En este boletín mensual de seguridad de la información se abordará el tema de los riesgos asociados al factor humano dentro de la ciberseguridad.
El eslabón más débil
Dentro del mundo de la ciberseguridad, el factor humano es uno de los mayores riesgos. A pesar de los avances tecnológicos y las medidas de seguridad implementadas, los errores humanos facilitan el acceso de ciberdelincuentes y provocan daños o robo de información. La falta de concienciación es un aspecto clave. En el sector de la salud, cualquier error humano puede tener como consecuencia el robo de información sensible de pacientes.
En muchos casos, los empleados son considerados el eslabón más débil en la cadena de seguridad. Desde el uso de contraseñas débiles hasta la caída en engaños de phishing, las acciones (u omisiones) de los usuarios pueden causar brechas de seguridad devastadoras. En el último año, se ha registrado que uno de cada cinco ataques a organizaciones tienen como origen un error, directo o indirecto, de un empleado (en la mayoría de los casos, un error inconsciente). Es fundamental entender que los empleados no son una amenaza inherente, sino una oportunidad para fortalecer la seguridad.
Recomendaciones para sensibilizar y educar al personal sanitario
- Capacitación y concienciación
La clave para aprovechar el factor humano radica en la capacitación y la concienciación de los empleados. Así, es importante invertir en programas de formación que enseñen a los usuarios buenas prácticas de seguridad, como la gestión de contraseñas, la identificación de amenazas y la respuesta ante incidentes. La mejor manera de llevar a cabo esta fase es con formaciones interactivas y adaptadas a los distintos niveles del personal sanitario, dependiendo de los dispositivos con los que trabajen. Cuando los empleados están bien informados y comprenden su papel en la protección de los datos, se convierten en una sólida barrera de defensa.
- Cultura de seguridad
Más allá de la capacitación, es fundamental cultivar una cultura organizacional que priorice la ciberseguridad. Esto implica establecer políticas claras, asignar los recursos adecuados y fomentar la participación de todos los miembros del equipo.
- Pruebas y simulacros
Otra forma de involucrar activamente a los sanitarios es por medio de pruebas y simulacros de seguridad. Llevar a cabo ejercicios de phishing, ataques de ingeniería social con pacientes, familiares de pacientes y otros escenarios de amenaza ayuda a los sanitarios a desarrollar reflejos y a reaccionar de manera apropiada ante incidentes reales.
- Comunicación y retroalimentación
Mantener una comunicación abierta y efectiva con los sanitarios es fundamental. En este sentido es esencial compartir información sobre las amenazas emergentes, las vulnerabilidades detectadas y las mejores prácticas de seguridad. Además, esto fomenta la retroalimentación y el diálogo, lo que permitirá mejorar continuamente los esfuerzos en ciberseguridad.
Conclusión
El factor humano es el elemento más importante para proteger las organizaciones de las amenazas cibernéticas. Al invertir en la sensibilización y educación del personal sanitario, las organizaciones del sector de la salud pueden transformar a los empleados en una sólida barrera de defensa contra posibles ataques. La combinación de capacitación continua del personal y con conocimientos sobre ciberseguridad puede marcar la diferencia en cuanto a la protección de datos personales y sensibles de los pacientes y la integridad de los sistemas.
Enlaces de interés
- Factor humano en la ciberseguridad (telefónica): El factor humano: elemento clave de la ciberseguridad
- Ciberseguridad en el sector de la salud (INCIBE): Ciberseguridad en el sector salud: características, amenazas y recomendaciones | INCIBE-CERT | INCIBE