La Agrupación Empresarial Innovadora en Ciberseguridad y Tecnologías Avanzadas
(AEI Ciberseguridad), en colaboración con el Cluster de Salud de Castilla y
León (Biotecyl), ha llevado a cabo un estudio que diagnostica el estado de la ciberseguridad en las empresas del sector salud de Castilla y León, presentando una foto de su
posicionamiento e identificando sus principales vulnerabilidades.
El estudio ha analizado
en primer lugar la situación de partida de una muestra de 20 empresas seleccionadas por Biotecyl, mediante
un cuestionario de posicionamiento de las empresas en cuanto al riesgo al que están expuestas y a su sensibilización hacia los peligros potenciales de ciberseguridad que las rodean. Este
primer análisis, anonimizado, permite clasificar a las empresas extrayendo las
siguientes conclusiones:
- El nivel medio de riesgo era medio-alto
(60% sobre el máximo) antes de la llegada de la COVID-19 y se ha incrementado
(64% sobre el máximo) después de la COVID-19, debido principalmente a la
implementación del teletrabajo, inexistente en las empresas antes de la pandemia.
- Solo un 20% han incrementado su nivel
de sensibilización tras la pandemia con respecto a la situación anterior,
fundamentalmente ofreciendo información o formación específica en ciberseguridad
a sus trabajadores.
A partir de esta
fotografía inicial se ha desarrollado un cuestionario
de diagnóstico basado en la identificación de una serie de indicadores en torno
a tres ámbitos de actuación (físico, lógico y procedimientos) acerca del uso y
aplicación de acciones relacionadas que se han dividido en once bloques, con
el objetivo de identificar sus
principales vulnerabilidades. Estos bloques son: control de acceso físico;
control de activos y red; control de acceso lógico; actualización de software
de sistemas; actualización de software de protección; integridad y
disponibilidad de la información; control de dispositivos y la información que
contienen; formación; gestión de riesgos; plan de contingencias; y políticas de
seguridad.
Tras el análisis de las
respuestas a los cuestionarios, de nuevo anonimizados, se puede concluir:
- Existe un amplio desconocimiento de las medidas
de seguridad implementadas en cada entidad,
especialmente en cuanto a la integridad y disponibilidad de la información.
- Las
grandes empresas son las que,
en proporción, tienen
mayor número de medidas
completadas, aunque sorprende que las microempresas sean las que tengan más
medidas de seguridad en proceso de implementación”.
Eso podría interpretarse como un aumento de sensibilización entre
ellas.
- Las
áreas de gestión de riesgos, plan de contingencias y políticas de seguridad, son las más controvertidas; suscitan
a partes iguales
decisión de no acometer medidas en ellas, desconocimiento y deseo
de acometer acciones, por lo que habría que incidir en ellas a la hora de prestar
servicios avanzados de seguridad a las empresas.
- Se evidencia la necesidad de insistir
en la sensibilización/formación en cuanto a integridad y disponibilidad de la
información. Muchas entidades desconocen
si están aplicando las medidas de
seguridad adecuadas para la información
altamente sensible como son los datos de salud personales.
- Atendiendo al ámbito (físico, lógico
o procedimental) de las medidas de seguridad evaluadas, queda patente que a las
entidades les resulta más sencillo
aplicar medidas de seguridad físicas que lógicas
y/o procedimentales.
- La ciberseguridad no es una cuestión proporcional al tamaño de la empresa, ya que no siempre las grandes
empresas están más protegidas ni concienciadas que las microempresas en todos los ámbitos.
Los resultados de este estudio se han dado a conocer en una
jornada de presentación que tuvo lugar de forma remota el pasado 9 de noviembre.7
Descarga aquí las presentaciones de la jornada:
Y puedes volver a ver el vídeo de la jornada desde el siguiente enlace: