Elisa Pereira Ramos; Auxiliar Administrativo HUCA
Eva Pereira Ramos; Auxiliar Administrativo HUCA
Introducción
Se debe de cumplir la ley de protección de datos y por tanto cumplir con los requerimientos de seguridad que establece la ley, pero no sólo este aspecto es importante, sino que el tener un régimen de conducta tecnológica que favorezca tanto el tratamiento de los datos y como nos relacionamos con la tecnología para que esta se haga de manera segura y confiable, tal y como se aborda en este documento.
Desarrollo
Este capítulo tiene el objetivo de mostrar los mecanismos y controles que dentro del ámbito de la seguridad tecnológica y del sentido común se deben de mantener en un puesto de trabajo que tenga un grado de conexión tecnológica como puede ser un ordenador o portátil, y el código de conducta recomendable para evitar afecciones ajenas que interfieran con la seguridad y disponibilidad del servicio.
Estamos viendo actualmente que en estos momentos la ciberseguridad, las ciberguerras, fallos de seguridad en distintas administraciones ponen en jaque a todo el ecosistema, y por ende al sanitario, siendo muy grave ya que puede afectar a servicios estratégicos relacionados con la salud de la población.
Factores de riesgo
La implementación de las nuevas tecnologías en el sector sanitario, producen una mejor eficiencia, control y diagnóstico para todas las partes implicadas, pero sobre todo para los pacientes, pero esto a su vez puede ser a la vez un problema, cuando existen personas o grupos que su intención es penetrar en sistemas y hacerse con los datos, o interrumpir servicios, por lo tanto se deben de alinear la implementación de estas tecnologías con un mayor nivel de la ciberseguridad. Es ahí donde el sistema está al debe.
Por lo tanto, cualquier acción que se pretende realizar se orienta o dirige a afectar a los ecosistemas tecnológicos como redes, bases de datos, servidores, PCs, portátiles, y todos los datos a los que pudiese acceder, también hay que tener en cuenta que pueden afectar al funcionamiento, haciendo caer todo un sistema muy complejo, sustrayendo o inutilizando sistemas durante días o semanas. Como consecuencia podemos afirmar que en no pocos casos se produce amenazas y extorsión para recuperar lo afectado, y que en muchos casos, aun así no se puede recuperar.
Sabemos por las estadísticas aportadas por gobiernos y las empresas tecnológicas que el crecimiento de este tipo de ataques incremento un 25% durante la pandemia, y que ahora con la situación política entre Rusia y Europa a cuenta de la situación existente en Ucrania esto te ha agravado enormemente, siendo denunciados ataques a las administraciones y gobiernos de la Unión Europea en gran manera.
Pasamos a enumerar algunas de las técnicas más comunes que utilizan los piratas informáticos:
Phishing, consiste en el envío de información fraudulenta, en la mayoría correos electrónicos, que con apariencia confiable, no lo son y que consiste en robar o sustraer la información como nombres de usuario, contraseñas, cuentas bancarias, datos de las tarjetas de crédito.
Malware, es lo que comúnmente conocemos como virus y gusanos, que se valen de las distintas vulnerabilidades de los sistemas. Es usual que el modo de contagio sea un archivo adjunto o un enlace, que al pulsar clic sobre estos objetos dispare una cadena de sucesos.
Inyección de SQL, este tipo es un poco más complejo ya que requiere de fallos en los sistemas que están expuestos, a que alguien les pueda utilizar el lenguaje que conocen las bases de datos para alterar desde la autenticación, o autorización, al obtener datos y privilegios restringidos.
Denegación de servicio, es una técnica que lo que intenta es producir el colapso, o la reducción de las capacidades de los sistemas, llevándolos a que se queden inutilizados o muy muy lentos. Los atacantes generan miles o millones de peticiones para sobre cargar y de esta manera obtener sus objetivos.
Conclusión
Como se indican en los estudios económicos que utilizan el Coste de la Inacción, del término en inglés “Cost of Inaction (CoI)”, nos permite identificar que en muchas ocasiones la prevención es el mejor remedio, debido a las repercusiones, sociales, personales, y económicas que pueden causarse.
Se deben de generar cursos de formación a los profesionales, para que no caigan en este tipo de artimañas, ya que en muchas ocasiones la capacidad tecnológica de los profesionales en el ámbito de la seguridad no abunda, y con un temario de casos y circunstancias de buenas prácticas podrían evitar este tipo de problemas en general.
Bibliografía
Para la elaboración de este capítulo se han realizado búsquedas sistemáticas en diversas páginas web, como https://latam.kaspersky.com
Esquema Nacional de Seguridad, ley de protección de datos, ISO 27.000, https://normaiso27001.es