Red Seguridad 103

72 red seguridad cuarto trimestre 2023 monográfico servicios esenciales Asumimos que todos somos objetivo de los ciberatacantes. Tarde o temprano, si no ha ocurrido ya, de un modo u otro pa- saremos a ser sus víctimas. De ahí que formar a usuarios y a profesionales IT sea fundamental para reducir las proba- bilidades de éxito del ciberataque y, es- pecialmente, para minimizar su impacto. La concienciación del usuario, el diseño de red y los procedimientos operativos y de copia de seguridad, entre otros, son elementos básicos y que no implican grandes inversiones económicas. Cla- ro ejemplo de ello sería una adecuada utilización de la electrónica de red ya disponible. Atendiendo a nuestra experiencia en los ciberincidentes asociados al sector salud, la tendencia generalizada es la in- teroperabilidad o fácil interconexión en- tre todos los elementos del sistema. Esta circunstancia incrementa sensiblemente el porcentaje de éxito del ataque. En estos escenarios, la base de exposición es muy superior, y si no se focalizan los esfuerzos en la securización de aque- llos elementos que pueden ser objetivos críticos –sin olvidar por ello el resto de los que componen la infraestructura–, el incremento de materialización de las amenazas es muy considerable. Debemos entender, en definitiva, que cualquier elemento expuesto es un po- sible objetivo. Por tanto, reducir la base de exposición es una necesidad. La seg- mentación o microsegmentación tanto de manera interna como externa de la infraestructura de red y de los elementos o sistemas que la componen es un me- canismo fundamental para minimizar el riesgo y las posibilidades de éxito de los ciberataques. Estándares Existen estándares en el ámbito de la salud, como pueden ser HL7 V2, HL7 V3 o HL7 FHIR, que mantienen la interope- rabilidad y facilitan la integración de los sistemas y las diferentes aplicaciones médicas. Estos estándares son de uso generalizado en el sector. Desafortunadamente, los estándares HL7 se implementan con frecuencia de manera no segura, generando riesgos como pueden ser la transmisión de da- tos confidenciales no autenticados y no validados adecuadamente a través de las redes. Esto podría provocar intromi- siones en la privacidad de la informa- ción, como pueden ser los historiales clínicos, haciendo uso para ello de téc- nicas como man-in-the-middle o viéndo- se afectados por exfiltraciones de datos para un uso delictivo. Es por ello que se deben utilizar polí- ticas de seguridad en el uso de medios electrónicos tales como el Esquema Na- cional de Seguridad, donde se aborda la necesidad de proteger los sistemas atendiendo a los principios fundamen- tales de la seguridad de la información: confidencialidad, integridad, disponibili- dad y autenticidad. Como ya venimos mencionando, la segmentación es una de las medidas más asequible y efectiva para reducir tanto la base de exposición como los movimientos laterales, con la consi- guiente reducción del riesgo y el incre- mento de la protección frente a amena- zas, así como el fortalecimiento de la resiliencia una vez que los sistemas han sido atacados. La segmentación o microsegmenta- ción debe atender al principio de mínimo privilegio requerido, que en este caso se centra en las comunicaciones entre ele- mentos y/o sistemas. Recomendaciones Para crear ecosistemas seguros de transferencia de información podemos considerar, en este sentido, las siguien- tes recomendaciones: Implementar una arquitectura en la infraestructura de comunicaciones Pequeños gestos que reducen los ciberataques en el sector salud J osé L uis Z orita M orales Analista de Ciberseguridad de Izertis