¿Ignorar los objetivos de ciberseguridad de Tío Sam? ¡Cuidado con salir lastimado!

¿Ignorar los objetivos de ciberseguridad de Tío Sam? ¡Cuidado con salir lastimado! es perfilado por BTW Media porque la evidencia publicada lo vincula a la infraestructura de internet, la gobernanza, las dependencias operativas o la visibilidad del mercado.

Los nuevos objetivos de rendimiento en ciberseguridad del gobierno son importantes para el departamento responsable de la seguridad de la información en un hospital de EE. UU. u otra organización de atención médica. En enero, el U.S. Department of Health and Human Services publicó CPGS voluntarios específicos para el sector de la salud. Existen dos tipos de estos objetivos: los objetivos básicos y los mejorados. Objetivo crítico de rendimiento en ciberseguridad. Si usted es responsable de la seguridad de la información en un hospital de EE. UU.

u otra organización de atención médica y trata los nuevos 'objetivos voluntarios de rendimiento en ciberseguridad' (CPG) del gobierno como, bueno, voluntarios, está ignorando las señales de advertencia. 'El beneficio de los CPG es que indican hacia dónde va la pelota y cuáles son los estándares y expectativas sobre los que las organizaciones deberían trabajar', dijo Taylor Lehmann, un director de la Office of the Chief Information Security Officer de Google Cloud.

'Puede que no sea hoy, pero lo que está en el documento del HHS probablemente se convertirá en una reglamentación final o en nuevos requisitos regulatorios que se convertirán en ley', dijo Taylor Lehmann. 'Si cree que ser voluntario no significa que tenga que hacer algo, probablemente esté equivocado. El objetivo voluntario se vuelve obligatorio, como suele ocurrir con otras normativas en el ámbito de la salud en lo que respecta a la seguridad'. La seguridad de la información sigue siendo un desafío.

A principios de enero, con un récord de 46 redes de salud (un total de 141 hospitales) todavía plagadas de infecciones de ransomware y robo de datos en 2023, se extendieron los rumores de que la White House pronto exigiría que los hospitales de EE. UU. cumplieran con estándares básicos de ciberseguridad antes de recibir financiación federal. Durante este tiempo, los delincuentes detrás de las intrusiones utilizaron sus propios métodos de extorsión cada vez más peligrosos para obligar a los hospitales a pagar demandas de rescate.

Cuando se les preguntó sobre las regulaciones hospitalarias, los Centers for Medicare and Medicaid Services remitieron a Sign-up a un documento conceptual publicado en diciembre que describía la estrategia de ciberseguridad del U.S. Department of Health and Human Services (HHS). Dos objetivos. Más tarde, en enero, el Department of Health and Human Services emitió un CPG voluntario específico para la atención médica. Estos objetivos se dividen en dos categorías, básicos y mejorados, y cada categoría tiene diez acciones específicas que puede realizar para protegerse mejor de los ciberataques.

Los objetivos básicos suenan como la seguridad básica que uno espera que los hospitales y clínicas ya tengan. Pero, según Taylor Lehmann, todos se basan en ataques y compromisos del mundo real. 'Me encantaría decir que todo esto es muy obvio, pero obviamente no todos han publicado evidencia', dijo. Incluyen la mitigación de vulnerabilidades conocidas, el uso de autenticación multifactor, la implementación de seguridad del correo electrónico, la capacitación de los empleados en comportamientos seguros, el cifrado de datos confidenciales y la revocación de credenciales de empleados, contratistas y voluntarios cuando abandonan la organización.

La planificación básica de respuesta a incidentes, el uso de credenciales únicas, la separación de cuentas de usuario y privilegiadas, y la evaluación de riesgos de proveedores son todos objetivos básicos. Otro objetivo importante, revocar las credenciales de un empleado cuando deja la empresa, tampoco es tan fácil como parece. 'Si tiene un sistema de salud académico y tiene cinco o más instituciones académicas, no sabe cuándo se gradúan esos estudiantes y cuándo se van', dijo Lyman.

La confidencialidad de los datos y la protección de la información de identificación personal (PII) del paciente y la información de salud han sido consideradas durante mucho tiempo como el único objetivo para garantizar la atención médica, ya que la falta de protección de la información confidencial puede empantanar a los hospitales con agencias gubernamentales. 'La disponibilidad es tan importante, si no más, que la confidencialidad', dijo Lehmann. Agregó que muchas instituciones de atención médica no han evolucionado lo suficiente como para pensar en la seguridad de esta manera.

'Me importa si mis datos se ven comprometidos, pero me importa más si muero por ello'.