Los ciberataques en el sector de la salud siguen siendo una amenaza constante para los hospitales, poniendo en peligro su capacidad para proporcionar atención eficiente y exponiéndolos a riesgos graves de pérdidas financieras y violaciones de la privacidad de datos. Este tipo de actividad cibercriminal no parece disminuir en el corto plazo: por ejemplo, Michigan Medicine, con sede en Ann Arbor, recientemente informó que el sistema de salud experimenta alrededor de 500,000 intentos de piratería informática cada día.
Como resultado de estas crecientes amenazas de ciberseguridad, los sistemas de salud están dando prioridad al papel del jefe de seguridad de la información (CISO), señaló Zach Durst, consultor de la firma de asesoramiento en liderazgo WittKieffer.
“En la actualidad, el CISO suele ser el único líder tecnológico en su organización, además del director de información, que informa regularmente al CEO y a la junta directiva. El objetivo es asegurar que el liderazgo superior, en todo momento, comprenda el panorama de amenazas en constante evolución y cómo su organización está mitigando los riesgos de ciberseguridad y desarrollando contingencias para ataques o eventos de cisne negro”, explicó.
Durst declaró que “casi todos los sistemas de salud” cuentan ahora con un CISO o al menos un líder con un título de director que es responsable de la seguridad de la información. En su opinión, las organizaciones de salud finalmente han reconocido la importancia de tener un líder dedicado centrado en comprender su entorno de riesgo y establecer los métodos de protección adecuados.
Una encuesta reciente realizada por WittKieffer encontró que aproximadamente el 65% de los ejecutivos de seguridad de la información en el sector de la salud se encuentran en el nivel de vicepresidente o vicepresidente senior, con la mayoría de los demás en el nivel de director ejecutivo y director.
Para ser efectivo, un CISO de salud necesita poder interactuar con casi todos los líderes en un sistema de salud, señaló Durst. Esto a menudo implica mantener una estrecha relación de trabajo con el director de tecnología u otro líder que gestiona la infraestructura tecnológica de la organización, así como con el director de datos y análisis u otro líder a cargo de la información del paciente. También suele significar una fuerte asociación con el director legal y el director de cumplimiento, señaló Durst.
Los CISO también necesitan trabajar en estrecha colaboración con el CEO y el CIO de su organización para garantizar que el programa de ciberseguridad esté adecuadamente financiado, agregó.
“El CISO moderno no puede esconderse detrás de su escritorio”, dijo Durst. “Debe ser visible y capaz de generar consenso entre amplios grupos de interés”.
Desde su experiencia hablando con CISO en la industria de la salud, Durst dijo que escucha que la necesidad no es tanto una mayor inversión en recursos y salarios de ciberseguridad, sino más bien invertir de manera reflexiva los recursos que los sistemas de salud tienen a su disposición.
Desde su punto de vista, los buenos CISO son pragmáticos y pueden evaluar la tolerancia al riesgo de su organización y construir un programa de ciberseguridad en torno a él con los recursos disponibles.
“Si bien el retorno de la inversión para los programas de seguridad de la información es difícil de demostrar, ¿cómo se pone precio a los ataques que se previenen o evitan? La mayoría de las organizaciones comprenden visceralmente la importancia de la ciberseguridad hoy en día y la financiarán. Incluso los sistemas de salud con dificultades financieras significativas no pueden permitirse un riesgo de seguridad importante”, declaró.
Foto: Traitov, Getty Images.