Health-ISAC comparte una guía de implementación de confianza cero para los CISO del sector sanitario
Los desafíos de adoptar un modelo de seguridad de confianza cero en el sector sanitario se reducen a dos cuestiones clave: la rápida expansión de los dispositivos IoT y las complejidades de autenticación vinculadas a "la naturaleza itinerante de algunos trabajadores sanitarios", según un estudio nuevo libro blanco de Salud-ISAC.
Enlace al artículo:
Estos obstáculos deben abordarse antes de realizar la transición a la confianza cero, ya que “implementar una arquitectura de confianza cero no es tan simple como acudir a un proveedor y elegir una solución lista para usar”.
Como se informó anteriormenteLa confianza cero es ideal para la atención médica, pero la mayoría de las organizaciones proveedoras han tenido dificultades para dar el salto debido a las complejidades del sistema y otros obstáculos.
Pero a medida que el Departamento de Salud y Servicios Humanos continúa avanzando en la interoperabilidad, que depende en gran medida de las API, Adopción de confianza cero Debería ser una prioridad para que los hospitales se adapten mejor a las redes en expansión.
La identidad es el “núcleo de la confianza cero”, que incluye la autenticación multifactor, la gobernanza de la autorización y “la provisión adecuada de roles y atributos para el acceso”, señaló Health-ISAC. “Las reglas de acceso deben ser lo más granulares posible para permitir el mínimo privilegio y todos los sujetos, activos y flujos de trabajo deben estar autenticados y autorizados explícitamente”.
Por ejemplo, la confianza cero garantiza que los empleados solo tengan acceso a los elementos necesarios para realizar las funciones laborales requeridas. El modelo garantiza que la red esté segmentada en función del acceso con el mínimo privilegio, lo que proporciona un acceso mínimo en función de políticas de confianza adaptadas al usuario.
El documento Tiene como objetivo ayudar a los directores de seguridad de la información en el ámbito sanitario a comprender mejor la seguridad de confianza cero y el enfoque recomendado para la arquitectura del modelo para construir un enfoque centrado en la identidad para la ciberseguridad.
Health-ISAC señala que la guía está diseñada para educar a los CISO sobre la confianza cero y sus fundamentos necesarios, junto con los principios básicos, los desafíos comunes de las migraciones a la confianza cero y cómo iniciar el cambio. La guía se escribió para entidades de todos los tamaños y niveles de madurez con la esperanza de que estos CISO comprendan la importancia de un enfoque centrado en la identidad para la ciberseguridad.
Los líderes de seguridad encontrarán Una definición de confianza cero, implicaciones del modelo de seguridad y pasos específicos para implementar la confianza cero en el entorno de atención médica. El documento también agrega componentes de confianza cero al modelo de seguridad. Marco de trabajo de ISAC sobre salud para la gestión de la identidad lanzado en 2020.
El marco se ha actualizado con conceptos de confianza cero e “incorpora controles adicionales para ofrecer elementos centrales de una arquitectura de confianza cero”, incluidos estándares para proteger las comunicaciones, monitorear activos, perímetros para otorgar acceso, autorización basada en políticas y agregar dispositivos a los sistemas y recursos de destino.
Los CISO del sector sanitario pueden aprovechar la guía para evaluar los desafíos específicos que puede enfrentar su organización al intentar adoptar el modelo. Health-ISAC también solicita comentarios de las partes interesadas del sector.
“Los criterios pueden parecer desalentadores al principio, pero en última instancia conducirán a una mayor seguridad para las organizaciones a largo plazo”, concluyó Health-ISAC. “Ya quedaron atrás los días en los que se dejaba entrar a alguien por la puerta principal, se le asignaba un rol con privilegios de acceso y luego se dejaba que siguiera su camino sin problemas”.
- Recursos y noticias relacionados
- Salud-ISAC Hackeando la sanidad 5-11-2026
- Manual del CISO, vol. 2: Vulnerabilidad del token 0Auth que provocó la filtración de datos en Salesforce.
- Boletín Mensual – Mayo 2026
- Análisis trimestral de amenazas: primer trimestre de 1
- Lo que revela el ataque a Stryker sobre la seguridad de los dispositivos médicos
- Políticas y salvaguardias para el uso seguro de la IA
- HSCC presenta una guía sobre riesgos de IA de terceros y transparencia en la cadena de suministro.
- Anthropic presenta un mágico dios informático de día cero.
- El sector sanitario en el punto de mira: las ciberamenazas vinculadas a Irán aumentan el riesgo para los hospitales, la tecnología médica y las cadenas de suministro de atención sanitaria.
- Health-ISAC señala deficiencias en la ciberresiliencia y la respuesta ante incidentes…