En el artículo que aquí presentamos, Kevin Flynn, Senior Product Marketing Manager de Fortinet, explica que “a medida que el mundo de la salud se digitaliza, las organizaciones sanitarias se ven abocadas a adaptar sus infraestructuras de seguridad TI para que sean capaces de combatir amenazas más sofisticadas a la vez que soportar funciones y procesos de negocio”.
NOTA DE PRENSA COMPLETA
La salud empieza por la seguridad de las TI
Por Kevin Flynn, Senior Product Marketing Manager de Fortinet
A medida que el mundo de la salud se digitaliza, las organizaciones sanitarias se ven abocadas a adaptar sus infraestructuras de seguridad TI para que sean capaces de combatir amenazas más sofisticadas a la vez que soportar funciones y procesos de negocio.
Los hospitales y otras instituciones relacionadas con el mundo de la salud han diseñado tradicionalmente su infraestructura de red concentrándose en la seguridad a nivel perimetral, empleando las herramientas de seguridad que necesitaban para cumplir con la normativa vigente. Lamentablemente, gran parte de estas arquitecturas no se ajustan a los drásticos cambios que están produciéndose en el mundo informático, tales como el intercambio de información sanitaria (HIEs), la virtualización, el Cloud Computing o la tendencia Bring Your Own Device (BYOD). Todo ello está obligando a la industria de la salud a replantearse sus infraestructuras de seguridad y, en general, su aproximación a las TI.
Nos encontramos en un punto de inflexión en la historia médica electrónica (EHRs) y los incentivos financieros para migrar del papel al formato digital. En Estados Unidos, por ejemplo, la normativa federal Health Insurance Portability and Accountability Act (HIPAA), la Health Information Technology for Economic and Clinical Health Act (HITECH) y la normativa referente al pago con tarjeta de crédito, Payment Card Industry – Data Security Standard (PCI-DSS), se han convertido en factores críticos en la definición de las estrategias de arquitectura de seguridad debido a sus requisitos para la segmentación, la auditoría y el control de los datos.
Aunque estas regulaciones no se han extendido internacionalmente, el mantenimiento de unos estándares que vayan en línea con la normativa de EEUU es importante ya que muchos países, como Singapur, Malasia y Tailandia, y áreas de Oriente Medio, aspiran a convertirse en centros de turismo de salud. HIPAA y otras normativas similares permitirán a estas regiones atraer turistas de Estados Unidos y otros países. A un nivel más técnico, el cumplimiento de estos estándares facilitará una plataforma común para unir e integrar diferentes instituciones de salud de distintos países, lo que implica la globalización del sector.
En paralelo, las redes de distintas organizaciones de salud, usuarios, proveedores y otras figuras se encuentran cada vez más integradas. La información del paciente se mueve digitalmente y se guarda en la red de la institución sanitaria. El uso de los medios sociales también se ha elevado en esta industria mejorando la comunicación entre la empresa y el público, creando negocio e incrementando la atención al paciente. El fenómeno BYOD y el uso de las tecnologías inalámbricas – una parte importante del panorama que contribuye a mejorar la eficiencia operacional y movilidad de los hospitales actuales – pueden complicar los requerimientos de seguridad de las redes.
Partiendo de este contexto, apuntamos algunas de las consideraciones más importantes que los organismos sanitarios deberían tener en cuenta a la hora de redefinir su infraestructura de seguridad TI: Ataques desde todos los frentes
Algunas tendencias a evaluar por parte de las empresas sanitarias:
• Incremento de las brechas de datos,
• Vulnerabilidad por la pérdida de dispositivos móviles,
• Vulnerabilidad por la creciente colaboración & compartición de datos así como el mayor uso de las redes sociales,
• Proliferación de dispositivos personales de los usuarios (tanto del personal sanitario como de los pacientes) dentro de la organización para acceder a la información.
Otra tendencia interesante son las potenciales brechas de seguridad asociadas a los dispositivos médicos. Las bombas de insulina y los desfibriladores, por ejemplo, puede ser hackeados (por la irrupción inapropiada en las tecnologías inalámbricas de estos dispositivos) con graves consecuencias sobre la salud personal. Este fenómeno es consecuencia directa del incremento en el número de dispositivos médicos inteligentes en red y la desaparición entre la infraestructura de TI tradicional y los dispositivos (la infraestructura y los datos se fusionan).
Los dispositivos médicos conllevan distintos tipos de problemas de seguridad TI, como:
• Ataques basados en red – el tradicional malware TI introducido a través de la red
• Ataques introducidos durante las labores de soporte o mantenimiento
• Ataques introducidos en los dispositivos tras reparaciones realizadas o en unidades de sustitución
• Proliferación de red – ataques que utilizan un dispositivo como punto de entrada y después acceden a la empresa aprovechando dispositivos similares.
Todas estas amenazas hacen necesario el redefinir y mejorar los controles y las políticas de cara al usuario, los dispositivos y las aplicaciones. Se requiere que las organizaciones sanitarias tengan el poder para detectar y controlar el uso de las aplicaciones en sus redes y endpoints basándose en la clasificación de la aplicación, el análisis del comportamiento y la asociación con el usuario final; y sean capaces de detectar y controlar las aplicaciones basadas en web a nivel granular.
Protegiendo la red End to End
A continuación ofrecemos una serie de recomendaciones que la industria sanitaria debería tener en cuenta para enfrentarse a los problemas de seguridad TI:
• EHR/EMR (Electronic Medical Record) Security (HIPAA/HITECH)
- Grabación cifrada en el tránsito de site a site
- Acceso remoto cifrado para aplicaciones de EHR
• Segmentación de red
- Segmento de dispositivos biomédicos
- Segmento de sistemas EMR
- Segmento de redes PCI
• Filtrado Web/Control de Aplicación
- Restricción y control del tráfico web de los empleados
- Limitación del uso de las aplicaciones basadas en web. Por ejemplo, permitir el acceso a Facebook pero impedir la visualización de vídeos o el acceso a juegos.
- Control para EHR/PHI/DLP. Evitar que la información de tarjetas de crédito y los números de la seguridad social y de identificación del paciente sean enviados a usuarios no autorizados.
En cada una de estas áreas, las organizaciones sanitarias deben:
• Eliminar los potenciales puntos ciegos
• Verificar el cumplimiento de sus políticas
• Reducir los tiempos de respuesta ante incidentes de seguridad
• Acelerar la adopción de las mejores prácticas y de sistemas expertos
• Reducir la potencial pérdida de reputación e ingresos
Como expertos en seguridad, desde Fortinet abogamos por que las organizaciones sanitarias adopten una estrategia de seguridad TI de acuerdo con las regulaciones HIPAA y PCI. La industria de la salud necesita segmentar y controlar distintos aspectos de sus operaciones, incluyendo usuarios, comportamientos, datos, dispositivos, sistemas operativos y aplicaciones. La consolidación de las funciones de seguridad dentro de los dispositivos de gestión unificada de amenazas debe contemplarse seriamente ya que es la manera más óptima de que las organizaciones tengan una visibilidad end-to-end y un total control de la red a la vez que reducen los costes y la complejidad.
© 2001-2024 DAA Contenidos Digitales, S.L.
