'El IoT es el principal dolor de cabeza en el sector sanitario' (Josep Bardallo, CISO Recoletas Red Hospitalaria)

Actualmente Josep Bardallo es el CIO, CISO y DPO de Recoletas Red Hospitalaria, un importante grupo hospitalario a nivel nacional y líder en Castilla y León que cuenta con 7 hospitales, 11 centros médicos, 5 institutos y 4 centros de diagnóstico repartidos por varias provincias españolas. También es Security Consulting Manager en A2Security, actúa como CISO virtual en empresas como AEDAS, Copernicus o Via Celere y enseña sobre Seguridad en el Master de la Universidad de Sevilla.

Este contenido salió publicado en el número de Febrero de 2021 de la revista IT Digital Security, que puedes descargarte desde este enlace.

Arrancamos la entrevista preguntando por las cualidades que debe tener un buen CISO, y las tiene claras: “Aparte de tener una buena base técnica, un buen CISO tiene que tener capacidades de hablar el lenguaje de negocio, saber expresar los riesgos de seguridad a la alta dirección”, asegura Josep Bardallo, añadiendo que aunque hace unos años no era tan relevante, hoy sí que se necesita tener conocimiento de las regulaciones y normativas porque “incluso aunque no sean específicas de seguridad, casi todas las auditorías implican una parte de ciberseguridad”, dice el responsable de TI y CISO de Recoletas Grupo Hospitalario.

No acaban aquí las capacidades de un buen CISO. Añade el directivo el tener paciencia “y una visión a medio-largo plazo, que es una de las tareas más complicadas de conseguir”.

¿Crees que la seguridad se ha convertido finalmente en una prioridad para la empresa española? “No”. La respuesta no puede ser más concisa. Añade que solo se ha convertido en prioridad para las empresas que están auditadas, reguladas, o están en Bolsa; “en estos casos sí que hay una prioridad porque están constantemente auditadas y las empresas se han puesto las pilas”. Reconoce, eso sí, que no falta mucho para que la ciberseguridad se convierta en una prioridad para todas las empresas.

Impacto de COVID 19

La pandemia que arrancó a finales de 2019 en Asia y se extendió rápidamente impactó de lleno en la vida y los negocios de todo el mundo. En apenas unas semanas y ante una movilidad reducida, un trabajo en remoto casi obligatorio y una adopción del cloud acelerada, los planes de contingencia se sacaron de los cajones para que muchos responsables de TI, entre ellos Josep Bardallo, se dieran cuenta de que “nunca tienes en cuenta todas las contingencias”. Como han repetido varios expertos entrevistados en estas páginas el factor humano no se había tenido en cuenta de manera global en esos planes de contingencia.

“Me encontré con médicos que querían trabajar desde casa. Nunca había pensado tener que hacer una contingencia de este tipo, sino que se cayeran los sistemas, las comunicaciones… Surgieron nuevos casos que no teníamos previsto, y hubo que adaptarse rápidamente a la nueva situación, a que el usuario trabaje, aunque esté en casa y con un ordenador suyo. Pero siempre tiene que haber un mínimo de seguridad”.

Respecto a los CEOs, en opinión de Josep Bardallo, han aprendido la importancia de la agilidad y los planes de contingencia, “a los que no les daban tanta importancia”; han visto cómo era cierto lo que se les estaba diciendo desde hace tiempo: tenemos que ser ágiles, tener resiliencia, y muchos proveedores y bien cuidados. De forma que los responsables empresariales se han dado cuenta de que merece la pena gastar dinero en los planes de contingencia.

Cloud y Servicios Gestionados

Sobre la adopción del cloud, tiene claro el responsable de ciberseguridad de Recoletas Red Hospitalaria que el cloud es un hecho, que todo el mundo, quiera o no quiera, utiliza una media de más de cien aplicaciones; “si eres un CISO y no lo das por hecho es que lo estás haciendo mal”. ¿Cómo se aborda desde el punto de vista de seguridad? Yo creo que se debe abordar como si fuera otro datacenter más en el que tienes que asumir la seguridad y la responsabilidad; “yo no creo en esto de la responsabilidad compartida. La responsabilidad es tuya y otra cosas es que subcontrates o delegues algunas cosas, pero tú sigues teniendo la responsabilidad y debes tener una visión y control de todo esto”, dice Bardallo.

Haciendo referencia al Shadow IT, menciona el directivo la importancia de contar con tecnologías que te permitan descubrir los servicios y aplicaciones cloud que tiene contratada una empresa.

Sobre los servicios de seguridad gestionada, Bardallo los ve como imprescindibles en los entornos que requieren una seguridad 24x7, y necesarios en el resto, entre otras cosas porque las diferentes tecnología son cada vez más complejas. A la hora de escoger proveedor Josep Bardallo se fija en los niveles de servicio y referencias que puede aportar; “estamos en el entorno sanitario, un entorno muy diferente al resto de sectores, y si contrato algún servicio tiene que haber tenido experiencia de ese tipo de sectores y sus problemáticas”, dice el directivo.

Uno de los factores que diferencia al sector sanitario es que hay mucho IoT asociado. Este IoT es, según Bardallo, “el principal dolor de cabeza en el sector sanitario”; en este entorno la palabra clave, como en el cloud, es la visibilidad, utilizar tecnologías que te permiten descubrirlo y aplicar diferentes medidas, incluida las más básicas como la segmentación de la red.

Si tenemos en cuenta la cantidad de máquinas médicas que hay conectadas, ¿tiene Josep Bardallo que proteger más máquinas que personas? Nos cuenta que el Recoletas Red Hospitalaria tiene 1.800 trabajadores, pero que hay tres veces más equipos conectados en red que van desde los ordenadores, a impresoras, máquinas de laboratorio, de rayos X… teniendo en cuenta que en lo que se refiere a dispositivos móviles sólo están conectados los que se utilizan internamente para atender a los pacientes, y no los dispositivos móviles de todos los empleados.

Tecnologías y previsiones

Todo lo que se necesite para poder ver, que aporte visibilidad es, para Josep Bardallo, una herramienta imprescindible hoy en día. Considera fundamental la protección de los datos, así como la del endpoint mediante soluciones EDR; también la protección del correo electrónico es clave en tanto en cuanto es por donde más se mueven los datos. Por último, “todo lo que tiene que ver con contingencia. Todas estos puntos son imprescindibles para mí”.

Cuando le preguntamos sobre las soluciones o tecnología que le gustaría implementar si tuviera un cheque el blanco, menciona el CISO de Recoletas Red Hospitalaria que hay dos que tienen mucho futuro: el análisis con Inteligencia Artificial de los logs, “porque tenemos muchas tecnologías que nos recogen información de todo lo que ocurre, pero todo eso tienes que analizarlo”, y análisis del comportamiento (UEBA) porque te permite detectar más amenazas.

“Nos van a dar más presupuestos”, dice Bardallo cuando le preguntamos si espera algún cambio significativo en 2021 en torno a la seguridad. En lo que tiene que ver con la seguridad, dice que se irán consolidando las tecnología que buscan aumentar el control sobre la nube.

Reconociendo que el dato médico es más caro, confirma el directivo que ha habido un crecimiento de los ataques contra el sector sanitario y que durante la pandemia “hubo incremento importante de intentos de campañas de phishing”.

Precisamente datos de un reciente informe aseguran que el sistema sanitario se ha convertido en la diana de los ciberataques y si bien se ha mejorado la seguridad y protección de los datos, los ataques maliciosos son cada vez más frecuentes y complejos, sobre todo desde que se desató la pandemia. El estudio, de Check Point Research alerta de un aumento del 45% en los ataques dirigidos contra empresas relacionadas con la salud y la Medicina a nivel mundial”; España, que ha visto cómo sus cifras se duplicaban, es el tercer país con mayor grado de infección, sólo por detrás de Canadá (250%) y Alemania (220%).