Ignore Uncle Sam’s cybersecurity goals? Careful about getting hurt!

Los nuevos objetivos de rendimiento de ciberseguridad del gobierno son importantes para el departamento responsable de la seguridad de la información en un hospital estadounidense u otra organización de atención médica. En enero, el Departamento de Salud y Servicios Humanos de EE.UU. publicó unos CPG voluntarios y específicos para la atención médica. Hay dos tipos de estos objetivos: los básicos y los mejorados. Objetivo crítico de rendimiento de ciberseguridad: Si usted es responsable de la seguridad de la información (infosec) en un hospital estadounidense u otra organización de atención médica, y trata los nuevos “objetivos voluntarios de rendimiento de ciberseguridad” (CPG) del gobierno como, bueno, voluntarios, está ignorando la señal de alerta. “El beneficio de los CPG es que indican hacia dónde se dirige la pelota y cuáles son los estándares y expectativas sobre en qué deberían estar trabajando las organizaciones”. Taylor Lehmann, director de la Oficina del Director de Seguridad de la Información de Google Cloud. “Puede que no sea hoy, pero lo que figura en el documento del HHS probablemente se convierta en una normativa final o en nuevos requisitos regulatorios que se conviertan en ley”, dijo Taylor Lehmann. “Si cree que ser voluntario no significa que tenga que hacer algo, probablemente esté equivocado. El objetivo voluntario se vuelve obligatorio, como suele ocurrir con otras normativas en el ámbito de la atención médica en lo que respecta a la seguridad”. La seguridad de la información sigue siendo un desafío. A principios de enero, con una cifra récord de 46 redes de salud (un total de 141 hospitales) todavía plagadas de infecciones de ransomware y robo de datos en 2023, se difundieron rumores de que la Casa Blanca pronto exigiría a los hospitales estadounidenses cumplir con estándares básicos de ciberseguridad antes de recibir fondos federales. Durante este tiempo, los delincuentes detrás de la intrusión utilizaron sus propios métodos de extorsión cada vez más peligrosos para obligar a los hospitales a pagar rescates. Cuando se les preguntó sobre las regulaciones hospitalarias, los Centros de Servicios de Medicare y Medicaid remitieron a un documento conceptual publicado en diciembre que describe la estrategia de ciberseguridad del Departamento de Salud y Servicios Humanos de EE.UU. (HHS). Dos objetivos: Más tarde en enero, el Departamento de Salud y Servicios Humanos emitió un CPG voluntario y específico para la atención médica. Estos objetivos se dividen en dos categorías, básicos y mejorados, y cada categoría tiene diez acciones específicas que puede realizar para protegerse mejor de los ciberataques. Los objetivos básicos suenan a seguridad básica, algo que uno espera que los hospitales y clínicas ya tengan. Pero, según Taylor Lehmann, todos se basan en ataques y compromisos del mundo real. “Me encantaría decir que todo esto es muy obvio, pero obviamente no todos han publicado evidencia”, dijo. Incluyen mitigar vulnerabilidades conocidas, usar autenticación multifactor, implementar seguridad del correo electrónico, capacitar a los empleados en comportamientos seguros, cifrar datos confidenciales y revocar las credenciales de empleados, contratistas y voluntarios cuando abandonan la organización. La planificación básica de respuesta a incidentes, el uso de credenciales únicas, la separación de cuentas de usuario y privilegiadas, y la evaluación de riesgos de proveedores son todos objetivos básicos. Otro objetivo importante, revocar las credenciales de un empleado cuando deja la empresa, tampoco es tan fácil como parece. “Si es un sistema de salud académico y tiene cinco o más instituciones académicas, no sabe cuándo se gradúan esos estudiantes y cuándo se van”, dijo Lyman. La confidencialidad de los datos y la protección de la información de identificación personal (PII) del paciente y la información de salud han sido consideradas durante mucho tiempo como el único objetivo para garantizar la atención médica, ya que no proteger la información confidencial puede empantanar a los hospitales con las agencias gubernamentales. “La disponibilidad es tan importante, o más, que la confidencialidad”, dijo Lehmann. Añadió que muchas instituciones de atención médica no han evolucionado lo suficiente como para pensar en la seguridad de esta manera. “Me importa si mis datos se ven comprometidos, pero me importa más si muero a causa de ello”. Ver también: El registro de miembros desaparecido de AfriNIC.