La pasada semana se celebró en Madrid, organizado por Metafrase, el primer encuentro de ciberseguridad para el sector sanitario. Bajo el título InfoSec Sanidad este evento congregó a diversas personalidades del sector sanitario en España, todas ellas también estrechamente relacionadas con la ciberseguridad.
Estructurado en torno a varias charlas y una mesa redonda InfoSec Sanidad sirvió para repasar las amenazas y retos que existen hoy en día en la seguridad informática, pero con una clara orientación hacia un sector especialmente sensible: la Salud. Las cifras hablan por sí solas: más de un 20% de la inversión en I+D en España proviene del sector sanitario y el 9% del PIB está compuesto por la inversión en Sanidad. Es decir, hablamos de un sector clave de la economía que además presenta una peculiaridad: de él depende la salud y bienestar de buena parte de la sociedad.
Un sector especialmente sensible
De modo, y vista la importancia y especificidad del sector Metafrase quiso congregar a todos los agentes de este área, desde los fabricantes hasta los grupos hospitalarios e instituciones públicas, ya que todos y cada uno de ellos pueden contribuir con sus aportaciones en un evento que aspira a convertirse en un punto de encuentro donde difundir las ultimas novedades y comentar los nuevos retos para la seguridad informática en el campo de la Sanidad.
La jornada, que contó con el apoyo de Sophos y la Escuela de Organización Industrial (EOI) comenzó con la bienvenida de la EOI que remarcó el compromiso de la escuela con la formación en ciberseguridad y la voluntad de seguir siendo un referente de la transformación digital de la economía española. EOI también está vinculada al ámbito sanitario pues entre sus programas cuenta con uno de gestión hospitalaria. Santiago Crespo, director de operaciones de Metafrase dio el pistoletazo de salida a la jornada señalando que en los últimos años, empresas, instituciones y organismos públicos del sector sanitario han ido tomando conciencia de la importancia de la ciberseguridad. Ya sea por ataques informáticos, fugas de información o la propagación de fake news, la realidad es que la seguridad y reputación en el ámbito digital han cobrado un gran protagonismo en la agenda del sector. En suma, la ciberseguridad es hoy en día una de las mayores preocupaciones y el gran reto por superar para lograr una sanidad segura, capaz de superar las nuevas amenazas que la transformación digital plantea.
Diversos retos para un sector heterogéneo
Las charlas temáticas han tratado temas tan diversos como con el que abrió Sophos: los retos que plantea la ciberseguridad a las empresas en los próximos años. A cargo del fabricante líder en soluciones de seguridad, esta ponencia ha cuantificado con datos tangibles esta situación: el 68% de las empresas sufrió un ciberataque el año pasado. Y lo que es más preocupante, el 93% de estos ataques se desencadenó mediante un ataque de phishing, es decir, en última instancia fue un usuario quien por error desencadenó el episodio.
No quedó fuera de la agenda la distribución de medicamentos, que desde Hefame fue tratada en una interesante ponencia, en que se explicaron los nuevos sistemas y protocolos que impiden la presencia de productos sanitarios falsificados en las estanterías de las farmacias. Sin duda otro éxito que garantiza que un paciente reciba su dosis e indicación sin temor alguno.
Otro de los temas que se abordaron fue el Plan de Ciberseguridad y la integración de la GDPR en las políticas de las empresas. Exevi aportó su visión estratégica de la ciberseguridad, que para estos expertos es un proceso vivo, que crece y se desarrolla con la empresa. Menuel Monterrubio, CEO de Exevi señaló que todas las empresas, pero especialmente las sanitarias deben integrar en su ADN corporativo, desde las más altas instancias de la dirección, la necesidad de abordar globalmente, y a todos los niveles de la compañía la seguridad informática.
Concienciación y estrategia: claves
Tanto la última charla, también a cargo de Sophos, como la Mesa redonda que siguió hicieron hincapié en un punto clave: la concienciación y formación de los empleados para salvaguardar la seguridad de las empresas e instituciones. Es un problema que afecta a todos los sectores, pero la especial sensibilidad del sector sanitario obliga a ser más precavido si cabe. El phishing volvió a colarse entre los temas más candentes pues es el mayor vector de entrada a las empresas de todo tipo de ataques. Y por si fuera poco, muchos de ellos no se detectan o están latentes durante meses sin ser descubiertos.
En esta mesa algunos temas fueron recurrentes, así, por ejemplo, Ricardo García de la Banda, Jefe de Servicios Informáticos de Farmaindustria, señaló que la confidencialidad necesaria en la investigación farmacéutica, o la necesidad de mejorar la formación en seguridad son algunos de sus principales desafíos. Es preciso señalar que la confidencialidad, la protección de las patentes o de los procesos de investigación es vital para la supervivencia de las compañías. Y un ciberataque puede ser letal en este sentido.
Nuno Mergulhao, CIO de Qualicaps, fabricante de alcance internacional se insistió en la enorme interconexión y dependencia de los equipos hoy en día, aun entre distintos países y unidades de negocio. Esto hace obligatorio que en toda organización, pero especialmente en las más grandes se establezca una estrategia unificada de ciberseguridad, que garantice que no haya brechas en ninguna de las unidades. Juan Blanco, CEO del grupo Mediforum introdujo en el debate un tema vital: la reputación. Las empresas que cuentan con planes de ciberseguridad y toman todas las precauciones necesarias demuestran con ello compromiso con los pacientes y con sus propios empleados. Y es que, por un lado están mejor preparadas ante ataques, pero además, por el otro, adquieren una reputación y percepción pública notoriamente superior. Esta reputación ‘vitaminada’ sumada a una comunicación en positivo, son sin duda tareas a desarrollar por las empresas del sector. No podemos olvidar que un buen número de ataques se controlan, mitigan e identifican a tiempo. Es por ello una labor crítica de empresas y medios comunicar estas verdaderas historias de éxito.
En resumen InfoSec Sanidad ha servido para identificar que la ciberseguridad en sanidad tiene varias líneas de actuación a desarrollar:
- Implementar planes de ciberseguridad adaptados a las necesidades específicas e integrados en la visión estratágica de la compañía. No es lo mismo un gran laboratorio con presencia internacional que una mediana empresa proveedora. Tampoco son iguales sus necesidades ni retos específicos.
- Mejorar la formación y trabajar en la concienciación de empleados y cuadros directivos sobre la importancia de la ciberseguridad, proporcionando herramientas para que mejoren sus habilidades e integren conductas ciberresponsables en su día a día.
