El sector de la sanidad privada se debe preparar para cumplir el próximo año con la nueva directiva europea en materia de ciberseguridad, NIS2. Un texto que redobla las exigencias de protección para las empresas, y que entre otras cosas exige medidas de doble autenticación, gestión de riesgos y cifrado de la información.
Así lo ha explicado el responsable de sectores estratégicos Sanitario, Alimentario y de Investigación del Instituto Nacional de Ciberseguridad (Incibe), Juan Díez, durante el V Simposio del Observatorio de la Sanidad. Se trata, ha dicho, de una normativa europea que hay que transponer “a la que no hay que tener miedo, pero sí estar seguros de que los deberes están hechos”.
Para el responsable de Incibe es importante que el sector sanitario trabaje en mejorar sus estrategias de protección frente a ciberataques pues estamos hablando del “segundo sector con mayores incidentes por detrás del sector público”.
20. Juan Díez González, responsable de sectores estratégicos INCIBE
¿A qué se debe esta prevalencia? A distintos factores: la criticidad de los servicios, la obsolescencia de los equipos, la interoperabilidad de los datos y -s obre todo- “el dato de oro que esconden los sistemas sanitarios: los datos clínicos de los pacientes”, ha dicho.
Para hacernos una idea, Díaz ha explicado que en el mercado negro los datos íntegros de una tarjeta de crédito pueden alcanzar los 16 dólares, mientras que un expediente sanitario completo puede rondar los 1.000 dólares.
La nueva normativa también va a exigir a las empresas sanitarias a comunicar al Incibe cuándo han sido atacadas por ciberdelincuentes y cuál ha sido el alcance y objeto del ataque.
Para lograr que las organizaciones se adapten a los cambios y estén alineadas en la protección de la ciberseguridad, es esencial que se ponga en marcha “un análisis de riesgos”, pero sobre todo, ha explicado el responsable del Incibe, que “se visibilice el riesgo por parte de las direcciones y asuman que hay que afrontarlo”.
Hay que visibilizar el riesgo y que las direcciones asuman que hay que afrontarlo. A partir de ahí todo fluye por la organización y se pondrá en marcha un análisis de riesgos y un plan de ciberseguridad.
Por último, Díaz ha pedido a la población que hagan lo posible por estar al día de las nuevas amenazas que surgen por parte de los ciberdelincuentes para evitar ‘caer’ en sus trampas. Un proceso que ha denominado como de “ciberhigiene”.