Traducido del inglés al español - www.onlinedoctranslator.
com
cuidado de la salud
Artículo
Una encuesta de cultura de ciberseguridad dirigida a infraestructuras
críticas de atención médica
Fotios Gioulekas1, Evangelos Stamatiadis1, Atanasios Tzikas1, Konstantinos Gounaris1, Anna Georgiadou2,* ,
Ariadni Michalitsi-Psarrou2, Georgios Doukas2, Michael Kontoulis2, Yannis Nikoloudakis3, Sergio Marín4,
Ricardo Cabecinha5y Christos Ntanos2
----
---
Citación:Gioulekas, F.; Stamatiadis, E.;
Tzikas, A.; Gounaris, K.; Georgiadou, A.;
Michalitsi-Psarrou, A.; Doukas, G.; Kontoulis,
M.; Nikoloudakis, Y.; Marín, S.; et al. Una
encuesta de cultura de ciberseguridad
dirigida a infraestructuras críticas de
atención médica.Cuidado de la salud 2022,
10, 327. https://doi.org/ 10.3390/
healthcare10020327
Editor académico: Daniele Giansanti
Recibido: 7 de enero de 2022
Aceptado: 7 de febrero de 2022
Publicado: 9 de febrero de 2022
Nota del editor:MDPI se mantiene neutral
con respecto a reclamos jurisdiccionales en
mapas publicados y afiliaciones
institucionales.
Derechos de autor:© 2022 por los
autores. Licenciatario MDPI, Basilea,
Suiza. Este artículo es un artículo de
acceso abierto distribuido bajo los
términos y condiciones de la licencia
Creative Commons Attribution (CC BY)
(https:// creativecommons.org/
licenses/by/ 4.0/).
salud cuidado2022,10, 327. https://doi.org/10.3390/healthcare10020327
1 5ª Autoridad Sanitaria Regional de Tesalia y Sterea, Mezourlo, 411 10 Larissa, Grecia; fogi@dypethessaly.gr (FG);
vstam@dypethessaly.gr (ES); atzi@uhl.gr (AT); kgounaris@ghv.gr (KG) Laboratorio de sistemas de soporte de
2 decisiones, Universidad Técnica Nacional de Atenas, 15 780 Zografou, Grecia; amical@epu.ntua.gr (AM-P.);
gdoukas@epu.ntua.gr (GD); mkontoulis@epu.ntua.gr (MK); cntanos@epu.ntua.gr (CN)
3 Departamento de Ingeniería Eléctrica e Informática, Universidad Helénica Mediterránea, 710
04 Heraklion, Grecia; nikoloudakis@pasiphae.eu
4 Polaris Medical Clinica de Tratament si Recuperare, Str. Principalun,407062 Suceagu, Rumanía;
sergiu.marin@polarismedical.ro
5 Hospital do Espirito Santo deMIvora, EPE, Largo Senhor da Pobreza, 7000-811MIvora, Portugal;
rjcabecinha@hevora.min-saude.pt
* Correspondencia: ageorgiadou@epu.ntua.gr
Resumen:Estudios recientes informan que las brechas de seguridad cibernética observadas en los hospitales están
asociadas con niveles bajos de conciencia de seguridad cibernética del personal. Este trabajo tiene como objetivo
evaluar la cultura de la ciberseguridad en las instituciones sanitarias de los países de ingresos medios y bajos de la UE.
El proceso de evaluación se diseñó y realizó a través de encuestas anónimas en línea dirigidas individualmente a
departamentos de TIC (tecnologías de Internet y comunicación) y profesionales de la salud. El estudio se realizó en 2019
para una región de salud en Grecia, con un número significativo de hospitales y centros de salud, un gran hospital en
Portugal y una clínica médica en Rumania, con tasas de respuesta del 53,6% y 6,71% para los profesionales de las TIC y
la salud. , respectivamente. Sus hallazgos indican la necesidad de establecer departamentos de seguridad cibernética
individuales para monitorear los activos y las actitudes mientras subrayan la importancia de los programas continuos de
capacitación en concientización sobre seguridad. El análisis de nuestros resultados ayuda a comprender las
contramedidas que se han implementado en las instituciones de salud y, en consecuencia, mejorar la defensa de la
ciberseguridad, al tiempo que reduce la superficie de riesgo.
Palabras clave:cultura de ciberseguridad; conciencia; Evaluacion de seguridad; dominio de la salud
1. Introducción
La ciberseguridad se ha convertido en uno de los dominios dominantes de las tecnologías de
la información (TI) en el sector de la salud [1]. En las últimas décadas, se han realizado varios
intentos científicos para identificar, clasificar y abordar las vulnerabilidades y debilidades en las
instituciones de salud y hospitales.2–5]. Sin embargo, este esfuerzo no desalentó ni limitó el
ciberdelito en constante evolución en este ámbito. La Agencia de la Unión Europea para la
Ciberseguridad (ENISA) afirmó que el sector de la salud representó el 27% de los ataques
cibernéticos generales en Europa en 2018 [6].
El brote de coronavirus, entre sus muchos efectos secundarios, resultó en un aumento significativo del
delito cibernético [7,8]. Infraestructuras críticas, según la clasificación basada en la Directiva NIS 2016/1148 [9],
tienen objetivos importantes. Entre ellos, los hospitales de la UE están experimentando la pérdida de datos de
pacientes [10,11], ransomware y ataques de disponibilidad. Los siguientes son dos de los ejemplos más
preocupantes:
https://www.mdpi.com/journal/healthcare
Cuidado de la salud2022,10, 327 2 de 19

• El Hospital Universitario de Brno en la República Checa que, el 12 de marzo de 2020, se

vio obligado a cerrar toda su red de TI, lo que afectó a dos de las otras sucursales del
hospital, el Hospital de Niños y el Hospital de Maternidad [12].
• Una víctima mortal en un hospital alemán vinculada a un ciberataque [13].

Aunque la infraestructura de seguridad es de vital importancia para la defensa contra las tácticas y
técnicas de los ciberdelincuentes, se ha reconocido que la mayor amenaza para la privacidad y la
seguridad de una organización es su propio personal [14]. Informe de ENISA en 2018 [6] reveló que el
50,6% de los hospitales atacados identificaron amenazas internas como su adversario más serio.
Como se anticipó, se ha realizado un esfuerzo científico significativo para evaluar la preparación del
personal de atención médica en los últimos años [15–17]. Reconociendo el enfoque multidisciplinario
dictado para este desafío, los investigadores pronto adoptaron un enfoque holístico y pronto surgió el
término "cultura de ciberseguridad".
La cultura de ciberseguridad denota la combinación de actitudes, comportamientos, conocimiento
y conciencia que muestra el personal de la organización sobre los riesgos y amenazas cibernéticos
comunes para proteger los activos de información.18]. Su evaluación involucra la realización de
campañas enfocadas, lo que muchas veces resulta en el inicio de programas de educación, auditoría de
la infraestructura de TIC y la reevaluación de las políticas de seguridad actuales para cultivar la cultura y
el sentido de responsabilidad del personal del hospital al procesar información sensible en las
operaciones comerciales diarias, evitando así ataques o filtraciones [19,20]. Varios esfuerzos para evaluar
la cultura de ciberseguridad del personal de atención médica se basaron en encuestas. A título indicativo,
las encuestas en Polonia [21] y Finlandia [22] informó que los profesionales médicos carecen de
suficiente capacitación en ciberseguridad. El análisis en [23] confirmó el error humano como una de las
razones más comunes de los incidentes de seguridad en los hospitales. Autores en [24,25] destacó que la
falta de cultura de seguridad, la conciencia y la negligencia o malicia de los empleados constituyen
factores significativos para la adopción de políticas de seguridad.
En cuanto a la utilización de los recursos TIC en los hospitales, un análisis en 2008 [26] registró una
variación de 0,082 a 0,210 de profesionales TIC (trabajo a tiempo completo) por cama de hospital en hospitales
de EE. UU. (0,142 en promedio, o equivalente, 1 empleado TIC a una proporción de personal total de 60,7).
Informe general de Eurostat en 2018 [27] documentó un valor medio de la UE del 3,9 % para la proporción
relativa de especialistas en TIC en el empleo empresarial total.
Este estudio analiza, antes de la situación de COVID-19, la disposición general hacia la
ciberseguridad en las instituciones de salud, que exhiben una proporción de especialistas en TIC en
empleo total por debajo del promedio de la UE y compara los hallazgos con análisis relevantes en
hospitales de América del Norte y Europa del Norte. Seleccionamos tres organizaciones de atención
médica diferentes de tres países diferentes, es decir, Grecia, Portugal y Rumania. A diferencia de los
métodos anteriores, nuestro objetivo era capturar el nivel de conciencia de ciberseguridad de las
organizaciones centrándonos primero en los empleados de TIC y, en consecuencia, evaluando el impacto
de este nivel registrado en el resto de los profesionales de la salud.
Las organizaciones objeto de evaluación fueron las siguientes: (i) una región sanitaria de Grecia que
comprende un número significativo de hospitales y centros de salud de referencia (en adelante
Institución A); (ii) un hospital de referencia en una gran región portuguesa (en adelante Institución B); (iii)
una clínica médica rumana para la rehabilitación de pacientes impacientes (en lo sucesivo Institución C).
Según Eurostat [27], el porcentaje de personal de TIC con respecto al personal corporativo total para
Grecia fue del 1,8 %, para Portugal fue del 2,4 % y para Rumanía fue del 2,2 %. Hasta donde sabemos,
esta es la primera vez que se realiza una evaluación de este tipo.

2. Métodos y Materiales
El Marco de Cultura de Ciberseguridad se desarrolló en 2019 en el contexto de EnergyShield [28],
un proyecto de la Unión Europea (UE) que tiene como objetivo la ciberseguridad en el sistema eléctrico y
energético (EPES). Se presentó oficialmente a la comunidad científica en 2020 [29] en un manuscrito que
detalla una metodología de evaluación de indicadores de cultura de seguridad tanto de individuos como
de organizaciones. Su modelo consta de dimensiones y dominios analizados en una combinación de
factores de seguridad organizacionales e individuales (Figura1). Por lo tanto, facilitar la evaluación de las
políticas y procedimientos de seguridad de la organización en
Figura 1.Marco de Cultura de Ciberseguridad.

Este estudio, utilizando el marco de cultura de ciberseguridad antes mencionado, tiene como
objetivo capturar la perspectiva y el nivel de conciencia de ciberseguridad del personal en las
instituciones de salud presentadas anteriormente. El porcentaje del personal TIC respecto a la plantilla
total es del 0,45% para la Institución A (número medio entre todas las unidades supervisadas), del 0,78%
para la Institución B, y del 0,92% para la Institución C (valores inferiores a las estadísticas registradas por
Eurostat para estos países). ). Los siguientes dos cuestionarios en línea discretos fueron cuidadosamente
diseñados para dirigirse a dos categorías de personal diferentes:
• Empleados ocupados en los departamentos TIC (cuestionario TIC);
• Personal sanitario no TIC (cuestionario no TIC), es decir, médicos, enfermeras, personal
auxiliar, de laboratorio y administrativo.
Los cuestionarios de la encuesta se presentan en los Apéndices.UNyB, mientras que la
participación fue de forma voluntaria y anónima.
El cuestionario de TIC constaba de las siguientes cinco partes: La primera parte incluía preguntas
sobre datos demográficos, años de experiencia y población atendida derivada de laPerfilado de
empleadosdominio de laActituddimensión (nivel individual). La segunda parte se centró en los aspectos
TIC relacionados con el número de capacitaciones en ciberseguridad realizadas, los porcentajes del
presupuesto total asignado a las TIC y la ciberseguridad derivada de laPrograma de Concientización y
Capacitación en Seguridaddominio de laDefensadimensión junto con la Madurez de la gestión de la
seguridaddominio de laGobernanza de la seguridaddimensión (nivel de organización). La sección3
políticas de redes informáticas específicas y acceso de partes externas combinando indicadores de
diferentes dominios delAcceso y ConfianzayActivosdimensiones
Cuidado de la salud2022,10, 327 4 de 19

(nivel organizacional). La cuarta parte solicitaba a las personas que respondieran preguntas sobre los métodos
y prácticas actuales de ciberseguridad utilizados derivados de laConciencia de políticas y procedimientos
dominio de laConcienciadimensión (nivel individual). La última parte se centró en los indicadores de desempeño
de ciberseguridad (por ejemplo, número de incidentes de ciberseguridad a lo largo del tiempo y tiempo medio
para resolver un incidente) derivados de laGobernanza de la seguridaddimensión (nivel organizacional).

El cuestionario no relacionado con las TIC incluía preguntas sobre demografía, situación laboral,
ciberseguridad o capacitaciones relacionadas, como el Reglamento general de protección de datos
(GDPR), la capacidad de comprender los ciberataques, la disponibilidad de los procesos de
ciberseguridad y las precauciones tomadas. Las métricas de seguridad fueron nuevamente una
combinación de diferentes indicadores descritos en múltiples capas del marco de cultura de
ciberseguridad con el objetivo de obtener una evaluación general de la cultura del personal no TIC. Para
intuir si el personal no TIC había participado previamente en campañas de ciberseguridad, utilizamos
terminología técnica en algunas preguntas del cuestionario. En otras palabras, se utilizaron varias
técnicas para recortar y ajustar cuidadosamente el proceso de evaluación al público objetivo.
La cantidad de computadoras implementadas es de aproximadamente 2800, 850 y 90 para las
instituciones A, B y C, respectivamente. Sabiendo que generalmente es difícil recolectar respuestas
voluntariamente del personal que no es de TIC, debido a la naturaleza de su trabajo, enviamos las
invitaciones (electrónicas y en papel) a todos los empleados con el objetivo de aumentar la tasa de
respuesta para el personal no TIC, y en especial del que tiene acceso a ordenadores. Además, los
cuestionarios basados en opciones múltiples se tradujeron del inglés a los idiomas nativos de los
participantes para una mejor comprensión de sus contenidos y para eliminar la barrera del idioma
y aliviarla de la ecuación. Los datos recopilados se tradujeron de nuevo al inglés, se armonizaron y
se verificó su consistencia.
Las encuestas se realizaron desde septiembre de 2019 hasta noviembre de 2019. No hubo límite de
tiempo para completar los cuestionarios y los participantes no recibieron reembolso ni se les ofreció
ningún otro incentivo. Además, dado que nuestro análisis se centró en países de ingresos medianos a
bajos, realizamos una extensa encuesta bibliográfica sobre las evaluaciones del estado de conciencia de
seguridad cibernética de los hospitales en los EE. UU., Canadá y el norte de Europa (países de ingresos
altos a medianos) para analizar comparativamente nuestros hallazgos.

3. Resultados

Invitamos a 10 418 profesionales de la salud (8500 de Grecia, 1700 de Portugal y 218 de

Rumania) y 69 empleados de hospitales de TIC (60 de Grecia, 7 de Portugal y 2 de Rumania) a
participar en la encuesta en línea. La tasa de participación se presenta gráficamente en la Figura2.
En total, 736 personas respondieron a las encuestas (37 para TIC y 699 para no TIC). El total de
respuestas del personal TIC fue 28 (Institución A), 7 (Institución B) y 2 (Institución C),
respectivamente, mientras que para el personal no TIC, las respuestas al cuestionario de salud
fueron 449 (Institución A), 124 (Institución B), y 126 (Institución C). La tasa de respuesta del
personal TIC fue del 53,62%. La tasa de respuesta de los empleados no TIC fue del 18,69% sobre la
base de los equipos desplegados y del 6,71% sobre la base del total de empleados,
respectivamente.

3.1. Procedimientos y Métodos de Ciberseguridad TIC Empleados

Los resultados revelaron que el 89%, 100% y 50% del personal TIC en Instituciones
A, B y C, respectivamente, reconocieron la total ausencia de departamentos dedicados a la
ciberseguridad en sus instituciones. Respuestas similares fueron dadas por el personal no TIC
(86%, 63% y 68% para las Instituciones A, B y C, respectivamente). Esta desviación se debe a la
incapacidad de los participantes para distinguir entre departamentos TIC y ciberseguridad. En
total, el 100 % del personal de TIC en las Instituciones A y B y el 50 % en la Institución C
respondieron que no siguieron un plan de respuesta a incidentes para responder a una violación
de datos de manera oportuna y rentable.
Cuidado de la salud2022,10, 327 5 de 19

Tasa de participación

empleados de hospitales TIC

(un)
Profesionales de la salud

0% 20% 40% 60% 80% 100%

No Sí

Profesionales de la salud
Institución C
18%

Institución B
(b)
18% Institución A
64%

empleados de hospitales TIC

Institución C
Institución B 5%
19%

(C)
Institución A
76%

Figura 2.Información general de participación en la campaña: (un) por profesión, (b) profesional de la salud por
institución, y (C) Empleados TIC hospitalarios por institución.

Las respuestas al cuestionario de TIC sobre vulnerabilidades comunes (Figura3) revelaron que no
adoptaron políticas comunes, independientemente de su nivel educativo, género o edad. Aunque las
tecnologías obsoletas y en caja negra, implementadas en hospitales, juegan un papel importante en las
filtraciones de datos, el 40,5 % del personal de TIC indicó el uso de sistemas heredados con
vulnerabilidades conocidas en sus operaciones diarias (lo que representa más del 50 % de los equipo
completo). Además, solo el 24,3% conocía la existencia de términos de ciberseguridad dentro de los
acuerdos de nivel de servicio (SLA) con los proveedores. La importancia de establecer una política de
identificadores únicos de usuarios y roles para la mitigación del impacto de las amenazas internas fue
reconocida únicamente por el 48,6% del personal TIC. La necesidad de certificados de capa de sockets
seguros (SSL) para ser utilizados por el sistema de información de salud (HIS) basado en la web fue
identificada por solo el 48,6%. solo 48 El 6% del personal TIC era consciente de que determinados
ataques, como los de denegación de servicio distribuido (DDoS), se consideran acciones delictivas. Por
otro lado, el 75,7% reconoció el uso de medidas de respaldo proactivas.
Figura 4.Incidente de ciberseguridad: tiempo de inactividad y tiempo para resolver.

3.2. Formación en Ciberseguridad y Protección de Datos

La encuesta expuso la falta de capacitación relacionada con la seguridad cibernética en
las tres instituciones. El 70 % del personal TIC admitió no haber recibido formación oficial en
ciberseguridad en los últimos 3 años, y el 30 % restante revela una frecuencia inferior a una
formación al año incluso sobre legislación y orientaciones europeas, como la Directiva (UE)
2016/ 1148 Directiva NIS y el RGPD. No obstante, el personal TIC respondió conocer dichos
hechos en un 80% en A, 86% en B y 50% en C. Por otro lado, el 73% de
Figura 5.Sensibilización del personal No TIC sobre aspectos legales, privacidad y estructura de ciberseguridad.

El 39 % del personal de TIC de la Institución A, el 57 % de la Institución B y el 100 % de la Institución C

respondieron que solían realizar capacitaciones internas de concientización sobre ciberseguridad (p. ej., sobre
phishing). Esto último indica que el bajo número registrado de personal de TIC podría haber jugado un papel
importante en la falta de capacitación.

3.3. Nivel de conciencia de ciberseguridad

Figura6muestra las respuestas positivas del grupo no TIC a preguntas relacionadas con la concienciación en ciberseguridad. Solo el

22,7 % del personal ajeno a las TIC se sintió suficientemente capacitado en seguridad, mientras que solo el 38,5 % confiaba en poder

reconocer un problema o incidente de seguridad si se encontrara con uno. Esta confianza fue respaldada principalmente por el personal de

la Institución C, mientras que en las otras dos instituciones se percibía que tenían una capacitación de baja a moderada. Al tratar de medir la

adecuación del conocimiento del personal sobre las amenazas de ciberseguridad como el phishing de correo electrónico y sus reacciones

ante ellas, se encontró que solo el 26,8 % de los participantes sabía qué era un ataque de ingeniería social, mientras que solo el 21,9 % sabía

cómo detectar un correo electrónico. ataque de suplantación de identidad. Aunque los participantes reconocieron que manejan datos

confidenciales a diario, solo 23. El 3% percibía el nivel de importancia del contenido de sus terminales para los hackers. El 40,9% respondió

que sabía cuándo sus terminales habían sido comprometidos y a quién contactar en tal caso. El 30,9% entendió las consecuencias de

compartir su terminal o credenciales, mientras que el 37,3% sabía cómo manejar los archivos adjuntos de correo electrónico. Más del 50%

del personal no TIC reconoció la existencia de software antivirus y la política de bloquear sus terminales cuando salen. La mayoría también

respondió (76 %) que seguir las políticas de seguridad les ayudaría a hacer mejor su trabajo. Más del 50% del personal no TIC reconoció la

existencia de software antivirus y la política de bloquear sus terminales cuando salen. La mayoría también respondió (76 %) que seguir las

políticas de seguridad les ayudaría a hacer mejor su trabajo. Más del 50% del personal no TIC reconoció la existencia de software antivirus y

la política de bloquear sus terminales cuando salen. La mayoría también respondió (76 %) que seguir las políticas de seguridad les ayudaría

a hacer mejor su trabajo.

Figura 6.Comportamiento digital y nivel de comprensión de la seguridad de los empleados sanitarios no TIC.

4. Discusión
Nuestros hallazgos mostraron que el personal de TIC de la salud representaba un porcentaje muy
pequeño de la fuerza laboral total, generalmente por debajo1%. Las organizaciones encuestadas han dedicado
solo una pequeña cantidad de su presupuesto total de TIC (por debajo5%) con fines de ciberseguridad. La
importancia de la asignación presupuestaria a la ciberseguridad se ilustra en el informe de 2019 [30] de la
Healthcare Information and Management Systems Society (HIMSS) de EE. UU. Aunque nuestras organizaciones
encuestadas reportaron menos de5%en la asignación presupuestaria de TIC para ciberseguridad, el informe
entre166Especialistas en seguridad de la información de salud de EE. UU. en [30] reconoció un aumento
significativo en esta categoría presupuestaria (10%de los encuestados reconoció la financiación de la seguridad
cibernética de más de10%,11%respondió7–10%,mientras25%contestada 3–6%). Las diferencias identificadas en
las inversiones en TIC indican que los hospitales inteligentes han invertido más en ciberseguridad y en recursos
humanos asociados para proteger sus activos de información que los hospitales tradicionales [9], que se
encuentran en proceso de transformación digital. Se espera que la aplicación en curso de las políticas de
convergencia digital de la UE (por ejemplo, el intercambio transfronterizo de datos sanitarios) cierre la brecha
antes mencionada.
Casi todos los encuestados (96%) en la encuesta HIMSS de 2019 [30] indicaron que sus respectivas
organizaciones realizaron evaluaciones de riesgos (37%de los cuales fueron integrales, dando lugar a la
adopción de medidas de seguridad nuevas o mejoradas por72%de ellos). En nuestro estudio, la falta de
departamentos de ciberseguridad y que70%de los empleados TIC no han recibido formación oficial en
ciberseguridad en el pasado3años, explica la baja adopción y la falta de estándares o políticas comunes
en incidentes de ciberseguridad (100%para A y B y50%para C). Solamente48,6%del personal TIC (A, B y C)
reconoció la importancia de aplicar una política de identificadores únicos para usuarios y roles, a
diferencia de la encuesta de 2017 [31] entre39%de todos los hospitales de USA, donde más de90%de
ellos utilizaban una identificación única para los usuarios del sistema (apoyada por el cierre de sesión
automático de los usuarios del sistema, el uso obligatorio de contraseñas seguras, etc.). Además,40,5%
del personal de TIC en nuestro estudio indicó el uso de sistemas heredados (más de50%del equipo total).
El impedimento de los sistemas heredados también se reconoce en [30] (69%de los encuestados), pero
en un porcentaje menor del total de equipos (más de10%Por sólo14%de los encuestados). Además, en
contraste con nuestro estudio (ver Sección3.2.), solamente18%de los encuestados en [30] afirmó que su
organización no realizó pruebas de phishing ni capacitaciones debido a la falta de personal con el
conocimiento y la experiencia adecuados en seguridad cibernética. Además, en nuestro estudio, el 21,9 %
reconoció que no sabe cómo detectar un ataque de phishing por correo electrónico, lo que sugiere que el
porcentaje real de un ataque de phishing real y continuo podría ser aún mayor. En contraste con eso, un
estudio reciente en instituciones de atención médica de EE. UU. [15] indica una tasa de clics mediana en
campañas de phishing del 16,7%, que se reduce aún más en las posteriores, lo que pone de manifiesto la
importancia de la formación en esta materia.
Cuidado de la salud2022,10, 327 9 de 19

En cuanto al personal no TIC, comparando nuestros hallazgos (Tabla1) con un estudio de 2020 en Polonia [
21], un estudio de 2019 en una región sanitaria del oeste de Finlandia [22], y un estudio de 2019 en una
organización de salud en el oeste de Canadá [19], reveló el bajo nivel de conciencia sobre ciberseguridad. En las
Instituciones A, B y C, el22,7%que se sintiera suficientemente formado en seguridad y en el23,3%que percibía la
importancia del contenido de los terminales para los piratas informáticos, apareció significativamente más
abajo junto al51,31%de El1200Los profesionales finlandeses que informan son lo suficientemente conscientes
de la información y los asuntos de ciberseguridad relacionados con su trabajo. Aproximadamente el mismo
porcentaje (55,7%) de586Los profesionales no TIC de la organización sanitaria canadiense, declararon su
satisfacción con la seguridad TIC en sus actividades diarias.
73,2%de nuestros participantes no relacionados con las TIC no sabían qué era un ataque de ingeniería social, lo
que los convierte en un riesgo potencial de revelar información confidencial (por ejemplo, contraseñas).
69,1%no podía darse cuenta de las consecuencias de compartir su terminal o credenciales con otros
empleados. El estudio finlandés informó una respuesta negativa a la divulgación de la contraseña por
teléfono, ya sea si lo solicita una autoridad (96%), o por un gestor TIC (83%), mientras que el canadiense
afirma que93,6%nunca compartiría la información de inicio de sesión con otros empleados. Solamente
21,9%de los encuestados en nuestro estudio pudo detectar correos electrónicos no deseados y ataques
de phishing, y solo37,3%podría manejar los archivos adjuntos, que quedaron por debajo de la
puntuación de conciencia finlandesa (41,54%) y el personal canadiense que actuó correctamente sobre
ellos (55%).

Tabla 1.Porcentaje (%) de respuestas relacionadas con la concienciación sobre ciberseguridad junto con las correspondientes
desviaciones estándar para el personal no TIC.

Institución A Institución B Institución C

Pregunta
norte=449 (100%) norte=124 (100%) norte=126 (100%)

¿Tienen políticas de ciberseguridad en su hospital?

Sí 11%±0.5 55%±4.9 60%±5.3
No 14%±0.7 2%±0.2 7%±0.6
No lo sé 75%±3.5 43%±3.8 33%±2.9
¿Ha sido informado o capacitado sobre el Reglamento General de
Protección de Datos (GDPR) para minimizar las violaciones de datos
personales privados o los incidentes de ciberseguridad?
Sí 31%±2.5 31%±0.2 31%±0.1
No 69%±0.08 69%±0.2 69%±0.1
¿Qué tan cuidadoso eres cuando abres un archivo adjunto en un correo electrónico?
Siempre me aseguro de que sea de una persona que conozco, y estoy
32%±6.7 48%±15.9 50%±18.4
esperando el correo electronico

Siempre que conozca a la persona o empresa que me envió el

59%±7.7 42%±15.4 45%±18.4
archivo adjunto, lo abro
No hay nada de malo en abrir archivos adjuntos 9%±6.3 10%±12.3 5%±7.4
¿Le ha dado su contraseña a sus colegas oa su gerente
cuando se la pidieron?
Sí 33%±9.1 26%±14.2 30%±24.1
No 67%±9.1 74%±14.2 70%±24.1
¿Está instalado actualmente el antivirus en su computadora?
Sí 60%±2.8 dieciséis%±1.4 79%±6.9
No 11%±0.5 sesenta y cinco%±5.8 5%±0.4
No lo sé 29%±1.3 19%±2.7 17%±1.5
Confío en que podría reconocer un problema o incidente de seguridad
si lo viera.
Totalmente de acuerdo 4%±2.4 4%±4.6 14%±12.3
Aceptar 24%±8.1 39%±18.3 59%±15.3
Ni de acuerdo ni en desacuerdo 42%±10 34%±18 8%±7.8
Discrepar 23%±8.3 20%±9.1 17%±10.3
Muy en desacuerdo 7%±4.5 3%±3 2%±1.9

El conocimiento y la conciencia de bajos a moderados en los campos anteriores representan un riesgo potencial
durante las actividades laborales diarias, como el procesamiento de datos de pacientes o la comunicación.
Cuidado de la salud2022,10, 327 10 de 19

información médica a otras partes. Por lo tanto, se deduce que existe un alto riesgo de incidentes de seguridad
desencadenados por empleados ajenos a las TIC debido a que las amenazas y ataques antes mencionados y el
impacto asociado de los posibles incidentes no les han sido comunicados de manera eficiente por parte del
personal de las TIC. Todo lo anterior indica que la disminución de la complejidad del punto final como se
propone en [32], junto con la realización de capacitaciones, es fundamental para sensibilizar y motivar al
personal a prestar atención a las ciberamenazas y políticas para limitar los errores humanos [33–35]. La
adopción de una actitud consciente de los riesgos y las habilidades asociadas por parte del personal que no es
de TIC a través de capacitaciones en ciberseguridad y una sólida estrategia de monitoreo organizacional podría
conducir a un estado más compatible con GDPR. Incluso en Nueva Zelanda, un país donde las sólidas prácticas
de ciberseguridad han estado en sus agendas durante mucho tiempo, la mayoría de los usuarios de Internet,
como lo revela una encuesta de 2019 [36], todavía toman medidas de seguridad bajas o nulas, mientras que
perciben las prácticas de monitoreo, como el uso de software de monitoreo, como altamente técnicas. Se
destaca la necesidad de capacitaciones intensas de concientización sobre seguridad cibernética, incluso desde
una edad temprana.

5. Consideraciones y limitaciones
La tasa de respuesta del personal no relacionado con las TIC se correlacionó con la
cantidad de computadoras desplegadas que usan diariamente. Sin embargo, debido a
las variaciones en los patrones de turnos de las clínicas, fue difícil identificar con
precisión al personal que no era de TIC y que usaba computadoras. Por lo tanto,
tratamos de recopilar respuestas mediante el envío de la invitación de participación no
TIC principalmente a través de su gestión directa, asumiendo que se comunicaría al
número total de empleados. Debido al carácter voluntario y anónimo de los
cuestionarios, no se aseguró totalmente el compromiso de todos los médicos y
enfermeras. Sin embargo, las respuestas recopiladas demostraron ajustarse a los
hallazgos del cuestionario de TIC, donde logramos alcanzar altas tasas de respuesta. La
disponibilidad de estudios similares en la literatura para el sector salud, especialmente
los recientes, no es abundante,

6. Conclusiones
La implementación y despliegue de programas de concientización sobre seguridad en las
instituciones de salud junto con procedimientos de capacitación resulta ser una necesidad.
Además, el 76% del personal no TIC respondió que seguir las políticas de seguridad de los
hospitales les ayudaría a realizar mejor su trabajo. En consecuencia, los hallazgos fueron
comunicados a la dirección de las instituciones, y se han activado e implementado ciertos cursos
de medidas de ciberseguridad proactivas y reactivas durante la crisis del COVID-19.
Específicamente, se asignó un presupuesto para la adquisición o actualización de sistemas y
software de ciberseguridad (por ejemplo, bases de datos antivirus, firewalls UTM con IDS/IPS). Se
ha realizado un taller especializado con el apoyo de ENISA para el personal TIC, que en varios casos
se reforzó en consecuencia. Además, Periódicamente se han realizado campañas internas de
sensibilización para empleados no TIC sobre anti-phishing o ingeniería antisocial. Además, quienes
se ocupan a diario de datos y procesos sensibles han participado en seminarios relacionados con el
RGPD. En el futuro, nuestro objetivo es revisar las medidas y estrategias de seguridad cibernética
actualizadas y volver a realizar una evaluación exhaustiva para reevaluar el nuevo nivel de
conciencia sobre seguridad cibernética y preparación del personal.

Contribuciones de autor:Conceptualización, FG, ES, AT, KG, SM y RC; metodología, FG, ES, AT, KG y
CN; validación, FG, ES, AT, KG, AG, AM-P. y YN; análisis formales,
FG, ES, AT, KG, GD, AG, AM-P. y CN; recursos, AM-P. y CN; redacción—preparación del borrador
original, FG, GD, MK y CN; redacción: revisión y edición, FG, ES, AT, KG, SM, RC, YN, AG, AM-P. y CN;
visualización, GD, MK y FG; supervisión, FG, ES y CN; administración de proyectos, FG, ES y CN;
adquisición de fondos, ES y CN Todos los autores han leído y están de acuerdo con la versión
publicada del manuscrito.
Cuidado de la salud2022,10, 327 11 de 19

Fondos:Este trabajo fue financiado por el proyecto Sphinx que recibió fondos del Programa de Investigación e
Innovación Horizonte 2020 de la Unión Europea bajo el Acuerdo de Subvención No. 826183 sobre Sociedad
Digital, Confianza y Seguridad Cibernética E-Salud, Bienestar y Envejecimiento. Además, fue financiado por el
Programa de Investigación e Innovación Horizonte 2020 de la Unión Europea, número de subvención 832907. El
organismo financiador no ha participado en el diseño del estudio ni en el análisis de los datos y la elaboración
del manuscrito.

Declaración de la Junta de Revisión Institucional:No aplica.

Declaración de consentimiento informado:No aplica.

Declaración de disponibilidad de datos:Los datos presentados en este estudio están disponibles previa solicitud al
autor correspondiente.

Expresiones de gratitud:Este proyecto ha recibido financiación del Programa de Investigación e Innovación

Horizonte 2020 de la Unión Europea en virtud de los Acuerdos de subvención n.º 832907 y 826183. Además, los
autores desean agradecer a todos los profesionales sanitarios anónimos que dedicaron voluntariamente parte
de su apretada agenda a completar las encuestas y su supervisores por su apoyo.

Conflictos de interés:Los autores declaran no tener conflicto de intereses.

Apéndice A
Cuestionario de Personal TIC
1. Características generales
una. Demografía
i. Edad:

20–392
40–602
60+2
ii. Género:
Masculino2

Femenino2

b. Educación:
Educación Secundaria 2
Institución de formación 2
profesional Licenciatura 2
maestría 2
Doctor 2
C. Posición:
directora TIC2
gerente TIC2
personal TIC2

d. Años de experiencia
0–52
6–102
mas de 102
mi. Organización Sanitaria:
Hospital 2
Clínica 2
Autoridad sanitaria2
Nacional 2
Regional 2
Local 2
Empleados <1002
Cuidado de la salud2022,10, 327 12 de 19

Empleados 100–3002
Empleados 301–6002
Empleados 601–10002
Empleados >10002
Población <100k2
Población 100k–300k2
Población >300k2
2. TIC específicas
una. Proporción de empleados TIC en el empleo total (%)
0-1%2
1.1–2%2
2.1–3%2
3,1–4%2
4.1–5%2
5.1–6%2
6,1–7%2
b. Existencia de un Departamento de Ciberseguridad
Sí2
No2
C. Formaciones oficiales realizadas en ciberseguridad TIC durante los últimos 3 años (número)

02
12
22
32
42
d. ¿Realiza capacitaciones internas de concientización sobre seguridad cibernética (por ejemplo, phishing) para
enseñar a los empleados qué revisar en los correos electrónicos recibidos?

Sí2
No2
mi. Presupuesto medio anual de la organización destinado a las TIC durante los últimos 3 años (en
euros)
0–100K2
101–200 K2
201–300 K2
301–400 K2
401–500 K2
No lo sé2
F. Porcentaje del presupuesto actual de TIC asignado a ciberseguridad (p. ej., compra de antivirus o
renovación de licencias, compra de cortafuegos o renovaciones de licencias de cortafuegos, etc.)
durante los últimos 3 años (%)

0–5% 2
6-10% 2
11-15%2
16-20%2
21-25%2
26-30%2
No lo sé2
3. Red de comunicación con socios y colaboradores externos
una. Uso de método seguro u otros métodos para accesos de terceros
vpn2
TeamViewer2
Cuidado de la salud2022,10, 327 13 de 19

AnyDesk2
Escritorio remoto2
Otro método seguro2
Otro método no seguro2
b. Puertos de comunicación abiertos y monitoreados durante las operaciones diarias
(constantemente o bajo demanda)
Puerto TCP 22 (SSH)2 Puerto
TCP 23 (Telnet)2 Puerto TCP
3389 (RDP)2 Puerto TCP 20
(datos FTP)2 Puerto TCP 21
(control FTP)2 otro2

C. ¿Los SLA existentes incluyen términos que garanticen que el socio externo aplique políticas de
ciberseguridad para evitar violaciones de datos cuando se conecta de forma remota a los
sistemas de información del hospital?

Sí2
No2
No lo sé2
4. Métodos y prácticas de ciberseguridad
una. ¿Cuenta su organización con un plan oficial de ciberseguridad?
Sí2
No2
No lo sé2
Si la respuesta anterior es sí, ¿cuál de los siguientes planes?
Evaluación de riesgos2
Plan de respuesta a incidentes2
Plan de mitigación2
Plan de informes2

b. ¿Se han realizado pruebas de ciberseguridad en su organización durante los últimos

2 años?
Sí2
No2
Si la respuesta anterior es sí, ¿cuál de las siguientes pruebas?
Exploración2
Penetración2
Identificación de contraseña débil2 Suplantación

de identidad2

Comprobación de virus/malware2 Verificación de las

últimas actualizaciones/desactualizaciones2 Otro2

C. ¿Está familiarizado con la Directiva (UE) 2016/1148 Directiva NIS y la

regulación GDPR?
Sí2
No2
Parcialmente2

d. ¿Se considera un ataque DDoS una acción delictiva según su legislación

nacional?
Sí2
No2
No lo sé2
Cuidado de la salud2022,10, 327 14 de 19

mi. ¿Su práctica laboral cuenta con políticas y procedimientos para la asignación de un
identificador único para cada usuario autorizado de acuerdo con su rol?
Sí2
No2
No lo sé2
F. ¿Su práctica de trabajo tiene sistemas de información de respaldo para que pueda
acceder a SIS en caso de una emergencia o cuando los sistemas primarios de su
práctica no estén disponibles, es decir, en caso de un desastre?
Sí2
No2
gramo. ¿Existen certificados SSL para los sistemas de información hospitalaria basados en la web?

Sí2
No2
Parcialmente2

H. ¿Cuál de las siguientes herramientas utiliza a diario para la seguridad de la información?

Antivirus/malware2
Cortafuegos2
Cifrado de datos (datos en tránsito)2 Cifrado
de datos (datos en reposo)2 Gestión de
parches y vulnerabilidades2 Sistemas de
detección de intrusos (IDS)2 Herramientas de
monitoreo de red2 Gestión de dispositivos
móviles2 Controles de acceso de usuarios2
Sistema de Prevención de Intrusión2 Listas de
control de acceso2 Inicio de sesión único2
Pasarela de seguridad web2 Autenticación
multifactor2

Prevención de pérdida de datos (aplicación DLP)2 Puerta de

enlace de seguridad de mensajería2
Registros de auditoría de cada acceso a pt. registros financieros y de salud2
Mis funciones no incluyen actividades de ciberseguridad.2

5. Indicadores de desempeño de ciberseguridad

una. Porcentaje de sistemas heredados (sin soporte) o vulnerables conocidos existentes (p. ej., sistemas
operativos al final de su vida útil en dispositivos médicos) en el equipo total (%)

0-10%2
11-20%2
21-30%2
31-40%2
41–50%2
51–60%2
Más del 60%2
No lo sé2
b. ¿Número de incidentes de seguridad cibernética durante los últimos 3 años (p. ej., ataques de phishing,
infecciones de virus, etc.)?

0–52
6–102
11–152
16–202
21–252
Cuidado de la salud2022,10, 327 15 de 19

26–302
No se mantienen registros2

C. ¿Número de intentos de inicio de sesión no autorizados en HIS, Active Directory, RIS/PACS

por mes?
0–52
6–102
11–152
16–202
21–252
26–302
No se mantienen registros2

No se mantienen registros pero se monitorea regularmente2

d. ¿Tiempo medio para resolver una incidencia?

0–6 horas2

7–12 horas2
13–24 horas2
25–48 horas2
3–7 días2
Mas que una semana2 No se
mantienen registros2

mi. ¿Tiempo de inactividad medio durante un incidente?

0–6 horas2

7–12 horas2
13–24 horas2
25–48 horas2
3–7 días2
No se mantienen registros2

apéndice B
Cuestionario de Personal No TIC
1. Características generales
una. Demografía
i. Edad:

21–302
31–402
41–502
51–602
61+2
ii. Género:
Masculino2

Femenino2

b. Educación
Educación Secundaria2
Institución de formación
profesional2 Licenciatura2
maestría2

Doctor2

C. Posición
Doctor2
Enfermero2
Cuidado de la salud2022,10, 327 16 de 19

personal auxiliar2
Laboratorio. personal2
Personal administrativo2
Personal tecnico2
Otro2
2. ¿Cuenta su hospital con un departamento de ciberseguridad o servicios externos?
Sí2
No2
No lo sé2
3. ¿Su trabajo en el hospital implica trabajar en una computadora en algún momento?
Sí2
No2
4. ¿Ha sido informado o capacitado sobre el Reglamento General de Protección de Datos (GDPR) para
minimizar las violaciones de datos personales privados o los incidentes de ciberseguridad?
Sí2
No2
5. ¿Su trabajo en el hospital implica el acceso a datos de pacientes, que se consideran
información confidencial y sensible?
Sí2
No2
6. ¿Tiene políticas de ciberseguridad en su hospital?
Sí2
No2
No lo sé2
7. ¿Sabe cuándo su computadora es pirateada o infectada, ya quién contactar cuando
ocurra?
una. Sí, sé cuándo mi computadora está pirateada o infectada y sé a quién
contactar.
b. No, no sé cuándo mi computadora está pirateada o infectada y no sé a quién
contactar.
C. Sí, sé cuándo mi computadora está pirateada o infectada, pero no sé a quién
contactar.
d. No, no sé cuándo mi computadora y sé a quién contactar.
8. ¿Alguna vez ha encontrado un virus o troyano en su computadora en el trabajo?

una. Sí, mi computadora ha sido infectada antes

b. No, mi computadora nunca ha sido infectada
C. no se que es un virus o troyano
9. ¿Tiene actualmente instalado un antivirus en su computadora?
una. Sí
b. No
C. No lo sé
10. ¿Qué tan cuidadoso eres cuando abres un archivo adjunto en un correo electrónico?

una. Siempre me aseguro de que sea de una persona que conozco, y estoy esperando el correo electrónico.
b. Si conozco a la persona o empresa que me envió el archivo adjunto, lo abro
C. No hay nada de malo en abrir archivos adjuntos
11. ¿Sabes qué es un ataque de ingeniería social?
una. Sí
b. No yo no
Cuidado de la salud2022,10, 327 17 de 19

12. ¿Sabe qué es una estafa por correo electrónico y cómo identificarla?
una. Sí, sé qué es una estafa por correo electrónico y cómo identificar una.
b. Sé lo que es una estafa por correo electrónico, pero no sé cómo identificar una.
C. No, no sé qué es una estafa por correo electrónico o cómo identificar una.
13. Mi computadora no tiene valor para los piratas informáticos; no me apuntan.

una. Verdadero

b. Falso
14. ¿Puede utilizar sus propios dispositivos personales, como su teléfono móvil, memorias USB o discos
CD/DVD para almacenar o transferir información hospitalaria confidencial?
una. Sí
b. No
C. No lo sé
15. ¿Ha descargado e instalado software en su computadora en el trabajo?
una. Sí
b. No
16. ¿Le ha dado su contraseña a sus compañeros oa su jefe cuando se la pidieron?

una. Sí
b. No
17. ¿Cuál de estos se acerca más a su forma de pensar, incluso si ninguno es exactamente correcto?

una. Seguir las políticas de seguridad en nuestro hospital me impide hacer mi trabajo
b. Seguir las políticas de seguridad en nuestro hospital me ayuda a hacer mejor mi trabajo

18. Siento que he sido suficientemente capacitado en seguridad en nuestro hospital.

una. Totalmente de acuerdo

b. Aceptar
C. Ni de acuerdo ni en desacuerdo
d. Discrepar
mi. Muy en desacuerdo
19. Confío en que podría reconocer un problema o incidente de seguridad si lo viera.
una. Totalmente de acuerdo
b. Aceptar
C. Ni de acuerdo ni en desacuerdo
d. Discrepar
mi. Muy en desacuerdo
20. ¿Bloquea su PC cuando sale de su oficina aunque sea por un rato?
Sí2
No2

Referencias
1. Giansanti, D. Ciberseguridad y laSalud digital: El desafío de este milenio.Cuidado de la salud2021,9, 62. [Referencia cruzada] [PubMed]
2. Jalali, MS; Russel, B.; Razak, S.; Gordon, W. EARS a los incidentes cibernéticos en el cuidado de la salud.Mermelada. Medicina. Informar. Asoc.2019,26, 81–90. [Referencia
cruzada] [PubMed]
3. Razaque, A.; Amsaad, F.; Khan, MJ; Hariri, S.; Chen, S.; Emplazamiento, C.; Ji, X. Encuesta: vulnerabilidades de ciberseguridad, ataques y soluciones
en el dominio médico.Acceso IEEE2019,7, 168774–168797. [Referencia cruzada]
4. Appari, A.; Johnson, ME Seguridad de la información y privacidad en el cuidado de la salud: Estado actual de la investigación.En t. J. Internet Enterprise. Administrar 2010,6
, 279. [Referencia cruzada]
5. Coventry, L.; Branley, D. Ciberseguridad en el cuidado de la salud: una revisión narrativa de tendencias, amenazas y caminos a seguir.Maturitas2018,113, 48–52. [
Referencia cruzada] [PubMed]
6. Sfakianakis, A.; Douligeris, C.; Marinos, L.; Lourenço, M.; Raguimi, O.Informe sobre el panorama de amenazas de ENISA 2018: las 15 principales
ciberamenazas y tendencias; Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA): Atenas, Grecia, 2019.
Cuidado de la salud2022,10, 327 18 de 19

7. Razón Ciberseguridad.COVID-19, ladrón de información y mapa de amenazas: informe de análisis de amenazas; ReasonLabs: Nueva York, NY, EE.
UU., 9 de marzo de 2020; Disponible en linea:https://blog.reasonsecurity.com/2020/03/09/covid-19-info-stealer-the-map-of-threats-
threaanalysis-report/(consultado el 26 de enero de 2022).
8. Interpol.Especulaciones pandémicas: cómo los delincuentes explotan la crisis del COVID-19; Interpol: Lyon, Francia, 2020.
9. Agencia de la Unión Europea para la Seguridad de las Redes y de la Información (ENISA).Hospitales inteligentes: seguridad y resiliencia para infraestructuras
y servicios de salud inteligentes; Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA): Atenas, Grecia, 2016.
10. Gyles, S. Los ataques cibernéticos afectan a hospitales y departamentos de salud en medio de la pandemia del coronavirus COVID-19. Disponible
en linea: https://vpnoverview.com/news/cyberattacks-hit-hospitals-and-health-departments-amid-covid-19-coronavirus-pandemic/ (consultado
el 17 de marzo de 2020).
11. Martin , A. Coronavirus: los delincuentes cibernéticos amenazan con retener los hospitales para obtener un rescate-Interpol. Disponible en linea:https://
noticias.sky. com/story/coronavirus-cyber-criminals-threaten-to-hold-hospitals-to-ransom-interpol-11968602(consultado el 5 de abril de 2020).
12. Porter, S. Ciberataque en el cierre tecnológico de las fuerzas del hospital checo durante el brote de coronavirus.Noticias de TI para el cuidado de la salud. 19
de marzo de 2020. Disponible en línea:https://www.healthcareitnews.com/news/emea/cyberattack-czech-hospital-forces-tech-shutdown-
whilecoronavirus-outbreak(consultado el 26 de febrero de 2021).
13. Howell, P. Un paciente ha muerto después de que los piratas informáticos ransomware atacaran un hospital alemán. Disponible en linea:https://www.
technologyreview.com/2020/09/18/1008582/un-paciente-ha-muerto-después-de-un-ransomware-hackers-golpeó-un-hospital-alemán/(consultado el 18
de septiembre de 2020).
14. Doherty, NF; Fulford, H. ¿Las políticas de seguridad de la información reducen la incidencia de violaciones de la seguridad: un análisis exploratorio? información recurso
Administrar j2005,18, 19. [Referencia cruzada]
15. Gordon, WJ; Wright, A.; Aiyagari, R.; Corbo, L.; Glynn, RJ; Kadakia, J.; Kufahl, J.; Mazzone, C.; Noga, J.; Parkulo, M.; et al. Evaluación de la susceptibilidad de los
empleados a los ataques de phishing en las instituciones de atención médica de EE. UU.Red JAMA Abierto2019,2, e190393. [Referencia cruzada] [PubMed]

16. Landolt, S.; Hirsche, J.; Schlienger, T.; Businger, W.; Zbinden, AM Evaluación y comparación de la seguridad de la información en hospitales suizos.
Interactuar. J.Med. Res.2012,1, e11. [Referencia cruzada] [PubMed]
17. Jalali, MS; Bruckes, M.; Westmattelmann, D.; Schewe, G. Por qué los empleados (todavía) hacen clic en enlaces de phishing: una investigación en hospitales.J.
Med Internet Res.2020,22, e16775. [Referencia cruzada] [PubMed]
18. Yeng, PK; Yang, B.; Snekkenes, Marco de EA para el análisis, modelado e incentivación de prácticas de seguridad en el cuidado de la salud. En
Actas de la Conferencia internacional IEEE de 2019 sobre Big Data (Big Data), Los Ángeles, CA, EE. UU., 9 al 12 de diciembre de 2019.
19. Arain, MA; Tarraf, R.; Ahmad, A. Evaluación de la concientización del personal y la efectividad de la capacitación educativa sobre seguridad y privacidad de TI en una gran
organización de atención médica.J. Multidisciplinar. Curar.2019,12, 73–81. [Referencia cruzada] [PubMed]
20. Gardner, B.; Tomás, v.Creación de un programa de concientización sobre la seguridad de la información: defensa contra la ingeniería social y las amenazas
técnicas; Elsevier: Waltham, MA, EE. UU., 2014.
21. Hyla, T.; Fabisiak, L. Medición de la conciencia de seguridad cibernética dentro de grupos de profesionales médicos en Polonia. En Actas de la 53.ª
Conferencia Internacional de Hawái sobre Ciencias de Sistemas, Maui, HI, EE. UU., 7–10 de enero de 2020. [Referencia cruzada]
22. Haukilehto, T.; Hautamäki, J. Encuesta de Concientización sobre Seguridad Cibernética en Salud, Servicios Sociales y Gobierno Regional en Ostrobotnia del
Sur, Finlandia. EnInternet de las cosas, espacios inteligentes y redes y sistemas de próxima generación; Springer: Cham, Suiza, 2019; págs. 455–466. [
Referencia cruzada]
23. Evans, M.; Oye.; Luo, C.; Yevseyeva, I.; Janicke, H.; Maglaras, LA Perspectiva de los empleados sobre el error humano relacionado con la seguridad de la
información en el cuidado de la salud: uso proactivo de IS-CHEC en forma de cuestionario.Acceso IEEE2019,7, 102087–102101. [Referencia cruzada]
24. Shahri, AB; Ismail, Z. Eficacia de la seguridad en el sistema de información de salud: mediante la mejora de los factores humanos mediante la educación y la formación.
agosto J. Aplicación Básica. ciencia2012,6, 226–233.
25. Instituto Ponemon LLC.El Factor Humano en la Protección de Datos; Ponemon Institute LLC: Traverse City, MI, EE. UU., 2012.
26. Hersh, W.; Wright, A. ¿Qué fuerza laboral se necesita para implementar la agenda de tecnología de la información de salud? Análisis de la base de
datos de análisis HIMSS. EnActas del Simposio Anual AMIA; Asociación Estadounidense de Informática Médica: Washington, DC, EE. UU., 2008;
Volumen 2008, págs. 303–307.
27Especialistas TIC en Empleo; Comisión Europea, Eurostat: Luxemburgo, 2021.
28. Escudo de energía. 2019. Disponible en línea:https://energy-shield.eu/(consultado el 25 de marzo de 2020).
29. Georgiadou, A.; Mouzakitis, S.; Bounas, K.; Askounis, D. Un marco de cultura de seguridad cibernética para evaluar la preparación de la
organización. Disponible en linea:https://www.researchgate.net/publication/347119168_A_Cyber-Security_Culture_Framework_
for_Assessing_Organization_Readiness(consultado el 10 de noviembre de 2020).
30. Encuesta de Ciberseguridad en Salud de HIMSS. Disponible en linea:https://www.himss.org/resources/himss-healthcare-cybersecuritysurvey
(consultado el 16 de noviembre de 2020).
31. Asociación Americana de Hospitales.Hospitales que implementan medidas de ciberseguridad; Asociación Estadounidense de Hospitales: Cleveland, OH, EE.
UU., 2017.
32. Jalali, MS; Kaiser, JP Ciberseguridad en hospitales: una perspectiva sistemática y organizacional.J.Med. Resolución de Internet2018,20, 1–18. [Referencia
cruzada] [PubMed]
Cuidado de la salud2022,10, 327 19 de 19

33. Waly, N.; Tassabehji, R.; Kamala, M. Mejora de la gestión de la seguridad de la información organizacional: el impacto de la capacitación y la concientización.
En Actas de la 14.ª Conferencia internacional sobre informática y comunicaciones de alto rendimiento del IEEE de 2012 y la 9.ª Conferencia internacional
sobre software y sistemas integrados del IEEE de 2012, Washington, DC, EE. UU., 25 al 27 de junio de 2012; págs. 1270-1275. [Referencia cruzada]

34. Ghazvini, A.; Shukur, Z. Transferencia de capacitación de concientización y desarrollo de contenido de seguridad de la información para la industria de la salud. En t. j
adv. computar ciencia aplicación2016,7, 361–370. [Referencia cruzada]
35.ISO/CEI 27005; Tecnologías de la información—Técnicas de seguridad—Gestión de riesgos de seguridad de la información. Organización
Internacional de Normalización (ISO): Ginebra, Suiza, 2018.
36. Tirumala, SS; Valluri, MR; Babu, G. Una encuesta sobre inquietudes, prácticas y medidas conceptuales de la conciencia de seguridad cibernética.
En Actas de la Conferencia Internacional sobre Comunicación e Informática por Computadora (ICCCI) de 2019, Coimbatore, India, 23–25 de
enero de 2019.