Aunque la mayoría de las organizaciones sanitarias están reforzando sus medidas de ciberseguridad, aún persisten vulnerabilidades graves, según un estudio publicado esta semana por Fortified Health Security, una empresa especializada en ciberseguridad para el sector salud.
Los proveedores de salud han avanzado significativamente en los últimos cinco años, especialmente en gobernanza, planes de respuesta y evaluaciones de riesgo, señaló Dan Dodson, CEO de Fortified. Este progreso fue impulsado por grandes brechas de datos y una mayor atención regulatoria, lo que ha obligado a directivos a tomar la ciberseguridad más en serio.
“Han entendido que deben estar preparados para lo peor y integrar un plan de respuesta en sus estrategias de continuidad del negocio”, afirmó Dodson. “Sin embargo, con estos avances, también es crucial reconocer que los atacantes evolucionan constantemente sus métodos. Por tanto, debemos seguir mejorando nuestras iniciativas”.
Por ejemplo, aunque muchos proveedores han intensificado sus análisis de riesgo, esto no basta — deben asegurarse de actuar con base en lo que descubren en esas evaluaciones, subrayó. Es decir, no puede ser solo un trámite formal.
En muchos casos, las brechas de seguridad existen porque invirtieron en herramientas avanzadas sin dominar lo básico, como parches, políticas de contraseñas y controles de acceso, agregó Dodson.
En general, destacó tres desafíos principales en ciberseguridad para el sector salud.
El primero es la IA. Los proveedores están ansiosos por adoptarla, pero carecen de marcos claros para gestionar sus riesgos, especialmente en exposición de datos, dijo Dodson.
“Al mismo tiempo, los atacantes ya usan IA para perfeccionar sus ataques contra el sector”, advirtió.
La gestión de riesgos de terceros es otra área crítica, ya que dependen de cientos de proveedores externos.
Esta red es esencial, pero también genera riesgos. Una falla en un solo proveedor puede comprometer a todo un sistema de salud, y aún se está aprendiendo a mitigar esta amenaza, declaró.
El último desafío es la falta de financiación adecuada.
“Algunos entienden los fundamentos, pero no consiguen el presupuesto necesario para gestionar el riesgo”, explicó Dodson. “La ciberseguridad compite con otras prioridades, y algunos, especialmente proveedores pequeños o rurales, enfrentan difíciles decisiones. Esto los deja más expuestos, aunque tengan las intenciones correctas”.
En su opinión, el sector no puede esperar claridad regulatoria. El progreso no llega jugando a lo seguro.
Las organizaciones más resilientes son las que adoptan un marco como HITRUST o NIST y lo implementan con decisión.
“No esperen, porque nunca habrá un momento perfecto. Debe empezar ahora”, concluyó.
Foto: boonchai wedmakawand, Getty Images