Los ciberataques en la sanidad aumentaron un 45% en todo el mundo a finales de 2020, según un informe de Check PointEsto supone el doble de la tasa de ataques en otros sectores, ya que los ciberdelincuentes aprovechan la tormenta perfecta de nuevas tecnologías que se implantan rápidamente y los esfuerzos del personal centrados en la pandemia.
En comparación con el sector financiero, las organizaciones sanitarias suelen ser más vulnerables a los ciberataques.
Las organizaciones financieras están hoy mejor protegidas porque el sector ha invertido mucho tiempo y dinero en mejorar la situación; gastan aproximadamente el 15% de sus presupuestos anuales de TI en ciberseguridad. En comparación, la mayoría de las organizaciones sanitarias que necesitan equipos dedicados a la ciberseguridad sólo gastan en torno al 4 o 5 por ciento en esta inversión.
Los ciberdelincuentes están motivados económicamente. Un historial médico no sólo contiene los números de la Seguridad Social y del CPF, sino también los datos del empleador, los datos del seguro y los datos de las recetas.
En la práctica, los ciberdelincuentes pueden utilizar esta información para presentar reclamaciones fraudulentas al seguro, comprar medicamentos o equipos médicos con ella e incluso pueden presentar declaraciones de la renta fraudulentas.
Los datos del historial médico de una persona contienen detalles suficientes para ayudar a robar identidades. Si los ciberdelincuentes no pretenden hacer algo ellos mismos, podrían vender la información en la web oscura.
Sin embargo, el uso principal no es explotar datos individuales, sino lanzar un ataque de ransomware, en el que los ciberdelincuentes se infiltran en la red del hospital, acceden a la asistencia sanitaria y bloquean el sistema del hospital, manteniendo como rehenes los datos de los pacientes hasta que la organización sanitaria paga el rescate.
Retos de la ciberseguridad en la sanidad
Los ciberataques más recientes no son necesariamente la mayor ciberamenaza de una organización. El Informe de Verizon sobre investigaciones de filtraciones de datos de 2016 descubrió que la mayoría de las filtraciones tienen que ver con el dinero y que los atacantes suelen tomar el camino más fácil para conseguir la información que necesitan.
En consecuencia, muchos ciberataques comunes siguen siendo problemáticos en la sanidad, entre ellos:
- Malware y ransomware: los ciberdelincuentes utilizan el malware y el ransomware para apagar dispositivos individuales, servidores o incluso redes enteras. En algunos casos, se pide un rescate para rectificar el cifrado;
- Amenazas de la nube: cada vez se almacena más información sanitaria protegida en la nube. Sin un cifrado adecuado, puede ser un punto débil para la seguridad de las organizaciones sanitarias;
- Sitios web engañosos: los ciberdelincuentes astutos han creado sitios web con direcciones similares a las de sitios fiables. Algunos simplemente sustituyen .com por .gov, dando al usuario incauto la ilusión de que los sitios son los mismos.
- Ataques de phishing: esta estrategia envía grandes cantidades de correos electrónicos de fuentes aparentemente fiables para obtener información confidencial de los usuarios;
- Puntos ciegos del cifrado: aunque el cifrado es fundamental para proteger los datos sanitarios, también puede crear puntos ciegos donde los piratas informáticos puedan esconderse de las herramientas diseñadas para detectar las violaciones;
- Errores de los empleados: los empleados pueden dejar a las organizaciones sanitarias expuestas a ciberataques mediante contraseñas débiles, dispositivos sin cifrar y otros fallos de cumplimiento.
A medida que las organizaciones intentan proteger la información de sus pacientes de los crecientes ciberataques, aumenta la demanda de una infraestructura de seguridad y de profesionales de la informática sanitaria que conozcan el estado actual de la ciberseguridad en el ámbito sanitario.
Estrategias para mejorar la seguridad y prevenir los ciberataques
Debido al importante impacto financiero de las violaciones de datos en la sanidad, los gestores sanitarios buscan estrategias e inversiones para garantizar que las organizaciones médicas sigan siendo seguras.
Según HealthIT.gov, la Oficina del Coordinador Nacional de Tecnología de la Información Sanitaria de EE.UU., las organizaciones sanitarias individuales pueden mejorar su ciberseguridad aplicando las siguientes prácticas:
1. establecer una cultura de seguridad destinada a reducir los ciberataques
La formación y educación en ciberseguridad hace hincapié en que cada miembro de la organización es responsable de proteger los datos de los pacientes, creando una cultura de seguridad.
2. Proteger los dispositivos móviles
Cada vez más profesionales sanitarios utilizan dispositivos móviles en el trabajo. El cifrado y otras medidas de protección son esenciales para garantizar la seguridad de toda la información de estos dispositivos.
3. Mantén buenos hábitos informáticos
La integración de los nuevos empleados debe incluir formación sobre las mejores prácticas de uso de los ordenadores, incluido el mantenimiento del software y del sistema operativo.
4. Utiliza un cortafuegos
Básicamente, todo lo que esté conectado a Internet debe tener un cortafuegos.
5. Instalar y mantener software antivirus
No basta con instalar un software antivirus. Las actualizaciones continuas son esenciales para garantizar que los sistemas sanitarios reciban la mejor protección posible en todo momento.
6. Planifica ciberataques inesperados
Hay que hacer copias de seguridad de los archivos con regularidad para restaurar los datos de forma rápida y sencilla. Las organizaciones deben considerar la posibilidad de almacenar esta información de reserva lejos del sistema principal, si es posible.
7. Controlar el acceso a la información sanitaria protegida
El acceso a la información protegida sólo debe concederse a quienes necesiten ver o utilizar los datos.
8. Utiliza contraseñas seguras y cámbialas regularmente
El informe de Verizon descubrió que el 63% de las violaciones de datos confirmadas implicaban el aprovechamiento de contraseñas predeterminadas, débiles o robadas. El personal sanitario no sólo debe utilizar contraseñas seguras, sino asegurarse de que se cambian con regularidad.
9. Limitar el acceso a la red
El personal no debe instalar ningún software, aplicación u otro complemento de los sistemas existentes sin el consentimiento previo de las autoridades organizativas competentes.
10. Controlar el acceso físico también previene los ciberataques
Los datos también pueden ser violados cuando se roban dispositivos físicos. Los ordenadores y otros dispositivos electrónicos que contengan información protegida deben guardarse en salas cerradas con llave en zonas seguras.
Además de estas recomendaciones, los profesionales de los datos sanitarios desarrollan continuamente nuevas estrategias y mejores prácticas para garantizar la seguridad de los datos sanitarios confidenciales, protegiendo al paciente y a la organización de pérdidas económicas y otras formas de perjuicio.
La solución CipherTrust Data Security Platform permite a las instituciones sanitarias proteger su estructura contra los ciberataques
Según IDC, en 2025 se crearán más de 175 zetabytes de datos, y hoy más de la mitad de los datos corporativos se almacenan en la nube.
Para hacer frente a la complejidad del lugar donde se almacenan los datos, la solución CipherTrust Data Security Platform ofrece sólidas funciones para proteger y controlar el acceso a datos sensibles en bases de datos, archivos y contenedores. Las tecnologías específicas incluyen:
Cifrado transparente CipherTrust
Cifra los datos en entornos locales, en la nube, de bases de datos, archivos y Big Data con controles de acceso exhaustivos y un registro de auditoría detallado del acceso a los datos que puede evitar los ataques más maliciosos.
Protección de bases de datos CipherTrust
Proporciona un cifrado transparente a nivel de columna de los datos estructurados y confidenciales que residen en bases de datos, como tarjetas de crédito, números de la seguridad social, números de identificación nacional, contraseñas y direcciones de correo electrónico.
Protección de datos de aplicaciones CipherTrust
Ofrece API para que los desarrolladores añadan rápidamente cifrado y otras funciones criptográficas a sus aplicaciones, mientras que SecOps controla las claves de cifrado.
Tokenización CipherTrust
Ofrece servicios de tokenización de datos a nivel de aplicación en dos cómodas soluciones que proporcionan flexibilidad al cliente: Token sin Vault con enmascaramiento dinámico de datos basado en políticas y Tokenización en Vault.
Transformación de datos por lotes de CipherTrust
Proporciona servicios de enmascaramiento estático de datos para eliminar información confidencial de las bases de datos de producción, de modo que se alivien los problemas de conformidad y seguridad cuando se comparte una base de datos con un tercero para su análisis, prueba u otro tipo de procesamiento.
Administrador de CipherTrust
Centraliza las claves, las políticas de gestión y el acceso a los datos para todos los productos CipherTrust Data Security Platform y está disponible en formatos físicos y virtuales conformes con FIPS 140-2 Nivel 3.
Gestor de claves en la nube de CipherTrust
Ofrece gestión del ciclo de vida de su propia clave (BYOK) para muchos proveedores de infraestructuras en la nube, plataformas y software como servicio.
Servidor KMIP de CipherTrust
Centraliza la gestión de claves para el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) utilizado habitualmente en soluciones de almacenamiento.
Gestor de claves TDE de CipherTrust
Centraliza la gestión de claves para el cifrado de Oracle, SQL y SQL siempre cifrado.
La cartera de productos de protección de datos que componen la solución CipherTrust Data Security Platform permite a las instituciones sanitarias proteger los datos en reposo y en movimiento en todo el ecosistema informático y garantiza que las claves de esa información estén siempre protegidas y sólo bajo su control.
Simplifica la seguridad de los datos, mejora la eficacia operativa y acelera el cumplimiento de la normativa. Independientemente de dónde residan sus datos.
La plataforma CipherTrust garantiza la seguridad de sus datos, con una amplia gama de productos y soluciones probados y líderes en el mercado para su implantación en centros de datos, ya sean los gestionados por proveedores de servicios en la nube (CSP) o proveedores de servicios gestionados (MSP), o como un servicio basado en la nube gestionado por Thales, empresa líder en seguridad.
Cartera de herramientas que garantizan la protección de los datos contra los ciberataques
Con los productos de protección de datos de la plataforma de seguridad de datos CipherTrust, su institución sanitaria puede:
Reforzar la seguridad y el cumplimiento de la normativa contra los ciberataques
Los productos y soluciones de protección de datos de CipherTrust responden a las exigencias de una serie de requisitos de seguridad y privacidad, como la identificación electrónica, la autenticación y la confianza, la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) y la Ley General de Protección de Datos (LGPD), entre otros requisitos de cumplimiento.
Optimiza la eficacia del equipo y de los recursos
La plataforma de seguridad de datos de CipherTrust ofrece el soporte más amplio del sector para casos de uso de seguridad de datos, con productos diseñados para trabajar juntos, una única línea para soporte global, un historial probado de protección contra amenazas en evolución y el mayor ecosistema de asociaciones de seguridad de datos del sector.
Centrada en la facilidad de uso, las API para la automatización y la gestión receptiva, la solución CipherTrust Data Security Platform garantiza que sus equipos puedan implementar, asegurar y supervisar rápidamente la protección de su empresa.
Además, disponemos de servicios profesionales y socios para el diseño, la implantación y la formación, con el fin de garantizar una implantación rápida y fiable con un mínimo de tiempo del personal.
Reduce el coste total de propiedad
La cartera de protección de datos de CipherTrust Data Security Platform ofrece un amplio conjunto de productos y soluciones de seguridad de datos que pueden ampliarse fácilmente, expandirse para nuevos casos de uso y tener un historial probado de protección de tecnologías nuevas y tradicionales.
Con la plataforma de seguridad de datos de CipherTrust, las instituciones sanitarias pueden preparar sus inversiones para el futuro al tiempo que reducen los costes operativos y los gastos de capital.
Acerca de Eval
Con una trayectoria de liderazgo e innovación que se remonta a 2004, en Eval no sólo nos mantenemos al día de las tendencias tecnológicas, sino que estamos en una búsqueda constante de nuevos avances ofreciendo soluciones y servicios que marquen la diferencia en la vida de las personas.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
