No cabe duda de que este año 2020 ha supuesto un antes y un después para toda la sociedad. Pero hay un sector que ha sido fundamental para la lucha contra la pandemia, el sector sanitario. ¿Cómo lo han vivido bajo el punto de vista de un experto en ciberseguridad?

La ciberseguridad ha jugado un papel muy clave también en la nueva normalidad, aquella que nos llegó a todos allá por el mes de marzo de un loco año 2020. Como mencionamos en varios artículos de esta revista, todas las empresas se vieron forzadas a teletrabajar, en un escenario incierto, con redes desprotegidas, con información corporativa corriendo por dispositivos personales… un caos que la ciberseguridad va ordenando poco a poco. 

En un extremo superior, lo vivieron todos los profesionales del sector sanitario. Pero, ¿cómo ha sido esta experiencia para un CISO de dicho sector? Conozcamos mejor en este artículo la opinión de Ángel Luis Sánchez García, CISO de la Consejería de Sanidad de la Comunidad de Madrid. 

CyberSecurity News (CsN): A finales del 2019 ¿te podrías haber llegado a imaginar que vuestra labor iba a ser mucho más crítica en este 2020?

Ángel Luis (AL): Creo que, aunque en sanidad siempre hemos sido conscientes que era muy probable sufrir una pandemia como la del COVID-19, ya hubo un aviso con la alerta vivida en 2009 por la gripe A/H1N1, la verdad, nadie podía predecir que se materializara en 2020 y con un impacto tan negativo para la sociedad. Pero, realmente, no hubiera sido necesaria la crisis del COVID para ser consciente de la importancia que tiene la ciberseguridad y la protección de datos. La seguridad siempre ha sido prioridad estratégica en nuestra organización. Por ello, la Consejería de Sanidad de la Comunidad de Madrid fue una de las primeras entidades públicas españolas en disponer de una Oficina de Seguridad. 

CsN: ¿Cómo afrontáis, a nivel de ciberseguridad, estos próximos meses que se presentan críticos? 

AL: No hay nada que nos haga pensar que el sector sanitario deje de ser uno de los sectores de mayor interés para los ciberdelincuentes, por ello, seguiremos insistiendo en la concienciación de nuestros más de 80.000 profesionales sanitarios y administrativos propios de la organización y también a aquellos de las empresas privadas concertadas, que intervienen en la asistencia sanitaria pública.

Seguiremos estando en alerta constante ante cualquier posible incidente, mejorando la operativa y los procedimientos, colaborando con CCN-CERT, intercambiando información con CSIRT.es, ya que el SERMAS es uno de sus miembros, y también con el resto de responsables de seguridad de sistemas de información de los distintos servicios de salud pública de otras Comunidades Autónomas. Además, seguiremos colaborando con ENISA en el proyecto de creación del European Health ISAC (Information Sharing and Analysis Centers). Y muy importante, incorporando las mejores tecnologías del mercado de la ciberseguridad, que estén al alcance de nuestro presupuesto

CsN:  Hace poco conocimos la noticia de que una persona perdía la vida en un contexto en el que se había producido un ciberataque a un hospital, si miramos al futuro con mucho más digitalizado, ¿corren las vidas de las personas un peligro real debido a los ciberataques?  

AL: En la actualidad, los requisitos de los servicios TI en el ámbito sanitario son cada vez más exigentes, por su gran complejidad, alto nivel de integración y máximo nivel de disponibilidad. La implantación gradual de la historia clínica digital ha supuesto que no sea asumible la grave pérdida que conlleva la indisponibilidad de los sistemas informáticos, y todos sabemos, porque ya lo hemos visto en repetidas ocasiones, que un ciberataque podría suponer la parada de dichos servicios.

Por tanto, no es exagerado afirmar que, a pesar de que los centros sanitarios disponen de planes de contingencia en los que se prevé la indisponibilidad de los sistemas de información sanitarios, una indisponibilidad continuada en el tiempo pueda aumentar el riesgo de poner en peligro la salud de los pacientes. Entra dentro de lo probable.