Laura Prats (Sham): «Tenemos que considerar la evolución tanto de la transformación digital de la sociedad, como la del mundo hacker y los ciberdelincuentes»

‘Muy Segura’ entrevista a Laura Prats, Cyber Risk Manager de Sham (grupo Relyens) en España.

¿Cómo fueron los inicios de su andadura profesional? ¿Cuál es el mejor recuerdo que conserva de aquella primera etapa, así como el momento que le implicó un mayor reto?

La verdad es que echando la vista atrás, una se da cuenta de lo lejos que queda aquello, todo lo que ha pasado por el camino y, al mismo tiempo, lo rápido que parece haber ocurrido. En líneas generales, guardo buen recuerdo de todas mis etapas en el mundo laboral porque, con aciertos y errores, siempre te hacen crecer como profesional y como persona.

Terminé Ingeniería Industrial Eléctrica en el CPS de Zaragoza en los años 90 y mi primer contacto con el mundo industrial fue con una beca de la entonces Fundación Empresa Pública, con la que estuve un año en la Central Térmica de As Pontes, en A Coruña. Tengo un buenísimo recuerdo de ese año, tanto a nivel personal por la acogida de los profesionales de la instalación, como por todo lo aprendido en proyectos industriales en el terreno.

Después de unos años en trabajos de consultoría y otros más técnicos, inicié mi andadura profesional en la ciberseguridad a principio los 2000. Por aquel entonces, tocaba partir casi desde cero, con unas grandes dosis de autoformación, investigación y labor de concienciación en las empresas. En estos inicios en la seguridad de la información, recuerdo como el mayor reto mi incorporación en Applus, en la división de certificación LGAI, donde con un equipo de compañeros, desarrollamos el departamento de certificación en Seguridad de la Información, consiguiendo la primera acreditación de ENAC en aquel momento. La verdad que la seguridad de la información era algo nuevo donde estaba todo por hacer.

¿Qué hitos han sucedido para usted en el transcurso de su trayectoria y qué enseñanza extrae de ellos?

Desde que comencé en el mundo de la ciberseguridad, he ido siguiendo de cerca y participando en el desarrollo del sector, bien desde proyectos en diferentes industrias, o bien con la participación en asociaciones profesionales.

La verdad es que 20 años dan para mucho, pero desde una perspectiva histórica y generacional, es increíble la evolución de la tecnología en estos años. Concretamente, hablando de transformación digital y ciberriesgo, este cambio ha ido ligado a dos puntos clave: la conexión de las tecnologías de control y operación industrial a las redes de comunicaciones y el rápido aumento de la conectividad de internet a nivel global. Y a la vista de la evolución tecnológica, esto es sólo el principio, creo que la dependencia de lo digital va en aumento en nuestra sociedad, con aplicaciones que aún no imaginamos. 

Posiblemente, lo próximo en incorporarse a las redes seamos nosotros mismos, con interacciones directas de nuestro cuerpo con el mundo digital. De toda esta rápida evolución, hay que darse cuenta que es imprescindible estar alerta, abierto a un entorno cambiante y reaccionar rápidamente para adaptarse. Es esta adaptación al cambio y una actitud proactiva y preventiva lo que nos permitirá crecer de una forma segura.

Y esta actitud proactiva, para mí, es totalmente aplicable en la vida personal. Ahora se habla de la necesidad de salir de la zona de confort, para mí es la diferencia entre participar en la vida o verla pasar como simples testigos.

Dos décadas dedicada al campo de la seguridad de la información y la ciberseguridad, desde el lado de la gestión de riesgos, ¿qué balance realiza de estas áreas y cómo han evolucionado a lo largo de este tiempo?

Como estamos hablando, hemos vivido una evolución rápida de los riesgos digitales y la ciberseguridad, sobre todo en los últimos años. En mi opinión, tenemos que considerar la evolución tanto de la transformación digital de la sociedad como la del mundo hacker y los ciberdelincuentes. Hace 20 años, cuando hablábamos de Seguridad de la Información, lo habitual era que las organizaciones necesitaran proteger sus sistemas de gestión, sus bases de datos, servidores de correo, etc. Dependiendo del sector y de su dependencia de estos datos, las consecuencias de una caída podían ser económicamente muy serias, pero la conectividad de dispositivos OT ha cambiado el perfil de riesgo por completo. Estos dispositivos OT son capaces de controlar directamente los sistemas productivos en una industria o, en el sector sanitario, pueden mantener con vida a un paciente en estado crítico. 

Pensemos en las consecuencias de que unos ciberdelincuentes se hagan con el control del tratamiento de las aguas para el consumo humano, de una central eléctrica o de los sistemas de un hospital. Ya hablamos de posibles pérdidas humanas y graves consecuencias sociales, no solo económicas.

En paralelo, también ha evolucionado el entorno de la ciberdelincuencia. Hemos pasado de un perfil de hacker de los primeros momentos con un objetivo más de reto personal que de beneficio económico a toda una industria dedicada a la ciberdelincuencia. Ahora ya son grupos delincuentes con medios económicos quienes marcan un objetivo para extorsionar o robar la información, no tiene nada que ver con el hacker de hace 20 años.

Desgraciadamente, es casi imposible perseguir este tipo de ataques legalmente y, además, los beneficios son altos, por lo que previsiblemente irán en aumento. El planteamiento respecto a la gestión del riesgo desde el punto de vista de las organizaciones, sin embargo, es similar. Debe analizar su exposición de los sistemas, los posibles canales de ataque y tomar todas las medidas preventivas, tanto organizativas como técnicas necesarias.

Y esto, desde luego, es una tarea continua para poder evolucionar como hablábamos anteriormente. Si hay un factor que no se consideraba tan importante hace unos años y ahora es imprescindible, es la colaboración y la coordinación. Para poder atajar estos ataques es necesaria un compromiso internacional de colaboración y coordinación en la respuesta a estos ataques y en la prevención, tanto sectorial como gubernamental. Internet no conoce fronteras, pero la legislación que podría impedir los ataques si tiene un alcance territorial, y eso se utiliza como un sistema de protección para la delincuencia. En la UE se está yendo en esta línea, pero es un problema complejo que tendremos que abordar lo antes posible.

¿Cuándo y por qué inicia su apuesta por Sham (Grupo Relyens), como Ciber Risk Manager en España, gestionando los servicios de ciberriesgos en el sector sanitario?

Después de un largo periodo en el mundo de la consultoría, aunque muy satisfactorio, una propuesta como la de Sham para participar en su proyecto de ciberriesgo en el sector sanitario era algo realmente atractivo, tanto desde el punto de vista profesional como personal. La posibilidad de participar en una actividad ligada a la protección de la salud y la seguridad del paciente, suponía un reto al que solo podía sumarme sin ningún tipo de duda.

Desde hace casi un siglo, Sham, como parte del grupo Relyens, lleva acompañando a sus clientes en la gestión de cualquier tipo de riesgo sanitario. Esta perspectiva es muy importante, pues marcada por su identidad como mutua, pone de manifiesto que Sham no es sólo un actor asegurador, sino que es un risk manager predictivo, que busca además de asegurar a sus clientes, asesoramiento para mejorar y hacer más seguros sus procedimientos. Esto, en clave de ciberriesgos, se traduce como la respuesta a una necesidad ineludible en el sector. El éxito de la transformación digital en el sector va ligado a que se haga de una forma segura, protegiendo no solo la continuidad del servicio sanitario, sino también la seguridad del paciente.

¿Cuáles son sus retos más destacados y de qué manera está ejerciendo su influencia la pandemia sanitaria?

El sector sanitario, por sus propias características, tiene una situación respecto al ciberriesgo específica. La continuidad del servicio se debe garantizar prácticamente 24×7 y las consecuencias de una parada pueden ser muy graves. Además, los dispositivos médicos tienen una problemática añadida a la que ya detectamos en las redes TI más tradicionales. Su gestión y seguridad son complejas, con una alta dependencia de los fabricantes y con un parque instalado con una baja tasa de renovación debido a los altos costes de estos sistemas de tratamiento y diagnóstico.

La pandemia ha traído consigo una aceleración telematización de todos los servicios y actividades, entre ellas, la atención sanitaria. Esto ha aumentado la superficie de ataque a los sistemas, incorporando además puntos con baja protección como son los accesos en remoto de los trabajadores. Además, la pandemia ha demandado muchos recursos a su atención que ha habido que priorizar, tanto desde el punto de vista humano como económico. Esta situación ha sido aprovechada por los ciberdelincuentes incrementándose el número de ataques al sector.

Si es que se pude sacar algo positivo de esta situación, es que ha crecido la concienciación en el sector respecto a la problemática de la ciberseguridad. Un riesgo que quizá estaba más acotado a los niveles técnicos de las organizaciones sanitarias, se está convirtiendo en un riesgo prioritario para la dirección de los hospitales.

Estos son solo algunos de los retos que hemos plasmado en el Libro Blanco de la Ciberseguridad Sanitaria, en el que abordamos los principales desafíos del sector en España y Francia.

Recientemente ha participado en el último Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud (SEIS). ¿En qué consistió su exposición?

Primero quiero agradecer a SEIS y a su Foro de Seguridad y Protección de Datos de la Salud la acogida que ha tenido con Sham y el trabajo para la organización de este evento, aún más considerando las restricciones por la pandemia. La labor de concienciación, coordinación e investigación respecto a la ciberseguridad que hace SEIS en el sector es muy valiosa y desde Sham queremos prestar nuestra colaboración en todo aquello que podamos.

En nuestra exposición quisimos destacar la problemática de la gestión de la ciberseguridad de los dispositivos médicos, que como decíamos antes, es bastante compleja de gestionar con las soluciones tecnológicas generalistas que hay en el mercado. Esta complejidad complica tanto la detección de los dispositivos médicos como su estado respecto a su actualización, configuración y comportamientos anómalos susceptibles de ser ataques o intentos de intrusión. A esto podemos añadir que estos dispositivos tratan datos sensibles de salud que debemos controlar para evitar fugas o accesos ilegítimos.

Como propuesta para gestionar esta problemática específica del sector, presentamos nuestra solución CyberMDX, una plataforma de ciberseguridad específica para el sector sanitario especializada en la gestión de los dispositivos conectados a sus redes, particularmente los dispositivos médicos de diagnóstico y tratamiento.

Desde Sham, consideramos que esta solución, integrada con las soluciones de ciberseguridad es un aporte imprescindible para la gestión de los dispositivos médicos, para aplicar medidas proactivas y para detectar ciberataques de una forma temprana.

¿Puede ofrecer algún detalle acerca de las características técnicas de CyberMDX?

CyberMDX es una solución especializada en la gestión de activos hospitalarios que es capaz de detectar los riesgos y ataques de forma temprana. Como principales características, esta tecnología permite tener un inventario actualizado de todos los dispositivos del hospital. Además, gestiona los riesgos analizando la actualización de equipos, las políticas de seguridad, el tráfico de la red, etc. Lleva incorporada una plataforma de IA que es capaz de identificar comportamientos anómalos en la red, detectar un ataque en sus primeras etapas y proponer medidas para intervenirlos. Todo esto lo realiza de una forma no intrusiva, sin afectar a los dispositivos conectados. Es capaz de recoger toda esta información analizando el tráfico de la red, evitando de esta forma instalar software en los dispositivos médicos, que es una de las limitaciones que nos encontramos en el sector.

Además de lo anterior, la solución también aporta información de gran interés para los responsables de electromedicina del hospital. Sus informes sobre la utilización de los aparatos, el número y el tipo de imágenes, los errores detectados en los equipos, los avisos de los fabricantes, etc, son de gran utilidad para gestionar el mantenimiento de los equipos y para optimizar su uso, con lo que mejoramos la rentabilidad de la inversión.

Uniendo ambas características, tenemos además una forma de coordinar y centralizar las necesidades de dos roles que tradicionalmente operan de forma independiente: los responsables de seguridad y los responsables de electromedicina.

En términos generales, ¿cómo define la oferta global en ciberseguridad para sanidad de la compañía en nuestro país y cuál es su valor añadido?

Gracias a la pertenencia a Relyens, en Sham hemos establecido alianzas con diferentes socios tecnológicos, para potenciar la prevención de riesgos vinculados a las diferentes áreas sanitarias. En particular, para gestionar los riesgos de ciberseguridad, proponemos la solución que antes compartía, CyberMDX, con la que, a través de la IA, buscamos anticipación y mejorar la capacidad de identificar ciberriesgos, permitiéndonos proponer de forma más ágil distintas medidas y estrategias para atajarlos, o hacer frente a los mismos.

Ahora bien, hay que estar preparados para un escenario cotidiano, en los que el parámetro “riesgo 0” no existe. Es por esto por lo que, para cubrir los riegos que se puedan materializar, proponemos la solución Sham CyberProtection®. Una póliza de seguro adaptable a cada cliente que da soporte a la respuesta de los incidentes y a la recuperación de los datos. ya que cubre costes de pérdida de beneficio y responsabilidad del centro sanitario derivados del incidente. De esta forma es como entendemos nuestra oferta global de ciberriesgo: prevención y cobertura. Anticipación y protección.

Mujer y seguro: Desde su posición, ¿cuál es su visión acerca del posicionamiento y nivel de visibilidad que posee la mujer en el mercado asegurador en España?

Las mujeres tienen una representación en el sector asegurador en línea con el porcentaje demográfico de hombre y mujeres en la sociedad. Esto no ocurre en todos los niveles, ya que el porcentaje de mujeres en puestos directivos no tiene el mismo equilibrio. Sin embargo, esta solución va mejorando progresivamente con un aumento considerable en los últimos años.

Esto no es así en el mundo tecnológico, concretamente en la ciberseguridad, pero estoy segura también va a ir cambiando en los próximos años.

Particularmente en Sham, puedo confirmar el compromiso por el desarrollo de perfiles de ambos sexos, atendiendo a criterios profesionales y apoyando a cada uno en sus necesidades concretas para facilitar su desarrollo profesional. Se cuida especialmente la formación, conciliación y la posibilidad de asumir responsabilidades para la promoción profesional.

¿Desea añadir algún comentario o reflexión adicional?

Ocurre que, al hablar de ciberseguridad, podemos tender en demasía a hacer comentarios muy técnicos, alejados del día a día y que no siempre son fáciles de comprender. Es por ello por lo que desde Sham, cuando hablamos de ciberseguridad en el sector sanitario, de lo que hablamos es de “ciberproteger pacientes y también vidas”. Queremos insistir en la estrecha relación entre el ciberriesgo y la seguridad del paciente, motivo último de que Sham integrara la gestión de este tipo de riesgos en su negocio. Por lo tanto, queremos difundir la importancia de la prevención cibernética en el sector sanitario como aspecto determinante para conseguir este objetivo último de Sham, la seguridad del paciente.

Una interrupción de un dispositivo médico puede traer consigo consecuencias devastadoras, más aún cuando estamos viviendo todavía momentos de fuerte presión hospitalaria. No podemos permitirnos basarnos en la improvisación. Los ciberataques no son sólo cuestión de otros países europeos, como Irlanda, que recientemente sufrió uno de fuertes consecuencias o Francia, que a través de un malware tuvo graves interrupciones de su actividad; sino que los tenemos también en nuestro entorno.

Particularmente, comparto el propósito de transformación y mejora constante de Sham, acompañando a los clientes y evolucionando e incorporando los nuevos riesgos como el ciber, capaz de afectar a los pacientes. Por todo ello que celebro poder formar parte de Sham y su proyecto, clave para la Sanidad Española.