Estudiante de Ciberseguridad del INTEC propone solución para mitigar vulnerabilidad de datos en el sector salud
Jaysa Ruiz explicó que, en el sistema de ciberseguridad de salud, los ataques a las entidades en el sector sanitario alcanzaron un nivel récord en el 2023 por filtración de datos de farmacéuticas, cadenas hospitalarias y otros proveedores médicos
SANTO DOMINGO. – Existe una creciente violación al resguardo de los datos sanitaros a nivel nacional e internacional, principalmente en farmacéuticas, cadenas hospitalarias y otros proveedores médicos de los que se filtran información confidencial, esto quedó evidenciado en un levantamiento realizado por el Bank Information Security, entre 2021 y 2023, alcanzando un nivel récord en este último año.
Ante esta vulnerabilidad la estudiante de Ingeniería en Ciberseguridad del Instituto Tecnológico de Santo Domingo (INTEC) Jaysa Ruiz, manifestó su preocupación y ofreció propuestas para mitigarla, durante el Seminario de Ciberseguridad, asignatura en la que los estudiantes de esa carrera desarrollan una investigación en la que reflexionan sobre un tema de su ámbito de estudio con la perspectiva local, a fin de llegar a conclusiones y compartirlas en la actividad.
“El sector salud enfrenta diariamente una variedad de desafíos de ciberseguridad, en donde se presenta un aumento constante de ataques de hackers, fallas en la seguridad en las telecomunicaciones, pérdidas de datos confidenciales, falta de regulacción y, a su vez, pocos recursos para contrarrestar estos desafíos”, precisó Ruiz.
Ante esta problemática que impacta en el sector salud, recomendó servicios de outsourcing o de subcontratación de procesos de negocios (BPO por sus siglas en inglés Business Process Outsourcing), para identificar los riesgos de seguridad cibernética de los sistemas informáticos la organización.
“Estas empresas apoyan en la mitigación de vulnerabilidades en los sistemas informáticos de diferentes industrias, incluyendo la industria de la salud, ya que realizan evaluaciones de vulnerabilidades y pruebas de penetración, monitoreo continuo de seguridad, gestión de parches y actualizaciones, así como se encargan de la educación, concientización del personal y respuesta ante incidentes”, explicó Ruiz en su presentación.
Explicó que, en los Estados Unidos, estas entidades son reguladas por la Health Insurance Portability and Accountability Act of 1996 (HIPAA), Ley federal de los Estados Unidos de América creada para modernizar el flujo de información en relación a la asistencia sanitaria en Estados Unidos, la cual estipula cómo deben protegerse contra el fraude y el robo de datos personales que tratan los sectores de la asistencia sanitaria.
En el caso de República Dominicana, explicó que el manejo de información de estas empresas es regulado por la SISARIL, entidad encargada de supervisar el Sistema Dominicano de Seguridad Social, y la Ley no. 172-13 de Protección Integral de Datos Personales, “cuyo objetivo es garantizar la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean estos públicos o privados”, aunque se limita al sector financiero.
Antes de contratar una empresa BPO, Ruiz recomienda en su presentación el validar su experiencia y especialización, garantizar que cumpla con las normativas, evaluar la capacidad de gestión de incidentes y respuesta rápida, así como las referencias y casos de éxito anteriores.
El Seminario de Ciberseguridad es impartido por el docente Osvaldo Larancuent, quien a su vez evalúa los trabajos finales presentados por los estudiantes.
Al evaluar este trabajo el profesor Larancuent aseguró que “Los servicios de outsourcing o BPO son cada vez más frecuentes en nuestro país en diferentes niveles administrativos, y en este caso para proveer servicios de “hacking ético”, los “Red/blue teams” (equipos de ataque y defensa cibernético) hacen más asequibles este tipo de diagnósticos, especialmente si están certificadas por legislaciones como HIPAA en los Estados Unidos de América”.
El docente explicó que, cuando se trata de contratar plataformas digitales como sistemas informáticos especializados, para la gestión de expedientes de salud en la nube o Cloud, estas entidades deben ser cautas. “Siendo el sector de salud una infraestructura crítica, lo más prudente sería contar con una legislación nacional, como la Propuesta Legislativa para la Gestión de la Ciberseguridad, fundamental para proteger las infraestructuras críticas y asegurar que se cumpla con las mejores prácticas, en términos de seguridad cibernética, protección de los datos y confidencialidad, auditorías y responsabilidades”.
Asimismo, señaló la necesidad de regulaciones para informaciones confidenciales del sector salud, “pues la Ley no. 135-11 Ley De VIH/SIDA de la República Dominicana es la única que de forma explícita lo establece en su artículo 13”.
Entre los demás temas que fueron abordados a lo largo de la actividad estuvieron el Uso de Tácticas, Técnicas y Procedimientos (TTPs) para optimizar los análisis de vulnerabilidades en el sector financiero por Ransy Elias; Impacto de los ransomware en el sector de retail por Gian Susana; Vulnerabilidades en las aplicaciones y servicios en línea utilizados en la República Dominicana por Erik Garcia; y el Impacto de la falta de conocimiento y conciencia sobre el phishing en empleados de instituciones bancarias, presentado por Ernesto Adames, entre otros.