El 20 de junio de 2017, tuve la oportunidad de participar en la mesa redonda que organizó AON sobre la ciberseguridad en los sistemas de información de las compañías de salud.
A través de las siguientes palabras quiero compartir lo mucho que he aprendido en un tema al que siempre he estado ‘amenazado’ pero en el que no había tenido la oportunidad de profundizar.
Lo primero que me gustaría destacar es la composición de los miembros de la mesa redonda que demuestra la importancia de sumar experiencias diversas alrededor de un tema. La mesa la conformábamos un experto en la digitalización de la salud, un abogado de Garrigues para conocer la responsabilidad legal de los potenciales ciberataques y una experta en seguro que asegura todos estos riesgos.
Lo segundo es que el sector de la salud es uno de los sectores más atractivos para recibir ciberataques. ¿Por qué? Porque al digitalizar la gestión de la salud, se están generando millones de datos y éstos los estamos convirtiendo en conocimiento. Y muchos de estos datos son muy valiosos porque o bien, son de carácter personal, o bien, son de carácter empresarial.
Lo tercero es que me convencieron del riesgo y, sobretodo, del impacto que puede tener un ciberataque para las compañías de salud. Para los que creíamos que este tema no va con nosotros, sólo recordad que Bayer se vio perjudicada por el virus Wanacry el pasado mayo de 2017, como le sucedió a muchas otras organizaciones. Estamos expuestos a que ciberdelincuentes puedan robarnos nuestra intimidad profesional, nuestra propiedad intelectual o descubrir secretos profesionales. Estos ciberataques pueden ser de origen digital (brecha digital) u offline por el robo o la pérdida de dispositivos digitales (como smartphones, portátiles o tablets).
Además en España somos el tercer país en el ranking por el número de ciberataques con un crecimiento del +400% en el último año. La compañía de software anti-virus, McAffe en un estudio del año 2016 cuantificaba que el coste mundial de los cibercrimenes costó unos 445 billones de euros.
El cuarto mensaje es qué entendemos por un ciberataque. Se trata de cualquier praxis donde un ciberdelincuente puede descubrir una brecha digital que ponga en riesgo la privacidad de los datos atacando las infraestructuras de las empresas que gestionan datos de salud. Y estos ataques tienen un doble objetivo:
1. Acceder a información relevante como información sobre desarrollo de nuevos medicamentos, conocimiento sobre patentes de nuevos servicios de salud o descubrir planes estratégicos de negocio del futuro.
2. Dinero: 3 potenciales impactos económicos:
- pedir rescate a la organización secuestrada para que a cambio de dinero nos devuelvan el uso adecuado de los sistemas de información afectados y no revelen la información secuestrada.
- impacto en la reputación de la organizada atacada.
- indemnización por revelación de información + coste en reputación + costes de interrupción de un sistema informático.
El quinto mensaje es el impacto que tienen estos ciberataques. No sólo afectan al acceso a la información de estos datos, sino que afecta principalmente al funcionamiento normal de los sistemas de información afectados. Esto significa que la tecnología sanitaria puede dejar de funcionar de forma adecuada y, por tanto, eso genera un alto riesgo para la salud de los pacientes.
La sexta conclusión es que para que no seamos objeto de un ciberataque debemos ser proactivos y proteger nuestros sistemas de información y a nuestra gente. Para ello, todas las organizaciones deberían poner planes de prevención de delitos (a modo de escudo penal), un programa de cumplimiento normativo de lo que pueden o no hacer los empleados y la contratación de ciberseguros que nos protejan del coste del ciberataque.
Igualmente, debemos tener muy en cuenta como gestionamos determinados activos corporativos que pueden ser el vehículo para estos ciberataques. Por ejemplo, debemos cuidar el correo electrónico corporativo y el uso que hacen nuestros empleados, o las tecnologías móviles para teletrabajar o los servicios wifi que ofrecemos a clientes.
Y el séptimo y último aprendizaje que me llevo en mi mochila de esta mesa redonda es que las autoridades están poniendo medidas para minimizar los riesgos de que las organizaciones padezcan ciberataques. Así, en mayo de 2018, entra en vigor un nuevo Reglamento Europeo para la protección de datos, en qué, sino se cumplen determinados requisitos, las organizaciones con brechas digitales pueden recibir altas multas de hasta los 20 Millones de Euros o el 4% de su facturación.
No puedo acabar sin antes volver a insistir que los ciberataques ahora mismo son uno de nuestros principales riesgos de todas las organizaciones que trabajamos con datos de salud y que debemos no sólo concienciarnos de protegernos, sino de poner medidas que minimizan el riesgo.
