AEI de Seguridad - Agrupación Empesarial Innovadora para la seguridad de las redes y los sistemas de información

La Agrupación Empresarial Innovadora en Ciberseguridad y Tecnologías Avanzadas (AEI Ciberseguridad), en colaboración con el Cluster de Salud de Castilla y León (Biotecyl), ha llevado a cabo un estudio que diagnostica el estado de la ciberseguridad en las empresas del sector salud de Castilla y León, presentando una foto de su posicionamiento e identificando sus principales vulnerabilidades.

El estudio ha analizado en primer lugar la situación de partida de una muestra de 20 empresas seleccionadas por Biotecyl, mediante un cuestionario de posicionamiento de las empresas en cuanto al riesgo al que están expuestas y a su sensibilización hacia los peligros potenciales de ciberseguridad que las rodean. Este primer análisis, anonimizado, permite clasificar a las empresas extrayendo las siguientes conclusiones:

• El nivel medio de riesgo era medio-alto (60% sobre el máximo) antes de la llegada de la COVID-19 y se ha incrementado (64% sobre el máximo) después de la COVID-19, debido principalmente a la implementación del teletrabajo, inexistente en las empresas antes de la pandemia.
• Solo un 20% han incrementado su nivel de sensibilización tras la pandemia con respecto a la situación anterior, fundamentalmente ofreciendo información o formación específica en ciberseguridad a sus trabajadores.

 A partir de esta fotografía inicial se ha desarrollado un cuestionario de diagnóstico basado en la identificación de una serie de indicadores en torno a tres ámbitos de actuación (físico, lógico y procedimientos) acerca del uso y aplicación de acciones relacionadas que se han dividido en once bloques, con el objetivo de identificar sus principales vulnerabilidades. Estos bloques son: control de acceso físico; control de activos y red; control de acceso lógico; actualización de software de sistemas; actualización de software de protección; integridad y disponibilidad de la información; control de dispositivos y la información que contienen; formación; gestión de riesgos; plan de contingencias; y políticas de seguridad.

Tras el análisis de las respuestas a los cuestionarios, de nuevo anonimizados, se puede concluir:

• Existe un amplio desconocimiento de las medidas de seguridad implementadas en cada entidad, especialmente en cuanto a la integridad y disponibilidad de la información.
• Las grandes empresas son las que, en proporción, tienen mayor número de medidas completadas, aunque sorprende que las microempresas sean las que tengan más medidas de seguridad en proceso de implementación”. Eso podría interpretarse como un aumento de sensibilización entre ellas.
• Las áreas de gestión de riesgos, plan de contingencias y políticas de seguridad, son las más controvertidas; suscitan a partes iguales decisión de no acometer medidas en ellas, desconocimiento y deseo de acometer acciones, por lo que habría que incidir en ellas a la hora de prestar servicios avanzados de seguridad a las empresas.
• Se evidencia la necesidad de insistir en la sensibilización/formación en cuanto a integridad y disponibilidad de la información. Muchas entidades desconocen si están aplicando las medidas de seguridad adecuadas para la información altamente sensible como son los datos de salud personales.
• Atendiendo al ámbito (físico, lógico o procedimental) de las medidas de seguridad evaluadas, queda patente que a las entidades les resulta más sencillo aplicar medidas de seguridad físicas que lógicas y/o procedimentales.
• La ciberseguridad no es una cuestión proporcional al tamaño de la empresa, ya  que no siempre las grandes empresas están más protegidas ni concienciadas que las microempresas en todos los ámbitos.