Un sistema cada vez más digital y dependiente
Llevamos años promocionando, y avanzando, en #saluddigital. Pero cuanto más avanzamos en la digitalización del sistema, más dependiente lo volvemos de los sistemas, los datos, las redes, los dispositivos conectados y los terceros tecnológicos. Aumenta la “superficie de exposición” del servicio a la ciberdelincuencia. Un incidente de seguridad en salud ya no es sólo un problema informático: puede afectar a agendas, pruebas diagnósticas, farmacia, continuidad del tratamiento, trazabilidad clínica y capacidad operativa del servicio. La ciberseguridad pasa a ser parte de la seguridad del paciente.
Una estrategia nacional para ordenar la ciberseguridad sanitaria
Entre las iniciativas clave en este campo está la Estrategia de Ciberseguridad del Servicio Nacional de Salud 2025-2028. Se trata del marco con el que el Ministerio de Sanidad ordena, por primera vez de forma específica y coordinada para todo el SNS, la protección de la información sanitaria, la resiliencia operativa y la continuidad asistencial frente a ciberamenazas. La estrategia parte de una idea relevante: en un sistema cada vez más digital, la ciberseguridad no se limita a proteger datos, sino que debe garantizar también la disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad de la información y de los servicios que sostienen la atención. Para ello se articula en ocho objetivos estratégicos y doce ejes de actuación, con un modelo de gobernanza colaborativa entre Ministerio, comunidades autónomas y servicios de salud, e incorpora líneas específicas sobre madurez en ciberseguridad, cadena de suministro, dispositivos médicos, tecnologías emergentes, cumplimiento normativo y capacitación continua de los profesionales.
Un sector especialmente atractivo para los ciberdelincuentes
En estos tiempos convulsos, la sanidad se ha convertido en un objetivo atractivo para los ciberdelincuentes. Por varias razones: el alto valor de los datos sanitarios; la complejidad y heterogeneidad de entornos, que incluyen múltiples dispositivos, con y sin IoT; la existencia todavía de mucho sistema legacy; la multiplicidad de perfiles usuarios y puntos de acceso, incluidos los propios pacientes, y la dependencia creciente de terceros en la cadena de suministro. ENISA señala que en el sector salud el ransomware fue la amenaza más frecuente en su análisis, y que los hospitales concentran buena parte del impacto.
Más allá de la protección de datos
Hay que huir de la visión “ciberseguridad = protección de datos”. No es sólo un problema de que los datos son valiosos y te los roban. Se trata también de disponibilidad, sistemas caídos, agendas bloqueadas, pruebas retrasadas… Y de los propios riesgos para la seguridad y salud del paciente: demoras, decisiones clínicas con información parcial, reprogramaciones, de circuitos manuales improvisados, etcétera. Por no hablar de las situaciones de estrés que todo esto puede suponer también para los profesionales sanitarios.
Claves para una agenda de acción en ciberseguridad sanitaria
Sin ánimo de ser normativo, una agenda para la acción en ciberseguridad sanitaria debe partir de una gobernanza clara: comité, roles, responsabilidades, escalados… La gestión de riesgos se convierte en una herramienta central, orientada a la disponibilidad de los circuitos clínicos críticos. Se cultiva la famosa resiliencia en base a sistemas de backup y circuitos alternativos. También hay que tener muy en cuenta de que no se vive aislado: todas las organizaciones son muy dependientes de terceros por lo que el procurement debe estar totalmente integrado con la estrategia de ciberresiliencia. Formación, cultura, monitorización y mejora continua deben llevar a un cuadro de mando integral de la ciberseguridad en el entorno sanitario.
Una condición básica para la atención sanitaria
En sanidad, la ciberseguridad ya no puede entenderse como una capa técnica añadida al final, sino como una condición básica para sostener una atención segura, continua y confiable. Cuanto más digital es el sistema, más depende de su capacidad para resistir incidentes, recuperarse con rapidez y proteger no solo los datos, sino también la propia prestación asistencial.
Un artículo de Julio Jesús Sánchez, PMP, coordinador del Grupo de Trabajo E-salud.