Un marco de salud-ISAC para que los CISO gestionen la identidad 2.0

25 de noviembre.

Una actualización del marco original de 2020, para incluir identidades no humanas y tecnologías emergentes

Declaración del alcance

Health-ISAC ha publicado diez informes técnicos en los últimos seis años sobre diversos componentes de la Gestión de Identidad y Acceso (IAM). El segundo informe técnico, publicado en 2020, proporcionó un marco integral para ayudar a los CISO del sector salud a diseñar, construir e implementar un sistema de identidad moderno que pueda proteger contra ataques y respaldar los impulsores del negocio. Las organizaciones del sector salud ya utilizan estas herramientas. La autenticación multifactor, la gestión de acceso privilegiado y otras herramientas de identidad se utilizan a diario en sistemas de salud de todo el mundo. El marco tampoco se ha estancado. Desde su publicación inicial en 2020, se ha actualizado dos veces: primero en el informe de confianza cero de 2022 y luego de nuevo para la gestión de acceso privilegiado en 2024. Sin embargo, como ocurre con todas las tecnologías, el panorama de la identidad está en constante evolución. El Marco de Identidad que se presenta a continuación detalla los diversos componentes necesarios para un enfoque moderno de la ciberseguridad centrado en la identidad y describe cómo estos diferentes componentes deben integrarse e interrelacionarse para proteger la empresa. Las organizaciones del sector salud deben considerar esto como un marco holístico que gestione todo el ciclo de vida de la identidad de empleados, profesionales, pacientes, socios y, ahora, las identidades no humanas, de forma que proteja contra ataques comunes a la identidad, reduzca significativamente el riesgo y aumente la eficiencia operativa. Un aspecto central de este enfoque en el sector salud es la gobernanza y administración de identidades (IGA), a medida que aumenta el número de identidades, roles y recursos. Ya no se trata solo de permitir el acceso a empleados, pacientes y terceros. Las identidades no humanas, como los agentes de inteligencia artificial, las API y los dispositivos, requieren identidades que deben protegerse junto con las identidades humanas.

Este documento revisa y amplía el alcance del marco de 2020 para incluir categorías adicionales de identidades y componentes necesarios ante la proliferación de identidades no humanas en las empresas. Analiza las funciones de la IGA (gestión de identidades), en particular a medida que se incorporan diversos tipos de identidades a los sistemas, y el papel fundamental de la monitorización y la auditoría para garantizar que estas nuevas identidades no realicen acciones no autorizadas. También examina otras tecnologías importantes que las organizaciones sanitarias deberían tener en cuenta al evaluar el futuro de sus conjuntos de identidades, como el cifrado cuántico, los contratos inteligentes y otras tecnologías. Por último, y quizás más importante, este documento presenta una visión ideal de cómo debería ser un marco de gestión de identidades y acceso (IAM) en una organización del sector sanitario, algo que podría no ser alcanzable para todos. Es posible que las organizaciones no cuenten con los recursos necesarios para integrar todos los nuevos sistemas y componentes. Además, propone un modelo de madurez de IAM para las organizaciones sanitarias, de modo que puedan avanzar progresivamente en la mejora de la seguridad de su identidad.

Este documento:

Definir los componentes necesarios para una pila de tecnología IAM moderna y cómo pueden interactuar con identidades no humanas.
Introducir un modelo de madurez que las organizaciones del sector salud deben seguir para mejorar su postura de identidad digital.
Actualice los tipos de identidades que deben tenerse en cuenta en los directorios de IAM.
Identificar tecnologías nuevas y emergentes que las organizaciones del sector salud deben considerar.
Cree casos de uso para mostrar cómo se utilizan estos componentes, tecnologías y sistemas en el sector de la salud.