Francisco Larez*
La relación entre el sector Salud y la ciberseguridad se ha estrechado.
Desde 2020, la necesidad de una salud más digital pasó a ocupar un lugar cada vez más importante en América Latina —y en el resto del mundo— a partir de la búsqueda de soluciones eficaces para enfrentar la pandemia de Covid-19.
Según un estudio del MIT Technology Review llamado La transformación en el sector salud en Latinoamérica, realizado a partir de 30 entrevistas a más de 70 empresas, 60% de las compañías afirma que más de la mitad de sus clientes ya hacen uso de medios digitales en el sector.
A partir de esta realidad, las compañías de la industria tienen que redoblar los esfuerzos en materia de tecnología: los archivos de salud son una mina de oro para el ciberdelincuente.
Asegurar documentos es una tarea esencial, ya que la información se encuentra mayoritariamente en archivos que, de no estar protegidos, pueden llevar no solo a la exposición de datos sensibles de clientes, sino también a multas y problemas legales y de reputación muy costosos.
Los retos de la seguridad tecnológica para la salud son tan altos que se necesita diferentes estrategias para superarlos. En el día a día de las clínicas, hospitales y laboratorios, el punto más determinante sigue siendo la protección de los datos de los pacientes, que circulan constantemente entre diferentes profesionales.
El correo electrónico, un agujero para filtraciones
Otro punto de atención en Salud para la ciberseguridad es que los correos electrónicos pueden ser agujeros para filtraciones.
Si bien muchas empresas aún confían en esta herramienta para compartir información —adjuntar un archivo es algo que todos pueden hacer—, esta práctica puede ser riesgosa cuando se trata de enviar documentos confidenciales.
Además de los riesgos operativos (que los archivos sean interceptados, enviados al destinatario equivocado o incluso a un grupo de distribución completo), el correo electrónico no está diseñado para transferir archivos grandes.
Muchos servicios limitan el tamaño de los archivos adjuntos a 10 MB o menos. La capacidad disponible es insuficiente para transportar formatos como video, audio e imágenes.
En el mismo sentido, la transferencia de archivos grandes a través de servidores de correo electrónico genera problemas de rendimiento que afectan la confiabilidad y la entrega de los documentos.
Tener muchas copias de adjuntos grandes consume espacio y crea problemas de administración de almacenamiento. Como resultado, el departamento IT pierde visibilidad de las ubicaciones de los archivos, lo que puede ser un problema durante las auditorías.
Alternativamente, las soluciones de transferencia de archivos (FTP) son mejores que el correo electrónico, pero tienen límites que también comprometen las operaciones.
El principal desafío es la falta de un método automático de cifrado de archivos en reposo. A esto se suma el hecho de que las soluciones FTP, basadas en procesos manuales sin medios nativos de automatización e integración con los procesos de negocio, no son escalables.
Por último, los archivos almacenados en un servidor FTP permanecen allí para siempre o hasta que alguien los elimine.
¿Cómo formar un CISO al interior de su equipo? Y evitar la búsqueda en el mercado
Leyes de privacidad y secuestro de datos
Es fundamental señalar que las filtraciones en el sector de la salud en diferentes países pueden costar más de $9 millones de dólares por incidente, según datos de IBM/Ponemon, publicados en Beckers Hospital Review. Es la cifra más alta en comparación con cualquier industria.
Según el estudio, en casi la mitad (44 %) de los incidentes se expusieron datos personales de los clientes, incluida información de salud, nombres, correos electrónicos y contraseñas.
Entre los datos sensibles que se deben proteger están: recordatorios de citas, big data (imágenes médicas, por ejemplo), información de facturación y pago, informes de cumplimiento normativo, entre otros.
Las leyes de privacidad de datos también son un desafío que enfrentan los profesionales IT y seguridad, ya que pueden incluir multas muy costosas en diferentes países. Las empresas deben ser conscientes de los principales desafíos, entre los que figuran:
- Autenticación: verificar que los usuarios son quienes dicen ser.
- Control de acceso: que no se permita el acceso a los datos sin la debida autorización.
- Seguridad en la transmisión y almacenamiento: incluir encriptación en las transmisiones de datos y en reposo.
- Integridad: que la información de salud protegida no se altere sin permiso o detección.
- Control de auditoría: visibilidad completa de las transferencias de archivos.
No confiar, la clave en Salud para la ciberseguridad
Todos estos problemas se pueden controlar al asegurarse que los datos se cifren durante la transmisión y almacenamiento, que se detecten los cambios en el archivo y que el traqueo de auditoría muestre todo lo que le sucedió a un archivo durante el proceso de movimiento.
Entre las estrategias de protección de datos más efectivas, muchos profesionales IT adoptan el concepto de Zero Trust, lo que significa que la mejor manera de proteger todos los datos y activos es no confiar en nada hasta que se demuestre que las áreas de la red son confiables.
En la política de confianza cero, los documentos necesitan un alto nivel de protección y no se confía en nadie sin un permiso explícito y una autenticación validada.
Según Microsoft, este modelo asume el riesgo de incumplimiento y verifica cada solicitud como si se originara desde una red abierta. Independientemente de dónde proviene el pedido, Zero Trust implica “nunca confiar y siempre verificar”.
Una clave para hacer cumplir esta política es garantizar una sólida gestión y protección de la identidad, principalmente a través de la autenticación, que debe aplicarse en todo el entorno, limitando los derechos de los usuarios solo a lo que es absolutamente necesario. Es decir, solo podrán acceder quienes necesiten abrir, transferir o recibir un archivo.
Primero el paciente
En la actualidad, la tecnología es la encargada de conectar a todos los actores. Por lo tanto, en el sector salud, medidas de ciberseguridad eficientes son indispensables para garantizar la integridad de los procesos.
La adopción de políticas de control de acceso a la información ayuda a mantener la seguridad y la privacidad de los datos críticos, aprovecha las bondades de la salud digital y contribuye a ampliar el alcance de la atención.
En este contexto, el mayor beneficiado debe ser siempre el paciente, y el objetivo es mantener siempre la seguridad de sus datos.