A primera vista, el acceso de Palanti a una libreta de direcciones que contiene 1,5 millones de empleados del NHS puede parecer otro ejemplo más de transformación digital en la atención sanitaria a gran escala, o simplemente un paso necesario para un proveedor que soporte un entorno tan complejo.
Sin embargo, bajo este epígrafe hay mucho más que considerar: hoy en día, el ecosistema sanitario está formado no sólo por la propia organización, sino también por una extensa red externa que la rodea.
Una pregunta que debe abordarse aquí es: ¿saben las organizaciones quién tiene acceso a las partes más importantes de sus sistemas e información en todo momento?
La atención sanitaria siempre ha sido un entorno rico en datos y de alto riesgo, pero su evolución digital ha ampliado drásticamente el número de actores involucrados en la prestación de atención. Los proveedores de nube, las plataformas de análisis, los proveedores de software, los contratistas y los consultores requieren distintos grados de acceso a los sistemas críticos.
Puntos ciegos de terceros
El desafío no es sólo la existencia de terceros, sino que la visibilidad de su acceso suele ser fragmentada o incompleta. En muchos casos, las organizaciones dependen de registros estáticos, garantías contractuales o revisiones periódicas para verificar la seguridad. Pero el acceso cambia constantemente: se incorporan nuevos usuarios, se cambian los permisos, se actualizan las integraciones, a menudo sin una vista central en tiempo real.
Estar en este modo crea una situación muy riesgosa y potencialmente peligrosa. Las propias organizaciones son responsables de garantizar que los datos de los pacientes estén seguros y que los servicios funcionen sin problemas.
Sin embargo, en el caso del NHS, la cosa no es tan sencilla. No es una única organización con un sistema de TI unificado, sino una red de cientos de fideicomisos semiindependientes, consultorios de médicos de cabecera, servicios de salud mental y otros proveedores de atención, muchos de los cuales históricamente han adquirido su propia tecnología.
Esto ha generado un panorama complejo de sistemas heredados que no siempre están integrados de manera efectiva, lo que hace que el control de la visibilidad y el acceso sea significativamente más desafiante, especialmente cuando se introducen proveedores externos.
Esta es la razón por la que muchos eventos de seguridad importantes no ocurren dentro de los bastiones de las empresas sino en el borde de sus redes, a través de integraciones o asociaciones. Y se vuelve aún más problemático porque, a diferencia de muchos otros sectores, la atención sanitaria depende en gran medida de la disponibilidad de sistemas de información.
Por tanto, la gestión del acceso en este sector no es sólo una cuestión de protección de datos, sino también de garantizar la continuidad del negocio.
El riesgo cibernético se encuentra con la geopolítica
Al mismo tiempo, el panorama de amenazas también está experimentando cambios que sólo amplifican los riesgos asociados con estas vulnerabilidades.
Los recientes ataques Wiper contra instituciones sanitarias atribuidos a Irán ilustran que las operaciones cibernéticas actuales son resultado directo de tensiones geopolíticas. Esto crea una especie de campo de batalla paralelo, donde la disrupción es posible sin cruzar fronteras en el sentido convencional. En muchos sentidos, esta es una guerra moderna y una para la cual las organizaciones aún no están completamente preparadas.
Los ataques de limpieza se diferencian de los ataques estándar en que su propósito no es robar datos confidenciales sino destruir completamente los sistemas. Para las organizaciones sanitarias, estos ataques significan un fracaso catastrófico con consecuencias potencialmente fatales para los pacientes.
Aún más alarmante es lo accesibles que se han vuelto estos ataques. Los avances en las herramientas de inteligencia artificial están reduciendo drásticamente el costo y el esfuerzo necesarios para ejecutarlas, lo que significa que tácticas como phishing, DDoS y reconocimiento ahora se pueden ejecutar a mucha mayor velocidad y escala.
Esto convierte el riesgo cibernético firmemente en riesgo estratégico. Ya no se limita al departamento de TI. Dado que afecta la resiliencia operativa, la estabilidad financiera y la confianza pública, los líderes ahora deben anticipar que la presión cibernética aumentará junto con la inestabilidad global, no de forma independiente.
El consentimiento no es suficiente
Incluso a la luz de estos desarrollos, muchas organizaciones todavía dependen de enfoques de seguridad y cumplimiento que fueron diseñados para una era muy diferente.
Un marco estático ofrece una instantánea única para garantizar auditorías periódicas, evaluaciones anuales y cumplimiento. Estos métodos garantizan que los controles estuvieran implementados en el momento de la evaluación, pero no garantizan lo que sucederá en los días o meses siguientes.
En un entorno tan dinámico como el de la asistencia sanitaria, esta es una limitación importante. Los sistemas evolucionan a diario. Se cambian los permisos de acceso y se introducen nuevas integraciones. Un control que era eficaz en el momento de una auditoría puede fallar sin una visibilidad inmediata.
Investigaciones recientes de Quod Orbis muestran consistentemente que las organizaciones a menudo sobreestiman su visibilidad. Por ejemplo, si bien la mayoría de las empresas reportan confianza en su postura de seguridad, el 93% dice que tienen una visibilidad clara de sus activos de TI, pero el 95% admite que no han podido acceder a un activo de software en particular durante el último año. Esta brecha entre la percepción y la realidad es donde el riesgo comienza a acumularse.
El caso del monitoreo continuo
Si la naturaleza del riesgo cambia, el marco de gestión de riesgos debe cambiar. Si bien regulaciones como DORA han comenzado a abordar este cambio dentro de los servicios financieros, la realidad es que los mismos principios ahora se aplican más allá de un solo sector.
En lugar de buscar informes y procedimientos adicionales, las empresas deben adoptar un enfoque de aseguramiento completamente nuevo, uno que reconozca la naturaleza dinámica y en tiempo real de los sistemas de TI modernos.
A través del monitoreo continuo de la red, las organizaciones obtienen la capacidad de saber en tiempo real qué tan seguros son realmente sus sistemas de TI y hacer algunas preguntas importantes, como: ¿Quién tiene acceso, qué cambios se han realizado y qué agujeros aún deben cubrirse? El acceso de terceros es un área donde la supervisión continua ayudará a las organizaciones a implementar un modelo de “confiar, pero verificar” en lugar de un enfoque de confianza ciega para otorgar acceso a terceros.
Al mismo tiempo, la supervisión y el monitoreo continuos brindan la oportunidad de abordar los problemas de manera proactiva antes de que ocurran, y en el entorno cada vez más perturbador de hoy, la capacidad de abordar y prevenir problemas puede significar la diferencia entre tener un problema y experimentar una pesadilla operativa.
Permite a las organizaciones ejercer control sin sofocar la innovación y la colaboración. La historia del NHS no es un caso atípico en este sentido. Más bien, refleja cambios en el comportamiento organizacional y los riesgos asociados con él. Con la proliferación de los ecosistemas digitales, los riesgos inherentes al acceso de terceros ya no son una cuestión. La pregunta es si las organizaciones tienen la visibilidad y la capacidad para controlar esos riesgos.
La historia del NHS no es un caso atípico en este sentido. Al contrario, refleja una realidad más amplia en muchas organizaciones. Al igual que el NHS, muchas empresas operan con sistemas heredados, infraestructura de TI fragmentada y visibilidad limitada en su entorno. Con la proliferación de los ecosistemas digitales, los riesgos inherentes al acceso de terceros ya no son una cuestión.
También plantea una consideración importante: ¿las organizaciones realmente tienen una supervisión total de sus relaciones con terceros y pueden evaluar con confianza el nivel de riesgo y los controles de seguridad implementados?
No se puede proteger lo que no se puede ver y, cada vez más, el riesgo está donde no se puede ver.
Contamos con los mejores cursos de ciberseguridad online.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
