Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora
  • Ha sido desarrollado conjuntamente con el Consejo de Coordinación del Sector Salud y diseñado para organizaciones de todos los tamaños.

Con el objetivo de ayudar a las entidades sanitarias de todos los tamaños a mejorar su ciberseguridad, el Departamento de Salud y Servicios Sociales de EE. UU (HHS) ha editado una publicación en cuatro volúmenes sobre buenas prácticas voluntarias.

Los autores de la publicación señalan que el documento "no crea nuevos marcos de trabajo, no reescribe las especificaciones ni 'reinventa la rueda'. Consideramos que el mejor enfoque para ‘mover la aguja de la ciberseguridad’ era aprovechar el Marco de Ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología de EE. UU), introduciendo los términos del marco para comenzar a educar a los profesionales del sector de la salud sobre un lenguaje importante y generalmente aceptado de la ciberseguridad y respondiendo a la pregunta predominante: ‘¿Por dónde empiezo y cómo adopto ciertas prácticas de ciberseguridad?’".

El objetivo de la guía es ayudar a las entidades sanitarias, independientemente de su nivel actual de cibersofisticación, a reforzar su preparación para hacer frente al panorama en constante evolución de las ciberamenazas.

"Paso mucho tiempo con proveedores de atención médica de una gran variedad en cuanto a tamaño y madurez en materia de seguridad y, aun así, las dos preguntas principales son: “¿Por dónde empiezo?” o “¿qué hago ahora que esta parte ya está terminada”, asegura David Finn, exdirector de tecnologías de la información en el área de la salud y vicepresidente ejecutivo de la consultora de seguridad CynergisTek.

"Los días en que los pequeños proveedores no sabían qué hacer o los grandes pensaban que ya habían hecho todo lo que tenían que hacer han terminado ", añade Finn, quien fue miembro de una ciberfuerza operativa federal que también contribuyó a la creación del documento.

El HHS señala en un comunicado que el documento ‘Prácticas de Ciberseguridad en la Industria de la Salud: Gestionando amenazas y protegiendo pacientes’ es la culminación de dos años de esfuerzo en los que han participado más de 150 expertos en ciberseguridad y asistencia sanitaria procedentes de la industria y el gobierno en el marco de la Alianza de Seguridad y Resiliencia de Infraestructuras Críticas del Sector Sanitario y del Sector Público de la Salud.

La creación de la publicación fue en respuesta a un mandato bajo la Ley de Intercambio de Información sobre Ciberseguridad de 2015 para desarrollar "pautas prácticas de ciberseguridad para reducir de manera rentable los riesgos de ciberseguridad para la industria de la salud", señala el HHS.

Temas principales

El Subsecretario del HHS, Eric Hargan, señala en el documento que los expertos que contribuyeron a las directrices determinaron que “no era factible" abordar todos los desafíos en materia de ciberseguridad en la gran y compleja industria de la salud de EE. UU.

"Por lo tanto, se centró en las cinco amenazas más frecuentes a la ciberseguridad y en las 10 prácticas de ciberseguridad para hacer que una amplia gama de organizaciones de nuestro sector pasen a la acción de forma significativa", afirma Hargan.

Erik Decker, jefe de seguridad y privacidad de la Facultad de Medicina de la Universidad de Chicago, quien codirigió el esfuerzo para crear el nuevo documento como miembro del Consejo de Coordinación del Sector Salud, le dijo a Information Security Media Group que espera que el nuevo documento del IPCA (Índice de Precios de Consumo Armonizado) ayude a mejorar la ciberseguridad en toda la industria de la salud. "Proporciona medidas de ciberseguridad prácticas, procesables y mensurables para ayudar a mitigar las notables ciberamenazas a las que se enfrenta nuestra industria", señala.

El documento "fue escrito para ser una guía sobre cómo ayudar a mitigar las principales amenazas a la ciberseguridad a las que se enfrenta nuestra industria, a la vez que se impulsan y aprovechan todos los marcos, estándares y controles ya existentes", dice Decker, quien también es presidente de la junta asesora de la Asociación de Ejecutivos en Seguridad de la Información en la Atención Médica, un grupo de la Escuela de Ejecutivos de Gestión de la Información en la Atención Médica.

"No quisimos de forma intencionada crear un nuevo marco o conjunto de controles, sino aumentar los ya existentes. Regresa a otras publicaciones especiales del NIST, así como a la HIPAA (Ley de Responsabilidad y Transferibilidad de Seguros Médicos) y a otras guías regulatorias de los Centros de Servicios de Medicare y Medicaid, la Oficina de Derechos Civiles y la Administración de Alimentos y Medicamentos. Es un índice bastante completo que ayudará a las organizaciones sin necesidad de que tengan que aprenderse la gran ciberguía que ya existe".

InfoRisk Today (08/01/2019)

Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración