En mayo, un importante ciberataque inhabilitó las operaciones clínicas durante casi un mes en Ascension, un proveedor de atención médica que incluye 140 hospitales en todo Estados Unidos. Los investigadores rastrearon el problema hasta un ransomware malicioso que había infectado la computadora de un empleado.

Los sistemas de atención médica ofrecen objetivos jugosos para los delitos cibernéticos debido a los valiosos datos personales, financieros y de salud que contienen.Una encuesta de 2023 realizada a profesionales de seguridad de TI y tecnología de la información sanitaria informó que el 88% de sus organizaciones habían experimentado un promedio de 40 ataques durante el año anterior.

Una vulnerabilidad clave ha sido la creciente complejidad de sus sistemas de TI, dice Hüseyin Tanriverdi, profesor asociado de gestión de información, riesgos y operaciones en Texas McCombs.Es el resultado de décadas de fusiones y adquisiciones que han formado sistemas multihospitalarios cada vez más grandes.

"Después de una fusión, no necesariamente estandarizan su tecnología y sus procesos de atención", dice Tanriverdi."El sistema de salud acaba teniendo mucha complejidad, con diferentes sistemas de TI, procesos de atención muy diferentes y estructuras de gobernanza dispares".

Pero la complejidad también podría ofrecer una solución a estos problemas, según encuentra en una nueva investigación.Con los coautores Juhee Kwon de la City University de Hong Kong y Ghiyoung Im de la Universidad de Louisville, dice que un "buen tipo de complejidad" puede mejorar la comunicación entre diferentes sistemas, procesos de atención y estructuras de gobernanza, protegiéndolos mejor contra la ciberseguridad.incidentes.

el trabajo espublicadoen el diarioMIS trimestral.

Complejo versus complicado

Utilizando datos de 445 grupos multihospitalarios que abarcan entre 2009 y 2017, el equipo analizó la noción frecuentemente repetida de que la complejidad es enemiga de la seguridad.

Distinguieron entre dos conceptos de TI que suenan similares y que son clave para el problema.

• La complejidad es una gran cantidad de elementos en un sistema que se interconectan y comparten información de manera estructurada.
• La complejidad ocurre cuando una gran cantidad de elementos se interconectan y comparten información de manera no estructurada, como cuando se integran sistemas después de fusiones y adquisiciones.

Debido a que los sistemas complicados tienen estructuras, dice Tanriverdi, es difícil pero factible predecir y controlar lo que harán.Esto no es factible para sistemas complejos, con sus conexiones no estructuradas.

Tanriverdi descubrió que a medida que los sistemas de atención médica se volvían más complejos, se volvían más vulnerables.lo massistemas complejosâcon la mayor variedad de derivaciones a servicios de salud de un hospital a otroâtenían un 29% más de probabilidades de sufrir incumplimientos que el promedio.

El problema, afirma, es que dichos sistemas ofrecen más puntos de transferencia de datos para que los hackers ataquen y más oportunidades para que los usuarios humanos cometan errores de seguridad.

Encontró vulnerabilidades similares con otras formas de complejidad, que incluyen:

• Manejo de muchos tipos diferentes de servicios médicos.datos de salud.
• Descentralizar las decisiones estratégicas hacia los hospitales miembros en lugar de tomarlas en el centro corporativo.

Establecer estándares de datos

Los investigadores también propusieron una solución: construir plataformas de gobierno de datos para toda la empresa, como almacenes de datos centralizados, para gestionar el intercambio de datos entre diversos sistemas.Dichas plataformas convertirían tipos de datos diferentes en comunes, estructurarían los flujos de datos y estandarizarían las configuraciones de seguridad.

"Transformarían un sistema complejo en un sistema complicado", afirma.Al simplificar el sistema, reducirían aún más su nivel de complicación.

Probó los efectos en la ciberseguridad de la creación de dichas plataformas.Descubrió que el resultado fue que, en el sistema más complicado, reducirían las infracciones hasta en un 47%.

Centralizar la gobernanza de datos reduce las vías de entrada de los piratas informáticos, afirma Tanriverdi."Con menos puntos de acceso y controles de ciberseguridad simplificados y reforzados, es menos probable que partes no autorizadas obtengan acceso no autorizado a los datos de los pacientes".

Recomienda complementar también los controles técnicos con controles humanos más sólidos: capacitar a los usuarios en prácticas de ciberseguridad y regular mejor quién tiene acceso a las distintas partes del sistema.

Tanriverdi reconoce una paradoja en su enfoque.Invertir en una nueva capa de tecnología puede introducir una mayor complejidad de TI al principio.Pero a largo plazo, es un buen tipo de complejidad que domina los tipos de complejidad existentes (y más peligrosos).

"Los profesionales deberían aceptar la complejidad de la TI, siempre y cuando dé estructura a los flujos de información que antes eran ad hoc", afirma."La tecnología reduce los riesgos de ciberseguridad si está bien organizada y gobernada".

Más información:Hüseyin Tanriverdi et al, Domar la complejidad en la ciberseguridad de los sistemas multihospitalarios: el papel de las plataformas de análisis de datos a nivel empresarial,MIS trimestral(2024).DOI: 10.25300/MISQ/2024/17752