Entrevista

Mª Rocío Montalbán: Se requieren soluciones de seguridad específicas para redes de profesionales que colaboran en el diagnóstico y tratamiento.

By abril 1, 2023 abril 27th, 2023 No Comments
María Rocío Montalbán Carrasco, Subdirectora General de Transformación Digital y Relaciones con los Usuarios en la Consejería de Sanidad del Gobierno de Cantabria

¿Cuáles son las amenazas más importantes para su organización en 2023/24?
Las principales amenazas en el sector sanitario vienen provocadas, precisamente, por el vertiginoso avance en la digitalización que se está experimentado. La mejor conexión y la interoperabilidad entre los sistemas de información, el teletrabajo y la colaboración entre profesionales de forma remota y la incorporación de un número creciente de datos de múltiples dispositivos de electro medicina y monitorización, se traduce en una mayor seguridad del paciente, que favorece la seguridad del paciente garantizando la continuidad asistencial y permite a los profesionales sanitarios disponer de mayor información y herramientas de soporte para atender a los pacientes. Pero, sin duda, este escenario provoca que la superficie de exposición de los datos de salud ante posibles ataques crece continuamente.

¿Cómo se refuerza en su organización la seguridad del acceso remoto a la red para teletrabajo a empleados y terceros usuarios?
Si bien el acceso remoto se utilizaba habitualmente en los ámbitos sanitarios, por las propias circunstancias de disponibilidad 24×7 con el que se diseña toda la actividad asistencial y de soporte, desde la etapa de la pandemia COVID 19 ha experimentado un gran crecimiento. Ha aumentado tanto el número de usuarios requeridos como la sofisticación de las herramientas implantadas.
El control de acceso mediante doble factor de autenticación es un punto de partida como medida preventiva en estas plataformas, pero todos los esfuerzos de monitorización y vigilancia digital son necesarios. Se requieren soluciones específicas para redes de profesionales que colaboran en el diagnóstico y tratamiento, como es el caso de los comités multidisciplinares de tumores, en los que las plataformas facilitan el acceso de médicos de distintos centros a la información relevante para todos los miembros del comité, de modo que se favorece el estudio y evaluación de casos y la emisión de planes terapéuticos.

¿Qué control de acceso tiene hacia las redes cableadas de su organización?
Los sistemas de Control de Acceso a la Red (NAC) y la segmentación de redes para reducir el posible impacto de un incidente, conforme a las especificaciones del Esquema Nacional de Sanidad, son algunas de las medidas técnicas que implementamos en el Servicio Cántabro de Salud. Pero deben acompañarse de las medidas organizativas y formativas para una mejor gestión de usuarios y permisos, ya que los mayores riesgos se encuentran en los robos de credenciales y en el phising, por lo que es necesaria toda la concienciación y colaboración por parte de los usuarios para identificar accesos no lícitos o comportamientos sospechosos.

¿Qué controles de seguridad utilizan o tiene previstos para los dispositivos médicos y otros dispositivos iOT del entorno hospitalario?
Los dispositivos médicos tienen unas características particulares, tanto por su vida útil, muy superior al de los sistemas informáticos, como por el control y actualización del software incluido en estos equipos médicos, que suele ser tarea del fabricante, sujeta a controles médicos de homologación, y ajena a las tareas de mantenimiento de los equipos de tecnologías de la información de los centros sanitarios.



Es necesaria toda la concienciación y colaboración por parte de los usuarios para identificar accesos no lícitos o comportamientos sospechosos.

Por lo que existe el riesgo de disponer de equipos obsoletos, pendientes de parches de seguridad y conectados en las redes hospitalarias. Más allá de las iniciativas propias en curso, tales como la consideración de criterios de ciberseguridad en la adquisición y gestión de equipos, un gran número de servicios de salud públicos estamos valorando conjuntamente las opciones de mercado para abordar esta necesidad de forma colaborativa, de modo que se fortalezca la red del Sistema Nacional de Salud, mejorando la cohesión del sistema.

¿Daría un valor adicional a servicios y productos de ciberseguridad de empresas nacionales o productos certificados del catálogo STIC 105 del CCN-CERT en su organización? ¿Por qué razones?
En mi opinión particular, sirve de gran ayuda que un organismo como el CCN certifique los niveles de seguridad de diferentes productos, como garantía para las administraciones públicas a la hora de adquirir productos, especialmente aquellos que se requieren para el manejo de información sensible bajo el alcance del ENS, como los datos de salud.