Protección de datos sanitarios: Cumplimiento RGPD en hospitales

De Esteban Sardanyés

rgdp sector sanitario

El sector sanitario es uno de los más susceptibles a ser ciberatacado. Esto se debe a la gran cantidad de datos e información sensible o confidencial de la que dispone. Es uno de los sectores que más datos genera, por eso, cumplir con la RGPD y disponer de sistemas de seguridad informática, que minimicen el riesgo de sufrir una fuga de datos, es una preocupación que cualquier empresa, organización, entidad o asociación perteneciente a este sector, deberá tener e incluir dentro de sus políticas de funcionamiento. 

El 89% de las organizaciones sanitarias ha sufrido una media de 43 ataques en 2022. Casi uno cada semana. 

No obstante, dentro del ámbito sanitario, no sólo la RGPD es de cumplimiento obligatorio, sino que también encontramos la Ley de Autonomía del Paciente que establece la confidencialidad de los datos médicos. 

Nueva llamada a la acción

 

Sin embargo, asegurar que la información no será transferida a terceros, no significa que no pueda estar al alcance de ser vulnerada a través de ciberataques, sobre todo si no se toman las medidas de seguridad adecuadas. 

¿Cómo cumplir con la RGPD en hospitales y clínicas? 

Tal y cómo explicamos en nuestro anterior artículo: Aspectos técnicos RGPD: Protección de datos en sistemas informáticos, cumplir con esta ley de protección de datos no es solo un trámite burocrático, sino que entran en juego aspectos informáticos que debes implementar en la infraestructura IT de tu organización, para garantizar su correcto cumplimiento. 

Cumplir con el RGPD es sinónimo de evitar ciberataques. En el momento en que un hospital o clínica ha sufrido un ataque cibernético, significa que los datos han estado expuestos, vulnerando así dicho reglamento y la Ley de Autonomía del Paciente. Para minimizar el riesgo de la entrada de malware en hospitales y clínicas, éstas deberán cumplir con una serie de aspectos técnicos, además de implementar soluciones de ciberseguridad en su sistema informático. 

Medidas de seguridad informática imprescindibles para la protección de datos en hospitales y clínicas 

Antes de implementar alguna solución de seguridad informática, es necesario conocer las necesidades del sistema que se quiere proteger. Hay la creencia que cuantas más medidas se pongan, más seguro será un sistema, sin embargo, en ESED, como especialistas en ciberseguridad, podemos confirmar que no siempre es así, sino que para minimizar el riesgo de la entrada de malware en un sistema, es mejor disponer sólo de aquellas medidas que realmente vayan a protegerlo. 

Medidas de seguridad mal configuradas o no aptas para determinados sistemas informáticos, pueden terminar convirtiéndose en una brecha de seguridad. 

Por tanto, el primer paso de todos, será realizar una auditoría del sistema, para conocer sus vulnerabilidades y cuál es la mejor opción para solventarlas. 

En ESED realizamos una auditoría gratuita sobre un sistema, para conocer dichas vulnerabilidades. Puedes solicitarla en el siguiente enlace. 

AUDITORIA GRATUITA

Una vez realizada dicha auditoría, ¿de qué soluciones estamos hablando? 

Disponer de una estrategia de ciberseguridad: Guía de buenas prácticas 

Las estrategias de ciberseguridad sirven para determinar cómo se van a proteger los datos, su tratamiento y uso. Un manual de buenas prácticas para minimizar los riesgos de ciberataques y saber cómo actuar, de manera correcta y de forma legal, en caso de que un ciberdelincuente consiguiera traspasar las barreras de seguridad del sistema informático del hospital o la clínica. Lo que conocemos como protocolo de respuesta ante ciberataques.

Implementación de Firewalls y endpoints que bloqueen las amenazas que están buscando la manera de entrar en el sistema 

Los firewalls y endpoints son la primera barrera que se encuentra un ciberdelincuente cuando hace un intento de infección con malware a un sistema. 

Por ejemplo, en ESED trabajamos con Endpoints que integran sistemas XDR. Este nos permite trazar de dónde proviene la amenaza, aislando los dispositivos que se encuentran en peligro, para evitar que se propague y eliminarla de forma automática. 

Soluciones antiphishing: Los ciberataques a través de correo electrónico siguen siendo los más utilizados y que mejor funcionan a los ciberdelincuentes. 

El factor humano es la principal causa de la entrada de malware en una organización sanitaria. Clicar en enlaces no seguros o descargar archivos infectados por un virus, como por ejemplo ransomware, sigue siendo la manera más eficiente de romper las barreras de seguridad de un sistema. Y esto se conoce como Phishing.

Nueva llamada a la acción

 

Lo que hacen las soluciones antiphishing es filtrar los correos antes de que estos terminen en la bandeja de entrada de su destinatario. 

Gestor de credenciales: Un ciberdelincuente puede descubrir una contraseña de entre 7 a 8 carácteres en 2 segundos. 

Según un informe de la consultora Deloitte, casi el 90% de las contraseñas de los usuarios de todo el mundo son vulnerables a los ciberataques. De ahí la importancia de crear contraseñas seguras y utilizar gestores de contraseñas para acceder a los distintos servicios de Internet.

Además, añadir la autenticación multifactor o de dos factores (2FA) es de suma importancia para maximizar la seguridad de la cuenta.

Te contaré una historia real que ocurrió en la oficina: 

El otro día nuestra compañera de marketing abrió nuestra cuenta de Tik Tok en su móvil. Automáticamente llegó a nuestro correo corporativo un mensaje de alerta de que un dispositivo nuevo o desconocido había iniciado sesión. Después del aviso, en el chat de la corporación se preguntó quién había sido y todo quedó en un susto, pero cuando no se dispone de la autenticación de doble factor, conociendo solo la contraseña, cualquiera puede acceder a una cuenta si dispone de la contraseña. 

Realización de copias de seguridad periódicas para recuperar la información siempre que sea necesario 

Cuando se disponen de copias de seguridad de la información actualizadas, en caso de ciberataque, la organización puede recuperar de forma fácil y rápida toda la información de la cual el ciberdelincuente ha bloqueado su acceso. No obstante, cuando éstas están desactualizadas o son inexistentes, la organización no puede recuperar la información a menos que llegue a un trato con el ciberdelincuente, y créeme cuando digo, que esto nunca sale bien. 

Implementar estas medidas de seguridad en un hospital o clínica, sin duda ayuda a cumplir con la RGPD minimizando los riesgos de sufrir un ciberataque. 

A continuación dejamos el testimonio de uno de nuestros clientes del sector Biotech. 

Nueva llamada a la acción

Y otro del sector farmacéutico.

Nueva llamada a la acción
Para que puedas hacerte una idea de cómo podemos ayudar a garantizar la seguridad de una infraestructura informática y proteger los datos de los pacientes.