Madrid
"En los últimos cinco años, los datos que manejan las compañías se han multiplicado por diez", expuso María Antonia Rodríguez, Enterprise Sales Director de Dell, en el observatorio empresarial Cómo crear soluciones de una infraestructura de confianza que protejan el sector salud ante un ciberataque, organizado por elEconomista.es en colaboración con Atos y Dell.
Durante el encuentro, los expertos extrajeron que la sensibilización es clave para el avance en ciberseguridad. La educación de los pacientes y profesionales sanitarios es fundamental para generar preocupación entre la población. Además, son necesarias subvenciones que permitan impulsar la inversión en materia de seguridad digital en el sector de la salud.
En este contexto, el aspecto tecnológico y la digitalización tiene cada vez más peso en el ámbito sanitario. "Esta transformación digital tiene muchos riesgos asociados a la ciberseguridad, dado que es mucho más fácil robar datos a través de la tecnología que de manera física", indicó Juan Carlos Coma, Director de la industria de Telco, Media y Tecnología de Atos en Iberia.
De hecho, "durante el último año, se realizaron, aproximadamente, 280 millones de consultas sanitarias sólo en atención primaria, de las que alrededor de un 25% fueron teleconsultas", indicó Antonio Borregón, VP- Global Business Development & Digital Marketing Director de Azierta,
Una seguridad asimétrica
Borregón también quiso remarcar que "únicamente el 15%, del medio millón de dispositivos médicos tecnológicos presentes en el sistema sanitario español, fueron diseñados para ser ciberseguros" y eso supone un enorme riesgo para la protección de los datos.
Hasta los aparatos más sencillos que estén conectados a la red "pueden servir de entrada para el secuestro de datos", expuso por su parte Coma. A lo que añadió que, "en un ámbito tan delicado como el de la salud, la ciberseguridad es clave, y debe asegurarse la protección a lo largo de todo el proceso".
"Hay muchos problemas con los dispositivos tecnológicos sanitarios heredados del pasado", comentó por su parte Arturo Gordo, Director de Ciberseguridad y Sistemas en HM Hospitales. En este contexto, quiso remarcar la importancia de incidir en otros elementos que permitan proteger aquellos aparatos que no están diseñados para ser ciberseguros.
Augusto Cañas, director de Tecnología de Quirónsalud, compartió esta apreciación de Arturo Gordo y explicó que "el riesgo cero no existe, y más sabiendo que la madurez de los equipos en el sector sanitario es muy diversa".
Por ello, los expertos coincidieron en que es fundamental configurar un sistema que permita una rápida toma de decisiones y sirva para detectar todo lo que está ocurriendo y controlar esas partes que no son seguras, pudiendo aislarlas y actuar sobre ellas de la manera más eficiente posible.
Se deben "diseñar las soluciones digitales y los dispositivos incorporando las características de seguridad desde el inicio, para que sea más sencillo controlar y proteger la ingente cantidad de datos que manejan las empresas en la actualidad", comentó Rodríguez.
La educación como eje
"La mayoría de las pérdidas de datos que sufrimos suelen venir por errores humanos que se podían haber corregido si las personas hubieran contado con la formación y concienciación necesarias", expuso Juan Carlos Coma.
Concretamente, "los ataques que reciben las compañías no provienen siempre del exterior", subrayó Rodríguez. "También pueden llegar desde dentro", añadió, y destacó que con un buen conocimiento sobre buenas prácticas en ciberseguridad se pueden minimizar estos riesgos.
"La tecnología es un aspecto que nos va a acompañar a lo largo de toda la vida", comentó José Pereira Hernández, director de Medios de Asisa. Es cierto que "en el entorno hospitalario la digitalización está llegando más tarde que en otros sectores, como el de la banca, pero es un aspecto implícito en la actividad humana y, por ello, debe educarse sobre ciberseguridad en los colegios, igual que se enseña economía u otras materias", quiso añadir.
Por su parte, Cañas, subrayó que "la sensibilización en este sentido se plantea como un aspecto fundamental para el sector de la salud, dado el tipo de datos personales que manejan, muy sensibles y con información crítica sobre los pacientes y su historial clínico".
Además, "los usuarios no empiezan a ser conscientes de los peligros que plantea el entorno digital hasta que no sufren riesgos personales", comentó Gordo.
Estrategia de negocio
"La prevención en las compañías también es clave", indicó Cañas, "la ciberseguridad debe tener un papel relevante en las decisiones de las direcciones y debe ser parte troncal de la estrategia digital".
Juan Carlos Coma expuso que "la ciberseguridad es clave para garantizar una transformación digital sostenible. Las empresas deben contar con una gestión holística de la ciberseguridad: desde la identificación de personas y activos, hasta la protección, la detección, la respuesta, y también la recuperación frente a un ciberataque. Y esta gestión se debe reforzar con una concienciación masiva en materia de ciberseguridad". Asimismo, compartió un dato preocupante, ya que, "durante los últimos 12 meses, más del 80% las pequeñas y medianas empresas han sufrido algún ataque" que les ha afectado al funcionamiento normal de su negocio.
Entonces, para poder "seguir avanzando, y estar preparados para el futuro, se necesita inversión", recalcó Pereira. "Las compañías no tienen asimilado aún que el gasto en ciberseguridad es clave", dado que los resultados de ella no son tangibles y son difícilmente medibles, "por eso, sigue habiendo muchas compañías que no lo tienen en el eje de su estrategia", añadió.
Por su parte, Cañas destacó que "los avances tecnológicos y la ciberseguridad deben ir de la mano, y debe ser uno de los principales objetivos de las direcciones generales de las compañías".
En este sentido, Rodríguez manifestó que "las empresas que ofrecen aparatos y soluciones digitales, dependen bastante de los suministradores". Por ello, la autoexigencia que se marquen los equipos directivos de los fabricantes y diseñadores de productos, será clave para mantener protegida la información a lo largo de todo el proceso. "Es fundamental saber que los colaboradores con los que trabajamos tienen una garantías de seguridad, tanto en la cadena de producción como en el diseño y fabricación", añadió.
Asimismo, "los planes de recuperación y continuidad del negocio, tras un gran ataque cibernético, deben formar parte de la estrategia de crisis de la dirección general", comentó el director de Tecnología de Quirónsalud.
Los ciberataques van a seguir ocurriendo, independientemente del nivel de ciberseguridad. Entonces, "es recomendable estar preparado para solucionar la brecha de seguridad lo más rápido posible", recalcó Coma, "es mejor recuperarse en horas que en días para intentar que el efecto sea el mínimo, es primordial para que la continuidad del negocio sea segura a pesar de los ciberataques".
Rodríguez apoyó la idea de Coma y destacó que "la infraestructura y la gestión empresarial deben servir para recopilar datos e información relevante" que permita seguir mejorando la seguridad de las redes y facilite la alerta temprana. Porque "tener la capacidad para detectar y solucionar los problemas en el menor tiempos posible, es fundamental para la viabilidad del negocio", añadió.
Una homologación regulada
Recientemente, "la Unión Europea ha sacado una directiva comunitaria que modifica e intensifica los criterios de homologación de la tecnología médica (medical devices) y asemeja el proceso al de la aprobación de medicamentos", indicó Borregón. Pero quiso destacar que "todavía falta una regulación que cuente con un componente claro sobre ciberseguridad".
Por otro lado, Pereira comentó que "el problema es que, normalmente, los marcos regulatorios sobre tecnología suelen llegar tarde", porque la tecnología avanza tan rápido que suelen quedarse desfasados, incluso antes de su implantación. Dado esto, "los primeros años de regulación deberían ser de adaptación, con un marco muy flexible", subrayó Gordo. No debería ser demasiado rígido para evitar "que se bloquee el avance desde el principio, porque nos puede hacer retroceder en vez de avanzar", añadió.
"El diseño y la homologación de material deben ir necesariamente de la mano", expuso Augusto Cañas por su parte, "debe crearse un marco que sea pragmático" y que proteja al usuario, pero sin impedir el desarrollo de nuevas tecnologías, "porque evolucionan tan rápido que tiene que estar preparado para adaptarse a su evolución".
Cabe destacar que el director de Tecnología de Atos Iberia, hizo hincapié en "la importancia de las normas privadas" ahora que no existe una regulación definida. Unas reglas que se autoimponen las compañías para la compra de tecnología sanitaria, "seleccionando los mejores dispositivos y las empresas con las mejores prácticas", porque son componentes muy delicados que están dirigidos a controlar la salud de las personas.
Por ello, la Enterprise Sales director de Dell, remarcó que es bienvenido "todo aquello que nos ayude a marcar unos estándares para que el diseño de soluciones tecnológicas sea lo más seguro posible".
En definitiva, lo que se necesita "es un marco regulatorio que recomiende y ayude a las compañías a cumplir unos requisitos mínimos de ciberseguridad", explicó el director de Ciberseguridad de HM Hospitales.
Subvencionar la inversión
Tras el exhaustivo análisis que hicieron los expertos sobre la situación del sector salud y de los materiales médicos, en relación con la ciberseguridad, concluyeron que son necesarios estímulos que fomenten y aceleren la inversión en esta materia, porque es la única manera de seguir avanzando.
"Se necesita una inversión constante en innovación y en el desarrollo de nuevas tecnologías para que los nuevos aparatos médicos nazcan lo más ciberseguros posible", destacó el director de Medios de Asisa.
Por ello, son necesarios "planes de inversión que apoyen a las empresas a llevar a cabo un proceso de digitalización que sea seguro desde el inicio", comentó por su parte Coma, que también quiso subrayar que esto fomentará la innovación en las compañías. Porque tanto "la sustitución de los equipos desfasados como la mejora de los dispositivos que necesiten actualizarse, conlleva una importante inversión si queremos mantener toda la red protegida", manifestó por su parte Arturo Gordo.
En resumen, los expertos coincidieron en que impulsar la educación y la inversión en ciberseguridad es la única manera de seguir avanzando en esta materia.