Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: comprometí la seguridad de mi empresa y mis pacientes sin darme cuenta

Fecha de publicación 14/03/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Jaime forma parte de un Centro de Operaciones de Seguridad o por sus siglas en inglés SOC “Security Operations Center”. Entre sus principales funciones se encuentra la monitorización de la seguridad de varios hospitales privados. Gracias al SOC del que Jaime forma parte se han detectado en más de una ocasión diferentes amenazas, como infecciones por malware en equipos y servidores.

¿Qué sucedió en el hospital?

Entre las muchas labores diarias que realizan Jaime y su equipo, se encuentra el análisis del tráfico de las redes internas de sus clientes. Esta práctica, permite detectar diversos y variados problemas, así como errores de configuración. El sistema que utilizan para monitorizar las redes que forman parte de la infraestructura del hospital se basa en la detección de niveles de tráfico inusuales, hecho que podría suponer un riesgo, y que es necesario analizar.

Cuando analizaron parte del tráfico generado, se dieron cuenta que este tenía como destino un servicio de almacenamiento en la nube. Tras una investigación exhaustiva, Jaime vio que las conexiones a ese servidor en la nube se habían vuelto comunes en los últimos días. Además, el volumen de datos se había incrementado exponencialmente, lo que hizo saltar la alerta del sistema de seguridad. Otra de las conclusiones que sacaron al realizar la investigación, fue que la conexión al servicio en la nube siempre se había realizado desde la misma dirección IP, siendo más que probable que fuera siempre del mismo usuario.

La dirección IP permitió identificar al usuario, por lo que Jaime decidió concertar una reunión con Arya. La doctora le informó que hacía unos días que su compañero se había lesionado la rodilla y Arya tuvo que asumir los pacientes de este. La doctora se encontraba desbordada, no podía preparar las consultas como era debido y consideraba que el servicio se estaba degradando. Para agilizar las consultas, Arya decidió subir a su servicio de almacenamiento en la nube personal el historial médico de aquellos pacientes que precisaban de un estudio más pormenorizado, gracias a lo cual podría preparar las consultas más concienzudamente en su casa y así agilizarlas en el hospital.

Jaime sabía que la intención de Arya era mejorar el servicio pero aun así, estaba poniendo en riesgo la privacidad de los pacientes, ya que el servicio utilizado no contaba con los mecanismos de seguridad necesarios. Además estaba comprometiendo al propio hospital, pues la responsabilidad de velar por la confidencialidad de los datos es de la propia organización.

¿Qué se hizo para proteger la información?

Jaime sabía que se tenía que activar el Plan de Contingencia y Continuidad de Negocio, ya que estaba en riesgo la información personal de varios pacientes y se estaba incumpliendo con el RGPD. Inmediatamente se puso en contacto con el director de seguridad del hospital y se convocó al gabinete de crisis. Durante la junta se tomaron cuatro soluciones para evitar que se volviera a producir una fuga de información por el mismo motivo:

  1. Se redactó una política de aplicaciones permitidas para que cualquier servicio público de almacenamiento en la nube, quedara totalmente prohibido.
  2. Se crearon reglas en el cortafuegos para monitorizar e impedir que se pudieran hacer uso de ese tipo de servicios.
  3. Se contrató un servicio de almacenamiento en la nube privado con las medidas de seguridad adecuadas, para que el personal del hospital autorizado pudiera acceder al historial de sus pacientes desde una nube segura.
  4. Se implantó un plan de formación y concienciación a los empleados del hospital para que aumentaran sus conocimientos en ciberseguridad, y se conocieran los riesgos que se corre al hacer un mal uso de la tecnología y la información.

Las fugas de información no siempre están provocadas por ciberdelincuentes o por miembros de la organización cuyo objetivo es dañarla de algún modo. En muchas ocasiones, son los propios empleados de la empresa los que en su afán por mejorar el flujo de trabajo, ponen en riesgo la seguridad de la compañía y la información que gestiona. Formar y concienciar a los empleados es la base para que las fugas de información no se produzcan.