Desarrollar la competencia de defensa en el cuidado de la salud: consejos de un líder de seguridad cibernética

Con ataques de ransomware Ahora que es una epidemia en el cuidado de la salud y los dispositivos IoT/IoMT son altamente vulnerables, los proveedores continúan haciendo inversiones en seguridad cibernética para proteger los datos de sus pacientes y sus organizaciones. ¿Pero es suficiente?

Con esta explosión de ataques cibernéticos, también les corresponde a los hospitales y sistemas de salud mejorar en el desarrollo de análisis de amenazas, más entusiastas sobre la colaboración entre industrias y más atentos a la higiene cibernética básica, dice Taylor Lehmann, director de la Oficina del CISO en Nube de Google.

Lehmann se desempeñó anteriormente como director de seguridad de la información en Wellforce (ahora conocido como Tufts Medicine) y fue CISO en athenahealth, y es cofundador del Consejo de Gestión de Riesgos de Terceros Proveedores y miembro de la junta del Centro de Análisis e Intercambio de Información de Salud, o Health-ISAC.

habló con Noticias de TI para el cuidado de la salud para analizar los riesgos de ciberataques, la colaboración y la transparencia, la inteligencia de la industria, la asociación Health-ISAC de Google y la responsabilidad de evolucionar y mejorar la seguridad en la nube.

P. La industria de la salud está bajo un ataque implacable. ¿Qué tiene que pasar para contraatacar?

POSEE. El cuidado de la salud, como muchas industrias que se consideran infraestructura crítica, debe priorizar la creación de arquitecturas, equipos y procesos de sistemas resistentes para administrarlos y mejorarlos continuamente.

Como hemos discutido en Google Cloud Blog Sobre la creación de resiliencia en el cuidado de la salud, creemos que los esfuerzos deben centrarse en generar visibilidad y conciencia estructural en los sistemas, incluido el software, y analizar sus riesgos.

Luego, use modelos de amenazas para identificar y enmarcar los riesgos, que luego informan las estrategias de defensa.

Finalmente, instituya mecanismos para hacer pruebas de estrés y medir la efectividad de esas defensas utilizando técnicas como ejercicios de mesa, equipos morados y otros.

Seleccionar y rastrear mejoras utilizando un marco de control popular, como el Marco de ciberseguridad del NIST, también puede ayudar a gestionar el progreso. Como parte de estos esfuerzos, las organizaciones deben buscar oportunidades para automatizar la entrega de controles de seguridad y realizar la garantía de continuidad.

P. Si la colaboración entre los líderes de la industria, el gobierno y las empresas tecnológicas es el camino para defenderse de estos ataques, ¿cuáles son las barreras para la colaboración?

POSEE. La colaboración es uno de varios factores importantes que pueden ayudar a la industria a ser más resistente.

En muchos casos, la colaboración efectiva requiere que las organizaciones sean profundamente transparentes entre sí. Esto podría incluir compartir modelos de amenazas, información altamente confidencial o indicadores de compromiso, que pueden revelar que la organización que produce la inteligencia ha sido atacada con éxito.

Esto puede llamar la atención e inspirar a otras amenazas a la organización para que se activen.

Crear mecanismos de confianza y verificación también lleva tiempo, suele ser costoso y puede ser difícil de escalar. Es por eso que organizaciones como Health-ISAC existen para ayudar a sus organizaciones miembros a compartir información de manera más automática y segura.

P. Dada su experiencia en ciberseguridad en el cuidado de la salud, ¿cuál es su visión general para integrar la ciberseguridad en los sistemas de atención médica?

POSEE. La industria de la salud emplea algunas de las tecnologías más sofisticadas conocidas por el hombre. Pocas otras industrias producen tecnología que se implanta dentro de los humanos para mantener sus vidas: hay mucho en juego.

Hemos hablado de esto en nuestros blogs, pero para resumir rápidamente, necesitamos comprender las amenazas que enfrentan las organizaciones de la industria, entender cómo funcionan y cómo logran impacto, y aprender de estos eventos para impulsar enfoques cada vez más basados ​​en datos para los programas de gestión de riesgos. y estrategia de defensa.

Las organizaciones deben evaluar cuidadosamente la confianza que depositan en los proveedores y socios, y asegurarse de que adquieren una seguridad cada vez mejor a medida que incorporan las nuevas tecnologías que impulsan estas organizaciones.

Por último, veo un futuro en el que los proveedores y los socios desempeñen un papel más activo para ayudar a las organizaciones de atención médica a lograr una barra de alta seguridad en lugar de continuar escondiéndose detrás del modelo de responsabilidad compartida que ha hecho seguridad en la nube difícil de entender.

P. ¿Puede contarles a los lectores sobre la asociación Health-ISAC y cómo los sistemas de atención médica se beneficiarán de la asociación?

POSEE. Salud-ISAC La asociación es un gran lugar para que las organizaciones compartan inteligencia sobre las amenazas cibernéticas que ven y cómo luchan contra ellas.

Los ciberdelincuentes quieren que las organizaciones de atención médica permanezcan en silos, porque eso hace que sea más probable que un ataque a un sistema de salud funcione en otro.

Sin embargo, si todos los sistemas de salud comunican constantemente lo que ven y cómo se defienden, todos estarán más preparados y en mejores condiciones para defenderse de los ataques.

Como nuevo embajador, estamos trabajando en estrecha colaboración con Health ISAC para identificar un conjunto de recursos, incluidas personas y tecnología, que Google Cloud puede proporcionar y poner a disposición de Health-ISAC.

P. Con respecto a los dispositivos médicos, ¿qué amenazas deberían priorizar los líderes de seguridad de la información y TI del cuidado de la salud mientras se preparan para integrar y proteger los datos del cuidado de la salud de los dispositivos?

POSEE. MITRE ha publicado grandes orientación sobre este tema. El uso de una metodología estructurada para el modelado de amenazas debería dar como resultado un conjunto bastante consistente de recomendaciones realistas e importantes para abordar los hallazgos de un ejercicio de modelado de amenazas.

Los especialistas en TI de atención médica deben familiarizarse con la forma en que se crean, prueban, envían y monitorean los dispositivos médicos. Deben recopilar una visibilidad profunda del hardware y el software, incluidos los proveedores de servicios en la nube, y decidir las prioridades a partir de ahí.

Los modelos de amenazas deben generarse y actualizarse periódicamente a medida que cambian las amenazas y durante la vida útil real de un dispositivo médico, una pieza de maquinaria o un sistema que maneja registros de salud.

Andrea Fox es editora sénior de Healthcare IT News.
Correo electrónico: afox@himss.org

Healthcare IT News es una publicación de HIMSS.

Leave a Comment

Your email address will not be published.