¿PUEDEN
LOS EMPLEADOS SER LA MAYOR AMENAZA A LA
CIBERSEGURIDAD
EN EL SECTOR DEL CUIDADO DE SALUD?
*Pregunta que plantea Susan Biddle, directora senior de mercadeo
para el sector del Cuidado de la Salud en Fortinet
Los seres humanos son propensos a cometer errores. Es
la naturaleza del ser humano; sin embargo, hay diferencias en la gravedad de
los errores que cometemos basados en el contexto: el qué, cuándo, dónde, por
qué y cada cuánto tiempo ocurren.
Cuando se trata de manejar datos en el área salud, los
errores humanos pueden desembocar a veces en problemas serios de seguridad y
los más problemáticos pueden poner en peligro la vida de los pacientes.
Aunque hemos aprendido que las violaciones de datos
contra instituciones del sector del cuidado de la salud representan “grandes
victorias” para los cibercriminales, ellos no son las únicas amenazas para la
industria.
Las violaciones de datos y pérdida de información
causadas por el error de algún empleado o simplemente por pura negligencia
están aumentando y los profesionales de tecnología informática (TI) en el área
de la salud tienen que tomar nota.
Los cibercriminales adoran los registros médicos por
varias razones: contienen nombres completos, fechas de nacimiento, información
familiar, números de seguro social, direcciones, números telefónicos, historia
clínica, información de los parientes más cercanos y una amplia variedad de
otros tipos de información personal.
Los registros médicos incluyen una gran cantidad de información
sobre un individuo, permitiendo un abanico de opciones para cometer crímenes
fraudulentos usando estos datos. Éstos proporcionan información que puede ser
usada directamente o complementariamente en una amplia gama de cibercrímenes.
Entonces, ¿cómo es posible que los empleados sean la
amenaza más peligrosa a la seguridad de la información en el área salud? Demos
un vistazo más cercano.
FRAUDES DE IDENTIDAD
Debido a que las soluciones de seguridad y
conectividad en las organizaciones del área de la salud han ido evolucionado y
se han vuelto más efectivas, los cibercriminales han tenido que buscar nuevas
vías de acceso. Como resultado, los fraudes de identidad se han vuelto una
técnica popular, con empleados probando ser desafortunadamente un blanco fácil.
Una razón es que los fraudes de identidad son hoy más sofisticados que nunca,
convirtiéndolos en una seria amenaza a la ciberseguridad.
Estos ataques a través de email e ingeniería social se producen cuando los cibercriminales engañan a empleados para que
suministren información personal o sensible, como nombres de usuario y
contraseñas de la red. Es muy común para los invasores que hoy usan la
ingeniería social tomarse el tiempo para conocer sobre el empleado y crear
direcciones de correo electrónico y mensajes creíbles adaptados al blanco.
Los cibercriminales usan regularmente fraudes de
identidad por etapas (recolectando paulatinamente la información) para obtener
y usar lo que aprenden en contra de otro empleado y así aparentar legitimidad
al mismo tiempo.
Una vez que estos atacantes logran obtener la
información que necesitan, ellos pueden tanto acceder al sistema usando los
nombres de usuario y contraseña que han adquirido, o instalar malware para robar o poner en peligro la
información de los pacientes.
Hoy es común que los empleados en empresas de todas
las industrias incorporen el uso de dispositivos electrónicos propios como
tabletas o teléfonos (bring your own
device o BYOD, por sus siglas en inglés) a sus ambientes corporativos de
TI.
Sin embargo, la facilidad de incluir los dispositivos
móviles en algunas organizaciones hace que se puedan conectar equipos no
autorizados a la red. El número de aparatos compatibles se ha multiplicado
debido al avance tecnológico a través de los años, llevando a una red de fácil
penetración y acceso a información sensible.
Como resultado de la expansión de los dispositivos
móviles, el panorama de amenazas se ha expandido a una velocidad alucinante y
muchos equipos de TI están teniendo problemas para seguir el ritmo.
APLICACIONES INSEGURAS
Los empleados pueden provocar inconscientemente daños
serios a la ciberseguridad al entrar en sitios web inseguros o descargando
aplicaciones mientras trabajan. Aunque las aplicaciones que están disponibles
en tiendas oficiales suelen ser seguras, han habido
ocasiones en las que aplicaciones piratas encuentran su camino a los
dispositivos conectados.
Cuando los empleados descargan aplicaciones
comprometidas pueden inadvertidamente introducir spyware o malware en la
red de sus empresas y dar acceso a datos sensibles mediante el dispositivo
comprometido.
Lo mismo ocurre al acceder a sitios web inseguros. Los
empleados que visitan sitios infectados, a veces ignorando protocolos que
bloquean esos sitios, pueden exponer a robo o corrupción la información
almacenada en sus equipos personales o incluso en la red de la compañía.
Estos mismos empleados usualmente son propensos a
“ataques del intermediario” (man-in-the-middle
attacks), que ocurren cuando un actor malicioso oculto se introduce en una
conversación entre dos individuos en un intento de obtener información o ganar
finalmente acceso a la red corporativa.
ATENCION A CIBERATAQUES
A pesar de los evidentes riesgos que los empleados
representan, las organizaciones siguen teniendo problemas a la hora de educar
en los ambientes de trabajo. Estudios recientes han mostrado que sólo el 35% de
los altos directivos creen que la ciberseguridad es una prioridad, entienden
los riesgos que representan y son conscientes sobre la seguridad informática.
Las organizaciones del sector del cuidado de la salud
necesitan tomarse el tiempo para capacitar sobre estos riesgos a su fuerza
laboral mediante entrenamientos continuos.
Y al final de esos cursos de entrenamiento, estas
organizaciones deberían asegurarse de probar regularmente a sus empleados para
evaluar su conocimiento, en un esfuerzo para reducir los riesgos en el ambiente
de trabajo.
Además, es importante que los directivos sean el
ejemplo e incorporen el liderazgo también en ciberseguridad. Medidas simples
como bloquear la pantalla al retirarse pueden llevar a otro empleado a hacer lo
mismo.
Al mismo tiempo, los equipos de seguridad de TI tienen
que tomar en cuenta la realidad del error humano cuando planifiquen y
desplieguen sus soluciones de seguridad. Aunque el entrenamiento adecuado puede
reducir los errores humanos, no van a desaparecer completamente en el tiempo
cercano. Los equipos de TI harían bien en familiarizarse con la naturaleza del
ser humano y su tendencia a equivocarse, y tomar esto en consideración cuando
diseñen y desplieguen las redes de sus empresas.
No hay comentarios:
Publicar un comentario