OpiniónCiberseguridad

Parar la hemorragia: por qué los responsables de la sanidad deben comprometerse más a fondo con la ciberseguridad

José Battat, director general de Trend Micro Iberia.

José Battat, director general de Trend Micro Iberia
José Battat, director general de Trend Micro Iberia

Durante los dos últimos años, las organizaciones sanitarias (HCO) han estado peleando con un adversario invisible que ha llevado a los médicos a sus límites. Al mismo tiempo, sus equipos de TI han estado luchando para contener una pandemia muy diferente: una de ciberriesgo que amenaza con saturar los sistemas informáticos de los que dependen los procedimientos que salvan vidas. Pero mientras las vacunas y los medicamentos están ayudando a reducir el número de pacientes infectados por el COVID que ingresan en los hospitales, la amenaza cibernética sigue siendo en gran medida indomable. 

Para ello será necesaria una colaboración más estrecha entre los responsables de TI y de las empresas sanitarias, basada en la confianza, el respeto y el entendimiento mutuos. Recientes estudios mundiales  sugieren que aún queda mucho camino por recorrer.

De espaldas a lo cibernético 

A primera vista, los consejos de administración de las organizaciones HCO comprenden la importancia de una ciberseguridad eficaz. Casi todos (92%) los responsables de la toma de decisiones empresariales y de TI (ITDMs/BDMs) que encuestamos del sector dicen que sus consejos están preocupados por el impacto de los ataques de ransomware. Además, casi un tercio afirma que el ciberespacio es el mayor riesgo empresarial en la actualidad y casi dos tercios afirman que los ataques tienen el mayor impacto en los costes. 

Tienen razón en estar preocupados. Una investigación independiente  revela que la sanidad fue el segundo sector más atacado en términos de ataques de phishing basados en la nube, y el tercero en términos de infecciones de ransomware en 2021. Trend Micro detectó más de 12.000 incidentes de este tipo a lo largo del año. 

Una investigación independiente  revela que la sanidad fue el segundo sector más atacado en términos de ataques de phishing basados en la nube

Sin embargo, a otro nivel, los consejos de administración están lamentablemente poco comprometidos y la responsabilidad dista mucho de estar clara. Alrededor del 30% de los encuestados del sector sanitario afirman que consideran al CEO responsable de la gestión de riesgos, frente a un número similar (27%) que dice lo mismo del equipo de TI. Parte del problema es la falta de concienciación sobre lo ciber por parte de los altos cargos. Menos de la mitad (45%) afirma que el concepto de gestión del ciberriesgo se conoce ampliamente en la organización. Incluso son menos (40%) los que piensan que la alta dirección entiende completamente los riesgos asociados a la ciberseguridad, una cifra inferior a la media de todos los sectores. 

¿Por qué las juntas directivas han dejado de lado el tema de lo ciber? Muchos encuestados creen que es porque el tema en sí es complejo y está en constante cambio, lo cual es cierto. Otros apuntan a los propios directivos de nivel-C como el problema, argumentando que no se esfuerza lo suficiente por entender, o incluso que no le importa. Una mejor comunicación por parte de los CISO ayudaría a resolver el problema de la complejidad, presentando lo ciber en términos de riesgo empresarial. Pero la actitud de "no sabe, no le importa" podría ser mucho más difícil de cambiar.

El impacto de la desvinculación

Otro síntoma de este desajuste entre la sala de TI y el consejo de administración en materia cibernética es el nivel de compromiso práctico en el que participa este último. Solo alrededor de la mitad de los equipos de TI del sector sanitario comentan los riesgos cibernéticos con la dirección al menos una vez a la semana, y casi una quinta parte lo hace trimestralmente o aun con menos frecuencia. Incluso cuando se les convoca a una reunión, tanto los ITDM como los BDM se han sentido presionados para restar importancia a la gravedad del ciberriesgo ante la junta directiva, por miedo a parecer demasiado negativos o repetitivos. 

Ambas conclusiones son extremadamente preocupantes. El panorama de las ciberamenazas es volátil y cambiante. Por lo tanto, el riesgo corporativo puede ser extremadamente variable, lo que requiere actualizaciones periódicas del consejo de administración para garantizar que las decisiones se toman con la información más reciente y precisa disponible. Las reuniones no tienen que durar mucho, pero deben ser frecuentes. Una vez al trimestre se antoja insuficiente teniendo en cuenta los niveles actuales de amenazas en la sanidad. Sin embargo, durante esas reuniones, hay que animar a los ciberexpertos que se presenten ante la junta a hablar con franqueza. De lo contrario, los directivos se irán con una falsa sensación de seguridad, que a la larga hace más daño que bien.

De hecho, descubrimos que esto está perpetuando la ignorancia y la falta de voluntad de comprometerse con lo cibernético. Casi la mitad de los encuestados del sector sanitario creen que los ciberriesgos se siguen tratando como un riesgo informático y no empresarial. Y, lo que es aún más preocupante, casi todos (91%) afirman que su organización estaría dispuesta a comprometerse y ceder ante lo ciber en favor de otras prioridades del negocio como la transformación digital.

Integrar lo ciber en el riesgo empresarial

¿Qué significa esto en la práctica? Significa que la actitud de los directivos ante el ciberriesgo varía de un mes a otro. Y significa que cuando la inversión llega es reactiva y esporádica, normalmente centrada en arreglar un problema sin tener en cuenta el conjunto estratégico. Esto puede llevar a un exceso de herramientas cibernéticas que añaden complejidad y coste a los equipos de TI que ya están luchando con la escasez de habilidades y expertos cualificados. 

En lugar de considerar lo cibernético como una parte aislada del riesgo de TI, los consejos de administración deben entender que es esencial para el éxito estratégico de la organización. En lugar de comprometer la seguridad para gastar más en lo digital, deben tratar de incorporar la seguridad a todos los proyectos empresariales por diseño y por defecto. Esta es la única manera de mitigar el impacto de incidentes potencialmente devastadores como las interrupciones por ransomware y las brechas masivas de datos.  

Esto requerirá las herramientas de seguridad adecuadas basadas en la plataforma, para mejorar la seguridad sin añadir gastos generales. Pero primero, las organizaciones sanitarias necesitan un debate honesto sobre lo ciber, enmarcado en el lenguaje del riesgo empresarial. Para ello, necesitamos que los CISO estén preparados para reunirse con sus consejos de administración más que a medias.

Computing 815