Ciberseguridad en la Salud

• Ciberseguridad en Salud
  • Correo electrónico
  • Seguridad física
  • Legacy Systems
• Partes interesadas en el cuidado de la salud
  • Pacientes
  • Miembros de la fuerza laboral
  • C-Suite
  • Vendedores y proveedores del mercado en el sector salud
• Ciberseguridad en las mejores prácticas de atención médica
  • Evaluaciones de riesgo
  • Controles de ciberseguridad

La ciberseguridad en la salud es en esencia el manejo confidencial y seguro de la información personal de los pacientes dentro del sector salud, este manejo conlleva la protección de los sistemas informáticos de las organizaciones involucradas.

Ciberseguridad en Salud

En el mundo electrónico actual, la ciberseguridad en el cuidado de la salud y la protección de la información es vital para el funcionamiento normal de las organizaciones. Muchas organizaciones de atención médica tienen varios tipos de sistemas de información hospitalarios especializados, como sistemas EHR (Electronic Healt Record), sistemas de recetas electrónicas, sistemas de apoyo a la gestión de consultas, sistemas de apoyo a las decisiones clínicas, sistemas de información de radiología y sistemas computarizados de ingreso de órdenes médicas.

Además se deben proteger miles de dispositivos que componen el Internet de las cosas. Estos incluyen ascensores inteligentes, sistemas inteligentes de HVAC (calefacción, ventilación y aire acondicionado), bombas de infusión, dispositivos de monitoreo remoto de pacientes y otros. Estos son ejemplos de algunos activos que las organizaciones de atención médica suelen tener, además de los que se mencionan a continuación.

Correo electrónico

El correo electrónico es un medio principal para la comunicación dentro de las organizaciones de atención médica. La información se procesa, crea, recibe, envía y mantiene dentro de los sistemas de correo electrónico. Las capacidades de almacenamiento de los buzones tienden a crecer con las personas que almacenan todo tipo de información valiosa, como propiedad intelectual, información financiera, información de pacientes y otros. Como resultado, la seguridad del correo electrónico es una parte muy importante de la ciberseguridad para el cuidado de la salud.

El phishing es una de las principales amenazas de la ciberseguridad en la salud. La mayoría de los incidentes de seguridad significativos son causados ​​por esta amenaza. Los usuarios pueden, sin saberlo, hacer clic en un enlace malicioso o abrir un archivo adjunto malicioso dentro de un correo electrónico de phishing y así pueden infectar sus sistemas informáticos con malware. En ciertos casos, el malware puede propagarse a través de la red informática a otras computadoras y el correo electrónico de phishing también puede obtener información confidencial o de propiedad del destinatario.

Los correos electrónicos de phishing son muy efectivos, ya que generalmente engañan al destinatario para que realice una acción deseada, como revelar información confidencial o de propiedad exclusiva, al hacer clic en un enlace malicioso o abrir un archivo adjunto malicioso. En consecuencia, la capacitación regular sobre seguridad es clave para frustrar los intentos de phishing.

Seguridad física

El acceso físico no autorizado a una computadora o dispositivo puede comprometerlo. Por ejemplo, existen técnicas físicas que pueden usarse para piratear un dispositivo. La explotación física de un dispositivo puede anular los controles técnicos que, de lo contrario, existen. Por lo tanto, es importante proteger físicamente un dispositivo para salvaguardar su funcionamiento, su configuración adecuada y sus datos.

Un ejemplo es dejar una computadora portátil desatendida mientras viaja o trabaja en otro lugar. Las acciones descuidadas pueden provocar el robo o la pérdida de la computadora portátil. Otro ejemplo es un ataque de sirvienta malvada en el que un dispositivo se altera de una manera imperceptible de modo que el ciberdelincuente pueda acceder más tarde al dispositivo, puede ser la instalación de un registrador de teclas para registrar información confidencial, como credenciales.

Legacy Systems

Los Legacy Systems (Sistemas Heredados) son aquellos sistemas que ya no son compatibles con el fabricante. Estos sistemas pueden incluir aplicaciones, sistemas operativos u otros. Un desafío para la seguridad cibernética en el cuidado de la salud es que muchas organizaciones tienen una huella de sistema heredada significativa. La desventaja de los sistemas heredados es que, por lo general, el fabricante ya no los admite y, como tal, generalmente faltan parches de seguridad y otras actualizaciones disponibles.

Los sistemas heredados pueden existir dentro de las organizaciones porque son demasiado caros para actualizarlos o porque es posible que no haya una actualización disponible. Es posible que los fabricantes de sistemas operativos cierren los sistemas y que las organizaciones de atención médica no tengan suficiente presupuesto de seguridad cibernética, para poder actualizar los sistemas a las versiones compatibles actualmente. Los dispositivos médicos suelen tener sistemas operativos heredados. También pueden existir sistemas operativos heredados para ayudar a admitir aplicaciones heredadas para las que no hay reemplazo.

Partes interesadas en el cuidado de la salud

Pacientes

Los pacientes deben comprender cómo comunicarse de forma segura con sus proveedores de atención médica. Además, si los pacientes interactúan virtualmente con sus proveedores de atención médica, ya sea a través de una plataforma de tele-salud, visitas electrónicas, mensajería segura o de otro modo, los pacientes deben comprender las políticas de privacidad y seguridad, también cómo mantener su información privada y segura.

Miembros de la fuerza laboral

Los miembros de la fuerza laboral deben comprender las políticas de privacidad y seguridad de la organización de atención médica. La capacitación periódica sobre concientización en seguridad es esencial para la seguridad cibernética en el cuidado de la salud para que los miembros de la fuerza laboral estén al tanto de las amenazas y qué hacer en caso de incidentes de seguridad reales. Los miembros también necesitan saber a quién contactar en caso de una pregunta o problema.

En esencia, los miembros de la fuerza laboral pueden ser los ojos y los oídos del equipo de ciberseguridad. Esto ayudará al equipo de seguridad cibernética a comprender qué funciona y qué no funciona en un esfuerzo por proteger la información y la infraestructura de tecnología de la información.

C-Suite

Cada vez más organizaciones de atención médica tienen un director de seguridad de la información (CISO Chief Information Security Officer) para tomar decisiones ejecutivas sobre el programa de ciberseguridad. El CISO generalmente trabajan en la estrategia, mientras que las personas de su equipo de seguridad cibernética ejecuta la estrategia según lo dicta. El director de ésta área es un ejecutivo que, idealmente, está al mismo nivel que otros ejecutivos de la C-suite (miembros de la alta dirección), como el director financiero, el director de información, etc. Debido a que cuanto mayor su el nivel ejecutivo, mayor será el grado de aceptación de arriba hacia abajo del programa de seguridad cibernética de la organización.

Vendedores y proveedores del mercado en el sector salud

Un minorista importante fue vulnerado como resultado de un gran ataque cibernético en su sistema de proveedor de calefacción, refrigeración y aire acondicionado “HVAC”. Las credenciales robadas del proveedor de HVAC se utilizaron para acceder a los sistemas del minorista.

En esencia, se trataba de un ataque a la cadena de suministro, ya que los atacantes cibernéticos habían comprometido al proveedor de HVAC para, en última instancia, apuntar al minorista. Después de este ataque, los ataques cibernéticos a la cadena de suministro comprometieron los sistemas de información de atención médica a través del robo de credenciales de los proveedores.

Algunas organizaciones grandes tienen una seguridad informática bastante robusta en los programas de atención médica. Sin embargo, muchas de estas organizaciones también dependen de decenas de miles de proveedores. En la medida en que estos proveedores tengan políticas de seguridad laxas o tengan políticas de seguridad inferiores, esto puede crear un problema para la organización de atención médica. En otras palabras, las credenciales de proveedores robadas o las cuentas de proveedores comprometidas pueden potencialmente resultar en un compromiso de la organización de atención médica, por ejemplo, a través de phishing u otros medios.

Un proveedor puede tener privilegios elevados para el entorno de tecnología de la información de una organización de atención médica y, por lo tanto, el compromiso de la cuenta de un proveedor o las credenciales comprometidas pueden dar lugar a un acceso elevado por parte de un tercero no autorizado (un atacante cibernético) a los recursos de tecnología de la información de una organización de atención médica.

Ciberseguridad en las mejores prácticas de atención médica

Evaluaciones de riesgo

Las evaluaciones de riesgos son la piedra angular de todos los programas de ciberseguridad en el cuidado de la salud. El riesgo debe evaluarse primero antes de tomar cualquier medida para ayudar a gestionar el riesgo. El riesgo debe medirse en función de factores como la probabilidad de ocurrencia, el impacto en la organización, así como la priorización del mismo. Las evaluaciones de riesgos deben realizarse o revisarse periódicamente y al menos una vez al año.

Controles de ciberseguridad

Idealmente, todas las organizaciones de atención médica deberían contar con controles de seguridad básicos y avanzados. Si lo hace, ayudará a garantizar que haya una defensa en profundidad de modo que si un control falla, otro control tomará su lugar. Por ejemplo, un virus puede ingresar a través del firewall de una organización, pero puede ser bloqueado por un programa antivirus. Sin embargo, no todos los incidentes de seguridad se pueden prevenir. Aquí es donde entra en juego el bloqueo y la entrada.

Es necesario un plan sólido de respuesta a incidentes para la ciberseguridad en el cuidado de la salud para que cualquier incidente de seguridad que ocurra sea bloqueado o abordado de manera oportuna y expedita.

Los controles básicos de seguridad incluyen lo siguiente:

• Antivirus.
• Copia de seguridad y restauración de archivos y/o datos.
• Prevención de pérdida de datos.
• Pasarela de correo electrónico.
• Cifrado en reposo.
• Cifrar archivos y datos archivados.
• Cifrado en tránsito.
• Cortafuegos.
• Plan de respuesta a incidentes.
• Sistema de detección y prevención de intrusos.
• Gestión de dispositivos móviles.
• Policías y procedimientos.
• Eliminación segura.
• Capacitación en concientización sobre seguridad.
• Programa de gestión de vulnerabilidades.
• Programas de gestión de parches.
• Puerta de enlace web.

Los controles de seguridad avanzados incluyen lo siguiente:

• Dispositivos antirrobo.
• Plan de continuidad de negocio y recuperación ante desastres.
• Forense digital.
• Autenticación multifactor.
• Segmentación de red.
• Pruebas de penetración.
• Intercambio de inteligencia sobre amenazas (también llamado intercambio de información).
• Escaneo de vulnerabilidad.

Te puede interesar: Herramientas para la prevención del fraude

Si te gustó esta publicación, te invitamos a compartirla en tus redes sociales.

Publicaciones relacionadas

Innovación en la Nube: Una Inmersión en las Soluciones de Microsoft Azure

24 noviembre, 2023

En el paisaje actual de negocios, la innovación en la nube se ha convertido en la piedra angular de la transformación digital. En este contexto, Microsoft Azure emerge como una fuerza impulsora, permitiendo a las organizaciones avanzar hacia la excelencia tecnológica. Para comprender plenamente el impacto de Azure, es crucial comenzar con una sólida introducción.…

Leer más Innovación en la Nube: Una Inmersión en las Soluciones de Microsoft Azure

192.168.100.1: La Puerta de Enlace a tu Red

21 noviembre, 2023

En el corazón de cada hogar moderno y conectado, la dirección IP 192.168.100.1 se erige como la puerta de enlace esencial que facilita la compleja red que une nuestros dispositivos. Esta entrada explora a fondo el papel crítico de 192.168.100.1 como la columna vertebral de nuestras redes domésticas, destacando su importancia en la administración, seguridad…

Leer más 192.168.100.1: La Puerta de Enlace a tu Red

Impacto Global de WannaCry: Repercusiones en la Ciberseguridad

9 noviembre, 2023

En mayo de 2017, el mundo fue testigo de uno de los ciberataques más disruptivos y de mayor alcance en la historia: el ransomware WannaCry. Este ataque sin precedentes no solo cifró datos en más de 200,000 computadoras en 150 países, sino que también puso al descubierto las vulnerabilidades críticas en la infraestructura de TI…

Leer más Impacto Global de WannaCry: Repercusiones en la Ciberseguridad

El Impacto del Scareware en Tu Privacidad

8 noviembre, 2023

En la era digital actual, la seguridad cibernética es una preocupación creciente, con el scareware emergiendo como una amenaza significativa para la privacidad y la seguridad de los usuarios. El scareware, una forma de software malicioso que engaña a los usuarios para que crean que sus sistemas están en riesgo, ha evolucionado para convertirse en…

Leer más El Impacto del Scareware en Tu Privacidad