En un mundo cada vez más digitalizado, las instituciones y organizaciones sanitarias ya no solo se enfrentan a riesgos en el ámbito de la salud, también lo hacen en el de la ciberseguridad. Este tipo de amenazas pueden provocar daños a gran escala en los centros sanitarios afectando, en última instancia, a la seguridad de los pacientes. Por eso, se ha convertido en una necesidad apremiante.
Relyens, con su visión integral del riesgo sanitario y ciber, se erige como un aliado estratégico en la tarea de concienciar a todas las partes que forman el órgano de gestión de los centros médicos sobre la necesidad de elaborar un marco de actuación común que vele por la seguridad de los sistemas.
Evaluación y valoración
Uno de los mayores desafíos en la gestión de riesgos cibernéticos en el ámbito sanitario es la evaluación precisa de los riesgos en sí mismos. La complejidad de las infraestructuras tecnológicas y la evolución constante de las amenazas cibernéticas dificultan la identificación y valoración de los riesgos.
Además, la falta de comprensión en profundidad por parte de los directivos y responsables de la Dirección General y del departamento financiero de las amenazas cibernéticas puede llevar a subestimar la importancia de la ciberseguridad.
Cuando se estudia la gestión de riesgos en la Dirección de las organizaciones, se tienen en cuenta diferentes conceptos de riesgos: financiero, legal, estratégico, reputacional y operativo. De hecho, esto conceptos se evalúan en caso de una due diligence.
Las pérdidas por un ciberataque pueden implicar incluso la pérdida de vidas
Aunque las compañías sanitarias están inmersas en procesos de digitalización que los llevan a afianzar sus servicios sobre tecnologías interconectadas, aún vemos que los riesgos derivados de la ciberseguridad siguen como un apartado dentro de los peligros tecnológicos que, a su vez, forman parte de los riesgos operacionales.
Consideraciones técnicas aparte, esta organización de los riesgos nos da una idea de la poca apreciación que hay por parte de la Alta Dirección de cómo la ciberseguridad puede afectar al negocio. Actualmente, las pérdidas por un ciberataque pueden afectar a una organización de una forma tan grave como cualquiera de los riesgos mencionados, pudiendo implicar su cierre e, incluso, la pérdida de vidas.
Papel de la ciberseguridad
Sin embargo, desde el sector de la ciberseguridad también debemos hacer nuestra tarea. Si la Dirección tiene que incluir la ciberseguridad en la gestión de los riesgos corporativos al mismo nivel que los riesgos financieros o estratégicos, debemos proporcionar una medida de estos riesgos con una visión de negocio. Es decir, cómo se ven afectados los servicios y qué pérdidas tengo que afrontar ante los diferentes escenarios analizados.
Si consideramos a la tecnología como una herramienta para la prestación de un mejor servicio sanitario, la interrupción o mal funcionamiento de esta generará un impacto en el servicio que podremos traducir en un valor económico: descenso de la facturación, servicios no prestados con un valor unitario, sanciones por pérdida de confidencialidad de datos, costes de recuperación del servicio, etcétera. Con la construcción de un modelo de gestión de riesgo cíber que se sustente en los servicios prestados y no en los componentes tecnológicos se podrá elevar la visión de este tipo de peligro a la dirección con datos válidos para integrarlos en la estructura de riesgos corporativos.
En este contexto, desde Relyens proporcionamos a nuestros clientes herramientas y conocimientos especializados para evaluar y gestionar los riesgos cibernéticos de manera más efectiva.
Gestión del riesgo
Por supuesto, cuando hablamos de tecnología en un centro sanitario, no hablamos solo del responsable de TI o el CISO. De hecho, estas figuras están ocupadas en que los sistemas tengan conexión y funcionen adecuadamente, pero hay otras áreas que toman decisiones sobre tecnologías conectadas con un fuerte peso sobre la ciberseguridad: Direcciones médicas y de electromedicina, infraestructuras del hospital, servicios para el paciente, tratamiento de datos personales, etc. En este contexto, es imprescindible la colaboración de todos estos roles para el análisis del riesgo y su control.
Esta colaboración es un desafío complejo que requiere una gobernanza sólida y una estrecha coordinación entre los diferentes roles dentro de las organizaciones sanitarias, de manera que no dependa solo del equipo de ciberseguridad la aplicación de las medidas necesarias. El CISO debe tener las herramientas y recursos para orquestar una respuesta que afecta a toda la organización y eso pasa por el reconocimiento de la gestión del riesgo ciber como un aliado para asegurar la rentabilidad de las inversiones de digitalización.
En primer lugar, la Dirección General tiene la responsabilidad de establecer una serie de políticas y estrategias de seguridad cibernética que marquen el camino a seguir para el resto de las áreas y profesionales que trabajan diariamente en favor del bienestar de los pacientes.
Por su parte, los responsables financieros deben ser conscientes de la realidad e importancia que tiene la ciberseguridad en la coyuntura actual y, así, asignar los recursos necesarios e implementar estas medidas que reduzcan el número de ataques y su peligrosidad.
Finalmente, el resto de los responsables y usuarios debe conocer cómo afectan sus decisiones a la ciberseguridad global y que responsabilidad debe coordinar con el CISO de la organización.
Comunicación en ciberseguridad
Como conclusión, uno de los grandes objetivos pendientes es enseñar a comunicar la importancia de la ciberseguridad a todas las partes implicadas, incluidas aquellas que no están directamente involucradas en la ciberseguridad. Una forma efectiva de lograr esto es traducir el riesgo a una valoración económica. Esto se traduce en cuantificar el impacto financiero potencial de un incidente de ciberseguridad, incluidos los costos de recuperación, las multas regulatorias y la pérdida de ingresos.
Esta valoración económica del riesgo sirve como un argumento persuasivo para obtener el apoyo de los directivos y responsables financieros en la asignación de recursos adecuados a la ciberseguridad y lograr que remen todas en la misma dirección.