Cuando hablamos de ciberseguridad, existen grandes diferencias con respecto a sectores diferentes. Y es que como sabemos, existen una serie de sectores que por los datos que manejan, son a veces mucho más atractivos para los ciberdelincuentes. Podemos mencionar el sector asegurador, el bancario o el sanitario. 

Existen diferencias entre el sector público y privado en materia de ciberseguridad? ¿Cómo es la gestión de la ciberseguridad un gran Hospital? Para intentar dar respuesta a algunas de estas preguntas, entrevistamos a  Juan Luis Cruz Bermúdez, Técnico Superior de Sistemas y Tecnologías de la Información y Responsable de Seguridad del Hospital Universitario Puerta de Hierro.  

CyberSecurity News (CsN): Me gustaría comenzar la entrevista preguntándote sobre tu trayectoria profesional Juan Luis. Y es que, a día de hoy, eres el responsable del área de la seguridad de la información y tecnología de la información de uno de los principales hospitales de nuestro país. ¿Cómo ha sido tu camino hasta aquí?

Juan Luis Cruz Bermúdez: Pues un tanto accidental, y accidentado. Soy Ingeniero de Telecomunicación de formación, y comencé mi carrera en el ámbito de la Consultoría, y en concreto de la Seguridad Informática. Sin embargo, siempre tuve una orientación sanitaria (cursé la intensificación de Bioingeniería en la carrera) y comencé con distintos proyectos de desarrollo y estrategia de sistemas en el ámbito sanitario. En 2009 di el salto al sector público, como Jefe de Servicio de Informática del Hospital (CIO), puesto que mantuve hasta el año 2017. En este tiempo, asumía las tareas relativas a la seguridad y protección de datos personales (CISO) dado que la estructura del hospital no contempla este puesto. Cesé como CIO en 2017, pero continué en el Hospital con las labores de CISO. Quizás porque nadie las quería…

CsN: Cuando hablamos de ciberseguridad, hablamos de un sector en auge que ha llegado a la totalidad de sectores, del sanitario al bancario pasando por las aseguradoras o los grandes retailers. Pero, ¿Crees que existen algunas diferencias con respecto a otros sectores en materia de ciberseguridad? 

JLCB: Veo dos diferencias fundamentales: presupuesto e impacto. En primer lugar, el presupuesto. Aunque la percepción de que la seguridad no está adecuadamente financiada es común en una mayoría de empresas, en el ámbito sanitario, y específicamente en la Comunidad de Madrid, nos falta mucho camino por recorrer. Estamos órdenes de magnitud por debajo de lo que invierten muchas compañías en otros sectores productivos. Y en segundo lugar, el impacto que tiene una brecha de seguridad en nuestro ámbito (y que paradójicamente no implique un presupuesto adecuado en esta materia).

Una brecha en nuestro ámbito compromete la seguridad (la salud) del paciente y su privacidad. Además pone en manos de terceros información especialmente protegida que no pierde en general su vigencia, sino que es perdurable en el tiempo (un antecedente psiquiátrico, por ejemplo, es algo que no puede cancelarse y dejar de tener vigencia, como un número de tarjeta de crédito). Y por supuesto, supone un daño reputacional, amplificado especialmente por los medios de comunicación, y una pérdida de confianza de los ciudadanos de muy difícil cuantificación y reparación.

CsN: Sabemos el carácter sensible de los datos que manejan los centros sanitarios. ¿Cuál es el principal reto en el que has estado sumergido o lo estás actualmente dentro de tu puesto en el Hospital Puerta de Hierro?

JLCB: Somos una organización con más de 3000 profesionales que manejan diariamente datos de salud, inmersos en un ritmo de trabajo frenético. La adecuada concienciación del personal, facilitarles soluciones que les permitan avanzar en sus proyectos cumpliendo con la normativa, y dotarles de medios que faciliten la ciberseguridad de una forma transparente, sin añadir trabajo extra, son retos fundamentales en nuestro trabajo diario.

CsN: Antes te he preguntado por las posibles diferencias en materia de ciberseguridad que pudiera existir entre el sector sanitarios y otros sectores pero si ahora hacemos la diferencia entre el sector público y privado, dentro del sector sanitario. ¿Nos podrías comentar más acerca de la apuesta que el sector público está haciendo por la ciberseguridad? ¿Crees que existe alguna diferencia con respecto al sector privado?

 “En lo relativo al sector público sanitario, creo que en general es una apuesta muy limitada, a remolque de los acontecimientos “

JLCB: Desconozco la apuesta que esté realizando el sector privado. Asumo que será importante, puesto que su negocio depende en gran medida de la seguridad de sus datos. En lo relativo al sector público sanitario, creo que en general es una apuesta muy limitada, a remolque de los acontecimientos y la evolución de la opinión pública, y muy centrada en la contratación de servicios externos y poco en la creación de plantillas propias expertas. Es paradigmático el incidente de altísimo impacto que sufrió el sistema público sanitario inglés (NHS) en mayo de 2017. Ha servido para concienciarnos, pero no para incrementar el presupuesto ni las plantillas en los servicios de informática de los hospitales.

CsN: El cloud aunque para muchos es una tecnología lo suficientemente madura y se habla de multi cloud, la realidad es que esta tecnología debe ser utilizada bajo una capa de protección alta para prevenir posibles fugas de información o ciberataques. ¿Cuál es vuestra apuesta por esta tecnología?

JLCB: Por el momento, muy limitada en lo relativo a la nube pública. La infraestructura se está gestionando cada vez más de forma centralizada, pero con equipamiento en CPDs locales. Sin embargo, en mi opinión los esquemas híbridos son el presente y el futuro próximo, y no podremos mantenernos ajenos a ello mucho más tiempo. 

CsN: Del 0 al 10, ¿cómo valorarías la importancia de la concienciación en materia de ciberseguridad? Del mismo modo, ¿cómo puntuarías la apuesta por la concienciación en las empresas españolas? En este caso, según tu experiencia sin distinción por sector.

JLCB: En mi opinión, la concienciación sería un 10. Los ataques siempre buscan el elemento más débil de la cadena, de forma que de poco sirve disponer de los últimos sistemas informáticos de detección de intrusiones si los trabajadores no tienen conciencia de los riesgos que existen y de cómo deben afrontarlos. Sin embargo, en el sector sanitario la mayoría de las acciones de concienciación son puntuales y adolecen de falta de continuidad y profundidad.

CsN: A la hora de valorar una empresa de ciberseguridad para aplicar una nueva solución, ¿qué es lo que más valoras de la compañía?

JLCB: Siempre se tiende a valorar un conjunto de factores, pero en mi opinión la base instalada o de clientes, la disponibilidad de evaluaciones externas de sus tecnologías, y la disponibilidad de expertos locales del proveedor que hayan afrontado situaciones reales de crisis son factores que distinguen claramente a unas compañías de otras. 

CsN: Finalmente Juan Luis, ¿cómo ves el futuro de la ciberseguridad?

JLCB: Lamentablemente, le auguro un futuro prometedor, con un gran desarrollo por delante.  Y digo lamentablemente porque los informes del CCN-CERT nos muestran año tras año un crecimiento anual de dos dígitos en el número de incidentes gestionados. Las ciberamenazas crecen, y los negocios se transforman digitalmente, así que hay futuro para la ciberseguridad.