- Las organizaciones sanitarias deben gestionar la ciberseguridad desde una doble perspectiva: operativa y normativa.
- La conciencia y formación en ciberseguridad de los profesionales del sector salud es crucial para reducir el riesgo de vulnerabilidades.
- Los protocolos de seguridad incluyen medidas técnicas, como el bloqueo de puertos USB, y procedimientos normativos, como el cumplimiento del RGPD y el Esquema Nacional de Seguridad.
- Los hospitales deben mantener un control riguroso de los proveedores externos y de los nuevos equipos que se conecten a sus redes.
Ciberseguridad operativa en entornos hospitalarios
La ciberseguridad en hospitales implica el control exhaustivo de un amplio ecosistema de tecnología, que abarca redes, sistemas, bases de datos y aplicaciones. Según los expertos, la seguridad operativa en estos centros requiere no solo de herramientas como antivirus, firewalls y sistemas antimalware, sino también de una vigilancia constante sobre los más de miles de dispositivos y conexiones que conforman la red de un hospital. Este desafío se ha intensificado con el auge de las conexiones remotas, permitiendo que proveedores externos accedan a las redes hospitalarias para gestionar equipos de forma proactiva. Sin embargo, estas conexiones remotas pueden representar una puerta de entrada para posibles amenazas si no se gestionan adecuadamente.
Además, los hospitales deben implementar políticas de seguridad operativa alineadas con los estándares del sector. Esto incluye, por ejemplo, la deshabilitación de puertos USB y puntos de red no utilizados, el uso de contraseñas complejas y el acceso exclusivo a correos corporativos. Estas medidas se refuerzan explicando a los profesionales su importancia y mostrando resultados concretos, como la reducción de alertas de seguridad. Según datos internos, al implementar la desactivación de puertos USB, un hospital pasó de recibir 120 alertas de amenazas al mes a solo 14, un indicativo de la eficacia de estas políticas.
Cumplimiento normativo en ciberseguridad
La seguridad operativa en los hospitales debe complementarse con el cumplimiento de la normativa vigente en protección de datos y ciberseguridad. Las organizaciones sanitarias deben respetar leyes y reglamentos específicos, como el Reglamento General de Protección de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) y la Ley de Protección de Datos Personales y Garantía de Derechos Digitales. Además, están sujetas a la Ley de Autonomía del Paciente, que regula los derechos de los pacientes en cuanto a la información y documentación clínica.
Más allá de la normativa ya vigente, los hospitales deben adaptarse a nuevas regulaciones que afectan a la tecnología, como el Reglamento Europeo de Inteligencia Artificial. Cada vez que se introduce un nuevo sistema de información o equipo conectado a la red, es esencial realizar un análisis de viabilidad desde una perspectiva de seguridad, evaluando su adecuación a los estándares operativos y legales de la organización.
La importancia de la conciencia de seguridad en el personal sanitario
El factor humano sigue siendo uno de los mayores retos en la ciberseguridad hospitalaria. Los profesionales sanitarios deben comprender las implicaciones de la ciberseguridad en su trabajo diario, aplicando medidas como el uso de contraseñas seguras y la identificación de correos electrónicos sospechosos. La formación constante en ciberseguridad es fundamental para que el personal entienda y apoye las medidas de protección implementadas.
Gestión de proveedores y equipos externos
Los hospitales deben llevar un registro exhaustivo de todos los proveedores que tengan acceso a sus sistemas. En caso de una brecha de seguridad, la rapidez en la respuesta depende de un conocimiento detallado de los proveedores y de los equipos externos conectados a la red. Aunque los proveedores suelen notificar incidentes de seguridad por protocolo, la gestión proactiva de estos posibles riesgos es vital para mitigar vulnerabilidades.
Medidas operativas y normativas
La ciberseguridad en el sector sanitario requiere de una estrategia integral que combine medidas operativas y normativas, así como la participación activa de todos los miembros del equipo. Aunque ninguna medida garantiza una protección absoluta, el cumplimiento de protocolos rigurosos y la adaptación a nuevas regulaciones ayudan a minimizar los riesgos. Los hospitales deben estar siempre alerta y dispuestos a mejorar sus prácticas para afrontar un entorno de ciberamenazas en constante evolución.
