadores, presupuestos, etc.), pero también porque tiene presupuesto, tiene datos y procesos críticos a los que ha sumado una superficie de exposición enorme. Reúne todos los factores para convertirlo en un blanco muy apetecible y así lo demuestra el incremento de los ataques.
Estos ataques puedan tener consecuencias graves como la pérdida de datos confidenciales de los pacientes, pérdidas financieras y daños a la reputación y, lo que es más crítico, poner en riesgo la seguridad del paciente, ya que pueden interrumpir equipos, dispositivos y sistemas médicos que son esenciales para brindar atención de calidad.
Todo ello hace que la ciberseguridad en la transformación del sector de salud sea crítica, de hecho, no puede haber una transformación digital, real, sin no es segura.
¿Y cómo describe el contexto?
Tecnológicamente, y por extensión a nivel de ciberseguridad, es un sector altamente complejo ya que maneja una heterogeneidad impresionante de tecnología que sostiene la digitalización. Por un extremo, hay dispositivos de nueva generación para gestionar directamente la salud del paciente, mientras que por el otro hay un gran número de tecnología legacy (Sistemas Windows XP, NP.. ) que no se puede actualizar.
A esa realidad heterogénea hay que añadirle la nueva superficie de exposición. Esta nueva superficie muy extendida no era un problema muy evidente durante la pandemia y hasta 2022 ya que los atacantes habían dado cierta tregua al sector de salud, pero en 2023 el sector se ha vuelto a convertir en el centro de atención de los cibercriminales. Ahora esa superficie de exposición se va a poner a prueba junto con los desafíos a la heterogeneidad de tecnológica y lo mismo se puede ver en los números de ataques recibidos. Recordemos que la cantidad de ataques a todo tipo de organismos superan los millones cada año y concretamente en el sector salud de nuestro país según la Agencia de Salud Digital se contabilizaron en 730 los recibidos, pero no todos llegan a buen puerto.
Lo anterior es, más o menos, “gestionable” por parte del sector, pero un gran punto ciego que tiene es su cadena de suministro. Es decir, todos los actores, que componen el sistema digital de salud; proveedores tecnológicos, no tecnológicos, otros sistemas, otros organismos que comparten y consumen datos (laboratorios, clínicas, hospitales, médicos etc.), otras entidades (farmacias) etc., que también debe ser gestionada para no comprometer la seguridad de los organismos.
¿Qué puede aportar Open Cloud Factory?
En Open Cloud Factory llevamos años apostando e invirtiendo en la seguridad nacional. Pretendemos ofrecer una alternativa de ciberseguridad nacional al sector de Salud que se adapte a sus requerimientos específicos y en el proceso fomentar un ecosistema nacional y europeo cada vez más fuerte mediante la colaboración de organismos públicos y privados.
Tenemos acuerdos con más de 20 universidades en clave I+D+i y talento y acuerdos con los principales centros tecnológicos del país además de trabajar muy estrechamente con los actores más relevantes en la seguridad nacional y europea como CCN-CERT, INCIBE, ACC, BSCS y ECSO entre otras, así como múltiples fabricantes e integradores.
Por otra parte, llevamos desde 2017 apostando y adaptando la solución al Esquema Nacional de Seguridad con una visión de seguridad preventiva, un concepto muy bien comprendido en salud. Gracias a esta tecnología, el pasado diciembre en el contexto de las Jornadas STIC recibimos el premio SME CYPSTIC 2022 que reconocía la valía de nuestra solución y el compromiso con el desarrollo de la ciberseguridad por parte de Open Cloud Factory.
Nuestra cercanía al ecosistema y sector hace que podamos tener una visión más pragmática y real del estado del arte y proponer soluciones que dan respuesta a esas necesidades tan concretas y en línea con el marco normativo ENS.
Concretamente en el sector salud, respondemos al escenario de gestión del riesgo de acceso remoto de terceros a los servicios centrales mediante una solución única en el mercado que está implementada en múltiples organismo, como la Consejería de Sanidad de Valencia y otras entidades homólogas.
En centros hospitalarios aportamos visibilidad de todo lo conectado, por muy heterogénea que sea la infraestructura, como elemento fundamental en un análisis de riesgos. Esa información y contexto se puede usar para aplicar medidas preventivas como la segmentación dinámica y automática para reducir el potencial impacto de una incidencias de ransomware.
¿Cómo se divisa el futuro de la ciberseguridad en salud?
Tenemos muchos factores a nuestro favor en España para hacer un sector de salud más ciberseguro en el futuro.
El nuevo Esquema Nacional de Seguridad, ha sentado las bases para afrontar, con un nuevo marco regulatorio firme, la transformación digital del sector público y sus proveeros del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda. El Esquema Nacional de Seguridad ha supuesto un hito en la ciberseguridad en España y un referente para otros países, una fortaleza que ha posicionado a nuestro país como un referente en la Unión Europea.
En el sector salud, respondemos al escenario de gestión del riesgo de acceso remoto de terceros a los servicios centrales mediante una solución única en el mercado que está implementada en múltiples organismo, como la Consejería de Sanidad de Valencia y otras entidades homólogas.
Los fondos europeos del PERTE nos suponen una oportunidad única de invertir en el futuro de la ciberseguridad.
Destacar la importancia de las colaboraciones público-privadas.
En la medida que nos forzamos e invertimos hoy en crear un ecosistema nacional más fuerte basándonos en el nuevo Esquema Nacional de Seguridad y apalancándonos en los fondos europeos y las colaboraciones público-privadas tendremos un futuro mejor, lo mismo no quiere decir, ni mucho menos, que será fácil pero sí viable.
A nivel de I+D, tendrá más relevancia cada vez la Inteligencia Artificial y el Machine Learning, donde estamos apostando fuertemente. Estas tecnologías tendrán cada vez más un impacto más positivo en la seguridad de los organismos de salud que permitirán la automatización de muchos procesos y el descubrimiento temprano de amenazas. En esta línea Open Cloud Factory integrará los resultados de los proyectos de I+d+i de la universidades y centros tecnológicos con los que colaboramos durante este año y los próximos.
¿Qué papel juega el rol humano en la ciberseguridad?
El papel de las personas es extremadamente importante en la ciberseguridad, ya que los humanos suelen ser el eslabón más débil de la cadena de seguridad. Incluso con las medidas de seguridad técnica más avanzadas implementadas, un solo error cometido por un individuo puede comprometer todo un sistema.
La dirección juega un papel fundamental en el establecimiento y la promoción de una cultura de ciberseguridad dentro de una organización. Al predicar con el ejemplo y priorizar la seguridad en la toma de decisiones, pueden marcar la pauta para el resto de la organización. Además, pueden invertir en programas de capacitación y concientización de los empleados para garantizar que todos los miembros del personal comprendan la importancia de la seguridad cibernética y cómo prevenir las infracciones de seguridad.
En resumen, las personas juegan un papel vital en la seguridad cibernética y es importante que las organizaciones inviertan en medidas técnicas y no técnicas para promover una cultura de seguridad que siempre empieza desde la Alta Dirección.