Reforzar la defensa de los datos sanitarios
Las organizaciones sanitarias deben mantenerse vigilantes en sus esfuerzos por proteger los datos de alto valor frente a las amenazas emergentes, al tiempo que abordan los retos específicos que surgen al proteger sus datos, infraestructuras y aplicaciones.
Los datos sanitarios son de los más valiosos del mercado. Los historiales de los pacientes, la información financiera y la propiedad intelectual son activos muy valiosos que convierten a las organizaciones sanitarias en objetivos prioritarios de los ciberataques. Para garantizar una atención de calidad, las organizaciones sanitarias deben afrontar los retos de la seguridad informática y reforzar sus defensas para proteger la información crítica.
Sin embargo, muchas empresas carecen del presupuesto, el talento de alto nivel y las herramientas necesarias para proteger de forma óptima los datos y la infraestructura, creando así oportunidades para los agentes maliciosos.
Las organizaciones del sector sanitario deben ser especialmente conscientes de estas ciberamenazas típicas y de cómo pueden poner en peligro la seguridad y la privacidad de los pacientes:
- Ataques de ransomware: La sanidad se enfrenta a la grave amenaza del ransomware, que puede interrumpir las operaciones, poner en peligro la información de los pacientes y agotar los recursos financieros. Para combatir el ransomware, las organizaciones deben realizar copias de seguridad y aislar los datos críticos con regularidad para la planificación de contingencias, realizar campañas periódicas de certificación de acceso, adoptar el almacenamiento en la nube y llevar a cabo amplias campañas de identificación de ransomware con ejercicios de simulación para promover la detección temprana y la mitigación.
- Ataques de phishing e ingeniería social: Las tácticas de phishing pueden comprometer datos sensibles engañando a los empleados para que expongan información confidencial. En un ataque de ingeniería social, un malhechor obtiene acceso no autorizado a los sistemas sanitarios haciéndose pasar por personas de confianza o aprovechando relaciones.
Las empresas suelen combatir el phishing mediante la formación frecuente de sus empleados, simulaciones activas de phishing y soluciones de filtrado del correo electrónico diseñadas para identificar y bloquear los intentos de phishing. Para reducir el riesgo de ataques de ingeniería social es necesario implantar la autenticación multifactor (AMF) y reforzar los procesos de verificación de la confianza.
- Amenazas internas: El personal interno puede exponer vulnerabilidades involuntariamente o actuar con mala intención, lo que supone un riesgo importante para los datos sanitarios. Las organizaciones sanitarias deben hacer frente a las amenazas internas manteniendo la segregación de funciones, disponiendo de sólidos controles de detección para el acceso a registros de datos y sistemas y alineando al personal con controles de acceso basados en funciones (RBAC) bien estudiados que se adopten en todos los controles de acceso.
- Ataques distribuidos de denegación de servicio (DDoS) : Debido a la naturaleza sensible y a menudo en tiempo real de sus operaciones, las instituciones sanitarias son objetivos principales de los ataques DDoS, que crean el caos e interrumpen las comunicaciones vitales que pueden poner en peligro a los pacientes. Las empresas necesitan desarrollar un plan de respuesta a incidentes DDoS para reaccionar con rapidez cuando se produce un ataque y también deben considerar la posibilidad de invertir en soluciones de mitigación DDoS y segmentación de cargas de trabajo críticas.
Infraestructuras y talento
La adopción de sólidas medidas de seguridad física y de los datos es esencial para que las organizaciones sanitarias protejan su infraestructura y los datos de los pacientes. La seguridad física debe incluir la implantación de controles de acceso, registro obligatorio de visitantes y proveedores, lectores de tarjetas de identificación y sistemas de vigilancia adaptables para proteger la infraestructura física, mientras que la seguridad de los datos debe centrarse en el cifrado, los controles de autorización, la segregación de datos y la prevención de la pérdida de datos para proteger los historiales de los pacientes y los datos sensibles.
- Dispositivos e infraestructuras heredados. Los dispositivos más antiguos e intocables pueden ser a menudo el eslabón más débil de la ciberresiliencia de una organización. Por desgracia, también pueden ser los más impactantes. Los dispositivos médicos y los sistemas de control de edificios heredados siguen utilizándose en las redes sanitarias, lo que supone un riesgo debido a sus largos ciclos de actualización. Además, los largos procesos de aprobación de la FDA pueden suponer que un dispositivo nuevo en el mercado que contaba con las últimas funciones de seguridad cuando se diseñó quede rezagado en sus capacidades cuando llegue al mercado. Otra realidad que complica la gestión de infraestructuras es el número de dispositivos conectados en redes planas de distintos proveedores. El resultado suele ser una maraña de comunicaciones vulnerable a los atacantes.
- Dispositivos y equipos médicos inseguros. Los entornos médicos se están convirtiendo rápidamente en vastas colecciones de dispositivos conectados en red, muchos de los cuales están conectados a Internet. Los dispositivos de Internet de las Cosas (IoT) son reconocidos por su escasa seguridad y los dispositivos de Internet de las Cosas Médicas (IoMT) no son diferentes. Proporcionan a los atacantes nuevos puntos de ataque y acceso que se aprovechan fácilmente para acceder a la información de los pacientes y a los sistemas médicos.
Microsegmentación
La segmentación aísla generosamente los perfiles de riesgo de las redes sanitarias: dispositivos heredados, dispositivos IoT, dispositivos médicos, estaciones de trabajo compartidas, vendedores/proveedores, acceso a Internet de los pacientes, médicos visitantes y personal contratado. Así se evita que un perfil de riesgo afecte a la gravedad de otro. Dado que la segmentación ya es una estrategia poderosa, la microsegmentación aporta potencialmente aún más eficacia. Sin embargo, la microsegmentación requiere un conocimiento profundo de las conexiones entre dispositivos y aplicaciones, y hay que tener en cuenta la relación entre esfuerzo y recompensa.
Transición hacia la resiliencia
Los equipos informáticos deben decidir cuidadosamente qué dispositivos categorizar como de alto riesgo/bajo impacto, o de bajo riesgo/alto impacto. En cualquier red clínica, los equipos informáticos deben equilibrar la seguridad y la accesibilidad y considerar detenidamente las consecuencias de un exceso de protocolos de seguridad cuando se tocan dispositivos que pueden poner en peligro la vida.
En general, la sanidad está luchando por atraer a los mejores profesionales de la ciberseguridad debido a una serie de percepciones que incluyen salarios bajos, gastos y toma de decisiones conservadores, menos oportunidades profesionales y la opinión de que la sanidad como sector está rezagada en tecnología.
Sin embargo, muchos profesionales prosperarán en este entorno si se adhieren a una misión, aportan experiencia de otros sectores verticales o se vinculan a innovaciones exclusivas de la sanidad. Es habitual que las organizaciones recurran a proveedores para poner en marcha nuevas iniciativas o externalizar capacidades.
Reconocer las carencias y oportunidades en materia de seguridad es un primer paso importante para garantizar la privacidad y la seguridad de los pacientes. Abordar los retos de seguridad específicos de las TI sanitarias y aplicar medidas de seguridad integrales puede reforzar las defensas y proteger datos valiosos.
Superar los retos modernos de la logística, el transporte y la expedición aprovechando la modernización de datos
About the Authors
Manager, Global Cloud Security Solutions
Scott Schlueter
Scott Schlueter has over 20 years of experience in information technology across diverse industries including higher education, enterprise and managed IT, and healthcare. As an Information Security expert specializing in security architecture and risk-based strategies maximizing security goals, he has become a dynamic leader and articulate communicator with a talent for building business processes with an emphasis on automation and fostering relationships among business units and principles. He is a certified information security professional with extensive experience in enterprise project management, mergers and acquisitions, and maximizing effectiveness of security controls.
Read more about Scott Schlueter