La ciberseguridad del hospital requiere implicación total del trabajador

Las amenazas digitales y la mayor presencia de la tecnología en el día a día han hecho necesario un replanteamiento de las medidas de ciberseguridad. De hecho, proteger los datos cobra todavía más importancia en los ámbitos sanitarios, donde su valor es alto y los ciberdelicuentes lo saben. Por ello, los expertos han debatido en el XI Encuentro Global de Ingeniería Hospitalaria, organizado por Redacción Médica con la colaboración de Carburos Médica, sobre cuáles son las principales soluciones para frenar estos ataques y una de ellas está muy clara: la formación en ciberseguridad de los sanitarios.

"Tenemos que estar concienciados y saber que las personas somos la principal puerta de entrada de estos ataques. Existe un ciberdelicunencia especializada en sanidad y los datos sanitarios se venden muy caros en el mercado negro", ha explicado Inés de Lózar, responsable del Centro de Operaciones de Ciberseguridad de la Gerencia Regional de Salud de Castilla y León.

Mesa acerca de la ciberseguridad en los centros sanitarios.

Los hospitales son lugares críticos debido al volumen de información que manejan y los ataques más comunes que reciben son el phishing (suplantación de identidad), la fuga de información y el ciberataque ransomware (secuestro de datos). Pero además, tienen varios factores de riesgo que los hacen estar en peligro. Según ha señalado De Lózar, entre estos elementos están: el personal rotatorio y sin conocimientos sobre ciberseguridad, y la presencia de tecnologías muy heterogéneas que no se pueden actualizar.

"Es necesario que mejoremos la visibilidad del equipamiento que forma parte de un hospital y lo conozcamos para poder aplicar las medidas de conexión de seguridad a cada tipo concreto", ha destacado. En este sentido, ha mencionado varios proyectos en los que trabajan en Castilla y León y uno de ellos se centra en la tecnología de control de acceso a red: "Con él podemos controlar qué equipo se conecta porque se basa en un sistema de reconocimiento de dispositivos y perfilado de los mismos. De forma que permite unas políticas de seguridad u otras y conseguimos una detección en tiempo real de todos los elementos de la red".

Inés de Lózar, responsable del Centro de Operaciones de Ciberseguridad de la Gerencia Regional de Salud de Castilla y León.

"Los hospitales están poniéndo el precio a sus datos"

No obstante, la formación en ciberseguridad no tiene que hacerse solo desde hospitales o centros de salud, sino que debe ser una educación que parta ya desde la universidades. Así lo ha considerado Óscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña. Concretamente, el 75 por ciento de las entradas de estos ataques son a través del usuario y el 51 por ciento de hospitales que sufren 'ransomware' o 'secuestro de datos' se paralizan. "Son los hospitales los que están poniendo precio a los datos que les han cifrado e intentan recuperar. Podemos continuar pagando o solucionarlo", ha asegurado Díaz.

Óscar Díaz, jefe de la Unidad de Desarrollo de Negocio de la Agencia de Ciberseguridad de Cataluña.

Para revertir esta situación, la Agencia de Ciberseguridad de Cataluña ha presentado recientemente un modelo de ciberseguridad para el ámbito sanitario que se divide en cuatro fases. En la primera se hace un diagnóstico de la seguridad y obsolescencia y se aconsejan ciertas acciones a corto plazo, sin apenas costes y grandes esfuerzos, pero cuya implementación ya mejora la posición de seguridad del centro.

Tal y como ha relatado Díaz, la segunda parte consiste en un plan de seguridad con iniciativas concretas para conseguir "una base mínima de protección". "La tercera fase es la puesta en marcha o integración de los servicios operativos. De forma que la agencia comparte los conocimientos y la información con la entidad correspondiente", ha indicado. Por último, están los servicios recurrentes, a los que se puede acudir en cualquier momento para crear una cultura de ciberseguridad, para la comunicación, etc.

Seguridad desde el diseño

En este debate en el marco del XI Encuentro Global de Ingeniería Hospitalaria, donde han colaborado también Grupo Empresarial Electromédico (GEE), Polygon Technical Solutions y Serveo, y ha sido auspiciado por la Asociación Española de Ingeniería Hospitalaria (AEIH); se ha puesto el foco en el diseño de la seguridad desde el principio. Luis Santiago Sánchez, subdirector del Equipo Provincial de Tecnologías de la Información y Comunicaciones (TIC) de Sevilla, ha señalado que trabajar en ello "no se puede hacer a posteriori".

Luis Santiago Sánchez, subdirector del Equipo Provincial de Tecnologías de la Información y Comunicaciones (TIC) de Sevilla.

En la opinión de Sánchez, para lograr que los sistemas sanitarios sean más seguros hay que licitar contratos que incluyan cláusulas de seguridad e incluso penalizaciones si no se cumplen con las mismas. "Otra opción es evaluar la madurez de las empresas que contratamos y ver si cuentan con la certificación del Esquema Nacional de Seguridad (ENS). Así se verá el compromiso de las compañías con la seguridad", ha expuesto Sánchez.

En esta misma línea, José Arjona, subdirector de Ingeniería, Inversiones y Mantenimiento del Hospital Virgen del Rocío (Sevilla), ha especificado que la seguridad "requiere dinero":  "Tenemos que mantener la asistencia, no solamente es el riesgo de la confidencialidad, sino que la prestación asistencial se puede ver paralizada y ese es nuestro principal reto", ha especificado.

Contar con unos equipamientos modernos también será fundamental para optimizar su seguridad. En el Virgen del Rocio cuentan con 18.500 equipos electromédicos y con instalaciones críticas en infraestructuras (quirófanos, ucis, unidades infecciosos, laboratorios y neonatos). Sin embargo, el perfil tecnológico de equipamiento instalado está un poco lejos de lo deseable. "El objetivo es que el 60 por ciento del equipamiento tenga hasta 5 años, el 30 por ciento entre 6 y 10 años, y el 10 por ciento 10 años. Sin embargo, en la actualidad hay 44 por ciento; 28 por ciento y 28 por ciento, correspondientemente", ha concretado.

José Arjona, subdirector de Ingeniería, Inversiones y Mantenimiento del Hospital Virgen del Rocío (Sevilla).

Confidencialidad, disponibilidad e integridad

Todos los hospitales son cada vez más conscientes de la importancia de proteger su seguridad y el Hospital Fundación Alcorcón ha tomado medidas concretas desde años, tal y como ha contado Isabel Sastre, subdirectora de Sistemas y Tecnologías de la Información del centro. "Desde el principio hemos puesto foco en la seguridad, queremos proteger la confidencialidad (obligando a guardar el secreto médico a los profesionales), la disponibilidad (que sean accesibles los datos) y la integridad (que la información de los pacientes sea veraz y completa)", ha comentado.

¿Qué han hecho al respecto? Sastre ha enumerado que cuentan, entre otros, con: segregación de red, cortafuegos, port security, antivirus, antispam, actualización software base, cámaras de seguridad, concienciación al profesional, control de acceso por medio de tarjeta física y segregación funcional.

Con todo ello logran determinar quién puede acceder al sistema y a qué información, evitar la alteración o pérdida de datos y garantizar su recuperación en caso necesario; y adaptar los sistemas de información a los niveles de servicio, entre otras funciones.

Isabel Sastre, subdirectora de Sistemas y Tecnologías de la Información del Hospital Fundación Alcorcón (Madrid).

Juan Manuel Fernández, jefe de la Sección de Nacional de Redacción Médica y moderador.

José María Pino, presidente-editor de Redacción Médica; y José Antonio Miranda, director general de Gestión Económica y Servicios del Servicio Andaluz de Salud (SAS).

Miguel Chaves, director regional de Serveo; y Javier Godoy, director de Relaciones Institucionales para el Sur de Europa y West África de Carburos Metálicos.

Martín Herrero, vocal de la Comisión Técnica de la Asociación Española de Ingeniería Hospitalaria (AEIH); y Alfonso Quiroga, gerente senior de Salud de Serveo.

Tomás Fernández, agente comercial de Polygon SPA; María Teresa Barahona, acompañante; y Francisco Javier Gregorio, agente comercial de Polygon SPA.

Luis Mosquera, director general de la División de Carburos Médica para Sur de Europa y Magreb; y Alfonso Quiroga.

Pablo Domínguez del Río, consultor de Carburos Metálicos; Javier Guijarro, secretario general de la AEIH; Isabel Gil, responsable de Diseño Hospitalario del Ayuntamiento de Valencia; y Pedro Manuel López, presidente de la AEIH.

Rut García, subdirectora de la División Médica de Carburos Metálicos; y Javier Godoy.

Javier Guijarro e Isabel Sastre Ibarreche.

María Castejón, técnica informática del Servicio Murciano de Salud; y José Emilio Jiménez, jefe de Servicio Ingeniería, Obras y Mantenimiento Hospital Universitario Virgen de la Arrixaca (Murcia).

Martín Herrero, Francisco Javier Gregorio, Tomás Fernández, y Francisco Buzo, director económico-administrativo y de Servicios Generales del Hospital Costa del Sol de Marbella (Málaga).

Ana Gómez, subdirectora de Gestión y Servicios Generales del Hospital La Paz y Martín Herrero.

José Nieves, director de Gestión en el Hospital Universitario 12 de Octubre (Madrid); y Beatriz Blanco, jefa de Servicio de Ingeniería, Tecnología y Obras del Hospital Universitario Ramón y Cajal (Madrid).

María Teresa Barahona y Pablo Gil, jefe del Servicio de Obras del Hospital 12 de Octubre.

Javier Guijarro y José Luis López, vocal de la AEIH.

Inés de Lózar e Isabel Sastre.

Celia Martín, ingeniera biomédica del Servicio de Informática de La Paz; y Javier Negredo, jefe de Sección de Mantenimiento y Seguridad del Hospital Universitario La Paz.

Diego Prieto, jefe de sección de Mantenimiento del Hospital Universitario de La Paz; y José Ángel Gallardo, responsable de Instalaciones y Mantenimientos en Hospitales de Carburos Metálicos.

Celia Martín y Ana Gómez posan junto a Javier Negredo.

Juan Manuel Fernández, Luis Santiago Sánchez, Isabel Sastre e Inés de Lózar.

Imelda López, arquitecta técnica del Hospital Federal Universitario Gregorio Marañón; Eva García, responsable de Oficina y Atención Interna del Gregorio Marañón; y Myriam de la Puente, jefa de Sección de Obras y Servicios de Hospital General Universitario Gregorio Marañón (Madrid).

Manuel Gimbert del Río, responsable de Seguridad de la Información del Hospital Universitario Reina Sofía (Córdoba); José Antonio Arenilla, jefe de Servicio Administrativo del Área Gestión Sanitaria Sur de Sevilla; y Rocío Moreno, enfermera del SAS.

María del Mar Granados, directora de Gestión y Servicios Generales del Hospital Clínico San Carlos; José Luis Carmenado, acompañante; y Concepción Roch, asesora de la AEIH.

Fernando Mateo, asesor de la AEIH; Diego Prieto; Pablo Domínguez del Río; y Pepe Cañete, agente comercial de Carburos Metálicos.

José María Muñoz, miembro del Comité Técnico de Carburos Médica; Diego Prieto; y Javier Negredo.

Luis Mosquera y Luis Fernando Talavera, director de Ingeniería del Hospital Universitario Doctor Negrín (Gran Canaria).

Eva Iglesias y Andrea Pérez, periodistas de Redacción Médica.

Alfonso Quiroga y Estela Gómez, ingeniera de la Unidad UPAM3D del Gregorio Marañón.

Joaquín Adolfo Gavilán, subdirector de Ingeniería y Mantenimiento del Hospital Universitario Reina Sofía de Córdoba; y Fernando Mateo.

Vicente Tello, técnico de Ingeniería y Mantenimiento del Hospital Clínico Univeristario de Valencia; e Imelda López, arquitecta técnica del Hospital General Universitario Gregorio Marañón.

José Luis López y Luis González, arquitecto de Argola Arquitectos.

Aspecto de la sala durante el XI Encuentro Global de Ingeniería Hospitalaria.