Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

190 REVISTA AUDITORÍA PÚBLICA / 81 La doctrina ha señalado como principales vulnerabilidades a las que se enfrenta el sector sanitario las siguientes: a) Dispositivos heredados o anticuados que ejecutan softwa- re o sistemas operativos obsoletos. Las preocupaciones sobre el presupuesto, los recursos y las operaciones a menudo pueden impedir la práctica de reemplazar software y dispositivos antes de que lleguen al final de su vida útil, dejándolos más susceptibles a un ataque. b) Las vías más fáciles para los atacantes se encuentran en la gestión integrada del edificio, la seguridad física y los dispositivos clínicos. Estos dispositivos a menudo están fuera del control de TI, o se pasan por alto, y pueden permanecer sin parches durante años, proporcionando un punto de entrada potencial para actores hostiles. c) Las redes de atención médica a menudo están diseñadas para minimizar los costes y maximizar la eficiencia, creando redes planas que son objetivos fáciles para los atacantes. Todo lo demás queda en segundo plano, a menudo incluyendo la ciberseguridad. d) Las organizaciones sanitarias están centradas en su misión principal: salvar vidas y ayudar a los pacientes, y los riesgos de ciberseguridad no están siempre contemplados. Todo lo demás queda en segundo plano. Hay muy poca tolerancia para la instalación de parches que pueden causar conflictos con el software patentado de dispositivos médicos. e) Algunas organizaciones sanitarias aprovechan proveedo- res externos para administrar y ejecutar sus sistemas, lo que puede introducir una cantidad significativa de riesgo. En lugar de atacar directamente a organizaciones grandes y bien financiadas con capacidades cibernéticas avanzadas, los actores hostiles a menudo intentan comprometer a un proveedor externo más pequeño que tiene acceso a la organización objetivo, evitando de manera efectiva todos los controles de seguridad de la entidad más grande y proporcionando acceso directo a sus redes. f) La excesiva descentralización de algunos centros sanitarios puede hacer que sea mucho más difícil priorizar las inversiones en seguridad cibernética, A. Protección hardware En primer lugar, hay que tener en cuenta que los dispositivos móviles (portátiles, tabletas, teléfonos inteligentes, medios de almacenamiento portátiles) pueden presentan amenazas a la privacidad y seguridad de la información por: movilidad (estos dispositivos son fáciles de perder y vulnerables al robo), falta de control (no todos los dispositivos móviles están equipados con fuertes controles de autenticación y acceso) y a menudo se utilizan para transmitir y recibir datos de forma inalámbrica. Estas comunicaciones inalámbricas deben estar protegidas contra escuchas e intercepción. En segundo lugar, para minimizar el riesgo para la información electrónica de salud al configurar de manera efectiva los dispositivos, son importantes los controles de acceso. La contraseña, sin embargo, es solo la mitad de lo que constituye las credenciales de un usuario de ordenador. La otra mitad es la identidad del usuario o nombre de usuario. Estas credenciales (nombre de usuario y contraseña) se utilizan como parte de un sistema de control de acceso en el que los usuarios tienen determinados derechos para acceder a los datos dentro. De ahí que la configuración de los dispositivos para conceder acceso electrónico a la información de salud solo se a las personas autorizadas. En tercer lugar, debido a la sensibilidad de la información de atención médica y al hecho de que debe estar especialmente protegida, se deben utilizar herramientas que permitan a personas externas obtener acceso a la red de consultorios de atención médica con extrema precaución. La información de salud electrónica que fluye por la red inalámbrica debe estar protegida, es crucial asegurar la señal inalámbrica para que solo aquellos a quienes se les permite acceder a la información pueden captar la señal. Los enrutadores inalámbricos deben ser configurados para operar solo en modo encriptado.Y también es importante usar una VPN para proteger la conexión. B. Protección del software La mayoría del software requiere actualizaciones periódicas para mantenerlo seguro y agregar funciones. Mantener el software actualizado es fundamental para mantener un sistema seguro, ya que muchas de estas actualizaciones corrigen vulnerabilidades encontradas en el producto. A modo de ejemplo: se debe tener en cuenta que las cuentas de usuario de los ex empleados están deshabilitadas de manera adecuada y oportuna; que los ordenadores y cualquier otro dispositivo, como discos duros, que tengan datos almacenados en ellos deben «limpiarse» antes de tirarlos; los archivos de datos antiguos se archivan para almacenamiento si es necesario, o se limpian del sistema si no son necesarios. El software que ya no se necesita debe desinstalarse completamente. Algunas medidas tradicionales de protección eficaces contra los ataques son: instalar un firewall y antivirus para proteger contra intrusiones y amenazas de fuentes externas. Mientras el antivirus ayudará a encontrar y destruir el softwaremalicioso