riesgo-cibernéticos

Riesgo Cibernético, una enfermedad que aqueja al Sector Salud

Diríjase a la sección

Visión General

Como si se tratara del más delicado de sus pacientes, el sector salud busca con afán las medicinas y los tratamientos que lo ayuden a protegerse de una de las peores epidemias de los tiempos modernos: las crecientes amenazas y ataques cibernéticos que lo tienen en la mira.

Canadá con el 53% y Estados Unidos con el 36% son los dos países con el mayor número de organizaciones de cuidado de la salud expuestas. En Reino Unido, la industria de la salud reportó más de 870 casos de violaciones a la privacidad de los pacientes en el 2016.

Latinoamérica no es la excepción, países como Brasil, México, Argentina, Chile y Colombia, han reportado casos de ataques, que oscilan desde encriptación de datos para su posterior secuestro, hasta afectación del normal funcionamiento de aparatos médicos.

Una amenaza real para la que no hay vacunas ni tratamientos infalibles, que requieren de previsión, preparación, y que, al mejor estilo de los males contagiosos, tiene la capacidad de afectar a diferentes tipos de organismos: hospitales, clínicas, EPS, laboratorios, farmacéuticas, otras entidades prestadoras de servicios de salud, e incluso los mismos pacientes y usuarios.

David Sánchez, líder técnico en la práctica de cyber de Aon Colombia, explica que el sector salud presenta un mayor riesgo,  frente a otros sectores a la hora de enfrentarse a un posible ataque: los datos de terceros “Al ser información que es especialmente sensible, afectaría temas como el derecho de la intimidad, el derecho de la seguridad, el derecho de la dignidad humana, del buen nombre, entre otros, en general, todo lo que se derive de los derechos constitucionales de cara al ciudadano.”


EN PROFUNDIDAD

De acuerdo con la Encuesta Global de Riesgos 2017 de Aon, el crimen cibernético es el cuarto factor que genera mayor preocupación entre los miembros del sector Salud a nivel global, proyectándose a 2020 como el segundo riesgo con mayor relevancia.

Esto, según Sebastián Quiceno gerente y líder comercial en la práctica de cyber de Aon Colombia, “no es una sorpresa entendiendo la automatización de procesos a los que se ha visto expuesta la industria, esto incluye desde el registro de pacientes y sus respectivas historias clínicas, hasta el uso de máquinas para el desarrollo de procesos quirúrgicos complejos”.

Sin embargo, señala Quiceno, cuando se habla de riesgo cibernético, no se debe limitar el concepto al ataque de un agente externo a la organización. “Es importante considerar a su vez el error humano de un empleado bien intencionado, que es de hecho el segundo factor que más impacta el riesgo cibernético, y cuyas consecuencias podrán ser igual o más graves a si el evento fuera por un hackeo de datos”.

Temas sensibles, consecuencias y sanciones

Como se ha mencionado, las brechas tecnológicas que dan lugar a un riesgo cibernético en las entidades prestadoras de salud comprenden todos aquellos sistemas que puedan ser accedidos a través de un sistema de red o conexión como son los equipos de cómputo, los sistemas de control de luz de las salas de cirugía, e incluso, los marcapasos, dispositivos médicos, controles, entre otros.

Estos últimos, a pesar de ser escenarios poco usuales, “podrían representar un riesgo creciente, incluso con fines de sabotaje, conllevando a impactar negativamente la reputación de una institución”, explica David Sánchez.

De este modo, la relevancia de un ataque cibernético en el sector, se debe en gran medida al impacto que pueda llegar a generar en la normal operación de la entidad.

“Incluso podría llevar a un posible caos operativo por restricción de uso de los sistemas digitales de almacenamiento y manejo de datos, sanciones económicas a la entidad y hasta a la persona natural que está a cargo de la información que fue motivo del ataque, daño a la reputación, entre otros.”  menciona Sánchez.

Adicionando que “es igualmente importante considerar los impactos que se pueden generar con consecuencias legales por responsabilidad, como por ejemplo demandas civiles, acciones de grupo y tutelas, consecuenciales al deber de custodia y manejo de la información y por ende de los efectos por su pérdida”.

OTROS FACTORES DE RIESGO

Finalmente, cuando se habla de riesgo cibernético, no se debe limitar el concepto al ataque de un agente externo a la organización. Es importante considerar a su vez el error humano de un empleado bien intencionado, que es de hecho el segundo factor que más impacta el riesgo cibernético. “Esto se puede presentar porque el este sector al igual que cualquier otro funciona y opera a través de personas, por lo que si una de ellas en lugar de enviar una información importante a un destinatario autorizado, como por ejemplo un hospital, lo manda a otro destinatario, o lo transmite a través de un medio en donde queda expuesto públicamente, las consecuencias podrán ser igual o más graves a si el evento fuera por un hackeo de datos”, dice Sebastián Quiceno de Aon.

Adicionalmente, la condición de desconocimiento del nivel de exposición del Sector Salud ante un posible ataque cibernético o la falta de priorización en materia de gestión de riesgos en este sentido aumenta su vulnerabilidad en la medida que no tienen una total identificación de su nivel de responsabilidad frente al manejo de información.

¿CÓMO MITIGAR LOS RIESGOS?

Existen otras posibles consideraciones del riesgo cibernético relacionadas con el acceso y manipulación de los sistemas tecnológicos utilizados para el normal funcionamiento de la entidad prestadora de servicios de salud, los cuales van desde el equipo de cómputo, hasta los sistemas de control de luz de las salas de cirugía, los marcapasos, accesos, controles, y en general todos aquellos que puedan ser accedidos a través de un sistema de red o conexión.

“Son escenarios que si bien se han presentado poco, podrían representar un riesgo creciente, y que incluso podrían usarse hasta con fines de sabotaje conllevando a impactar negativamente la reputación de una institución”, explica David Sánchez.

Aunque el sector salud va siendo cada vez más sensible a este tema, entendiendo que los riesgos cibernéticos están directamente relacionados con su operación, tanto por el manejo de datos personales de sus pacientes como por su alta dependencia a procesos electrónicos o redes de computación necesarias para su funcionamiento, aun quedan aspectos por explorar de cara a la operación propia del servicio de salud y con ello a consecuencia más allá a la sola pérdida de datos, abriendo la puerta a daños a bienes, personas y a la reputación de las entidades.

La mejor opción en cada una de las instituciones que conforman el sector es entender los riesgos, gestionar su ocurrencia y buscar los mecanismos de transferencia necesarios como los seguros, atendiendo al ciclo propio de la administración de riesgos y procurando establecer un protocolo preventivo y no solo reactivo.

En Aon la gestión integral del riesgo cibernético prevé identificar las causas del riesgo, establecer la relación entre la actividad de la institución y sus consecuencias, diseñar el producto de aseguramiento propio para la naturaleza del riesgo y finalmente diseñar a la medida el mecanismo de protección que funja como un aval y aliado a la protección de las instituciones, sus empleados, sus pacientes, sus usuarios y en general el sistema de salud.