Tres formas de utilizar Zero Trust para reducir el riesgo de ciberdelincuencia en la atención sanitaria

Los sistemas informáticos heredados rara vez cumplen los estándares de seguridad actuales y con frecuencia omiten la instalación de parches de seguridad.

La rotación del personal también puede crear lagunas de conocimiento sobre cómo mantener estos sistemas, lo cual se ha vuelto especialmente problemático desde la gran dimisión laboral en Estados Unidos. Muchos empleados con un legado de conocimientos se han retirado o han dejado su trabajo, y existe una falta generalizada de personal cualificado en ciberseguridad en el sector sanitario.

De hecho, la Healthcare Information and Management Systems Society, en su reciente informe anual sobre ciberseguridad , considera que el obstáculo más común para lograr un programa de ciberseguridad sólido en entornos sanitarios es la falta de personal cualificado.

Los administradores ajenos a la TI también suelen subestimar los riesgos de la ciberdelincuencia. Esta menosprecio, cuando se combina con el uso frecuente por parte del sector sanitario de proveedores externos que pueden introducir vulnerabilidades y ampliar las superficies de ataque, aumenta la probabilidad de que se produzca una brecha de seguridad.

Uno de los mejores enfoques para combatir la ciberdelincuencia en las organizaciones sanitarias es Zero Trust, un marco de seguridad que se basa en una autenticación y una autorización sólidas para cada dispositivo y cada persona antes de que se produzca cualquier acceso o transferencia de datos en una red privada.

Zero Trust garantiza que ningún usuario o dispositivo, independientemente de la posición de dicho usuario en la organización, se considere auténtico hasta la verificación. Esto se cumple aunque el usuario haya iniciado sesión previamente en muchas ocasiones y tanto si los intentos de acceder a la red proceden del interior como del exterior de la organización. Zero Trust proporciona un conjunto completo de estrategias de seguridad que van más allá de las medidas tradicionales basadas en el perímetro.

Un aspecto clave de Zero Trust es la microsegmentación. Esta estrategia de defensa lateral ayuda a las organizaciones de TI a identificar y comprender qué aplicaciones se comunican con otras aplicaciones, usuarios y dispositivos.

Ejemplo. Piense en un sistema de monitorización neonatal que se comunique con un sistema centralizado de recopilación de datos: si la red falla, ¿puede seguir funcionando el monitor? La microsegmentación hace posible que se diseñe el sistema de tal manera que, si la red principal falla, el sistema pueda seguir funcionando y los bebés puedan seguir siendo monitorizados.

Los sistemas de registros sanitarios electrónicos, que en su mayoría cuentan con portales o aplicaciones orientados al paciente para solicitar medicamentos o pagar facturas, son objetivos clínicos y financieros de enorme valor para los hackers. Puesto que estos recursos requieren medidas de protección estrictas, las organizaciones deben adoptar un enfoque Zero Trust para estas soluciones exigiendo protocolos de inicio de sesión seguros tanto para el personal como para los pacientes.

Ejemplo. Los protocolos Zero Trust y los principios Zero Trust orientados al paciente también deben aplicarse a los pacientes que requieran atención crónica y utilicen dispositivos de monitorización remota de pacientes. Las conexiones a las redes de las organizaciones deben estar protegidas. Las soluciones para proteger los datos sanitarios deben hacer posible que las organizaciones sanitarias realicen un seguimiento de la situación de riesgo de los dispositivos médicos conectados y evalúen las vulnerabilidades, como las retiradas de productos por parte de la FDA o las actualizaciones de parches, entre otros.

Las políticas "traiga su propio dispositivo" (BYOD) pueden establecer directrices claras sobre cómo deben utilizan los empleados sus dispositivos personales para tareas relacionadas con el trabajo, incluidos los tipos de datos a los que se puede acceder y cómo se deben proteger esos datos. Esto puede ayudar a evitar filtraciones de datos y otros Ciberataques como resultado de un acceso no autorizado. Las políticas BYOD también son importantes para el personal de apoyo y el personal clínico que trabaja desde casa y tiene acceso remoto a la red.

Ejemplo. Unas políticas adecuadas deben exigir a los empleados que instalen y actualicen con frecuencia el software de seguridad en sus dispositivos, utilicen redes Wi-Fi seguras, cifren los datos transmitidos a través de estas redes e informen inmediatamente de cualquier dispositivo perdido o robado. Estas políticas, consideradas en su conjunto y aplicadas con vigilancia, pueden ayudar a evitar el acceso no autorizado a los datos confidenciales y mitigar el impacto de posibles ciberataques.

Teniendo en cuenta que las filtraciones de datos son una amenaza importante para las organizaciones proveedoras de atención sanitaria, los hospitales y quienes interactúen con ellos en todo el ecosistema del sector, es necesario tomar medidas proactivas para proteger los datos de los pacientes. Al invertir en una infraestructura de seguridad, la formación del personal y la adopción de un enfoque Zero Trust, las organizaciones sanitarias se aseguran de que los datos de los pacientes estén protegidos y que su reputación siga intacta.

No espere para implementar un modelo Zero Trust de ciberseguridad para el sector sanitario. La protección de la privacidad del paciente y la seguridad de los datos es vital para lograr que el tiempo de actividad sea continuo y tener la capacidad de ofrecer una atención al paciente excelente. Cuando los pacientes sean más conscientes de los riesgos de las filtraciones de datos, los proveedores de atención sanitaria que priorizan la seguridad de los datos tendrán una ventaja competitiva.