Las organizaciones sanitarias se enfrentan a los mismos retos que otros sectores en lo que se refiere a los daños provocados por los ciberataques. Sin embargo, también se enfrentan al problema especialmente peligroso de que los hackers puedan dañar físicamente a los pacientes.

Cómo los hackers pueden perjudicar a los pacientes

El impacto de las amenazas de ransomware, violación de datos y denegación de servicio (DOS) en las organizaciones sanitarias va mucho más allá de los típicos dolores que experimentan las empresas que caen presas de tales ataques.

Estamos acostumbrados a oír hablar de los gastos que supone para las empresas notificar a sus clientes que sus datos personales se han visto comprometidos, o que las transacciones comerciales y la transmisión de datos se detienen hasta que se paga un rescate a los piratas informáticos.

Pero, como siempre ocurre con la asistencia sanitaria, la vida de las personas podría estar en juego. Los incidentes cibernéticos en entornos sanitarios pueden, de hecho, poner en peligro la salud y la seguridad de los pacientes… y eso se suma a todos los demás riesgos empresariales señalados anteriormente.

La prestación de asistencia sanitaria depende cada vez más de la tecnología y los sistemas de información, lo que hace que el sector sanitario esté cada día más expuesto al ciberriesgo. De hecho, el sector sanitario ha experimentado un aumento del 18% en las violaciones desde 2015, según datos de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos.

Dicho esto, cualquier evento cibernético que perturbe estos sistemas en las organizaciones sanitarias, también podría afectar a los resultados clínicos:

  • – Podrían cerrarse las salas de urgencias y los quirófanos -así como las cadenas de suministro médico-, privando a los pacientes de atención oportuna, medicamentos o suministros médicos.
  • – Los resultados de laboratorio y los historiales de los pacientes podrían alterarse, provocando diagnósticos erróneos o desencadenando un tratamiento accidental incorrecto y letal.
  • – Las interferencias con los dispositivos médicos podrían perjudicar a los pacientes que dependen de su funcionalidad para funcionar por sí mismos.

La lista continúa. Sin embargo, las organizaciones sanitarias que consideren la ciberseguridad una iniciativa de seguridad del paciente tanto como una iniciativa de TI probablemente tendrán más éxito a la hora de proteger a sus pacientes de cualquier daño. Sin embargo, ¿cómo puede una organización sanitaria hacer esto en medio de la plétora de iniciativas de cumplimiento y seguridad del paciente que ya luchan por llamar la atención?

Cómo alinear las iniciativas de ciberseguridad y de seguridad del paciente

La tecnología, por sí sola, no es la respuesta. Por supuesto, tienes que asegurarte de que dispones de todas las barreras tecnológicas adecuadas para evitar un ciberataque, como la encriptación de datos, la autenticación de dos factores, la actualización constante del software y las copias de seguridad de los datos, por nombrar sólo algunas.

Pero no puede ignorarse el elemento humano que interviene en la prevención de un ciberincidente. Educar e implicar a los empleados en los riesgos cibernéticos y su posible impacto en la seguridad de los pacientes es una de las medidas más importantes que puede adoptar una organización sanitaria para mitigar los incidentes cibernéticos.

Se trata de una iniciativa de arriba abajo que no vive únicamente en TI ni en el consejo de administración. Todo el mundo debe participar y ser una parte interesada valiosa, que es realmente la única forma de lograr un impacto, sea cual sea la iniciativa. Pero eso no significa que sea fácil.

Por ejemplo, uno de los principales problemas de los departamentos de TI es la sobrecarga de aplicaciones. Los departamentos de TI dedican una enorme cantidad de tiempo a actualizar o modificar las innumerables aplicaciones sobre las que funcionan sus organizaciones sanitarias, para conseguir siquiera que funcionen. Y eso es sólo una pieza del rompecabezas. Con tanto trabajo, ¿cómo pueden centrarse realmente en la ciberseguridad?

Y luego, por supuesto, está el personal médico: la primera línea, las personas encargadas literalmente de salvar vidas en muchos casos y, como mínimo, de tratar a los pacientes para que puedan sentirse cómodos y recuperarse más rápida y completamente. Sin duda, tienen bastantes responsabilidades y, a menudo, muy pocos recursos para hacer su trabajo.

Por ello, el personal médico suele ignorar cualquier proceso que pueda impedirle alcanzar estos objetivos con rapidez y comodidad, especialmente los procesos relacionados con la ciberseguridad si no está clara su correlación con la seguridad del paciente. En última instancia, tu personal debe darse cuenta de que seguir los procesos relacionados con la ciberseguridad es tan crítico para la seguridad del paciente como comprobar y volver a comprobar los identificadores del paciente antes de administrar la atención. Pero, ¿cómo conseguir que lleguen a ese punto?

Cómo puede ayudar la tecnología de gestión de riesgos

Conseguir que todo el mundo se comprometa requiere una gran comunicación, formación y educación, y aportaciones de toda la organización.

Sin embargo, ni siquiera eso será suficiente si no haces que el trabajo de tus profesionales sanitarios sea más fácil y eficiente, es decir, que realmente permitiendo (en lugar de simplemente diciéndoles priorizar la seguridad del paciente y, por tanto, la ciberseguridad.

La tecnología de gestión de riesgos adecuada te permitirá hacer precisamente esto. Aunque la finalidad última de la tecnología de gestión de riesgos es reducir el coste total del riesgo ofreciendo una única fuente de verdad para los datos sobre riesgos y seguros, la mejora de la seguridad de los pacientes y la ciberseguridad también son, sin duda, subproductos de la tecnología.

Esto se debe a que automatiza y agiliza muchas de las tareas de flujo de trabajo y colaboración que se imponen al personal médico, e incluso a los departamentos informáticos sanitarios, con sólo unos clics, permitiéndoles ser más eficientes sin tener que ignorar o eludir procesos importantes que podrían mejorar la seguridad del paciente y la ciberseguridad.

Por ejemplo, la tecnología de gestión de riesgos adecuada puede automatizar y agilizar el proceso de notificación de sucesos de pacientes, las prácticas de ronda e incluso simplificar y acelerar los análisis de las causas raíz, de modo que las medidas correctoras puedan tomarse más rápidamente.

Lee: «Cómo afrontar los 10 principales problemas de seguridad del paciente de 2018«

En lo que respecta a los departamentos informáticos, la tecnología de gestión de riesgos adecuada puede ayudar a reducir el número de aplicaciones digitales que utiliza una organización sanitaria, entre ellas Análisis de Inteligencia Empresarial, Sistemas de gestión de riesgos empresariales, Interno y Sistemas de auditoría operativa, Sistemas de gestión de la salud y la seguridady mucho más.

En efecto, el personal médico dedica menos tiempo a la introducción manual de datos y a tácticas caóticas de colaboración, mientras que el personal informático dedica menos tiempo a gestionar la sobrecarga de aplicaciones. Esto deja a ambos grupos de profesionales sanitarios más tiempo para centrarse en el panorama general, y para centrarse realmente en la seguridad del paciente y la ciberseguridad.

Al igual que pones a tus pacientes en el centro de muchas de tus iniciativas organizativas, asegúrate de poner a tu gente en el centro de tus iniciativas de ciberseguridad para preservar más eficazmente la privacidad de los pacientes y proteger sus vidas.