Un tema que es relevante dice relación con los datos de salud y la protección, en EE.UU ha aumentado un 28% los ataques de ramsomware durante el año 2020, esto ha llevado a entender que la comunicación y el impacto que tiene en la sociedad es algo que toma más relevancia, incluso con la desinformación.
El instituto Ponemon ha señalado que los datos de salud se venden en promedio en 363 dólares. Si bien las amenazas de sustracción de datos para venta crecieron en diversas áreas, los delitos informáticos informáticos más frecuente hoy en día son el phishing (robo de identidad), la introducción de malware (con el objetivo de acceder a los datos), el hijacking (control de procesos o dispositivos, sobre todo los que cuentan con internet de las cosas o IoT) y el ransomware. Este último implica bloquear el acceso a los datos y pedir un rescate a cambio de no divulgarlos.
El blanco preferido son las instituciones financieras, pero tal como indicábamos al inicio las instituciones de salud son atractivos pues existe la percepción que no tienen una estructura de ciberseguridad robusta. Por ello ha comenzado a recomendarse la tercerización a seguros especializados sino que también preocuparse en la entrega de formación en competencias digitales al equipo humano interno.
Dado lo anterior es importante hablar desde la cultura de la ciberseguridad de las organizaciones, desde abajo hacia arriba, esto es responsabilidad del Directorio o juntas directivas quienes deben requerir a la gerencia general y a su equipo el que releven estas materias a un nivel de permanente capacitación.
La empresa Gartner ha desarrollado una propuesta de marco para operaciones cibernéticas. Un programa de ciberseguridad se divide en muchas áreas. Si no se identifican las áreas no será exitoso, este es un trabajo de toda la organización. Por ello es importante tener claro un plan de gestión de cumplimiento y de riesgos, en ciberseguridad, además del contar de un brújula de gobierno de riesgos y cumplimiento cibernéticos, para ello es necesario seguir marcos de acción a los que se puede recurrir por ejemplo NIST sp 800 -181 Rev. 1.
