La protección de la infraestructura informática sanitaria vulnerable ante los crecientes riesgos cibernéticos

Instituciones académicas en alerta: una guía para mantener las aulas libres de riesgos

Deciembre 2022

Pongámonos en contexto. A principios de 2020, las organizaciones y los proveedores de servicios sanitarios de todo el Reino Unido se vieron abocados a un nuevo entorno lleno de retos en materia de ciberseguridad. Tanto el personal como los pacientes comenzaron a hacer un mayor uso de los servicios digitales, trasladando sus datos confidenciales, los cuales necesitaban una protección constante, a la nube.

En esta coyuntura, era imprescindible que todos los dispositivos conectados funcionasen de forma coherente y segura para conceder distintos niveles de acceso a los pacientes, médicos, personal no médico, departamento de TI y contratistas externos. Por un lado, la gran cantidad de información que se trasladó a los sistemas basados en la nube y, por otro, los nuevos dispositivos que necesitaban conectarse a una amplia red expusieron a muchas organizaciones a ciberataques.

El hecho de que el sector sanitario sea uno de los principales objetivos de los ciberdelincuentes no resulta sorprendente, ya que los datos de los pacientes son extremadamente valiosos, y normalmente la historia clínica electrónica (HCE) de una persona incluye su nombre completo, número de la seguridad social, historial médico, información bancaria, tarjetas de crédito y nombres de familiares; una gran cantidad de información muy preciada por los hackers. A esto se le une el gran reto que supone la protección de un entorno de este tipo, especialmente cuando muchos profesionales de la salud carecen de conciencia cibernética y no tienen tiempo para reforzar sus conocimientos digitales.

Una de las mayores vulnerabilidades del sector sanitario es la cantidad de puntos de acceso que tiene su infraestructura informática, es decir, tecnologías operativas que van desde resonancias magnéticas conectadas, iPads y ordenadores de sobremesa utilizados por el personal hasta routers inalámbricos de los hospitales y otros dispositivos electrónicos que pueden conectarse a la red. Si no se dispone de una seguridad adecuada, los actores de amenazas utilizarán cualquiera de estos puntos de acceso como una vía para acceder al resto del sistema y así explotarlo.

Es importante que recordemos cuánto ha beneficiado la tecnología operativa al sector sanitario, especialmente durante la pandemia. Esta tecnología permitió que los trabajadores y pacientes pudieran llevar a cabo conexiones remotas durante uno de los periodos más difíciles a los que este sector se ha tenido que enfrentar, haciendo que lo que antes se consideraba como una utopía fuera ahora una realidad.

Sin embargo, no todas las áreas de servicios de la sanidad consiguieron funcionar con normalidad durante los confinamientos. Algunos sanitarios tuvieron dificultades para llevar a cabo ciertas cuestiones relativas a la prestación de servicios, como por ejemplo cuando las empresas externas no podían realizar pruebas de papel y lápiz in situ. Esto supuso un gran reto para muchos hospitales y proveedores de servicios sanitarios que se enfrentaban cada vez a un mayor número de ciberamenazas sin saber cuándo la prestación de dichos servicios volvería a la normalidad.

Además, las organizaciones sanitarias tuvieron que trabajar sin los suficientes profesionales de la informática, lo que dio lugar a otra importante vulnerabilidad. Evidentemente, el objetivo principal de los sanitarios era la atención al paciente, y a menudo no les quedaba casi tiempo para centrarse en la mejora del departamento de TI.

En muchos casos, el equipo informático era muy pequeño y operaba con un presupuesto reducido –a pesar de tener largas listas de tareas pendientes–, trabajaba para cumplir con las estrictas normas de seguridad y tenía la enorme responsabilidad de proteger los valiosos datos de los pacientes además de la vulnerable infraestructura de TI. No cabe duda de que estos equipos trabajan duro: al fin y al cabo son profesionales formados. No obstante, los equipos de TI, normalmente pequeños y, con frecuencia, sobrecargados de trabajo, constituyen una potencial vulnerabilidad para la seguridad de la sanidad si estos no consiguen estar a la altura de todas las exigencias que una ciberseguridad adecuada requiere. Esto significa que las organizaciones sanitarias necesitan apoyo adicional para garantizar una seguridad completa.

Las organizaciones de la salud deben intentar acabar con estas vulnerabilidades ya que los datos que gestionan son probablemente los más importantes que existen. Las necesidades específicas y las normas de cumplimiento requieren que las soluciones utilizadas por las organizaciones para abordar las vulnerabilidades tengan varias cualidades principales.

En primer lugar, las soluciones adecuadas deben ser de bajo impacto para que la prestación de la asistencia sanitaria no se vea afectada. También deben estar orientadas a los resultados para garantizar la mitigación de las vulnerabilidades, así como ser fáciles y rápidas de implementar y también deben incorporar los principios de seguridad desde el diseño, con el objetivo de minimizar la carga de trabajo de los informáticos a la vez que se maximiza la seguridad en todos los sistemas.

A todas estas cualidades, que son cruciales, hay que añadirles el control del acceso remoto, la supervisión de todos los usuarios en el sistema, la aplicación adecuada del principio del mínimo privilegio para evitar la fuga de datos y la agilización de la gestión de los equipos de seguridad.

Como satisfacer todos estos requisitos de ciberseguridad es pedir mucho a un equipo de seguridad que está sobrecargado de trabajo, una solución sólida de gestión de accesos privilegiados (PAM) puede contribuir a lograrlos. Lo cierto es que si se establece un componente de gestión de los accesos los equipos de seguridad pueden obtener una mayor visibilidad y control sobre el acceso privilegiado. De esta forma, los Session Managers pueden definir privilegios para cualquier usuario, garantizando que éste solo pueda ver los sistemas y realizar las tareas para las que está autorizado.

Los equipos de seguridad, además de asignar privilegios, también necesitan visibilidad de la actividad de inicio de sesión y de cualquier acción que los usuarios con privilegios realicen mientras están en el sistema. La visibilidad ayuda a estos equipos a identificar actividades inusuales en la red antes de que se produzca un posible incidente de seguridad.

Asimismo, las organizaciones sanitarias pueden aumentar aún más su seguridad adoptando capacidades de gestión de sesiones automatizadas y en tiempo real. Esto permite que los Session Managers detecten por sí mismos la actividad inapropiada, además de finalizar automáticamente dicha sesión o emitir avisos en tiempo real, para que los administradores puedan examinar dicha actividad inusual más de cerca antes de tomar las medidas necesarias. Es fundamental que las organizaciones sanitarias sean capaces de terminar automáticamente la actividad sospechosa de una sesión o emitir avisos en tiempo real a los equipos de seguridad, ya que estas acciones pueden detener en seco a los actores de amenazas.

Aquellas soluciones PAM que pueden registrar todas las sesiones ofrecen una pista de auditoría para el cumplimiento de la normativa y pueden utilizarse como una herramienta para formar a los empleados. De este modo, el personal sanitario contará con los conocimientos y ayuda necesarios para reconocer si los equipos, como los escáneres de resonancia magnética, han sido actualizados incorrectamente o han sufrido una verdadera avería mecánica.

La educación en materia de ciberriesgos también es clave para superar los retos a los que se enfrentan los profesionales sanitarios. Está demostrado que si la formación es atractiva será eficaz. Además, las organizaciones pueden realizar actividades de grupo y vídeos de simulación para mostrar cómo funcionan las soluciones de ciberseguridad y explicar claramente a qué elementos deben prestar atención.

Aunque evidentemente la principal preocupación de los profesionales de la salud sea proporcionar una atención adecuada a sus pacientes, la educación en materia de ciberseguridad es esencial para toda empresa, especialmente por el hecho de que este sector sigue siendo un objetivo principal para los actores de amenazas. Asimismo, la programación de sesiones de formación breves y periódicas permite que los profesionales repasen sus conocimientos sobre seguridad sin que esto les lleve demasiado tiempo.

Está claro que la tecnología ha ayudado significativamente a las organizaciones sanitarias durante la pandemia, permitiendo que los flujos de trabajo continuasen y que los profesionales sanitarios siguieran trabajando a distancia. Sin embargo, los nuevos sistemas adoptados por las organizaciones sanitarias han creado nuevos riesgos y desafíos: las superficies de ataque se han ido ampliando a medida que los actores de las amenazas vigilaban con atención las redes vulnerables, lo que ha provocado que todo el sector sanitario haya tenido que actuar rápidamente para reforzar sus defensas.

No obstante, las organizaciones sanitarias no pueden disponer de una formación adecuada en materia de ciberseguridad de la noche a la mañana, sobre todo si tienen plantillas muy ocupadas. Por ello es por lo que las soluciones de ciberseguridad, como la gestión de accesos privilegiados, contribuyen a la reducción del creciente riesgo cibernético en el sector sanitario. Estas organizaciones de la salud, al estar equipadas con soluciones seguras y formación periódica en ciberseguridad, pueden recuperarse del COVID-19 y estar totalmente preparadas para operar en un mundo digital.

Contenidos relacionados

febrero 2, 2024

Recursos relacionados

febrero 6, 2024

La guía sobre los principales Vectores de Ataque

febrero 6, 2024

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

La protección de la infraestructura informática sanitaria vulnerable ante los crecientes riesgos cibernéticos

Instituciones académicas en alerta: una guía para mantener las aulas libres de riesgos

Contenidos relacionados

Integración PAM-ITSM: ¿cuáles son las buenas prácticas que deben aplicarse?

La protección de las entidades financieras gracias a las soluciones PAM