Las diez claves para mejorar la protección de los hospitales, según ENISA

  • Actualidad

La Agencia de Ciberseguridad de la UE, ENISA, acaba de publicar una serie de recomendaciones para mejorar la protección de los hospitales frente a los ataques cibernéticos, cada vez más habituales.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los hospitales y centros sanitarios se han convertido en un objetivo de los cibercriminales. La superficie a proteger, compuesta por dispositivos, equipos médicos y sistemas conectados a las redes y, al mismo tiempo, con entornos externos, es cada vez más extensa.

Dos tercios de las organizaciones sanitarias sufrieron incidentes de seguridad en 2019, ya que es un sector que trabaja con datos sensibles, que interesan a los ciberdelincuentes. Por eso, ENISA ha preparado una guía con recomendaciones y buenas prácticas para mejorar su protección frente a ataques, lo que pasa necesariamente por “la prevención”, dice la agencia de ciberseguridad europea.

La guía recomienda implicar al departamento de TI en los procesos de compra y aprovisionamiento desde el principio para que se tenga en cuenta la seguridad y pueda hacer un análisis de cómo se adapta la tecnología a la red existente y valorar si hay que tomar medidas adicionales. Además, los hospitales deben implantar un proceso de identificación y gestión de vulnerabilidades, de forma que puedan administrarlas durante el ciclo de vida de todos los dispositivos.

No menos importante es desarrollar una política de actualizaciones del hardware y el software. En este punto se aconseja que los equipos de TI determinen el momento más adecuado para aplicar los parches en cada segmento de la red, así como determinar soluciones alternativas para máquinas que no pueden ser parcheadas, como la segmentación.

Por otro lado, según la agencia europea, hay que mejorar los controles de seguridad de las redes inalámbricas para evitar accesos no autorizados, así como establecer políticas de pruebas. Los hospitales que adquieran nuevos productos informáticos deben establecer un conjunto mínimo de pruebas de seguridad que se realizarán en los nuevos dispositivos agregados a las redes. Entre ellas tendrían que figurar las de penetración para tener en cuenta cómo los hackers pueden intentar entrar en los sistemas.

Por otro lado, los centros deben tener planes de continuidad de negocio que les permitan, en caso de incidencia, seguir operando los servicios clave. Relacionado con ello, tienen que considerar la interoperabilidad. Para un hospital es fundamental poder transferir información y datos con otros centros, pero en caso de ciberataque o caída de los sistemas, tendría que haber un plan de backup o respaldo.

Según la ENISA, se deben probar de forma de regular los sistemas y comprobar que las contraseñas no hayan cambiado y sean más sencillas, así como mantener los registros (logs) de las pruebas y la actividad en la red garantiza que, en caso de compromiso, sea más fácil rastrear lo que sucedió y cómo los atacantes obtuvieron acceso al sistema, así como evaluar qué información se ha visto comprometida.

El documento se cierra con el siguiente consejo: hay que cifrar los datos personales confidenciales, tanto si están en reposo como en tránsito.

Ésta es una guía dirigida a CIOs, CISOS de empresas sanitarias, proveedores de dispositivos médicos, aseguradoras y otras organizaciones relacionadas con el sector sanitario.