La «buena complejidad» puede hacer que las redes hospitalarias sean más ciberseguras

En mayo, un importante ciberataque inhabilitó las operaciones clínicas durante casi un mes en Ascension, un proveedor de atención médica que incluye 140 hospitales en todo Estados Unidos. Los investigadores rastrearon el problema hasta un ransomware malicioso que había infectado la computadora de un empleado.

Los sistemas de atención médica ofrecen objetivos atractivos para los delitos cibernéticos debido a los valiosos datos personales, financieros y de salud que contienen. Una encuesta realizada en 2023 a profesionales de la tecnología de la información y la seguridad informática de la salud informó que el 88 % de sus organizaciones habían sufrido un promedio de 40 ataques durante el año anterior.

Una vulnerabilidad clave ha sido la creciente complejidad de sus sistemas de TI, dice Hüseyin Tanriverdi, profesor asociado de gestión de operaciones, riesgos e información en Texas McCombs. Es el resultado de décadas de fusiones y adquisiciones que han dado lugar a sistemas multihospitalarios cada vez más grandes.

«Tras una fusión, no necesariamente se estandarizan sus tecnologías y procesos de atención», afirma Tanriverdi. «El sistema de salud termina siendo muy complejo, con diferentes sistemas de TI, procesos de atención muy diferentes y estructuras de gobernanza dispares».

Pero la complejidad también podría ofrecer una solución a esos problemas, según ha descubierto en una nueva investigación. Junto con los coautores Juhee Kwon, de la City University de Hong Kong, y Ghiyoung Im, de la University of Louisville, afirma que un «buen tipo de complejidad» puede mejorar la comunicación entre diferentes sistemas, procesos de atención y estructuras de gobernanza, protegiéndolos mejor contra los incidentes cibernéticos.

La obra es publicado En el diario MIS trimestral.

Complejo vs. complicado

Utilizando datos de 445 grupos multihospitalarios desde 2009 hasta 2017, el equipo analizó la noción a menudo repetida de que la complejidad es el enemigo de la seguridad.

Distinguieron dos conceptos de TI que suenan similares y que son clave para el problema.

• La complejidad es una gran cantidad de elementos en un sistema que se interconectan y comparten información de manera estructurada.
• La complejidad se produce cuando una gran cantidad de elementos se interconectan y comparten información de formas no estructuradas, como cuando se integran sistemas después de fusiones y adquisiciones.

Como los sistemas complejos tienen estructuras, dice Tanriverdi, es difícil, pero factible, predecir y controlar lo que harán. Eso no es factible para los sistemas complejos, con sus conexiones no estructuradas.

Tanriverdi descubrió que, a medida que los sistemas de atención de la salud se volvían más complejos, se volvían más vulnerables. Los sistemas más complejos (con la mayor variedad de derivaciones de servicios de salud de un hospital a otro) tenían un 29 % más de probabilidades de sufrir ataques que el promedio.

El problema, dice, es que estos sistemas ofrecen más puntos de transferencia de datos que los piratas informáticos pueden atacar y más oportunidades para que los usuarios humanos cometan errores de seguridad.

Encontró vulnerabilidades similares con otras formas de complejidad, entre ellas:

• Muchos tipos diferentes de servicios médicos que manejan datos de salud.
• Descentralizar las decisiones estratégicas hacia los hospitales miembros en lugar de tomarlas en el centro corporativo.

Establecimiento de estándares de datos

Los investigadores también propusieron una solución: construir plataformas de gobernanza de datos para toda la empresa, como almacenes de datos centralizados, para gestionar el intercambio de datos entre diversos sistemas. Estas plataformas convertirían tipos de datos diferentes en comunes, estructurarían los flujos de datos y estandarizarían las configuraciones de seguridad.

«Transformarían un sistema complejo en un sistema complicado», afirma. Simplificando el sistema, reducirían aún más su nivel de complejidad.

Probó los efectos de la creación de este tipo de plataformas en materia de ciberseguridad y descubrió que, en el sistema más complejo, reducirían las infracciones hasta en un 47 %.

La centralización de la gestión de datos reduce las vías de acceso para los piratas informáticos, afirma Tanriverdi. «Con menos puntos de acceso y controles de ciberseguridad simplificados y reforzados, es menos probable que terceros no autorizados obtengan acceso no autorizado a los datos de los pacientes».

Recomienda complementar los controles técnicos con controles humanos más fuertes: capacitar a los usuarios en prácticas de ciberseguridad y regular mejor quién tiene acceso a las distintas partes del sistema.

Tanriverdi reconoce que su enfoque presenta una paradoja. Invertir en una nueva capa de tecnología puede generar más complejidad informática al principio, pero a largo plazo es un buen tipo de complejidad que neutraliza las complejidades existentes (y más peligrosas).

«Los profesionales deberían aceptar la complejidad de las TI, siempre que éstas den estructura a los flujos de información que antes eran puntuales», afirma. «La tecnología reduce los riesgos de ciberseguridad si está bien organizada y gestionada».