Red Seguridad 102

red seguridad tercer trimestre 2023 59 salud 5.0 monográfico La interconexión entre las áreas IT-OT tiene que estar controlada por el riesgo que implica exponer un entorno indus- trial vulnerable a todas las amenazas de un entorno digital. Las herramientas de protección del ámbito IT, en algunos casos, resultan fallidas para la seguridad OT en el ámbito hospitalario. Seguridad en hospitales La convergencia IT-OT requiere de un plan de seguridad específico. Garantizar la se- guridad en entornos ciberfísicos pasa, en este sentido, por varias fases: descubrir, evaluar, proteger, monitorizar y optimizar. Descubrir . Lo primero es conocer el modelo digital del hospital y de todos sus activos conectados, hacer un in- ventario, saber qué máquinas están conectadas, qué conexiones existen entre un dispositivo y otro, dónde se consume su información, etcétera. Esto proporcionará un contexto clíni- co/funcional. Evaluar . Es necesario analizar todos los dispositivos conectados en busca de vulnerabilidades y calcular el riesgo de cada dispositivo, así como de cada gru- po de dispositivos, para sentar las bases de un plan de acción de seguridad ade- cuado. Se trata de una fase de inventa- rio y de evaluación de criticidades. Proteger . Esta etapa se basa en seg- mentar los dispositivos para decidir qué máquinas están autorizadas para acceder a la información de otras. Se trata de la necesidad de implementar buenas prácticas creando también ac- cesos remotos controlados y seguros. También es relevante la colaboración entre equipos. Constituir un ecosis- tema en el que se involucre a profe- sionales de distintas áreas que sean capaces de identificar dispositivos críticos y que tengan conocimientos sobre la necesidad de mantenerlos seguros. Pero este punto es difícil en todo el sector industrial y mucho más en el ámbito hospitalario, puesto que no existe aún una figura que aglutine conocimientos tan multidisciplinares. Monitorizar . La supervisión es un pun- to especialmente relevante al hacerse difícil e ineficiente la instalación de soluciones de seguridad tradiciona- les. En el ámbito OT hay que convivir con el riesgo continuamente. Por ello, implementar un marco de detección y respuesta urgente es necesario para descubrir desviaciones de políticas y responder de manera efectiva. Optimizar . Al descubrir, evaluar y ras- trear el comportamiento y el uso de dispositivos médicos se presentan oportunidades de eficiencia operativa que tienen el potencial de ahorrar un tiempo significativo para los operado- res de dispositivos, así como aumentar el retorno de la inversión del programa mediante la optimización de la gestión del ciclo de vida del propio dispositivo. Asignar responsabilidades Dada la situación de amenaza real exis- tente, el próximo paso estará en que las compañías y administraciones públicas asignen responsabilidades y establezcan planes específicos para estos entornos. Será necesario contar con las personas adecuadas siguiendo el proceso adecua- do y utilizando la tecnología adecuada. En este sentido, la recomendación es poder operar con tres equipos interco- nectados en el ámbito hospitalario. Uno será el encargado de la seguridad de la información y la disponibilidad operativa de la infraestructura, cuya responsabili- dad recaerá sobre los CISO. Otro será el encargado de la infraestructura de red en un departamento de ingenieros que controle las máquinas y su conectividad. Y un tercero estará especializado en in- geniería biomédica, cuyos profesionales conocerán tanto la funcionalidad del dispositivo como el contexto comercial y los flujos de trabajo clínicos. Además, a medida que las amenazas de seguridad se intensifiquen, será necesario sustituir los sistemas heredados obsoletos e im- posibles de parchear o actualizar. Aquellos capaces de entender el mun- do OT y el mundo IT y su interlocución se- rán quienes puedan gestionar ambos es- pacios y quienes tengan una oportunidad de éxito y existencia en el futuro. El sector hospitalario es un activo nacional estra- tégico, y su seguridad se convierte en un escenario complejo que requiere coope- ración de todas las partes implicadas.