Diez pautas de ciberprotección para los hospitales y centros sanitarios

 

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Estos días los ciberdelincuentes intentan aprovecharse de un momento crítico que mantiene tensionados a hospitales y centros sanitarios, pero ya eran su objetivo antes de la emergencia sanitaria. De hecho, dos tercios de las organizaciones sanitarias sufrieron incidentes de seguridad en 2019, ya que es un sector que trabaja con datos sensibles, que interesan a los delincuentes.

Por eso, ENISA publicó a finales de febrero (cuando se veía venir la situación, pero no había alcanzado la virulencia actual) una guía con pautas y buenas prácticas para mejorar su protección frente a ataques..

La guía recomienda implicar al departamento de TI en los procesos de compra y aprovisionamiento desde el principio para que se tenga en cuenta la seguridad y pueda hacer un análisis de cómo se adapta la tecnología a la red existente y valorar si hay que tomar medidas adicionales. Además, los hospitales deben implantar un proceso de identificación y gestión de vulnerabilidades, de forma que puedan administrarlas durante el ciclo de vida de todos los dispositivos.

No menos importante es desarrollar una política de actualizaciones del hardware y el software. En este punto se aconseja que los equipos de TI determinen el momento más adecuado para aplicar los parches en cada segmento de la red, así como determinar soluciones alternativas para máquinas que no pueden ser parcheadas, como la segmentación.

Por otro lado, según la agencia de ciberseguridad europea, hay que mejorar los controles de seguridad de las redes inalámbricas para evitar accesos no autorizados, así como establecer políticas de pruebas. Los hospitales que adquieran nuevos productos informáticos deben establecer un conjunto mínimo de pruebas de seguridad que se realizarán en los nuevos dispositivos agregados a las redes. Entre ellas tendrían que figurar las de penetración para tener en cuenta cómo los hackers pueden intentar entrar en los sistemas.

Por otro lado, los centros deben tener planes de continuidad de negocio que les permitan, en caso de incidencia, seguir operando los servicios clave. Relacionado con ello, tienen que considerar la interoperabilidad. Para un hospital es fundamental poder transferir información y datos con otros centros, pero en caso de ciberataque o caída de los sistemas, tendría que haber un plan de backup o respaldo.

Según la ENISA, se deben probar de forma de regular los sistemas y comprobar que las contraseñas no hayan cambiado y sean más sencillas, así como mantener los registros (logs) de las pruebas y la actividad en la red garantiza que, en caso de compromiso, sea más fácil rastrear lo que sucedió y cómo los atacantes obtuvieron acceso al sistema, así como evaluar qué información se ha visto comprometida.

El documento se cierra con el siguiente consejo: hay que cifrar los datos personales confidenciales, tanto si están en reposo como en tránsito.

Ésta es una guía dirigida a CIOs, CISOS de empresas sanitarias, proveedores de dispositivos médicos, aseguradoras y otras organizaciones relacionadas con el sector sanitario.