Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Ciberseguridad

Las organizaciones sanitarias nunca han sido más esenciales. Sin embargo, cuando se trata de ciberseguridad, demasiados hospitales, grupos médicos y centros de investigación están muy por detrás de otras industrias críticas.

Si bien es fácil culpar de esta deficiencia de seguridad a una falta persistente de inversión, la tecnología no es el único problema. La escasez crónica de experiencia en ciberseguridad ha dejado a demasiadas organizaciones sanitarias vulnerables a otro tipo de virus: el marketing.

Estas deficiencias crónicas de seguridad dejan a demasiados profesionales de la salud luchando por mantenerse al día no solo con las amenazas, sino también con otras organizaciones, creando objetivos fáciles para los atacantes.

La protección de los datos sanitarios “para siempre” debe empezar ahora

En los primeros días del ciberdelito, los atacantes tendían a evitar apuntar a la industria de la salud , a pesar de que los proveedores generan una gran cantidad de datos confidenciales en forma de registros médicos que deben permanecer accesibles y seguros para siempre. Los delincuentes motivados financieramente generalmente se enfocaban en medios más directos para ganar dinero, como números de tarjetas de crédito.

Eso comenzó a cambiar con la aparición del ransomware, que se dirigía a casi todas las organizaciones con datos que proteger. Esta tendencia ha continuado durante la pandemia a medida que el ransomware Ryuk se extendió por docenas de hospitales y organizaciones de atención médica en los Estados Unidos junto con COVID-19. La extorsión detrás de tales amenazas es particularmente efectiva cuando la necesidad de mantener las operaciones en funcionamiento es una cuestión de vida o muerte.

Apuntar a los datos de salud durante una pandemia es particularmente cruel, pero algunos atacantes han pasado al siguiente nivel y han utilizado datos robados para atacar a los pacientes directamente. Este fue el caso de la notoria violación de Vastaamo, un proveedor de psicoterapia finlandés. Los intentos de extorsionar a las personas con sus registros médicos de salud mental aterrorizaron a 25.000 víctimas y llevaron a Vastaamo a quebrar rápidamente.

Las brechas de seguridad no se pueden llenar con “objetos brillantes”

Muchos, si no la mayoría, de los sistemas de salud operan en sistemas heredados que usan sistemas operativos obsoletos que ni siquiera reciben actualizaciones de seguridad. Esto los convierte en “fruta madura” para atacantes con buenos recursos.

Hay una razón simple para este problema en toda la industria: los presupuestos.

Las instituciones de salud generalmente se financian con fondos públicos y deben luchar por cada centavo que gastan, especialmente aquellos que no se gastan directamente en la atención al paciente.

Una encuesta reciente de los tomadores de decisiones de la industria realizada por la Sociedad de Sistemas de Gestión e Información de Salud (HIMSS) encontró que el 73% de los encuestados dijo que su organización necesita más fondos de ciberseguridad para permanecer “segura, efectiva y compatible”, pero solo el 40% espera que financiación para llegar.

La buena noticia es que el mercado está mejorando en la entrega de herramientas que pueden bloquear, abordar y adaptarse a nuevos riesgos. Y esto tiene sentido; las soluciones de seguridad deberían mejorar. Aún así, a medida que las entidades gastan más, su tecnología a menudo se estanca o incluso disminuye.

¿Por qué? Con demasiada frecuencia, estas organizaciones están analizando los problemas equivocados. La falta de experiencia interna puede hacer que los tomadores de decisiones sean susceptibles a buenas relaciones públicas y marketing, lo que los lleva a gastar su dinero en “objetos brillantes” o interactuar con demasiados proveedores, complicando innecesariamente su postura de seguridad.

Más dinero no es suficiente o siempre es necesario

Claramente, no todas las organizaciones de atención médica podrán gastar lo suficiente o incluso más dinero en ciberseguridad.

El camino para mejorar la seguridad de la atención médica comienza cuando los administradores evalúan su estado actual de seguridad y las herramientas implementadas en sus redes para asegurarse de que se estén utilizando de manera efectiva, particularmente las herramientas más costosas del arsenal de la organización.

El CISO de la organización puede usar un cuadro de mando o una lista de verificación para clasificar las medidas de seguridad y defensivas. A continuación, esta evaluación se puede dividir en categorías y comparar con un modelo objetivo como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología .

El objetivo general debe ser reducir la superficie de ataque tanto como sea posible tomando medidas como reducir las complejidades, eliminar vulnerabilidades y proteger los dispositivos.

El siguiente paso es identificar inversiones específicas. Para hacer esto, los tomadores de decisiones deben priorizar la evaluación de su tecnología de seguridad para determinar su verdadero valor. Esto requiere evitar el uso de la tecnología porque es bien conocida y concentrarse en soluciones que se ocupen de un problema específico dentro del medio ambiente.

Pero, ¿y si no sabemos cómo hacer eso?

Las entidades de atención médica que carecen de liderazgo en seguridad deben considerar la contratación de consultores externos, CISO virtuales (vCISO) o un proveedor de servicios de seguridad administrados (MSSP), o una combinación de los tres. Al hablar con colegas de la industria, las organizaciones pueden encontrar la ayuda externa adecuada para llenar ese vacío de experiencia casi al instante.

Los MSSP pueden proporcionar administración subcontratada, monitoreo de dispositivos y sistemas de seguridad, detección de intrusiones, VPN, firewalls administrados, escaneo de vulnerabilidades y protección de terminales.

Al implementar centros de operaciones de seguridad (SOC) de alta disponibilidad, los MSSP pueden reforzar el departamento de seguridad de TI de la organización con personal de seguridad de operaciones externo. Otras ventajas incluyen la capacidad de aprovechar los conocimientos y las estrategias que el MSSP ha obtenido al proteger a cientos de miles de clientes.

Pero, ¿qué MSSP deberían elegir?

Cuanto menos sepa alguien sobre seguridad, es más probable que se decante por un nombre importante. A los vCISO se les paga para ver a través de la publicidad y saber qué soluciones funcionan mejor y para quién. Tienen el tiempo y la experiencia para realizar estas evaluaciones, y su éxito depende de que brinden las respuestas correctas.

Seguridad sanitaria: reducción del riesgo para pacientes y proveedores

Si conduce sin el cinturón de seguridad o las gafas, se está poniendo a usted y a todos en la carretera en mayor riesgo. Los cinturones de seguridad y los anteojos no eliminan el riesgo, pero representan el mínimo de preparativos que deben tomarse cuando hay vidas en juego.

Las organizaciones de atención médica que no evalúan adecuadamente sus propias debilidades o no abordan la experiencia de la que carecen se están poniendo en riesgo a sí mismas y a todas las personas a las que sirven. La necesidad de gastar dinero rápidamente puede parecer una forma sencilla de eliminar estos riesgos, pero cuando se trata de invertir en soluciones de ciberseguridad, la calidad importa mucho más que la cantidad. Y solo un experto puede ayudar a evaluar si el dinero se está gastando bien.

Reducir las brechas de seguridad que ponen en riesgo los datos de salud debe ser una prioridad para toda la industria. Una mejor protección para todos los que deben asegurar la información médica privada es el primer paso para disuadir los ataques cibernéticos que podrían poner en peligro la salud y el bienestar de la sociedad.

referencia https://www.helpnetsecurity.com/2021/09/22/healthcare-security/

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *