weerapat1003 - Fotolia
Empleados podrían ser la mayor amenaza a la ciberseguridad en el sector salud
El descuido de los empleados en el sector salud, y los equipos de TI sobrepasados en organizaciones de esta industria, podrían llevar a brechas de ciberseguridad si esto no se considera al diseñar las redes y estrategias de seguridad TI.
Los seres humanos son propensos a cometer errores. Es la naturaleza del ser humano. Sin embargo, hay diferencias en la gravedad de los errores que cometemos basados en el contexto: el qué, cuándo, dónde, por qué y cada cuánto tiempo ocurren. Cuando se trata de manejar datos en el área de salud, los errores humanos pueden desembocar, a veces, en problemas serios de seguridad y los errores más problemáticos pueden poner en peligro la vida de los pacientes.
Aunque hemos aprendido que las violaciones de datos exitosas contra instituciones del sector del cuidado de la salud representan “grandes victorias” para los cibercriminales, ellos no son las únicas amenazas para la industria. Las violaciones de datos y la pérdida de información causadas por el error de algún empleado –o simplemente por pura negligencia– están aumentando, y los profesionales de tecnología informática (TI) en el área de la salud tienen que tomar nota.
Los cibercriminales adoran los registros médicos por varias razones: Contienen nombres completos, fechas de nacimiento, información familiar, números de seguro social, direcciones, números telefónicos, historia clínica, información de los parientes más cercanos y una amplia variedad de otros tipos de información personal. Los registros médicos incluyen una gran cantidad de información sobre un individuo, permitiendo un abanico de opciones para cometer crímenes fraudulentos usando estos datos. Éstos proporcionan información que puede ser usada directa o complementariamente en una amplia gama de cibercrímenes.
Entonces, ¿cómo exactamente es posible que los empleados sean la amenaza más peligrosa para la seguridad de la información en el área de salud? Demos un vistazo más cercano.
Fraudes de identidad
Como las soluciones de seguridad y conectividad en las organizaciones del área de la salud han evolucionado y se han vuelto más efectivas, los cibercriminales han tenido que buscar nuevas vías de acceso. Como resultado, los fraudes de identidad se han vuelto una técnica popular, con empleados probando ser, desafortunadamente, un blanco fácil. Una razón es que los fraudes de identidad son hoy más sofisticados que nunca, convirtiéndolos en una seria amenaza a la ciberseguridad.
Estos ataques, a través de correo electrónico e ingeniería social, se producen cuando los cibercriminales engañan a empleados para que suministren información personal o sensible, como nombres de usuario y contraseñas de la red. Es muy común para los invasores que hoy usan la ingeniería social tomarse el tiempo para conocer muchos detalles sobre el empleado, y así crear direcciones de correo electrónico y mensajes creíbles adaptados al blanco. Los cibercriminales usan regularmente fraudes de identidad por etapas (recolectando paulatinamente la información) para obtener y usar lo que aprenden en contra de otro empleado, y así aparentar legitimidad al mismo tiempo.
Una vez que estos atacantes logran obtener la información que necesitan, ellos pueden tanto acceder al sistema usando los nombres de usuario y contraseña que han adquirido, como instalar malware para robar o poner en peligro la información de los pacientes.
Uso de dispositivos no aprobados
Hoy es común que los empleados en empresas de todas las industrias incorporen el uso de sus dispositivos electrónicos propios, como tabletas o teléfonos (bring your own device o BYOD), a sus ambientes corporativos de TI. Sin embargo, la facilidad de incluir los dispositivos móviles en algunas organizaciones hace que se puedan conectar equipos no autorizados a la red. El número de aparatos compatibles se ha multiplicado, al igual que la facilidad de acceso a la red y a la información sensible.
Como resultado, el panorama de amenazas se ha expandido a una velocidad alucinante, tanto en términos de acceso a la red, como en relación a los equipos de TI que están teniendo problemas para seguir el ritmo.
Entrar a sitios web y aplicaciones inseguras
Los empleados pueden provocar inconscientemente daños serios a la ciberseguridad al entrar en sitios web inseguros o descargando aplicaciones mientras trabajan. Aunque las aplicaciones que están disponibles en tiendas oficiales de aplicaciones suelen ser seguras, ha habido ocasiones en las que aplicaciones piratas encuentran su camino hasta los dispositivos conectados. Cuando los empleados descargan aplicaciones comprometidas, pueden inadvertidamente introducir spyware o malware en la red de sus empresas, y dar acceso a datos sensibles mediante el dispositivo comprometido.
Lo mismo ocurre al acceder a sitios web inseguros. Los empleados que visitan sitios infectados, a veces ignorando protocolos que bloquean esos sitios, pueden exponer a robo o corrupción la información almacenada en sus equipos personales o incluso en la red de la compañía. Estos mismos empleados usualmente son propensos a “ataques del intermediario” (man-in-the-middle attacks), que ocurren cuando un actor malicioso subrepticiamente se introduce en una conversación entre dos individuos en un intento de obtener información o ganar finalmente acceso a la red corporativa.
Construir y manejar una organización atenta a los ciberataques
A pesar de los evidentes riesgos que los empleados representan, las organizaciones siguen teniendo problemas al educar en los ambientes de trabajo. Estudios recientes han mostrado que solo el 35% de los altos directivos creen que la ciberseguridad es una prioridad, entienden los riesgos que representan y son conscientes sobre la seguridad informática.
Las organizaciones del sector de cuidado de la salud necesitan tomarse el tiempo para capacitar sobre estos riesgos a su fuerza laboral mediante entrenamientos continuos. Al final de esos cursos de entrenamiento, estas organizaciones deberían asegurarse de probar regularmente a sus empleados para evaluar su conocimiento, en un esfuerzo por reducir los riesgos en el ambiente de trabajo. Además, es importante que los líderes directivos sean el ejemplo e incorporen el liderazgo también en ciberseguridad. Medidas simples como bloquear la pantalla al retirarse pueden llevar a otro empleado a hacer lo mismo.
Al mismo tiempo, los equipos de seguridad de TI tienen que tomar en cuenta la realidad del error humano cuando planifiquen y desplieguen sus soluciones de seguridad. Aunque el entrenamiento adecuado puede reducir los errores humanos, no van a desaparecer completamente en el tiempo cercano. Los equipos de TI harían bien en familiarizarse con la naturaleza del ser humano y su tendencia a equivocarse, y tomar esto en consideración cuando diseñen y desplieguen las redes de sus empresas.
Sobre el autor: Susan Biddle, directora senior de mercadeo para el sector del cuidado de la salud en Fortinet.