Entrevista
21 diciembre 2023

«Cada fabricante va a lo suyo, no hay una homogeneización de los sistemas IoT»

Grup Mutuam es un referente en el mundo de la Sanidad que hace años que apostó por el modelo cloud y los escritorios virtuales. Ahora, con proyectos IoT encima de mesa, se da de bruces al comprobar la falta da estandarización en este ámbito, lo que dificulta las iniciativas.

Desde que comenzara su andadura Mútua Catalana en 1905 como aseguradora sin ánimo de lucro, Grup Mutuam se ha consolidado como grupo de empresas referente en servicios sanitarios, sociales y mutualistas, estrechamente ligado al sector público, si bien también desarrolla su negocio en el ámbito privado. Su Director Técnico de Sistemas de Información y Comunicaciones, Carles Aguiló, explica su apuesta decidida por la nube y la gestión centralizada para, con tan sólo cinco informáticos, atender a 1.300 empleados.

¿Cuáles diría que son los grandes retos a los que se enfrenta su sector?
Como gran reto, lo que nos estamos encontrando ahora es todo lo referido a Inteligencia Artificial (IA) aplicado a la Sanidad y el tema de los dispositivos de IoT, que quieren conectarse para automatizar y hacer control del paciente. Ahora bien, ¿cómo podemos solucionarlo también en términos de ciberseguridad? Es decir, que estos sistemas puedan tener seguridad informática ante posibles ataques. Nos preocupa que a veces los fabricantes no la tienen; ellos diseñan dispositivos que no se adaptan correctamente a nuestro sistema y pueden derivar en fallos de seguridad.

En este campo del IoT, ¿la seguridad por diseño deja mucho que desear?
Sí, porque cada fabricante tiene su propio diseño. Te puedes encontrar con fabricantes de dispositivos IoT, por ejemplo, para neveras, para el control de farmacia, y están basados en Linux y tú te tienes que adaptar. Y a veces se trata de sistemas que no están recientemente parcheados o actualizados y, según cómo los actualices, el sistema puede dejar de funcionar, con lo cual es un problema. Tienes que poner elementos de seguridad entre las redes virtuales, configurados para separar esos equipos porque el hospital tiene que tener flexibilidad con sus servidores y contar con elementos de filtrado para poder evitar posibles ataques, lo que también incrementa los costes en las empresas.

Esta heterogeneidad ya no sólo afecta la ciberseguridad, siendo el sanitario uno de los sectores más castigados por el ransomware, sino que supone problemas para la gestión operativa diaria, ¿no?
Exacto. Cada fabricante va a lo suyo, no hay una homogeneización de los sistemas IoT.

Ahondando en ese aspecto de ciberseguridad, ¿encuentran que cada vez se producen más ataques a actores de su cadena de suministro para llegar a su organización?
Sí, correcto. Y es que ahí nos encontramos también con ciertas complicaciones. A raíz del ciberataque al Hospital Clínic de Barcelona, la Generalitat ha puesto a su departamento de ciberseguridad, junto con el CatSalut, a ayudarnos a los proveedores externos del CatSalut y de los propios hospitales a dotarnos de los sistemas de seguridad o a implementar los suyos. Sin embargo, todo cuesta mucho, homogeneizar es complejo y somos tantos proveedores que no en todos los casos se actúa a la misma velocidad. Mientras, las empresas privadas se tienen que buscar la vida porque tienen sus propios problemas y necesidades acuciantes y no pueden amoldarse a los ritmos de la Administración.

¿Va en ocasiones el regulador, el legislador una marcha por detrás de la velocidad del mercado?
Claro, por detrás de lo que el mercado necesita. Tienes que poner tus medios antes de que lleguen los suyos. Y, entonces, cuando llegan ellos, te tienes que adaptar. Pero bueno, es lo que hay y al final no puedes hacer mucho más. Tienes que intentar estar preparado para los posibles ataques. De hecho, a nosotros nos atacaron con un ransomware en 2021 y gracias a que estábamos medianamente preparados, pudimos reaccionar y recuperar la información. Tuvimos suerte de que no llegaron a la base de datos y pudimos recuperarla. Por suerte, teníamos doble back-up, uno on-premise y otro en la nube y pudimos recuperar la nube porque el on-premise estaba comprometido. Desde entonces hemos puesto un tercer sistema de copia de seguridad, también on-premise, pero fuera de nuestro centro de datos. Además, con discos extraíbles, como las cintas antiguas, pero con discos, y así cada semana extraemos los discos.

Hablaba al principio de la IA. ¿Qué proyectos tienen en marcha o planean iniciar al respecto?
Todavía estamos mirando qué opciones tenemos y cómo podríamos implementarlo, porque también dependemos de lo que decida CatSalut. A fin de cuentas, el 80% de nuestro negocio depende de CatSalut, por lo que estamos un poco a la espera de lo que decida. Bueno, la gente ya se está preguntando qué opciones tiene y también los proveedores explican maravillas de la IA, pero claro, la gente todavía no sabe ni cómo implementarla. Es un problema, no hay conocimiento y eso también es un reto.

¿Acusan la falta de personal cualificado en IA?
Sí, muchísimo, tanto en IA, como en ciberseguridad. Las universidades no dan abasto, no hay carreras específicas de IA. Aunque ahora parece que empiezan a salir masters de IA con tratamiento de datos, hasta ahora no había nada. La gente se tenía que formar por su cuenta. Además, luego tenemos el problema en este país de que cuando están formados, se nos van. No tienen incentivos. Tampoco podemos esperar que la Administración Pública nos ayude tanto, el entorno privado tiene tirar para adelante y formar su gente, que se relacione con las universidades para poder formar. Y no se trata sólo de conocimiento técnico, sino también falta formación profesional al personal sanitario en la parte funcional, porque no sabe cómo aplicarlo en su entorno.

¿Cómo concibe Grup Mutuam su estrategia cloud, teniendo tanto personal trabajando en remoto?

Sí, nosotros desde hace unos años trabajamos con Citrix y todo el mundo trabaja con un escrito virtual. Ya hemos pasado una parte de Citrix a la nube y en la parte de servidores ya estamos trabajando con ellos en la nube. Tenemos dos CPDs, uno on-premise y otro en la nube con Microsoft Azure. La idea es, en los próximos cinco años según nuestro plan informático, ir poco a poco trasladando el máximo de servicios a la nube, tanto el ERP como el CRM o la aplicación asistencial.

¿Diría que en los últimos años ha sido la tecnología más disruptiva para su organización?
Sí, yo diría que sí. En los próximos cinco años del plan informático, que ha empezado este año, la idea es que ya todo lo que sea posible los pasaremos a la nube. También, es importante considerar que somos cinco informáticos para 1.300 empleados. Nos apoyamos mucho en las empresas proveedoras y cada vez más estamos yendo a la nube y a una gestión completamente centralizada. Los departamentos de informática cada vez son más pequeños, no son más más grandes, y la idea es que todo lo que se pueda economizar, la gestión centralizada y el remoto, es lo que se impondrá.

¿Qué opinión le merece la Asociación @aslan y las actividades que organiza para el ecosistema de digitalización?
Me parece genial, que se preocupe de todos nosotros como se preocupa, que nos llame, nos informe, organice eventos y después encontremos toda la información en su página web, además de los artículos que nos envía… La verdad es que ayuda mucho. Al Congreso anual de Madrid este año no pude ir, pero sí fui al evento de Barcelona y me pareció genial, sobre todo la parte de ciberseguridad

¿Te ha parecido útil este contenido?

 
Más información en: https://www.mutuam.es/
Carles Aguiló Jiménez
Mutuam, MPS
CTO
Artificial Intelligence (AI) Cloud & DataCenter Digital Workspace Ransomware

Te puede interesar

Universidad de Salamanca
19 Nov 2024
DruID
19 Nov 2024
eSail
19 Nov 2024
Codere
12 Nov 2024
Impulsando la transformación digital de Galicia
11 Nov 2024