Recomendaciones de la Agencia Europea de Ciberseguridad ante incidentes de seguridad en el sector sanitario






            serie de dispositivos esté estrechamente interconectada   -   Falta de conciencia de seguridad. Hay poca con-
            no hace sino incrementar el problema y el impacto po-  ciencia sobre los riesgos cibernéticos en el sector
            tencial de las amenazas. Al mismo tiempo, los profesio-  de la salud y su impacto potencial en la organización
            nales sanitarios suelen eludir la seguridad para ofrecer   hospitalaria. En general, los profesionales de la salud
            una mejor atención a los pacientes.                    no son conscientes de las consecuencias de conduc-
                                                                   tas de riesgo, motivadas por la falta de políticas de
            En esta línea, algunos problemas recurrentes son las   refuerzo de protocolos de seguridad .
                                                                                                  18
            configuraciones de encriptación inadecuadas, y la inca-
            pacidad para compartir e intercambiar información de   -   Sistemas de funcionamiento ininterrumpido. En
            salud segura con terceros y socios transfronterizos (no   el sector sanitario es difícil aplicar determinados
            existen herramientas sofisticadas de seguridad de datos   procedimientos de ciberseguridad en tiempo real,
            en el sector sanitario).                               sin apagado de los sistemas y de los equipos. Por
                                                                   ejemplo, pocas infraestructuras informáticas sanita-
                                                                   rias podrían desconectarse sin afectar el cuidado o,
            ¡  La complejidad organizativa se une a la notifica-   incluso la vida de los pacientes y, por tanto, al funcio-
            ción de incidentes. En estrecha relación con el aparta-  namiento real de los hospitales o centros sanitarios.
            do anterior, la complejidad organizativa supone un reto
            para la ciberseguridad de los proveedores sanitarios. La
            amplia cadena de suministro del sector sanitario impli-
            ca a muchas partes interesadas, lo que puede provocar   B.   Desafíos de los equipos de respuesta
            efectos en cascada en medio de una situación crítica.          a incidentes de seguridad informática.
            Concretamente,  los  nichos  organizativos,  así  como  las
            disparidades entre los miembros del hospital son riesgos   Dentro de este panorama, los equipos CSIRT de Salud
            recurrentes.                                        consultados para el estudio destacaron que los principa-
                                                                les desafíos que se enfrentan cuando se colabora con
            Además, la coordinación de la respuesta a un incidente   OES en el sector de la salud suelen ser los siguientes,
            se ve muy afectada por esta complejidad. En el curso de   por orden de importancia:
            un incidente, los planes de respuesta demasiado com-
            plicados, que involucran a muchas partes interesadas   -   Falta de cultura de seguridad entre los operadores de
            etc. retrasan la eficacia del procedimiento, ya que cada   servicios esenciales.
            miembro del equipo no siempre es consciente de su pa-
            pel en el proceso. Como resultado, el sector sanitario   -   La gestión y la seguridad de la infraestructura infor-
            corre el riesgo de que transcurra mucho tiempo entre un   mática de los operadores de servicios esenciales.
            ataque, detección y respuesta.
                                                                -   Falta de herramientas y canales de cooperación esta-
            -   Intercambio de información. El estudio ha puesto   blecidos con operadores de servicios de equipos de
               de manifiesto la falta de intercambio de información   respuesta a incidentes.
               y buenas prácticas a nivel sectorial sanitario y entre
               países .                                         -   Falta soporte de cobertura de incidencias 24/7.
                     17

            -   Falta de experiencia. Hay una falta de expertos lo   -   Cuestiones de recursos o experiencia.
               suficientemente calificados en el sector sanitario.
               El equipo adquirido por los hospitales no protegerá   La conclusión es que todos los desafíos enumerados por
               de un operador de ataques cibernéticos si se usa de   los equipos CSIRT de Salud consultados están estrecha-
               manera inadecuada o el personal no ha sido capaci-  mente relacionados con los desafíos que tienen las pro-
               tado adecuadamente.                              pias OES.








            17  Cabe mencionar de nuevo el H-ISAC, que facilita la transferencia de conocimientos en todo el mundo a través de cumbres educativas, seminarios electrónicos, talleres
            y conferencias, apoyando así el intercambio de información y la creación de relaciones que puedan contribuir a que el sector sanitario sea más resistente y proactivo frente
            a futuros ciberataques.
            18  Esto lo ha demostrado la reciente pandemia por COVID. Necesariamente la digitalización aumentó en el sector de la atención sanitaria que no se acompañó con un
            aumento en procedimientos técnicos relacionados con la ciberseguridad. El estudio concluye que la falta de conciencia es en parte debido a una inadecuada comunicación
            de riesgos por parte de la dirección de los hospitales.


                                                                                                              131