Un estudio afirma que el riesgo en ciberseguridad en empresas de salud se incrementa hasta el 64% por el teletrabajo

El documento analizado, en primer lugar, la situación de partida de una muestra de 20 empresas seleccionadas por Biotecyl, mediante un cuestionario de posicionamiento de las empresas en cuanto al riesgo al que están expuestas y a su sensibilización hacia los peligros potenciales de ciberseguridad que las rodean. Este primer análisis, anónimo, permite clasificar a las empresas en diferentes niveles. Así, el riesgo era medio-alto (60 por ciento) antes de la llegada de la covid-19 y se ha incrementado (64 por ciento) con la llegada de la pandemia. De hecho, solo una de cada cinco empresas aumentó su nivel de sensibilización tras la pepidemia con respecto a la situación anterior, «fundamentalmente ofreciendo información o formación específica en ciberseguridad a sus trabajadores».

A partir de esta fotografía inicial se ha desarrollado un cuestionario de diagnóstico basado en la identificación de una serie de indicadores en torno a tres ámbitos de actuación (físico, lógico y procedimientos) acerca del uso y aplicación de acciones relacionadas que se han dividido en once bloques, con el objetivo de identificar sus principales vulnerabilidades. Estos bloques son: control de acceso físico; de activos y red; de acceso lógico; actualización de software de sistemas; actualización de software de protección; integridad y disponibilidad de la información; control de dispositivos y la información que contienen; formación; gestión de riesgos; plan de contingencias; y políticas de seguridad.

Tras el análisis de las respuestas a los cuestionarios, el estudio concluyó que «existe un amplio desconocimiento de las medidas de seguridad implementadas en cada entidad, especialmente en cuanto a la integridad y disponibilidad de la información». Además, las grandes empresas son las que, en proporción, tienen mayor número de medidas completadas, aunque «sorprende que las microempresas sean las que tengan más medidas de seguridad en proceso de implementación». Esta cuestión podría interpretarse, según el informe, «como un aumento de sensibilización entre ellas».

Igualmente, las áreas de gestión de riesgos, plan de contingencias y políticas de seguridad son las «más controvertidas», pues «suscitan a partes iguales la decisión de no acometer medidas en ellas, desconocimiento y deseo de llevar a cabo acciones, por lo que habría que incidir en ellas a la hora de prestar servicios avanzados de seguridad a las empresas».

También «se evidencia» la necesidad de insistir en la sensibilización y formación en cuanto a integridad y disponibilidad de la información. «Muchas entidades desconocen si están aplicando las medidas de seguridad adecuadas para la información altamente sensible como son los datos de salud personales», explicó el documento.

Si se atiende al ámbito de las medidas de seguridad evaluadas, tanto si es físico, lógico o procedimental, «queda patente que a las entidades les resulta más sencillo aplicar medidas de seguridad físicas que lógicas y/o procedimentales».

Por último, el estudio sentencia que la ciberseguridad «no es una cuestión proporcional al tamaño de la empresa, ya que no siempre las grandes empresas están más protegidas ni concienciadas que las microempresas en todos los ámbitos».