Ciberseguridad en el sector de salud: Cómo proteger la información

El sector de la salud ha estado bajo creciente ataque de los ciberdelincuentes con una variedad de tácticas y motivaciones. De hecho, los ataques cibernéticos dirigidos a los proveedores de atención médica aumentaron un 63 por ciento en 2016. El aumento de la atención que los ciberdelincuentes están dando al sector de salud no es sorprendente. La información de salud protegida y otra información de identificación personal de sus pacientes que las empresas de atención médica almacenan es exactamente el tipo de datos que se monetizan fácilmente.

Una vez que los ciberdelincuentes se infiltran en las redes de empresas de atención médica y obtienen los datos de los pacientes, pueden venderlos en la web oscura con fines de robo de identidad, fraude fiscal y más. Del mismo modo, los cibercriminales apuntan a los proveedores de servicios de salud con ataques de tipo ransomware, creyendo que tendrán más probabilidades de obtener un rescate por restaurar los datos críticos, y potencialmente salvadores, que han sido bloqueados.

Las pequeñas y medianas empresas de salud son especialmente vulnerables. Estas organizaciones necesitan una manera rentable de priorizar su protocolo de ciberseguridad porque, además de proteger la información de los pacientes, recientes estudios muestran que el 60 por ciento de las PyMEs que sufrieron un ciberataque debieron cerrar sus puertas en los seis meses siguientes al hecho.

¿Por qué las PyMEs del sector salud son vulnerables?
Hay tres factores principales que están aumentado la susceptibilidad de las PyMES de la práctica médica a ataques cibernéticos.

  1. Las PyMEs tienden a caer en la trampa de pensar que son demasiado pequeñas para ser blanco de los ciberdelincuentes. Sin embargo, pensar de esta manera es un grave error. Los ciberdelincuentes se preocupan menos de lo grande que es su objetivo y más acerca de los datos que poseen y el tiempo y esfuerzo que tomará conseguirlos. Las PyMEs tienen la misma información de los pacientes que las grandes empresas, solo en una escala menor.
  2. Las PyMEs también se enfrentan al reto de los limitados recursos de TI. En la actualidad existe una notable escasez de profesionales experimentados en ciberseguridad, lo que significa que las organizaciones más pequeñas normalmente no tienen el personal de TI necesario para detectar y responder a las amenazas sofisticadas de hoy en día de manera oportuna y mucho menos para desplegar el tipo de seguridad de clase empresarial que a menudo se requiere para repeler tales ataques.
  3. Los proveedores de salud están aumentando el nivel de atención que prestan utilizando información clave de los pacientes a través del Internet de las Cosas Médicas (IoMT). Si bien esto es bueno para los médicos y pacientes, el aumento del número de dispositivos de terceros que acceden a la red, especialmente aquellos que no están diseñados pensando en la seguridad, también significa un panorama de amenazas más amplio.

En una encuesta reciente, el 55 por ciento de las PyMEs consultadas dijo que experimentó un ciberataque en el último año, mientras que sólo el 14 por ciento dijo que sentía que su empresa eran muy eficaz para mitigar estos riesgos.

Para estar mejor preparadas, las PyMEs del sector de salud deben adoptar las mejores prácticas de ciberseguridad como permitir solo el acceso del personal necesario a la información de alto riesgo, realizar copias de seguridad periódicas de datos y segmentar sus redes privadas y las de invitados. Además, deben garantizar que sus empleados sean educados eficazmente en las mejores prácticas de ciberseguridad y en los vectores de ataque más comunes. Por ejemplo, las amenazas tales como el ransomware se diseminan a menudo a través de archivos maliciosos que llegan como adjuntos en correos electrónicos. Este conocimiento hará que los empleados piensen dos veces antes de abrir un archivo adjunto de un remitente desconocido.

La falta de una verdadera cultura de ciberseguridad, la creciente adopción de dispositivos IoMT y sistemas de red distribuidos, y la brecha de habilidades de ciberseguridad, combinada con la naturaleza oportunista de los ciberataques actuales, han creado una tormenta perfecta para las PyMEs del sector de salud. Con el fin de proteger la información de los pacientes y su negocio, es necesario combinar herramientas de seguridad rentables y altamente efectivas con las mejores prácticas de ciberseguridad tanto a nivel de TI como de los empleados. Un personal bien informado junto con un programa robusto y automatizado de ciberseguridad y control de amenazas, ajustado al tamaño del negocio PyME, reducirá el impacto de los ciberataques a partir de la prevención y la detección temprana.

Por: Susan Biddle