Con la pandemia, los ciberataques crecieron. Pero las instituciones médicas pueden tomar medidas para brindar seguridad a los pacientes.

La salud digital es una oportunidad para la transformación de los sistemas de salud, y es un camino que la pandemia impulsó y que no tendrá freno. No sólo porque la tecnología facilita el acceso a los pacientes, sino también por el potencial que abre para la investigación y la búsqueda de nuevos tratamientos. Pero para que sea exitosa, hay un factor clave: la ciberseguridad para proteger los datos de los pacientes

La salud digital se apoya en el uso de plataformas tecnológicas y en los datos. Un ejemplo concreto de esta transformación es la historia clínica electrónica, que centraliza toda la información de salud del paciente y permite que tanto él como cualquier profesional de la salud tenga acceso a ella. Hay un marco tecnológico que permite que esto sea posible, pero básicamente lo que se almacena en esa historia son datos

El Covid 19 y la cuarentena disparararon la telemedicina en un marco de uso en general de la tecnología digital en todas las áreas. Y eso hizo crecer exponencialmente los ciberataques en todos los ámbitos, no sólo en el de la salud. 

Globalmente, el sector salud había sido uno de los más hackeados en 2019. En 2020, sólo en Estados Unidos, crecieron un 55% las fugas de datos y de estas, el 67% fueron incidentes de ciberseguridad. Los ciberataques tienen un costo económico importante. En términos de pérdidas del negocio, prevención, detección y recuperación un ciberataque cuesta 7,13 millones de dólares contra 3,86 en promedio de los otros rubros. 

Por qué proteger los datos de los pacientes 

Pero más allá de la cuestión económica, hay un tema tanto o más importante: el 80% de la información comprometida en los ciberataques son datos personales. Y los datos de salud son particularmente sensibles. 

En su documento “Protegiendo la salud digital: una guía de ciberseguridad en el sector salud”, el Banco Interamericano de Desarrollo (BID) advierte que el sector salud es uno de los que más tiempo tarda en detectar que una institución ha sido víctima de un ciberataque, un promedio de 329 días. Y además América Latina presenta una de las mayores demoras en los tiempos de detección. 

Por eso, la principal solución pasa por la prevención. Y en este sentido, la seguridad no debe ser sólo una responsabilidad del área de informática de las instituciones sanitarias, sino que todo el personal debe comprometerse y también deben asumir un compromiso los pacientes, tomando medidas para proteger ellos también su información personal, como lo harían por ejemplo con sus datos bancarios.

ciberseguridad

Cómo implementar la ciberseguridad

La ciberseguridad es la rama que se dedica a implementar medidas para proteger sistemas, redes, computadoras y documentos informáticos de ataques que puedan afectar su disponibilidad, integridad o confidencialidad. Estas medidas se aplican en el ecosistema digital de una institución en distintos niveles:

  • Frameworks: dan el enfoque a los objetivos de la organización e implementan un análisis de riesgo que define las acciones. 
  • Controles: son las medidas de seguridad técnica para conseguir determinados objetivos de seguridad.
  • Guías: son herramientas prácticas que abordan problemas específicos.
  • Marcos regulatorios: son normativas a nivel nacional o transnacional que reglamentan cómo deben actuar las organizaciones, como el Reglamento General de Protección de Datos de la Comunidad Europea o la Ley de Privacidad de Información de la Salud de Estados Unidos. 

Para construir confianza en la salud digital, es crucial que los ciudadanos sientan que su información está protegida. Y por eso las instituciones médicas deben tomar la ciberseguridad como algo imprescindible en su gestión diaria. Según las recomendaciones del BID, deben cumplir siete pasos para implementar la ciberseguridad de manera efectiva.

  1. Incluirla como prioridad en la gestión estratégica de la organización, incluyendo objetivos y metas. 
  2. Definir la estructura organizacional en ciberseguridad. Como mínimo, debe haber un responsable de seguridad en la institución y un comité que defina los lineamientos estratégicos, las responsabilidades y las políticas, y que haga un seguimiento. 
  3. Definir objetivos que tengan en cuenta los marcos regulatorios, las mejores prácticas y el perfil de riesgo organizacional, que se define por el tamaño y los recursos de la organización, cuán sensible son sus activos y el nivel de madurez. Y establecer también metas que deben evaluarse con indicadores. 
  4. Realizar un diagnóstico de situación. El análisis tiene que considerar lo que se llama análisis de brechas o GAP: las diferencias entre el punto de partida y el objetivo que se quiere lograr. El diagnóstico debe incluir también un análisis de los riesgos de seguridad para fijar prioridades. 
  5. Elaborar un plan director de ciberseguridad. Debe incluir esos objetivos y metas, además de los proyectos y servicios y cómo se piensa llegar a los resultados deseados. Para que sea viable, deben evaluarse los costos y su financiamiento. 
  6. Ejecutar el plan director. El responsable de seguridad debe monitorearlo para asegurar su éxito y debe rendir informes al comité para realizar los ajustes necesarios. 
  7. Evaluar los resultados y el riesgo remanente. Los resultados se deben evaluar de manera periódica y si existen riesgos remanentes, comenzar el ciclo de mejora continua volviendo al paso 4. Con una periodicidad mayor y ante cambios de mayor relevancia, puede ser necesario revisar la visión estratégica y, en ese caso, volver al paso 1.

Fuente: Protegiendo la salud digital: una guía de ciberseguridad en el sector salud (Banco Interamericano de Desarrollo)

Últimas publicaciones

Ver Todas
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image
Caeme blog image