La revisión de la directiva de la UE para aumentar la ciberseguridad de las infraestructuras críticas (NIS2) ha puesto aún más de relieve la cuestión de la ciberseguridad en muchos centros sanitarios. Porque se consideran particularmente dignos de protección.
La confidencialidad, la integridad y la disponibilidad de los datos son de importancia central en el sector de la salud. Aquí se documentan procesos y diagnósticos de salud completos, incluidos los planes terapéuticos. Dado que cada brecha de seguridad conlleva el riesgo de que los planes de medicación sean manipulados o la información caiga en manos de terceros, la ciberseguridad es fundamental. Los datos confidenciales son un objetivo muy popular para los delincuentes, como lo demostró el reciente ataque a un hospital en Soest. El desafío del sector: debido al avance de la digitalización, los dispositivos médicos están cada vez más conectados en red y los datos se almacenan y transmiten cada vez más electrónicamente. Esto aumenta la superficie de ataque potencial para los ciberdelincuentes. El legislador está abordando este desarrollo a través de NIS2 aumentando los requisitos de ciberseguridad en las empresas. Ingoschulenberg, director de Ventas de Operaciones Especiales de OT y Seguridad de TI de Axians IT-Security, ofrece cuatro consejos sobre cómo deben proceder los centros sanitarios afectados por la directiva.
Evaluación de ciberseguridad
El inventario de equipos en los hospitales a menudo ha crecido con el tiempo y está cada vez más interconectado. Para aumentar de manera eficiente la seguridad de TI, una evaluación de las precauciones de seguridad existentes es un punto de partida óptimo. Aquí, los expertos comprueban la seguridad del entorno instalado, identifican vulnerabilidades en los dispositivos existentes y qué requisitos de seguridad existen para los dispositivos nuevos. También es crucial determinar qué áreas de la empresa necesitan comunicarse entre sí. Especialmente en los centros sanitarios, a menudo hay máquinas y dispositivos importantes que, por ejemplo, no deberían estar todos acoplados a la misma red. En la evaluación de la ciberseguridad, las organizaciones determinan qué activos son particularmente críticos y vale la pena proteger para priorizarlos en su estrategia de seguridad y protegerlos adecuadamente. Durante la evaluación de seguridad, proveedores de servicios de TIC con experiencia, como Axians, pueden ayudarle a evaluar correctamente el nivel de seguridad de la infraestructura de TI y luego derivar una estrategia de seguridad integral.
Formación en ciberseguridad
El mayor riesgo para la seguridad en la industria de la salud, como en otras industrias, son las personas. Sigue siendo un objetivo popular para los piratas informáticos. Con ataques de phishing bien diseñados, los ciberdelincuentes pueden engañar a los empleados para que proporcionen datos de inicio de sesión o descarguen malware de Internet. La mala voluntad de ayudar (por ejemplo, cuando los empleados conectan memorias USB a su PC de trabajo para descubrir al propietario) suele provocar daños importantes. Cargar teléfonos móviles privados en dispositivos médicos con un puerto USB también supone un riesgo potencial para los centros sanitarios a través de dispositivos comprometidos. Las empresas deberían evitar esto capacitando a todos los empleados para que puedan desarrollar una mejor idea de los riesgos de seguridad. Esto es importante porque los empleados de los centros sanitarios suelen trabajar bajo presión de tiempo y tienen una gran carga de trabajo. Para no ser víctima de ataques de phishing dirigidos en la estresante vida cotidiana, es fundamental una formación periódica en materia de seguridad y sensibilización.
Mejores prácticas de ciberseguridad
Para construir una seguridad cibernética efectiva, las instituciones deben comenzar primero por implementar los fundamentos técnicos. En el sector sanitario, esto incluye la segmentación de la red con firewalls internos. La segmentación de la red permite separar los dispositivos médicos de la red principal. Las máquinas y dispositivos suelen tener sistemas operativos más antiguos cuyas vulnerabilidades no pueden corregirse, de lo contrario perderían su aprobación. Si la recertificación no es una opción, estos dispositivos se pueden bloquear en segmentos de red seguros y la comunicación con estos dispositivos se puede regular y monitorear a través de IPS. La protección básica se puede ampliar continuamente según el principio modular dentro del presupuesto. Dado que el panorama de amenazas se está volviendo cada vez más complejo, es necesario perfeccionar continuamente las medidas preventivas.
Amplíe los conceptos básicos con SOC e ISMS
Las amenazas deben identificarse las 24 horas del día y en tiempo real para poder reaccionar inmediatamente en caso de emergencia. Por este motivo, es recomendable que las instituciones sanitarias como los hospitales establezcan un Centro de Operaciones de Seguridad (SOC). Todos los hilos de seguridad cibernética se reúnen en el SOC: aquí es donde especialistas supervisan la infraestructura de seguridad informática del hospital las 24 horas del día con la última tecnología, los ataques se identifican rápidamente y se inicia la defensa. La experiencia adquirida permite adaptar permanentemente la estrategia de defensa. Los centros de atención médica no tienen que operar un SOC por sí mismos, pero pueden contar con el apoyo de un proveedor de servicios administrados.
Además de los conceptos básicos de seguridad, se recomienda establecer un sistema de gestión de seguridad de la información (SGSI). Este no es un sistema físico, sino un procedimiento definido por lineamientos que permanentemente define, controla, controla, mantiene y mejora continuamente la seguridad de la información en una empresa. Un SGSI se implementa e implementa de forma individual para una empresa.
Aumentar la seguridad gradualmente
Para proteger con éxito a las empresas e instituciones del sector sanitario contra los ciberataques, se necesita algo más que invertir en hardware y software. El objetivo debe ser una estrategia integral de ciberseguridad que pueda implementarse paso a paso. Las organizaciones pueden comenzar primero realizando auditorías de seguridad y luego, en base a esto, introducir soluciones técnicas como firewalls internos y externos, prevención de intrusiones, segmentación de redes, ISMS y SOC. Al mismo tiempo, vale la pena realizar una formación de sensibilización para concienciar a los empleados. Mientras las empresas sigan estas mejores prácticas, aumentarán continuamente la seguridad de sus sistemas y, por tanto, de los datos de los pacientes. Colaborar con socios externos y utilizar servicios gestionados puede ayudar a evitar una tensión adicional en los departamentos de TI de los centros sanitarios.
Más en Axians.com
Acerca de los axianos
El grupo empresarial Axians en Alemania forma parte de la red mundial de marcas de soluciones TIC de VINCI Energies. Con una cartera holística de TIC, el grupo apoya a empresas, municipios e instituciones públicas, operadores de redes y proveedores de servicios en la modernización de sus infraestructuras y soluciones digitales.
Artículos relacionados con el tema