Por la Lic. Sara Bursztein
Es Lic. en Sistemas de Información de la Facultad de Ingeniería UBA, Especialista en Seguridad Informática del Posgrado de la UBA. Con una importante trayectoria en consultoría, desarrollo y puesta en marcha de soluciones informáticas. Co-Fundadora de GSinfo, empresa comprometida desde el 2010 en el desarrollo e implementación de Ciberseguridad en las Organizaciones con diferentes líneas de negocios. En la actualidad se desempeña como Directora de GSinfo.
Hoy hemos entrevistado a la Lic. Sara Bursztein para adentrarnos en la problemática de los ciberataques que hoy sufren las Organizaciones de Salud (OS) en el contexto de esta pandemia.
- ¿Cuál es el objetivo de un ciberataque a una OS?
El objetivo de los ciberdelincuentes es ganar dinero. Los ciberataques existen porque hay un mercado cada vez más demandante del servicio. La ciberdelincuencia es hoy uno de los negocios más rentables del planeta. Una historia clínica tiene un valor entre 10 a 50 veces más que un número de tarjeta de crédito. Secuestrar los datos de una OS inutilizando su servicio puede representar un rescate de decenas de millones de dólares pagados en Bitcoins.
- Entonces, en este contexto ¿Cuáles consideras son las causas por las que hoy resultan tan vulnerables las OS frente a un ciberataque?
Los ciberdelincuentes han tomado nota del valor de la información y del negocio que manejan las OS con infraestructuras informáticas inseguras y personal no concientizado, ni capacitado para una gestión segura. La dependencia de las Tecnologías para brindar servicios en un contexto de pandemia transformó a las Instituciones de Salud en un blanco fácil.
En relación a la vulnerabilidad, podemos hablar de una multicausalidad.
En primer lugar el factor humano, ya sea por falta de conciencia o capacitación es la mayor brecha de seguridad de la información asociado a más del 80% de incidentes. Hoy las organizaciones están preparadas para enfrentar cortes de energía e inundaciones con grupos electrógenos, incendios con planos de evacuación pero sigue siendo un ataque común que un usuario abra un correo dañino, inserte un pendrive infectado o entre en un sitio WEB malicioso para que pueda comprometer el funcionamiento de toda la infraestructura que sostiene la información de la Organización. En segundo terminó hoy la salud se gestiona con tecnología y esto ha creado una gran dependencia.
Las nuevas tecnologías proveyeron innumerables beneficios, pero también vinieron acompañadas de riesgos y amenazas, que hoy impactan a las OS. La adquisición de Tecnología tiene que estar integrada a la Ciberseguridad, para asegurar la disponibilidad, confidencialidad y recuperación de los servicios en caso de incidente.
Por último el actual escenario de pandemia puso el foco de las OS en asegurar recursos de respiradores, vacunas y camas en terapia, pero adicionalmente han tenido que abordar en forma vertiginosa una transformación digital para proveer un servicio a los pacientes, telemedicina, atención digital, portales médicos, prescripciones digitalizadas, entre otros servicios en línea. Además hay que agregar el home office del personal de las OS, que ha generado un cambio en la gestión y la necesidad de nuevas infraestructuras de equipamiento y comunicaciones para continuar con el negocio. Ambos puntos, la transformación digital y el home office, implementados con la urgencia de dar continuidad a los servicios, ha provocado una gran cantidad de brechas en la seguridad de la información.
Estos factores, en mi opinión, han sido los principales orígenes de vulnerabilidades involucrando las tecnologías, personas y procesos, que facilitaron y abrieron las puertas para los ciberataques.
- ¿Pueden hacer algo las OS para defenderse de los ciberataques?
Sí, por supuesto. El primer paso es que la dirección tome conciencia que los ciberataques atraviesan a todas las OS. Que la Ciberseguridad debe formar parte de la estrategia del negocio. Las conducciones de las OS deben ser Ciber Responsables.
- ¿Qué implica ser ciber responsables?
Ser Ciber Responsable es implementar Ciberseguridad. La conducción de las OS son responsables de brindar el sponsor y asignar los recursos económicos para cumplir con la obligación y el compromiso asumido con la sociedad, asegurar la continuidad de los servicios de la salud en respuesta a la confianza que las personas han depositado en ellas, hoy potenciado por la pandemia.
- ¿Cómo se implementa Ciberseguridad en una OS?
Desde GSinfo hemos desarrollado una estrategia basada en un esquema de mejora continua sustentado en la prevención.
Nuestra metodología presenta tres etapas, Diagnóstico, Blindaje y Monitoreo, con una visión de Ciberseguridad sobre la Tecnología, las Personas y los Procesos. Hago hincapié en este punto, ya que a veces se comete el error de considerar únicamente las vulnerabilidades de las infraestructuras y no la del factor humano, que es la mayor causa de incidentes en seguridad de la información.
El Diagnóstico expone la situación actual de la Organización en materia de Ciberseguridad, nuestros profesionales realizan un análisis que incluye desde el test de penetración de infraestructuras hasta la evaluación de capacidades del personal para proteger la información. Como resultado del diagnóstico elaboramos un Informe de Vulnerabilidades detectadas y recomendaciones.
El Blindaje es la planificación y puesta en marcha de las acciones de fortalecimiento a llevar adelante a partir de las Vulnerabilidades detectadas. Un ejemplo de estas acciones es asegurar el resguardo de la información como herramienta de recuperación, la concientización y capacitación del personal, la actualización de parches y todas las remediaciones priorizadas en la planificación de acuerdo a la criticidad para la Organización.
Por último la etapa de Monitoreo permite sustentar la Ciberseguridad ya que involucra los controles que aseguren que se están haciendo bien las cosas, que podemos recuperar toda la información restaurando el backup por ejemplo. Por otra parte la seguridad de la información está en constante evolución es importante la actualización de nuevas acciones de prevención y detección, volviendo de esta manera a recomenzar el ciclo de mejora continua de la Ciberseguridad.
- ¿Hay algún mensaje que quieras dejar para concluir nuestra entrevista?
Sí. Hoy es necesario que la dirección de las Organizaciones de Salud ponga en la agenda la seguridad de la información como una prioridad antes que la agenda sea ocupada por los ciberataques sobre la información. WAKE UP!
Lic. Sara Bursztein