1 107 Table of Contents 109 132

Red Seguridad 099

108 red seguridad cuarto trimestre 2022 monográfico hospitales 5.0 La protección de las infraestructuras informáticas de las instituciones sani- tarias no solo requiere un presupuesto para invertir en soluciones adecuadas, sino que también precisa de conoci- mientos. Sin recursos humanos, los proyectos no pueden llevarse a cabo eficazmente. Por tanto, hay que ha- cer hincapié en la contratación, pero también en la sensibilización y forma- ción de todos los profesionales de un hospital. La ciberseguridad, en pocas palabras, debe ser una cuestión de go- bernanza. Pero, ¿qué se puede hacer para re- ducir el riesgo cibernético en las insti- tuciones sanitarias? Los presupuestos actuales de los hospitales no son sufi- cientes, aunque la situación esté mejo- rando, en especial desde la pandemia, periodo durante el cual se tomó verda- dera conciencia de la vulnerabilidad de estos centros y de las dramáticas consecuencias que pueden tener los ci- berataques –recordemos la muerte de un paciente tras el ciberataque que se lanzó contra el hospital de Düsseldorf (Alemania)–. Es tal la amenaza, que los gobiernos de todo el mundo están des- bloqueando ayudas económicas para permitir que los hospitales se protejan. Evolución de la gobernanza Para entender la vulnerabilidad de los hospitales es importante tener en cuen- ta que, durante mucho tiempo, los CIO eran en realidad médicos a los que les podía más o menos interesar la informá- tica. Desde entonces, esta organización ha cambiado mucho: o bien algunos de estos médicos se han convertido en ex- pertos en informática o bien este puesto se ha asignado al CIO ( Chief Information Officer , por sus siglas en inglés, o Di- rector de los Sistemas de Información). Además del CIO, los establecimientos sanitarios han ido contratando paulatina- mente un especialista en ciberseguridad, el CISO ( Chief Information Security Officer o Director de Seguridad de los Sistemas de Información). Aunque este proceso ya había comenzado antes de la pandemia, los diversos ataques que sufrió el sector sanitario durante este periodo y a partir del mismo provocaron que el CISO se convirtiera en una verdadera necesidad. Sin embargo, antes de la crisis de CO- VID-19, el papel del CISO era limitado. La dirección no tenía en cuenta las conse- cuencias potencialmente dramáticas de un ciberataque y no permitía que el CISO dispusiera del presupuesto necesario para aplicar sus recomendaciones. Tan solo una vez que la catástrofe se había producido es cuando la dirección toma- ba conciencia de la importancia de la ciberseguridad. Pongamos que un ciberdelincuente consigue parar el sistema de ventilación de los quirófanos de un hospital. Lo lógi- co sería cerrarlos inmediatamente ya que un quirófano sin ventilación es un quiró- fano que no está esterilizado y, si un pa- ciente está en la mesa en ese momento, es su vida la que está en juego. Si la ci- berseguridad fuese una cuestión de go- bernanza, se podrían haber evitado o al menos contenido muchos ciberataques. La crisis del COVID-19 ha desempeña- do un verdadero papel en la conciencia- ción y aceleración de la transformación digital de las instituciones sanitarias. Ahora ya se escucha al CISO, pero para que la ciberseguridad se maximice, to- davía hay que abordar el tema de mane- ra integral. El papel del CISO es hacer re- comendaciones, pero es imprescindible que este cuente con el apoyo del CIO, de la dirección y de todo el personal. De hecho, se debería concienciar con las buenas prácticas de ciberseguridad a cada persona que trabaje en un estable- cimiento sanitario, así como formarla en las soluciones que el CISO implemente. El último paso para reducir al máximo el riesgo de sufrir un ciberataque es la implantación de una solución para pro- teger los accesos y las identidades di- Ciberseguridad y salud: gobernanza y PAM, el dúo ganador G uillaume P illon Sales Manager Iberica & LATAM de Wallix

RkJQdWJsaXNoZXIy MTI4MzQz