Los ciberataques a los hospitales siguen siendo una amenaza constante, ya que ponen en peligro su capacidad de proporcionar una atención eficaz y los exponen a graves pérdidas económicas y violaciones de la privacidad de los datos. Este tipo de actividad cibercriminal no parece que vaya a disminuir en el futuro cercano. Por ejemplo, Michigan Medicine, con sede en Ann Arbor, informó recientemente que el sistema sanitario sufre unos 500.000 intentos de piratería cada día.
Como resultado de estas amenazas de ciberseguridad cada vez mayores, los sistemas de salud están priorizando el papel del director de seguridad de la información (CISO), señaló Zach Durst, consultor de la firma de asesoría de liderazgo WittKieffer.
“Hoy en día, el CISO suele ser el único responsable tecnológico de su organización, además del director de información, que informa periódicamente al director ejecutivo y a la junta directiva. El objetivo es garantizar que los altos directivos comprendan en todo momento el panorama de amenazas en constante evolución y cómo su organización está mitigando los riesgos de ciberseguridad y desarrollando contingencias para ataques o eventos de cisne negro”, explicó.
Durst afirmó que “casi todos los sistemas de salud” cuentan ahora con un CISO o al menos con un líder con título de director que se encarga de la seguridad de la información. En su opinión, las organizaciones sanitarias finalmente han reconocido lo importante que es tener un líder dedicado y centrado en comprender su entorno de riesgo y establecer los métodos de protección adecuados.
Una encuesta reciente realizada por WittKieffer descubrió que aproximadamente el 65% de los ejecutivos de seguridad de la información de atención médica están en el nivel de vicepresidente o vicepresidente sénior, y la mayoría de los demás en el nivel de director ejecutivo y director.
Para ser eficaz, un CISO de atención médica debe poder interactuar con casi todos los líderes de un sistema de salud, señaló Durst. Esto a menudo implica tener una relación de trabajo cercana con otros, como el director de tecnología u otro líder que gestione la infraestructura tecnológica de la organización, así como con el director de datos y análisis u otro líder que esté a cargo de la información del paciente. Por lo general, también significa tener una sólida asociación con el director jurídico y el director de cumplimiento, señaló Durst.
Los CISO también deben trabajar en estrecha colaboración con el CEO y el CIO de su organización para garantizar que el programa de ciberseguridad cuente con los recursos adecuados, añadió.
“El CISO moderno no puede esconderse detrás de su escritorio”, afirmó Durst. “Tiene que ser visible y capaz de generar consenso entre amplios grupos de interesados”.
A partir de su experiencia hablando con CISO de toda la industria de la salud, Durst dijo que escucha que la necesidad no es tanto una mayor inversión en recursos y salarios de ciberseguridad, sino más bien invertir de manera inteligente los recursos que los sistemas de salud tienen a su disposición.
Desde su punto de vista, los buenos CISO son pragmáticos y pueden evaluar la tolerancia al riesgo de su organización y construir un programa de ciberseguridad en torno a ella con los recursos disponibles.
“Si bien es difícil demostrar el retorno de la inversión en programas de seguridad de la información, ¿cómo se puede poner un precio a los ataques que se previenen o evitan? La mayoría de las organizaciones comprenden visceralmente la importancia de la ciberseguridad en la actualidad y la financiarán. Incluso los sistemas de salud con dificultades económicas no pueden permitirse un riesgo de seguridad significativo”, declaró.
Foto: Traitov, Getty Images