La concienciación sobre la ciberseguridad es una cuestión empresarial fundamental para todas las organizaciones. Sin embargo, es sencillamente esencial en el sector sanitario, donde los datos son especialmente sensibles.
Los grandes volúmenes de datos confidenciales, combinados con sistemas de seguridad a menudo vulnerables, y una extensa red de dispositivos médicos conectados hacen del sector sanitario un objetivo principal para los ciberdelincuentes.
El sector de la sanidad es uno de los más expuestos, plagado de un sinfín de problemas relacionados con la ciberseguridad, como incidentes de seguridad, violaciones de la organización y robos de datos procedentes de fuentes internas y externas.
La ciberseguridad sanitaria en estado crítico
El año pasado, las filtraciones de datos y los ataques de ransomware costaron a los proveedores sanitarios unos 4.000 millones de dólares. De hecho, el 67 % de las organizaciones sanitarias han sufrido un incidente de ciberseguridad en los últimos doce meses.
Quizás el incidente más infame ocurrió en 2017, cuando un devastador ciberataque global paralizó los ordenadores de hospitales de todo el Reino Unido. El impacto del ciberataque WannaCry fue considerable, ya que el incidente cibernético interrumpió los servicios en un tercio de los hospitales y alrededor del 8% de las consultas médicas. El coste total estimado del restablecimiento de los sistemas afectados ascendió a 92 millones de libras, según el Ministerio de Sanidad y Asistencia Social.
Más recientemente, los proveedores de asistencia sanitaria y las organizaciones de investigación médica han experimentado un aumento de los ataques de phishing relacionados con la actual crisis del Covid-19. El Hospital Universitario de Brno, en la República Checa, que es uno de los centros de pruebas de Covid-19 del país, sufrió un ataque de ransomware que obligó a posponer todas las intervenciones quirúrgicas.
En medio de un fuerte aumento de los ataques de phishing relacionados con el coronavirus en todo el mundo, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) también sufrió un ataque de denegación de servicio distribuido (DDoS), que pretendía interrumpir la respuesta de la organización a la pandemia de Covid-19.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de los Estados Unidos (CISA) han informado de una serie de ataques contra organismos médicos, especialmente los que han participado en la respuesta a la pandemia.
Preocupación por la ciberseguridad en el sector sanitario
Está claro que los piratas informáticos seguirán lanzando ciberataques contra el sector sanitario mientras puedan obtener beneficios, ya sea vendiendo datos robados de pacientes o reteniendo los sistemas sanitarios como rehenes hasta que se cumplan las exigencias de los delincuentes.
El sector sanitario ha experimentado un importante cambio en los últimos años con la adaptación de las nuevas tecnologías para facilitar la integración de datos, la participación de los pacientes y el apoyo clínico.
Esta transición de los métodos tradicionales basados en el papel conlleva una gran cantidad de oportunidades para los ciberdelincuentes, como los programas maliciosos que comprometen la privacidad de los datos de los pacientes o los ataques de denegación de servicio distribuidos (DDoS) que interrumpen la capacidad de prestar atención a los pacientes.
Sin embargo, las organizaciones suelen estar demasiado preocupadas por defenderse de las amenazas externas como para abordar los riesgos, muy reales y peligrosos, que pueden existir en sus propias filas.
La amenaza de la información privilegiada
Con una gran cantidad de información sanitaria protegida (PHI) y altamente confidencial al alcance de la mano, el personal sanitario tiene acceso a grandes volúmenes de datos de pacientes que deben estar accesibles para el personal, tanto in situ como a distancia, y en múltiples dispositivos.
Se sabe que los ciberdelincuentes atacan el punto más débil de las defensas de una organización y, con demasiada frecuencia, se trata de sus empleados. El año pasado, la Oficina del Comisionado de Información del Reino Unido (ICO) reveló que el error humano era la causa del 90% de las violaciones de datos cibernéticos.
En última instancia, los trabajadores sanitarios son los guardianes de los datos y las ciberamenazas suponen ahora un importante problema de salud pública.
Para mitigar el riesgo, la concienciación sobre la seguridad debe convertirse en una parte integral de la estrategia global de seguridad del sector sanitario para prevenir posibles ciberataques.
La prevención por encima de la prescripción
A medida que los ciberataques se vuelven más sofisticados y selectivos que nunca, la concienciación sobre la ciberseguridad en el sector sanitario es el arma más poderosa contra estas amenazas y técnicas en continua evolución. A pesar de contar con múltiples capas de seguridad, la concienciación sobre la ciberseguridad sigue siendo un reto clave para muchas organizaciones. A menudo se adopta un enfoque ad hoc, pero es importante reconocer que la concienciación cibernética es algo más que la simulación del phishing.
Para cambiar realmente los comportamientos de ciberseguridad, las organizaciones deben comprometerse con un programa de concienciación sobre ciberseguridad que permita al personal reconocer y aceptar el importante papel que desempeñan en la protección de los datos sensibles de la organización.
Dado que el sector sanitario es cada vez más propenso a sufrir ciberataques malintencionados, la clave para mejorar la concienciación en materia de ciberseguridad en este sector es poner en marcha una campaña de concienciación cibernética eficaz y crear una cultura de concienciación cibernética.
Implementación de una campaña efectiva de concienciación cibernética
- Empezar con el liderazgo del director general
La ciberseguridad es responsabilidad de todos, pero las organizaciones resistentes tienen un fuerte liderazgo del director general. Si el director general se toma en serio la ciberseguridad, esto se extenderá a toda la organización y ayudará a crear una cultura de mayor concienciación sobre la ciberseguridad.
- Conozca las tolerancias de su organización
Dedicar tiempo a identificar adecuadamente los riesgos puede ayudar a dar forma a los mensajes, la entrega y la orientación efectiva de su programa de concienciación sobre ciberseguridad.
- Defienda sus activos de información
Debe determinar cuáles son sus activos de información más valiosos, dónde se encuentran y quién tiene acceso a ellos. Cada activo debe clasificarse (por ejemplo, público, privado o confidencial) y protegerse en función de su valor. Hacerlo es crucial a la hora de identificar los riesgos y priorizar las áreas que hay que defender.
- Centrarse en los grupos de alto riesgo
La clave de un programa eficaz de concienciación en materia de seguridad es garantizar que se imparte la formación adecuada a las personas adecuadas. Todos los usuarios son susceptibles de sufrir ciberamenazas; sin embargo, algunos empleados tienen un perfil de amenaza más elevado que otros. Por ejemplo, los departamentos de RR.HH. y Finanzas serán blanco frecuente de amenazas de phishing debido a su acceso privilegiado a datos valiosos.
- Hazlo atractivo con una narración eficaz
Contar historias es una de las formas más poderosas de dar vida a su campaña de concienciación sobre ciberseguridad. Hay que admitir que la ciberseguridad puede ser un tema árido, pero es fundamental encontrar formas de involucrar al personal si se quiere influir positivamente en el comportamiento de la organización. El mensaje es demasiado importante para que se pierda en las comunicaciones corporativas formales.
- Ponga al día la gestión de su política
Las políticas son cruciales para establecer los límites del comportamiento de las personas, los procesos, las relaciones y las transacciones dentro de su organización. Proporcionan un marco de gobernanza, identifican el riesgo y ayudan a definir el cumplimiento, lo cual es importante en el panorama normativo actual, cada vez más complejo.
- Comience a prepararse para una filtración de datos ahora
Ya no es cuestión de "si" su organización va a ser atacada, sino de "cuándo". Hay que empezar a prepararse para lo inevitable y poner en marcha un plan que garantice una actuación adecuada y oportuna cuando la seguridad sea vulnerada.
- Reclutar a los campeones de la ciberseguridad
El nombramiento de campeones de ciberseguridad es una buena manera de capacitar al personal y dotarlo de las habilidades necesarias para prevenir un ciberataque.
- Considere su cadena de suministro
Cada proveedor y tercero que se conecta a su empresa es un riesgo potencial, por lo que es vital que lleve a cabo evaluaciones detalladas de los riesgos de terceros para abordar cualquier problema que pueda suponer una amenaza para su seguridad. De este modo, podrá determinar qué medidas de seguridad deben aplicarse para proteger sus datos.
- Aplicar una supervisión adecuada y revisiones periódicas
El panorama de las amenazas evoluciona continuamente, por lo que su programa de concienciación sobre ciberseguridad debe evolucionar con él. Es importante llevar a cabo revisiones periódicas de la preparación del personal para identificar áreas de debilidad y establecer si las políticas y la formación actuales necesitan ser actualizadas.
Crear una plantilla más consciente de la seguridad
Cyber Security Awareness for Dummies es un recurso indispensable para implementar un cambio de comportamiento y crear una cultura de conciencia cibernética.
En esta guía, aprenderá:
- Qué significa la concienciación sobre la ciberseguridad para su organización
- Cómo llevar a cabo una campaña de concienciación sobre los ciberriesgos
- El papel fundamental de las políticas para establecer líneas de base seguras
- Cómo mantener el impulso y el compromiso del personal
- 10 mejores prácticas de concienciación sobre ciberseguridad
Haga clic aquí para solicitar su copia gratuita de Cyber Security Awareness for Dummies.