La capacitación de usuarios debería ser la inversión número uno en ciberseguridad para la atención sanitaria rural.

Las personas son la primera línea y el punto más común de fracaso

Los hospitales y sistemas de salud pequeños suelen ser blanco de ciberdelincuentes debido a su vulnerabilidad, la valiosa información de sus pacientes y su dependencia de cuidados críticos. No es inusual que una o varias personas en el departamento de finanzas se encarguen de la facturación. Si esa persona recibe una factura falsa convincente o un correo electrónico falsificado de un "proveedor", las probabilidades de error son altas, especialmente si no existe una política que exija un segundo paso de verificación .

Por eso la capacitación en concientización es tan crucial. Enseña a las personas a tomarse las cosas con calma, a hacer preguntas y a verificar. Los programas de capacitación más efectivos son breves, recurrentes y personalizados para el personal. En lugar de requerir una larga sesión informativa una vez al año, el departamento de TI puede ofrecer módulos de 10 minutos cada mes o trimestre.

Las simulaciones de ciberamenazas también pueden aportar valor. Por ejemplo, las herramientas de Trend Micro y Proofpoint ofrecen campañas de simulación de phishing donde las organizaciones sanitarias pueden poner a prueba a su personal con escenarios reales, como el phishing, y ajustarse en función de los resultados. Con ejemplos generados por IA y plataformas que permiten la personalización, estas oportunidades de formación se vuelven más relevantes y, por lo tanto, más eficaces.

DESCUBRE: Fortalece tu seguridad con capacitación rentable.

La política y el proceso son tan importantes como la capacitación

La capacitación en concientización sobre ciberseguridad no es aislada. Solo funciona cuando se complementa con políticas claras y que se aplican. En muchos sentidos, las políticas son la respuesta a la pregunta: "¿Para qué los estamos capacitando?".

Un buen ejemplo de una política en funcionamiento sería tratar los procesos basados en correo electrónico de la misma manera que tratamos los inicios de sesión: con verificación de dos factores. De la misma manera que la autenticación multifactor protege su inicio de sesión, su flujo de trabajo debería tener una segunda capa de verificación. Por ejemplo, las facturas superiores a un importe determinado deberían activar una llamada telefónica o una confirmación presencial, según lo exija la política.

Con demasiada frecuencia, las pequeñas organizaciones sanitarias no documentan en absoluto los flujos de trabajo, y mucho menos implementan controles que los rijan según una política clara. Cuando una solicitud parece suficientemente plausible, el personal puede recurrir a la confianza en lugar del protocolo, y ahí es donde las cosas pueden salir mal.

Todos, desde la oficina financiera hasta los médicos, deben conocer las señales de alerta y los pasos a seguir si algo no funciona. Combine esto con capacitación regular y creará no solo conciencia sobre ciberseguridad, sino también una verdadera ciberresiliencia .

RELACIONADO: La capacitación SOC personalizada eleva las habilidades cibernéticas para permitir el crecimiento.

Otras herramientas que marcan la diferencia sin gastar una fortuna

Más allá de la concientización y las políticas, los hospitales rurales, independientes y comunitarios necesitan saber que existen herramientas asequibles para apoyar y hacer cumplir comportamientos más seguros de los usuarios, entre ellas:

• Gestión de acceso privilegiado. Cuando los atacantes entran, el daño depende de las cuentas a las que puedan acceder. Los inicios de sesión de administrador compartidos y las contraseñas reutilizadas son comunes en equipos pequeños, lo que facilita el acceso lateral a los atacantes. Herramientas como Fortinet ofrecen opciones de PAM de bajo coste para ayudar a prevenir esto.
• Herramientas antiphishing. Las pasarelas de correo electrónico como Check Point , Abnormal Security , Trend Micro y Mimecast ofrecen una protección mucho mejor que las defensas nativas del sistema operativo. Bloquear correos electrónicos maliciosos incluso antes de que lleguen a la bandeja de entrada es la mejor opción.

También cabe destacar que muchas pólizas de seguro cibernético exigen que las organizaciones sanitarias implementen controles de seguridad como PAM y MFA. Cumplir con estos estándares puede, en ocasiones, reducir las primas y, lo que es más importante, evitar que se deniegue una reclamación por incumplimiento de un requisito.

La ciberseguridad no tiene por qué ser necesariamente costosa para ser efectiva, pero sí debe ser intencional. Capacitar al personal, crear buenas políticas e invertir en algunas medidas de seguridad críticas puede contribuir en gran medida a proteger incluso a la organización más pequeña de las ciberamenazas cada vez más sofisticadas de la actualidad.