La ciberseguridad en el cuidado de la salud implica la protección de la información y los activos electrónicos contra el acceso, uso y divulgación no autorizados.
Los objetivos de la ciberseguridad son tres: proteger la confidencialidad, la integridad y la disponibilidad de la información, también conocida como la “tríada CIA”.
¿Qué es la Ciberseguridad en Salud?
Ciberseguridad en Salud
En el mundo electrónico actual, la ciberseguridad en el cuidado de la salud y la protección de la información es vital para el funcionamiento normal de las organizaciones.
Muchas organizaciones de atención médica tienen varios tipos de sistemas de información hospitalarios especializados, como sistemas EHR, sistemas de recetas electrónicas, sistemas de apoyo a la gestión de consultas, sistemas de apoyo a las decisiones clínicas, sistemas de información de radiología y sistemas computarizados de ingreso de órdenes médicas. Además, también se deben proteger miles de dispositivos que componen el
Internet of Things.
Estos incluyen ascensores inteligentes, sistemas inteligentes de calefacción, ventilación y
aire acondicionado (HVAC), bombas de infusión, dispositivos de monitoreo remoto de pacientes y otros. Estos son ejemplos de algunos activos que las organizaciones
de atención médica suelen tener, además de los que se mencionan a continuación.
Correo electrónico
El correo electrónico es un medio principal para la comunicación dentro de las organizaciones de atención médica. La información de todo tipo se procesa, crea, recibe,
envía y mantiene dentro de los sistemas de correo electrónico. Las capacidades de almacenamiento de los buzones tienden a crecer cuando las personas almacenan
todo tipo de información valiosa, como propiedad intelectual, información financiera, información de pacientes y otros. Como resultado, la seguridad del correo electrónico es una parte muy importante de la ciberseguridad en el cuidado de la salud.
El phishing es una de las principales amenazas. La mayoría de los incidentes de seguridad significativos son causados por phishing. Los usuarios involuntarios pueden, sin saberlo, hacer clic en un enlace malicioso o abrir un archivo adjunto malicioso dentro de un correo electrónico de phishing e infectar sus sistemas informáticos con malware. En ciertos casos, ese malware puede propagarse a través de la red informática a otras computadoras.
El correo electrónico de phishing también puede obtener información confidencial o de propiedad del destinatario.
Los correos electrónicos de phishing son muy efectivos, ya que generalmente engañan al destinatario para que realice una acción deseada, como divulgar información confidencial o patentada, hacer clic en un enlace malicioso o abrir un archivo adjunto malicioso. En consecuencia, la capacitación regular sobre seguridad es clave para frustrar los intentos de phishing.
Seguridad física
El acceso físico no autorizado a una computadora o dispositivo puede comprometerlo. Por ejemplo, existen técnicas físicas que pueden usarse para piratear un dispositivo.
La explotación física de un dispositivo puede anular los controles técnicos que, de lo contrario, existen. Por lo tanto, es importante proteger físicamente un dispositivo
para salvaguardar su funcionamiento, su configuración adecuada y sus datos.
Un ejemplo es dejar una computadora portátil desatendida mientras viaja o trabaja en otro lugar. Las acciones descuidadas pueden provocar el robo o la pérdida de la computadora portátil. Otro ejemplo es un ataque de sirvienta malvada en el que un dispositivo se altera de una manera indetectable de modo que el ciberdelincuente pueda acceder más tarde al dispositivo, como la instalación de un registrador de teclas para registrar información
confidencial, como credenciales.
Sistemas heredados
Los sistemas heredados son aquellos sistemas que ya no son compatibles con el fabricante. Los sistemas heredados pueden incluir aplicaciones, sistemas operativos u otros. Un desafío para la seguridad cibernética en el cuidado de la salud es que muchas organizaciones tienen una huella de sistema heredada significativa. La desventaja de los sistemas heredados es que, por lo general, el fabricante ya no los admite y, como tal, generalmente faltan parches de seguridad y otras actualizaciones disponibles.
Los sistemas heredados pueden existir dentro de las organizaciones porque son demasiado caros para actualizarlos o porque es posible que no haya una actualización disponible. Es posible que los fabricantes de sistemas operativos cierren los sistemas y que las organizaciones de atención médica no tengan suficiente presupuesto de seguridad cibernética para poder actualizar los sistemas a las versiones compatibles actualmente. Los dispositivos médicos suelen tener sistemas operativos heredados.
También pueden existir sistemas operativos heredados para ayudar a admitir aplicaciones heredadas para las que no hay reemplazo.
