El sector sanitario es uno de los más atacados a nivel mundial. Se suceden con frecuencia las noticias de hospitales que han sido hackeados y cuyos servicios esenciales se han visto bloqueados por una mala gestión del ataque. La digitalización de la sanidad en España acarrea un gran esfuerzo en implementar procesos de ciberseguridad.
De este tema se ha hablado en la quinta edición del Observatorio de la Sanidad organizado por EL ESPAÑOL e Invertia inaugurado este lunes por la ministra de Sanidad, Mónica García. Félix Muñoz, director general de Innotec y Cyber Industry & Go to Market de Accenture ha comenzado esta mesa redonda recalcando la lata complejidad que supone proteger el sector sanitario por su elevada cadena de proveedores. Esta idea la han confirmado sus otros dos acompañantes en el debate Pedro Pablo Pérez, director general de TRC y Fernando Fatuarte Troya, senior account manager de Administraciones Públicas y Sanidad de SIA Minsait.
Este último, Fernando Fatuarte, afirma que la tecnología está madura y la normativa también, "solo hay que adoptarla, de nada sirve si no la podemos aplicar de forma coherente". Para ello el experto de Minsait ha explicado que "todos deben estar alineados para acoger el cambio". La concienciación forma un papel esencial en este proceso, pues como ha indicado el director general de TRC, "en los casos que vemos nosotros, hay un antes y un después en las compañías que han realizado simulacros y ven los riesgos a los que se exponen.
Por el contrario, aquellas que no están familiarizadas con los riesgos a los que se enfrentan, "entonces hay mucha improvisación y normalmente suele salir mal". Por este motivo, tener un plan es clave: "hay que inventariar los procesos existenciales e identificar el proveedor de ese proceso existencia que debe asegurarse que ese proceso no se interrumpa nunca", ha indicado Fernando Fatuarte. Por su parte, Félix Muñoz ha aclarado que en ese proceso de estudio de los proveedores cada vez se dan más pruebas individuales como a conocer el estado de seguridad de cada proveedor. "Una parte muy importante es el plan de comunicación, cómo se comunica de forma interna o externa el ataque", añade Muñoz.
No obstante, los tres ponentes se han mostrado confiados en la labor que se está realizando en este sector en España. Por su parte, Felix Muñoz afirman que ha notado un gran cambio en la concienciación, "antes ibas a los hospitales y había post its con el passwords que los médicos se pasaban unos a otros, ahora eso no pasa". También se cuentan con nuevas tecnologías que permiten usa la autentificación en dos pasos o el reconocimiento facial.
"La inversión pública es bastante alta en temas de ciberseguridad", ha afirmado Pablo Pérez, quién añade que en el sector privado es distinto, donde no han conseguido la inversión del sector público. "Cuando tienes un número de proveedores muy denso es complicado aplicar medidas de seguridad, pues les estás exigiendo un nivel de inversión muy alto que termina afectando a su negocio", ha dicho Muñoz.
El gasto no se equipara a la inversión en opinión de Pablo Pérez y Fernando Faturate. El directivo de Minsait ha explica que la compra de equipos es un gasto que dificulta la implementación de la seguridad: "se compran un montón de elementos existenciales que se distribuyen de forma desorganizada por los hospitales en redes que no están segmentadas y que necesitan accesos remotos y supone un vector de entrada que mete un riesgo importante a las entidades".
Para terminar la mesa redonda, los tres ponentes han concluido aportando un reto que consideran aún pendiente y donde ha surgido la adopción de la inteligencia artificial como nuevo factor a tener en cuenta en ciberseguridad. "La IA va a llegar a procesos asistenciales y esta tecnología tiene sesgos, es posible hackearla, decirle que haga lo que no debe" ha recordado Fernando Fatuarte, asegurando la necesidad de reformar la seguridad al mismo tiempo que se integra esta tecnología de vanguardia.
Félix Muñoz refuerza esta idea, pidiendo que las empresas se empiecen a dar cuenta de que necesitan un framework que les permita evaluar el riesgo y construir estructuras seguras respecto a la IA.