Seguritecnia 509

/ Septiembre-Octubre 2024 34 Seguridad en hospitales L a ciberseguridad en las or- ganizaciones sanitarias es un aspecto extremadamente complejo sobre el que debe- mos responder las organizaciones. Si nos paramos a pensar en los distintos campos que abarca la tecnología en un hospital, como comunicaciones uni- ficadas, red, sistemas, bases de datos o seguridad, entre otras, el que mayor incertidumbre plantea es la seguridad, ya que no depende exclusivamente de hacerlo bien. Desde nuestro punto de vista, habitual- mente hablamos de dos tipos de seguri- dad para garantizar la famosa tríada de conceptos necesarios: confidencialidad, integridad y disponibilidad de la informa- ción. Estos dos tipos de seguridad res- ponden a la seguridad operativa (todo lo que envuelve hardware y software en la operación del día a día) y la seguridad legislativa (que abarca lo relacionado con el cumplimiento de la normativa y la legislación vigente aplicable a nuestro entorno). La realidad es que ambas con- viven por separado y requieren perfiles especializados, cada una en su área; pero a la vez no se entienden la una sin la otra. Seguridad operativa Si nos creemos y confiamos en que esta- mos completamente seguros en materia operativa por tener un antivirus, antima- lware y firewalls , nos equivocamos. En algunos hospitales manejamos más de 12.000 direcciones IP, existen más de 20.000 puntos de red, más de 70 arma- rios de comunicaciones y más de 300 aplicaciones. Además, tenemos equipa- miento de diversa índole, de más de 100 fabricantes, así como innumerables mo- delos de equipamientos; y, por supues- to, estamos sujetos a la obsolescencia tecnológica, ya que la evolución tecno- lógica avanza mucho más rápido que la inversión sobre la misma. El control y la gestión de los equipos existentes, así como del software asociado, es clave para, al menos, intentar tener un mínimo control asociado a la seguridad. Por otro lado, en los últimos años, y en especial tras la pandemia vivida, han proliferado las necesidades de cone- xiones remotas desde los proveedores hacia las redes de los hospitales. Es ne- cesario mantener un procedimiento de conexión única y controlado mediante herramientas de seguridad apropiadas y certificadas. Muchos proveedores nos comentan la necesidad de gestionar sus equipos y ser proactivos bajo sus procedimientos y herramientas de mo- nitorización en remoto, pero en muchas ocasiones esto puede llegar a represen- tar un agujero de seguridad más que un beneficio para el centro. Otro problema añadido es la gestión de todo ese tipo de conexiones. Debemos ser exhaustivos en la aplica- ción de los procedimientos, protocolos y políticas que vienen marcadas por los organismos de los que somos depen- dientes los hospitales y, por supuesto, complementarlas con otras adicionales, estando siempre alineados. Este hecho, junto con la implantación de los ya men- cionados hardware y software operati- vos, permite mantener unos mínimos exigidos para intentar controlar el entor- no de trabajo, aunque –como comentá- bamos al inicio– nunca es suficiente y debemos ser conscientes de ello. Por otro lado, uno de los aspectos cla- ve a combinar con buenas herramien- tas operativas y con la aplicación de medidas organizativas es la conciencia de seguridad de los profesionales. De- pendiendo de los escenarios de alerta y ciberseguridad en los cuales nos encon- tremos, se aplican unas medidas u otras, pero siempre en beneficio del hospital. De hecho, a la hora de aplicar cualquier medida es necesario explicar por qué, para qué y qué beneficios tangibles e intangibles ofrece al hospital. Por ejemplo, son cada vez más habi- tuales las medidas relacionadas con la La ciberseguridad como obligación en las organizaciones asistenciales R aúl L ópez M artínez CIO del H ospital G eneral U niversitario G regorio M arañón