Por: José C. Nieves Pérez

Manejar un incidente de seguridad relacionado con el uso indebido del acceso a Internet en un hospital es una tarea crítica y delicada que requiere una respuesta rápida y efectiva para minimizar el impacto en la seguridad de la información y la reputación de la organización. A continuación, se presenta una guía general para manejar este tipo de incidentes:

1. Identificar el incidente: Es importante que el personal de seguridad del hospital esté atento a cualquier indicio de uso indebido del acceso a Internet, como el acceso a sitios web inapropiados, la descarga de archivos sospechosos, la instalación de software malintencionado, entre otros.
2. Evaluar la situación: Una vez identificado el incidente, es necesario evaluar la gravedad de este, determinar el impacto en la seguridad de la información y la privacidad de los pacientes, y establecer un plan de acción adecuado.
3. Contener el incidente: Es importante limitar el alcance del incidente y prevenir su propagación, para ello se debe realizar lo siguiente:

• Desconectar el dispositivo comprometido de la red.
• Desactivar las cuentas de usuario implicadas en el uso indebido.
• Restringir el acceso a Internet desde el dispositivo afectado.

4. Notificar el incidente: Se debe notificar a los responsables de seguridad y cumplimiento normativo, para que puedan tomar las medidas necesarias y realizar las investigaciones correspondientes. También es necesario notificar a los pacientes afectados si se ha comprometido su información personal.
5. Investigar el incidente: Es fundamental llevar a cabo una investigación exhaustiva para determinar el origen del incidente, el alcance del daño y las medidas preventivas necesarias para evitar futuros incidentes similares. Para ello, es posible que se necesite la ayuda de expertos en seguridad informática.
6. Mitigar el impacto: Una vez que se ha identificado y evaluado el incidente, es importante mitigar el impacto en la seguridad de la información y la reputación del hospital. Esto puede implicar la restauración de datos, la actualización de sistemas, la implementación de medidas de seguridad adicionales, entre otras acciones.
7. Aprender de la experiencia: Es importante documentar el incidente y analizar las lecciones aprendidas para mejorar los procesos y políticas de seguridad de la información en el hospital.

La identificación de un incidente de seguridad relacionado con el uso indebido del acceso a Internet en un hospital puede ser un proceso complejo, ya que es posible que los usuarios involucrados intenten ocultar sus actividades. A continuación, se presentan algunos métodos que pueden ayudar a identificar el incidente:

1. Monitoreo de la red: Es importante monitorear regularmente la actividad de la red, especialmente los registros de acceso a Internet y los registros de eventos de seguridad. Esto puede ayudar a identificar patrones de comportamiento sospechosos, como la descarga de archivos grandes o la visita a sitios web no autorizados.
2. Análisis de tráfico: El análisis de tráfico de la red puede ayudar a detectar patrones de tráfico inusual que pueden indicar actividad malintencionada, como el envío de grandes cantidades de datos a destinos desconocidos o la descarga de archivos sospechosos.
3. Inspección de dispositivos: La inspección regular de los dispositivos utilizados en el hospital puede ayudar a identificar software malintencionado o aplicaciones no autorizadas que pueden indicar el uso indebido del acceso a Internet.
4. Entrevistas y observaciones: Es posible que algunos usuarios involucrados en el uso indebido del acceso a Internet muestren comportamientos sospechosos, como evitar la interacción con los demás o pasar largas horas frente a la computadora. Las entrevistas y observaciones pueden ayudar a detectar estos comportamientos y a identificar a los usuarios involucrados.
5. Denuncias: Es posible que otros usuarios del hospital o terceros detecten el uso indebido del acceso a Internet y presenten denuncias o reportes al equipo de seguridad. Es importante tomar en cuenta estas denuncias y llevar a cabo una investigación correspondiente.

Evaluar la situación es un paso crítico en el manejo de incidentes de seguridad relacionados con el uso indebido del acceso a Internet en un hospital. Esto implica determinar la gravedad del incidente, el impacto en la seguridad de la información y la privacidad de los pacientes, y establecer un plan de acción adecuado. A continuación, se presentan algunos detalles adicionales sobre cómo evaluar la situación:

1. Gravedad del incidente: Es importante evaluar la gravedad del incidente, lo cual puede estar relacionado con el tipo de actividad malintencionada detectada, el número de usuarios afectados, el tiempo que ha pasado desde la detección del incidente, entre otros factores.
2. Impacto en la seguridad de la información y la privacidad de los pacientes: Es necesario evaluar el impacto que el incidente ha tenido en la seguridad de la información y la privacidad de los pacientes. Es posible que el incidente haya comprometido la información personal y médica de los pacientes, lo cual puede ser un riesgo grave para su seguridad y privacidad.
3. Identificación de los dispositivos afectados: Es importante identificar los dispositivos involucrados en el incidente, ya que esto puede ayudar a limitar el alcance del incidente y prevenir su propagación. Es posible que algunos dispositivos tengan mayor riesgo que otros, por lo que es importante priorizar la evaluación de estos.
4. Identificación de los usuarios implicados: Es fundamental identificar a los usuarios implicados en el uso indebido del acceso a Internet. Esto puede ayudar a establecer responsabilidades y a tomar medidas disciplinarias o legales si es necesario.
5. Evaluación del impacto financiero y reputacional: Es importante evaluar el impacto financiero y reputacional del incidente, ya que esto puede tener consecuencias graves para el hospital. Es posible que el incidente genere costos adicionales, como la contratación de expertos en seguridad informática, y que afecte la confianza de los pacientes y la imagen del hospital.

La contención del incidente es un paso crítico en el manejo de incidentes de seguridad relacionados con el uso indebido del acceso a Internet en un hospital. Esto implica tomar medidas para limitar el impacto del incidente y evitar que se propague. A continuación, se presentan algunos detalles adicionales sobre cómo contener el incidente:

1. Desconectar dispositivos afectados: Es importante desconectar los dispositivos afectados de la red para evitar que el incidente se propague. Esto también puede ayudar a preservar la evidencia y facilitar la investigación.
2. Bloquear el acceso a sitios web no autorizados: Es posible que el incidente se haya originado por el acceso a sitios web no autorizados. Por lo tanto, es importante bloquear el acceso a estos sitios para evitar que los usuarios los visiten en el futuro.
3. Restringir los permisos de los usuarios: Es importante restringir los permisos de los usuarios involucrados en el incidente para limitar su capacidad de realizar actividades malintencionadas. Esto puede incluir la revocación de privilegios de acceso a Internet y la restricción de permisos de administración.
4. Cambiar contraseñas: Es importante cambiar las contraseñas de los usuarios afectados para evitar el acceso no autorizado a la red y a los sistemas del hospital.
5. Actualizar el software y los sistemas: Es posible que el incidente se haya originado por la presencia de vulnerabilidades en el software o los sistemas utilizados en el hospital. Por lo tanto, es importante actualizar el software y los sistemas para corregir las vulnerabilidades y prevenir futuros incidentes.
6. Comunicar el incidente: Es importante comunicar el incidente al equipo de seguridad del hospital y a las autoridades competentes para que se puedan tomar medidas adicionales si es necesario. También es importante comunicar el incidente a los usuarios afectados y a los pacientes si se ha comprometido su información personal y médica.

La notificación del incidente es un paso crítico en el manejo de incidentes de seguridad relacionados con el uso indebido del acceso a Internet en un hospital. La notificación debe realizarse a los usuarios afectados, a las autoridades competentes y a otros interesados relevantes para que se puedan tomar las medidas necesarias para prevenir futuros incidentes y proteger la información del hospital. A continuación, se presentan algunos detalles adicionales sobre cómo notificar el incidente:

1. Identificar los usuarios afectados: Es importante identificar a los usuarios afectados por el incidente para poder notificarlos y proporcionarles información sobre el impacto del incidente en su información personal y médica.
2. Notificar a los usuarios afectados: Es importante notificar a los usuarios afectados lo antes posible para que puedan tomar medidas para proteger su información personal y médica. La notificación debe proporcionar detalles sobre el incidente, los datos comprometidos, los pasos que el hospital ha tomado para responder al incidente y las recomendaciones para proteger su información.
3. Notificar a las autoridades competentes: El hospital debe notificar al equipo de seguridad y cumplimiento normativo, y otras autoridades competentes en el ámbito sanitario y legal para que puedan tomar las medidas necesarias para proteger la información personal y médica de los usuarios afectados. Las autoridades pueden incluir a los organismos reguladores de la salud, la policía, la Oficina del Comisionado de Información, entre otros.
4. Notificar a otros interesados relevantes: El hospital también puede necesitar notificar a otros interesados relevantes, como proveedores de servicios de seguros, proveedores de servicios de identidad, bancos, y otros que puedan verse afectados por el incidente.
5. Proporcionar actualizaciones: Es importante proporcionar actualizaciones regulares a los usuarios afectados, las autoridades competentes y otros interesados relevantes a medida que se desarrolla la investigación y el manejo del incidente.

La investigación de un incidente de seguridad relacionado con el uso indebido del acceso a Internet en un hospital es un proceso crítico para identificar las causas del incidente, determinar el alcance de este, recopilar pruebas y datos relevantes, y tomar medidas para prevenir futuros incidentes. A continuación, se presentan algunos detalles adicionales sobre cómo se puede investigar un incidente de seguridad en un hospital:

1. Formar un equipo de investigación: El hospital debe formar un equipo de investigación compuesto por expertos en seguridad de la información, profesionales médicos, profesionales legales, expertos forenses y otros especialistas necesarios para investigar el incidente.
2. Preservar la evidencia: Es importante preservar la evidencia del incidente para que se pueda recopilar información importante. Esto puede incluir la identificación de registros de acceso, registros de auditoría, archivos de registro, y cualquier otro tipo de información relevante.
3. Analizar la evidencia: Una vez que se haya recopilado la evidencia, el equipo de investigación debe analizarla para identificar las causas del incidente, el alcance de este, y las vulnerabilidades que permitieron que ocurriera el incidente.
4. Realizar entrevistas: El equipo de investigación puede necesitar entrevistar a los usuarios afectados, el personal médico y otros empleados del hospital para recopilar información adicional sobre el incidente.
5. Evaluar los controles de seguridad: El equipo de investigación debe evaluar los controles de seguridad actuales del hospital para identificar las vulnerabilidades y los puntos débiles que permitieron que ocurriera el incidente.
6. Documentar los hallazgos: Es importante documentar todos los hallazgos de la investigación, incluyendo las causas del incidente, el alcance de este, las vulnerabilidades identificadas y las recomendaciones para prevenir futuros incidentes.

La mitigación del impacto es un paso crítico para minimizar el impacto de un incidente de seguridad relacionado con el uso indebido del acceso a Internet en un hospital. A continuación, se presentan algunos detalles adicionales sobre cómo se puede mitigar el impacto de un incidente de seguridad en un hospital:

1. Aislar y eliminar la amenaza: Es importante aislar y eliminar la amenaza lo más rápido posible para evitar la propagación de cualquier infección o malware. Si el incidente está relacionado con un virus o malware, se debe eliminar el software malicioso y limpiar todos los sistemas infectados.
2. Restablecer la funcionalidad normal: Después de aislar y eliminar la amenaza, el equipo de TI debe restablecer la funcionalidad normal del sistema afectado. Esto puede incluir la restauración de sistemas a partir de copias de seguridad, la reinstalación de software, y la reconstrucción de sistemas dañados.
3. Notificar a los afectados: El hospital debe notificar a todas las personas afectadas por el incidente, incluyendo pacientes, empleados, proveedores, y otros afectados. La notificación debe incluir información sobre el incidente, el impacto potencial en la información personal, y las medidas que se están tomando para mitigar el impacto.
4. Reevaluar la política de seguridad de TI: Después del incidente, es importante revisar y actualizar la política de seguridad de TI del hospital para evitar futuros incidentes. Esto puede incluir la implementación de medidas adicionales de seguridad, la capacitación de los empleados en seguridad de TI, y la realización de pruebas regulares de seguridad de TI.
5. Supervisar los sistemas: El hospital debe supervisar continuamente los sistemas afectados para detectar cualquier actividad sospechosa y prevenir futuros incidentes. Esto puede incluir la implementación de herramientas de monitoreo y la revisión regular de los registros de acceso y los registros de auditoría.

Aprender de la experiencia es un paso crucial después de un incidente de seguridad relacionado con el uso indebido del acceso a Internet en un hospital. A continuación, se presentan algunos detalles adicionales sobre cómo se puede aprender de la experiencia:

1. Realizar una revisión post-mortem: Después de que el incidente haya sido mitigado, es importante realizar una revisión post-mortem para evaluar el impacto del incidente, las acciones tomadas para contener y mitigar el impacto, y cualquier problema o debilidad en la política de seguridad de TI del hospital que permitió que el incidente ocurriera. Esta revisión debe incluir a los equipos de TI y a los responsables de la seguridad de la información del hospital.
2. Identificar las lecciones aprendidas: Durante la revisión post-mortem, es importante identificar las lecciones aprendidas. Esto puede incluir la identificación de debilidades en la política de seguridad de TI del hospital, la evaluación de los procedimientos de respuesta a incidentes, y la revisión de los procesos de supervisión y monitoreo de la red.
3. Desarrollar y mejorar la política de seguridad de TI: Basándose en las lecciones aprendidas, el hospital debe desarrollar y mejorar su política de seguridad de TI. Esto puede incluir la implementación de nuevas medidas de seguridad, la revisión de las políticas y procedimientos existentes, y la implementación de programas de capacitación para los empleados sobre la seguridad de la información.
4. Documentar y compartir la experiencia: Es importante documentar la experiencia para que otros puedan aprender de ella. El hospital puede compartir la experiencia a través de informes internos, presentaciones o publicaciones en la industria de la salud. Al compartir la experiencia, el hospital también puede obtener comentarios y perspectivas adicionales de otros profesionales de la seguridad de la información.
5. Realizar pruebas regulares de seguridad de TI: Finalmente, el hospital debe realizar pruebas regulares de seguridad de TI para evaluar y mejorar la política de seguridad de TI del hospital. Esto puede incluir la realización de pruebas de penetración, evaluaciones de vulnerabilidades y simulaciones de incidentes de seguridad.

Tabla resumiendo pasos.

Paso	Descripción
Identificar el incidente	Detectar actividad sospechosa, como tráfico inusual, descarga de archivos maliciosos o comportamiento no autorizado
Evaluar la situación	Determinar la naturaleza y el alcance del incidente, y evaluar el impacto en la seguridad y la privacidad de los pacientes
Contener el incidente	Tomar medidas para contener el incidente y prevenir que se propague
Notificar el incidente	Notificar a las autoridades y a los afectados, y cumplir con las obligaciones legales y regulatorias de notificación de incidentes
Investigar el incidente	Investigar el incidente para identificar la causa raíz y tomar medidas para prevenir futuros incidentes similares
Mitigar el impacto	Tomar medidas para mitigar el impacto del incidente, como restaurar los datos y sistemas afectados y mejorar la seguridad de la red
Aprender de la experiencia	Realizar una revisión post-mortem, identificar las lecciones aprendidas, mejorar la política de seguridad de TI, documentar y compartir la experiencia y realizar pruebas regulares de seguridad de TI

Siguiendo estos pasos, un hospital puede manejar un incidente de seguridad relacionado con el uso indebido del acceso a Internet de manera efectiva y prevenir futuros incidentes.

Glosario de términos:

• Incidente de seguridad: Un evento o situación que pone en peligro la seguridad de los sistemas de información o los datos almacenados en ellos.
• Uso indebido: El uso de recursos informáticos, como el acceso a Internet, en una forma no autorizada o contraria a las políticas de seguridad establecidas por una organización.
• Hospital: Una organización de atención médica que brinda servicios médicos y quirúrgicos a pacientes hospitalizados y ambulatorios.
• Red: Un conjunto de dispositivos conectados entre sí para compartir recursos, como datos y servicios, a través de una infraestructura de comunicaciones.
• Firewall: Un dispositivo de seguridad que controla el tráfico de red entrante y saliente para proteger una red contra intrusiones no autorizadas.
• SIEM: Un Sistema de Gestión de Eventos e Información de Seguridad (SIEM, por sus siglas en inglés) es una solución que permite a los administradores de seguridad recopilar, correlacionar y analizar eventos de seguridad de múltiples fuentes para detectar amenazas y realizar una respuesta efectiva.
• VPN: Una Red Privada Virtual (VPN, por sus siglas en inglés) es una solución de seguridad que permite a los usuarios acceder a una red de manera segura y protegida a través de Internet.
• PII: Información de Identificación Personal (PII, por sus siglas en inglés) es cualquier información que pueda usarse para identificar a una persona, como el nombre, la dirección, el número de seguro social o el número de identificación personal.
• HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA, por sus siglas en inglés) es una ley federal que establece estándares para la privacidad y seguridad de la información de salud protegida (PHI, por sus siglas en inglés).
• NIST: El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es una agencia federal de los Estados Unidos que desarrolla y promueve estándares, directrices y prácticas recomendadas para la seguridad de la información y la ciberseguridad.
• Post-mortem: Una revisión después de la ocurrencia de un incidente para identificar las causas, los impactos y las medidas correctivas a tomar.

• Evaluación de riesgos: Un proceso sistemático de identificación, análisis y evaluación de los riesgos asociados con una situación o evento.
• Contención: La acción de limitar la propagación y el impacto de un incidente de seguridad.
• Notificación: La acción de informar a las partes interesadas, como los empleados, los clientes, las autoridades reguladoras o las partes afectadas, sobre un incidente de seguridad.
• Investigación forense: La recopilación, análisis e interpretación de datos para determinar las causas de un incidente de seguridad.
• Mitigación: La acción de reducir o minimizar los efectos negativos de un incidente de seguridad.
• Aprendizaje: El proceso de análisis y reflexión sobre un incidente de seguridad para identificar lecciones aprendidas y mejorar los procesos y prácticas de seguridad.

• Amenaza: Cualquier evento o acción que pueda comprometer la seguridad de los sistemas de información o los datos almacenados en ellos.
• Vulnerabilidad: Una debilidad o defecto en un sistema o aplicación que puede ser explotado por una amenaza para comprometer la seguridad de los sistemas de información o los datos almacenados en ellos.
• Exploit: Una herramienta o técnica utilizada por un atacante para aprovechar una vulnerabilidad y comprometer la seguridad de un sistema.
• Malware: Software malicioso diseñado para dañar, comprometer o controlar un sistema sin el conocimiento o consentimiento del usuario.
• Phishing: Un tipo de ataque de ingeniería social que utiliza mensajes de correo electrónico o sitios web falsos para engañar a los usuarios y obtener información confidencial.
• Ingeniería social: Un conjunto de técnicas utilizadas por los atacantes para engañar a los usuarios y obtener información confidencial o acceso no autorizado a sistemas.
• Políticas de seguridad: Un conjunto de reglas y directrices que establecen cómo se deben proteger los sistemas de información y los datos almacenados en ellos. Las políticas de seguridad suelen incluir normas de uso aceptable, procedimientos de seguridad, medidas de protección y acciones de respuesta a incidentes.

Referencias:

• «Healthcare Information and Management Systems Society (HIMSS) Cybersecurity Survey 2021»: Informe anual que proporciona información sobre la postura de ciberseguridad de las organizaciones de atención médica en todo el mundo. Disponible en: https://www.himss.org/resources/himss-cybersecurity-survey-2021
• «Framework for Improving Critical Infrastructure Cybersecurity»: Marco de trabajo desarrollado por el NIST para ayudar a las organizaciones a mejorar su postura de ciberseguridad. Disponible en: https://www.nist.gov/cyberframework
• «A Guide to Cybersecurity in Healthcare»: Guía que proporciona recomendaciones para mejorar la ciberseguridad en la atención médica. Disponible en: https://www.healthit.gov/sites/default/files/2018-04/CybersecurityGuideforHealthcare.pdf
• «Security Incident Management in Healthcare»: Guía que proporciona recomendaciones para manejar incidentes de seguridad en la atención médica. Disponible en: https://www.enisa.europa.eu/publications/security-incident-management-in-healthcare/at_download/fullReport
• «Healthcare Ransomware and Cybersecurity Threat Overview»: Informe que analiza las tendencias de amenazas y los incidentes de seguridad en la atención médica. Disponible en: https://www.healthitsecurity.com/news/healthcare-ransomware-and-cybersecurity-threat-overview