La digitalización acelerada del sector salud y biotecnológico ha multiplicado las vulnerabilidades frente a los ciberataques. La creciente interconexión de dispositivos, la ausencia de estructuras de gobernanza, el desconocimiento generalizado en buenas prácticas de seguridad y la percepción de la ciberseguridad como un asunto exclusivamente técnico configuran un escenario de riesgo que afecta directamente a la calidad asistencial y a la integridad de los datos clínicos.
Esta fue una de las principales conclusiones de la I Jornada sobre Ciberseguridad en el Sector Salud y Biotecnología, organizada de forma conjunta por la Cátedra de Ciberseguridad INCIBE-UPV y la Fundació Parc Científic Universitat de València (FPCUV). El encuentro se celebró el pasado 4 de julio en el auditorio Marie Curie del Parc Científic de la Universitat de València, en el marco del programa de Cátedras de Ciberseguridad en España, impulsado por el Instituto Nacional de Ciberseguridad (INCIBE) con financiación de los fondos europeos Next Generation-EU a través del Plan de Recuperación, Transformación y Resiliencia.
Vuelve a ver la sesión "I Jornada sobre Ciberseguridad en el Sector Salud y Biotecnología" que acogimos el pasado 4 de julio en el PCUV
En la apertura institucional, el director del Parc Científic, Pedro Carrasco, señaló que “la ciberseguridad ya no es una opción tecnológica, sino una responsabilidad compartida que atraviesa lo organizativo, lo ético y lo estratégico”. Reivindicó también el papel clave de la cooperación entre administraciones, centros de investigación, hospitales, startups, organizaciones tecnológicas y universidades. Asimismo, anunció que el PCUV trabaja ya en la primera convocatoria de IAtecUV, una incubadora especializada en inteligencia artificial, e invitó a las entidades asistentes a sumarse al proyecto.
El director de la Cátedra INCIBE-UPV, Santiago Escobar, repasó los pilares que estructuran la cátedra y puso el foco en la necesidad de una implicación transversal en los entornos sanitarios: “La ciberseguridad va con las personas, pero la tecnología genera nuevas situaciones de riesgo. Solo estamos viendo la punta del iceberg; las organizaciones del sector salud y biotecnología deberán invertir más y adoptar una cultura preventiva”. Escobar alertó sobre los peligros de asumir que la seguridad digital es responsabilidad exclusiva del área de sistemas, cuando en realidad se trata de un riesgo compartido por toda la organización.
La primera mesa redonda, titulada “Marcos y buenas prácticas de ciberseguridad aplicadas al sector salud y biotech”, contó con la participación de profesionales de Mobiliza Consulting, ISACA Valencia, UPV, Kiwa, Qualliance, S2 Grupo y la propia Cátedra. A lo largo del debate se señalaron carencias comunes como la fragmentación de la seguridad por departamentos, la falta de visión de conjunto y la escasa formación del personal en protocolos básicos.
María José González, managing partner en Qualliance, destacó que gran parte de los incidentes se originan por errores humanos y una débil cultura organizativa en torno a la seguridad digital. Fernando Seco, director de la división de Gobierno de la Seguridad en S2 Grupo, advirtió de la falta de estructuras de gobernanza y planificación desde los equipos directivos, lo que impide desplegar estrategias sostenidas de protección, y recalcó que la responsabilidad en esta materia puede incluso tener implicaciones legales.
En este contexto, los marcos normativos como el ENS, la norma ISO 27001 o la directiva NIS2 fueron destacados como herramientas útiles para ordenar y mejorar los sistemas. Según Francisco Javier Peiró, auditor en Kiwa, estos marcos “no traen nada radicalmente nuevo, pero permiten normalizar procesos y reforzar la madurez operativa”. Insistió también en que la certificación no es obligatoria, pero sí recomendable, y que los planes de continuidad deben ensayarse en escenarios reales. “Muchas veces fallan porque nunca se han puesto a prueba”, apuntó.
Jorge Edo, director de Mobiliza Consulting y responsable de certificaciones de ISACA Valencia, fue contundente: “Una buena seguridad en los sistemas de información es también una buena seguridad para el paciente. Al igual que controlamos las dosis de un medicamento, debemos garantizar la protección de sus datos clínicos. Una filtración puede tener consecuencias fatales”.
"Una buena seguridad en los sistemas de información es también una buena seguridad para el paciente. Al igual que controlamos las dosis de un medicamento, debemos garantizar la protección de sus datos clínicos. Una filtración puede tener consecuencias fatales", Jorge Edo, director de Mobililiza Consulting
La segunda mesa redonda, centrada en “Experiencias empresariales en el sector salud y biotec”, reunió a representantes del Instituto de Física Corpuscular (IFIC), Dawako, Hospital Francesc de Borja, NTT DATA, ADM Biópolis y la Fundación Instituto Valenciano de Oncología (IVO). Las intervenciones se centraron en cómo se implementan políticas de ciberseguridad en organizaciones con realidades muy distintas, y qué estrategias funcionan para implicar al conjunto de los equipos.
Albert Martínez, jefe del Servicio de Informática del Hospital Francesc de Borja, explicó que uno de los principales retos del sistema sanitario ha sido adaptarse a las nuevas tecnologías por falta de inversión. Detalló que su equipo mantiene un contacto directo con los servicios clínicos para anticipar problemas y que el apagón peninsular del 28 de abril fue una prueba real de resiliencia para sus sistemas. “Funcionaron los mecanismos internos, pero fallaron las aplicaciones comunes a otros centros. Aún estamos lejos del nivel que quisiéramos alcanzar”, reconoció.
Desde la Fundación IVO, Fernando Zapatero compartió que su infraestructura evita el uso de almacenamiento en la nube y que han desarrollado una arquitectura que podría operar incluso sin conexión a internet, incluyendo sistemas propios de alimentación eléctrica y centros de procesamiento protegidos frente a inundaciones, como las vividas durante la DANA de octubre.
Kiko Albiol, investigador del IFIC, explicó cómo su equipo trabaja en el diseño y testeo de software para dispositivos clínicos, especialmente aquellos basados en inteligencia artificial. Aunque colaboran con centros sanitarios, señaló que la gobernanza de datos continúa siendo un obstáculo importante para cerrar acuerdos con hospitales.
Desde el sector empresarial, Javier Navarro, manager OT en ADM Biópolis, describió un enfoque multicapa de protección, con hasta tres niveles de red para proteger entornos industriales altamente sensibles, como los que gestionan cepas bacterianas únicas en el desarrollo de probióticos. Marta Ruiz Server, de NTT DATA, explicó su sistema de formación interna a través de cursos gamificados y obligatorios cada tres meses, que buscan implicar al personal sin recurrir a formatos largos o burocráticos.
"Si no hubiéramos hecho una adaptación rápida, no habríamos podido acercarnos al mercado estadounidense. En Europa hay culturas de seguridad muy diversas y más flexibles, por eso es esencial conocer el entorno regulador de cada país", Lucas Sanjuan, responsable de Regulatory Affairs y Quality Asurance en Dawako
Lucas Sanjuan, responsable de calidad y regulación en Dawako, hizo énfasis en la necesidad de adaptar las prácticas de seguridad a las exigencias internacionales: “Si no hubiéramos hecho una adaptación rápida, no habríamos podido acercarnos al mercado estadounidense. En Europa hay culturas de seguridad muy diversas y más flexibles, por eso es esencial conocer el entorno regulador de cada país”.
La jornada finalizó con la intervención de Silvia Rueda, vicepresidenta segunda del Colegio de Ingeniería Informática de la Comunitat Valenciana, quien apeló a la comunidad científica y tecnológica a impulsar soluciones realistas, con empatía y enfoque humano. “La seguridad también son las personas y el planeta. Necesitamos conciencia, pero también compromiso para integrar estas prácticas en el día a día”, concluyó.