Durante el último año, el sector sanitario se ha visto sometido a ataques constantes. Los ciberdelincuentes apuntaron a redes clínicas vulnerables y controles deficientes para obtener acceso privilegiado a dispositivos médicos y bases de datos casi a diario. Y las amenazas se están volviendo más graves. Los responsables de la toma de decisiones de seguridad hospitalaria suelen comprender estos detalles y se preocupan constantemente de que el próximo ataque desconecte a los servidores y dispositivos de punto final críticos o robe datos confidenciales de los pacientes. En respuesta, invierten sabiamente en controles técnicos para proteger su red. Pero a pesar de toda su atención al problema, con demasiada frecuencia pasan por alto el elemento humano igualmente crítico de la seguridad. Para que los empleados incorporen la seguridad en sus rutinas diarias, las organizaciones deben elaborar una estrategia de cambio de comportamiento y desarrollar contenido que merezca la atención de los empleados.
Durante el último año, el sector sanitario se ha visto sometido a ataques constantes. Los ciberdelincuentes apuntaron a redes clínicas vulnerables y controles deficientes para obtener acceso privilegiado a dispositivos médicos y bases de datos casi a diario. Tenga en cuenta que en solo los dos primeros meses de 2018, 24 organizaciones de proveedores de atención médica informaron sobre violaciones de datos que afectaban a más de 1.000 pacientes cada una, lo que supone un aumento del 60% respecto al mismo período del año pasado. Sin embargo, dado que solo el 53% de los responsables de la toma de decisiones en materia de salud y seguridad del sector público informaron de un incumplimiento en el último año, es probable que haya muchas más infracciones que no se han notificado.
Las amenazas se están volviendo más graves. El número de ataques de ransomware ha aumentado en el sector sanitario y pueden paralizar la red de un hospital y obstaculizar los servicios. Para complicar las cosas, la mayoría de las redes hospitalarias son «planas» en lugar de segmentadas, por lo que las infecciones pueden propagarse más fácilmente de las IT a las redes clínicas. Los datos sanitarios también son muy apreciados en el mercado negro porque existen muchas formas lucrativas de utilizarlos de forma fraudulenta, por lo que a menudo son un objetivo más atractivo que los datos financieros u otros datos personales.
Los responsables de la toma de decisiones de seguridad hospitalaria suelen comprender estos detalles y se preocupan constantemente de que el próximo ataque desconecte a los servidores y dispositivos de punto final críticos o robe datos confidenciales de los pacientes. En respuesta, invierten sabiamente en controles técnicos para proteger su red. Pero a pesar de toda su atención al problema, con demasiada frecuencia pasan por alto el elemento humano igualmente crítico de la seguridad.
La atención sanitaria es un entorno de alto estrés, en el que, comprensiblemente, la formación en seguridad de la información a menudo no es la máxima prioridad. Dicho esto, parece mucho más bajo en la lista de prioridades de lo que debería ser. Según el nuevo contacto de la fuerza laboral de tecnología empresarial global de Forrester Encuesta 2017, solo el 30% de los trabajadores de la información global de los proveedores de atención médica indicaron que han recibido formación sobre cómo proteger los datos del lugar de trabajo, y solo el 38% conoce las políticas de seguridad de su empresa.
La mayoría de las organizaciones sanitarias tienen políticas de seguridad implementadas; lo que falta es la atención que les presta. Sin una formación y un conocimiento de seguridad adecuados, las personas abrirán de forma imprudente mensajes de correo electrónico de extraños, harán clic en enlaces sospechosos y asumirán otros riesgos innecesarios.
Los empleados sanitarios no tienen la culpa, ya que no fueron contratados por sus habilidades de seguridad. Como profesionales médicos primero, hacen lo necesario para brindar la mejor atención, aunque a veces eso signifique ignorar o repasar las políticas de seguridad (según informa el 4%). En este sector, especialmente, las políticas de seguridad que reducen la productividad están en desacuerdo irreconciliable con la organización y sus pacientes. En cambio, se debe inspirar a los empleados para que actúen de forma segura como parte de su rutina diaria. Así como nadie tiene que decirle a un cirujano que se frote antes de la cirugía, la buena higiene de seguridad tiene que arraigar en la cultura de los empleados.
Elaborar una estrategia de cambio de comportamiento
Si tu primer instinto con una campaña de seguridad es crear pósters con qué hacer y no hacer, ¡detente! No deberías pensar en crear una «campaña de sensibilización», sino crear un programa de comportamiento continuo. Para empezar, haz las siguientes preguntas:
¿A qué problemas nos dirigimos? Realice una evaluación de riesgos de alto nivel para determinar los principales problemas que enfrenta su organización y evalúe cómo el comportamiento del personal puede exacerbar o mitigar esos riesgos. Tenga en cuenta riesgos tales como interrupciones del sistema, mal funcionamiento del dispositivo, datos robados o, lo que es peor, datos manipulados.
¿Qué comportamientos esperamos? Documente cómo las acciones o inacciones de los empleados pueden contribuir a los riesgos descritos anteriormente y, a continuación, elabore una lista de comportamientos y directrices deseados para que el personal la adopte de forma más sencilla posible. Por ejemplo, ¿es fácil para los empleados ponerse en contacto con el personal de seguridad sobre un correo electrónico cuestionable y existe una herramienta sencilla y segura para enviar información confidencial a los pacientes?
¿A qué miembros del personal nos dirigimos? Si bien en algunos casos es importante atraer a las masas, algunos mensajes carecerán de relevancia y, por lo tanto, tendrán impacto, a menos que estén sintonizados con un público específico. Dar instrucciones a todo el personal, por ejemplo, para que se ocupe de presentar el papeleo de los pacientes probablemente sea contraproducente si solo un pequeño porcentaje hace realmente este trabajo. Si las personas reciben demasiados mensajes de seguridad irrelevantes, es posible que comiencen a ajustar todos los mensajes de seguridad.
¿Qué tono funcionará con el personal? No hay dos organizaciones iguales y tampoco las culturas y los contextos en los que operan. Así que aprovecha los canales de comunicación existentes y el tono cultural. ¿Prefiere su organización los anuncios semanales de reuniones de personal, ejemplos de casos prácticos de boletines informativos, premios trimestrales por comportamiento modelo o incentivos financieros? Convierte en tu estrategia de cambio de comportamiento.
Desarrolla contenido que merezca atención
Uno de los errores más comunes de los programas de seguridad de cambio de comportamiento es que el contenido es aburrido. Para asegurarse de que los empleados no se desconecten cuando más necesitas su atención:
Haz que tu mensaje sea personal. Ayude a los empleados a entender por qué la seguridad es importante para ellos y sus familias, y reconocerán su papel en la protección de los datos de la empresa. Por ejemplo, explícalos cómo los ciberdelincuentes utilizan los ataques de phishing y los nuevos métodos de ataque a través de las redes sociales para robar datos personales. Describa también los trucos comunes de ingeniería social utilizados para aprender las credenciales de inicio de sesión (como hacerse pasar por un compañero empleado que necesita ayuda).
Refuerza el mensaje en momentos de enseñanza. Las organizaciones más avanzadas buscan constantemente aprovechar los esfuerzos educativos iniciales identificando momentos didácticos. Publicitar «casi fallas» o ataques ocurridos a organizaciones de pares son victorias rápidas, mientras que algunas firmas fabrican momentos de enseñanza probando a su personal, por ejemplo, mediante pruebas de phishing. Las organizaciones más avanzadas ponen recordatorios de políticas en puntos en los que es probable que ocurran errores, como un póster del ascensor que pregunta si los empleados han salido de sus máquinas antes de salir, o alertas emergentes cuando alguien intenta navegar por un sitio web cuestionable.
Prueba tácticas de gamificación. Si es adecuado para tu cultura organizativa, considera fomentar la competencia amistosa entre el personal, crear escenarios en los que los empleados compiten entre sí o para obtener mejores puntuaciones personales. Las tácticas pueden incluir recompensas para el equipo con las contraseñas más sólidas cada trimestre, el menor número de alertas de prevención de pérdida de datos (DLP) o las puntuaciones más altas en las encuestas de formación.
En primer lugar, el objetivo de su programa de comportamiento de seguridad debe ser empatizar con sus colegas y determinar cómo la seguridad puede encajar mejor en sus responsabilidades cotidianas. Atar los objetivos de seguridad a sus objetivos. Los proveedores de atención médica deben centrarse sin parar en la atención, el servicio y la satisfacción del paciente, ninguno de los cuales se puede brindar satisfactoriamente sin prestar atención a un buen comportamiento de seguridad.
