Tema de la publicación: Mención en medios

Podcast: Ciberresiliencia para el resto de nosotros

Escrito por Julia Annaloro on 14 de Septiembre de 2025. Publicado en En las noticias.

Ciberresiliencia para el resto de nosotros: Cómo lograrla con un presupuesto real

Podcast de seguridad en la nube EP240 – Google

Los anfitriones Anton Chuvakin y Timothy Peacock hablan con expertos de la industria sobre algunas de las áreas más interesantes de la seguridad en la nube.

Invitado: Errol Weiss – Temas: Seguridad e higiene en la nube | Prácticas de seguridad en la nube

¿Por qué es crucial incorporar resiliencia digital para las empresas? ¿Cómo lograr que los líderes pasen de la "solo ciberseguridad" a la "resiliencia digital"?
¿Cómo ser lo más resiliente posible con los recursos disponibles? ¿Cómo ser lo más resiliente con la menor cantidad de dinero posible?
¿Cómo hacerte un objetivo más pequeño?
Las medidas con objetivos más pequeños se ajustan a lo que algunos llaman "básicos". Pero la higiene "básica" es, en realidad, muy difícil para muchos. ¿Cuáles son tus tres consejos de higiene más importantes que realmente funcionan para lograrlo?
Estamos hablando de organizaciones con recursos insuficientes, pero algunas tienen recursos mucho menores. ¿Cuál es su consejo para aquellos con una escasez extrema de recursos de seguridad?
Evaluación de la seguridad del proveedor: ¿qué es lo más importante a considerar hoy en 2025? ¿Cómo evitar ser atacado por su proveedor?

Acceda al podcast de seguridad de Google Cloud y a los recursos mencionados aquí. Haga clic aquí

4 tendencias tecnológicas sanitarias que habrá que tener en cuenta en 2025

Escrito por Julia Annaloro on Febrero 11, 2025. Publicado en Salud-ISAC, En las noticias.

Los ciberataques seguirán siendo un desafío

En 2024, la ciberseguridad fue un gran desafío para el sector de la salud, con múltiples ataques de alto perfil. Un ataque, que expuso datos de un récord de 100 millones de estadounidenses, fue un "evento histórico" que destacó cuán interconectada está la industria de la salud, según Errol Weiss, director de seguridad de la Centro de análisis e intercambio de información de salud.

Lea sobre las otras tres tendencias en este artículo del Consejo Asesor. Haga clic aquí

Logotipos: Health-ISAC y Healthcare Dive Imagen de Errol Weiss y el titular de un artículo en la pantalla de una computadora.

Principales tendencias en tecnología sanitaria en 2025

Escrito por Julia Annaloro on Febrero 10, 2025. Publicado en Salud-ISAC, En las noticias.

La forma que tomará la regulación de la IA bajo la administración Trump este año será incierta, mientras que las compañías de atención médica continuarán reforzando sus ciberdefensas para resistir los crecientes ataques, dicen los expertos.

Los cibercriminales siguen teniendo como blanco el sector sanitario

Según los expertos, la ciberseguridad ha demostrado ser un gran desafío para el sector sanitario en 2024 y las organizaciones están tomando nota. Pero mejorar la ciberprotección del sector llevará tiempo y es poco probable que los piratas informáticos dejen de atacar a las empresas sanitarias.

El sector viene de un año en el que se produjeron múltiples ataques de alto perfil. A principios de 2024, todo el ecosistema sanitario tuvo dificultades para gestionar las consecuencias del ciberataque contra Change Healthcare, una empresa de tecnología y procesadora de reclamaciones propiedad del gigante del sector UnitedHealth.

El ataque, que expuso datos de un Un récord de 100 millones de estadounidenses — fue un “evento histórico” que destacó la naturaleza interconectada del sector, dijo Errol Weiss, director de seguridad de la Centro de análisis e intercambio de información de salud, o Health-ISAC.

“Creo que el momento de alerta allí fue cómo los proveedores podían tener un impacto de punto único de falla en la prestación de atención médica”, dijo Weiss.

Lea el artículo completo en Healthcare Dive. Haga clic aquí

Un ataque de ransomware ha afectado al Centro de Sangre de Nueva York en medio de una escasez continua

Escrito por Julia Annaloro on Febrero 9, 2025. Publicado en Salud-ISAC, En las noticias.

El Centro de Sangre de Nueva York (NYBC) dijo que sufrió un ataque de ransomware que interrumpió las operaciones y lo obligó a reprogramar algunas operaciones.

Los ataques cibernéticos a los centros de donación de sangre han provocado que Centro de análisis e intercambio de información sanitaria (Health-ISAC)) y la Asociación Estadounidense de Hospitales (AHA) para emitir una boletín conjunto de amenazas Advertencia de posibles interrupciones en la cadena de suministro.

“El reciente ataque de ransomware al New York Blood Center (NYBC) sirve como una llamada de atención para las organizaciones de todos los sectores, en particular las que prestan servicios críticos como la atención médica”, dijo Roei Sherman, director de tecnología de campo de Mitiga“Como una de las organizaciones independientes de recolección y distribución de sangre más grandes del mundo, este incidente no solo socava su capacidad operativa sino que potencialmente pone en peligro la salud pública”.

Lea el artículo completo en CPO Magazine. Haga clic aquí

La Comisión Europea pide un «plan de acción cibernética» para el sector sanitario

Escrito por Julia Annaloro on Enero 28, 2025. Publicado en Noticias europeas, En las noticias.

La iniciativa pretende reforzar la seguridad de los hospitales y proveedores de atención sanitaria de los miembros de la UE

Errol Weiss, director de seguridad de la Salud-ISAC En Estados Unidos, el plan de acción de la Comisión Europea llega en un momento en el que las organizaciones sanitarias todavía luchan por obtener financiación suficiente para defender adecuadamente sus redes.

“El problema se observa en la UE, en los EE. UU. y en todo el mundo. Las organizaciones sanitarias necesitan recursos, no solo la tecnología necesaria para proteger esas redes, sino también profesionales con experiencia en seguridad de la información para gestionar esos sistemas”, afirmó. “Me alegra que la Comisión reconozca el valor que aportan los ISAC a la protección de las organizaciones y a la mejora de la seguridad mediante el intercambio de información y la colaboración”, afirmó.

Aquellos encargados de proteger sus infraestructuras digitales entienden que al compartir información no sólo se están protegiendo a sí mismos sino que también fortalecen la seguridad de todo el ecosistema digital, dijo Weiss.

En 2023, Health-ISAC se asoció con European Health ISAC para aprovechar “la fortaleza global” de los miembros de Health-ISAC a través de la visibilidad de las amenazas en más de 140 países con la fortaleza de las perspectivas comunitarias y locales de European Health ISAC, dijo.

“Debemos unirnos y mantenernos alerta ante las ciberamenazas”, afirmó. “Con Health-ISAC y European Health ISAC operando juntos en la UE, podemos crear una comunidad más segura donde las organizaciones de atención médica se beneficien de una mejor visibilidad de las amenazas y vulnerabilidades, además de beneficiarse del intercambio de mejores prácticas y otros conocimientos clave que, en última instancia, mejoran la seguridad del paciente”.

Lea el artículo completo en Data Breach Today. Haga clic aquí

Cómo gestionar el riesgo cibernético de los dispositivos médicos: de por vida

Escrito por Julia Annaloro on Enero 27, 2025. Publicado en En las noticias, Seguridad de dispositivos médicos.

Expertos ofrecen consejos para gestionar inventarios crecientes y recursos para proveedores

La guía “Ciberseguridad en la industria de la salud: gestión de la seguridad de las tecnologías heredadas” (HIC-MaLTS) del HSCC ofrece a las organizaciones las mejores prácticas que se pueden utilizar para gestionar los riesgos cibernéticos de las tecnologías médicas heredadas, dijo Phil Englert, vicepresidente de seguridad de dispositivos médicos en el Centro de análisis e intercambio de información de salud.

HIC-MaLTS se ocupa de los desafíos comunes de ciberseguridad en el ámbito de la atención médica. Por ejemplo, “los distintos tipos de dispositivos médicos y las diversas ubicaciones en las que se utilizan poseen perfiles de riesgo únicos e incluyen características diagnósticas, terapéuticas, ponibles, implantables y de software como dispositivo médico, entre otras, que se pueden utilizar en hospitales, clínicas y otros entornos de atención médica no clínica y domiciliaria”, afirmó.

También en este artículo:

Cuatro fases del ciclo de vida de los dispositivos médicos
Inventarios de “vista del sistema” combinados con segmentación y controles de acceso a la red
Modelo de contrato de HSCC para la ciberseguridad en el ámbito de la tecnología médica

Lea el artículo en Healthcare Infosecurity aquí. Haga clic aquí

La protección de los datos sanitarios en 2025: los crecientes desafíos de la ciberseguridad

Escrito por Julia Annaloro on Enero 21, 2025. Publicado en En las noticias.

Comprender dos proyectos de ley presentados en Estados Unidos destinados a modernizar las protecciones de datos sanitarios confidenciales.

By Errol Weiss 20 de enero de 2025 6 minutos de lectura

Lea el artículo completo en Information Security Buzz. Haga clic aquí

Desde 1996, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) ha sido la piedra angular de la privacidad del paciente. La ley estableció estándares sobre cómo las organizaciones de atención médica manejan y comparten los datos de los pacientes, creando un marco para garantizar la confidencialidad.

Pero el panorama de la atención médica se ha transformado drásticamente y, con él, los riesgos se han multiplicado. Las amenazas cibernéticas emergentes y las vulnerabilidades complejas han dejado al descubierto lagunas críticas en las protecciones de la HIPAA. En respuesta, los legisladores están impulsando una nueva legislación destinada a fortalecer a las organizaciones de atención médica contra la creciente ola de ciberataques.

El año pasado, los legisladores presentaron dos proyectos de ley –la Ley de Ciberseguridad Sanitaria de 2024 y la Ley de Seguridad y Responsabilidad de la Infraestructura Sanitaria de 2024 (HISAA, por sus siglas en inglés)– destinados a modernizar las protecciones para los datos sanitarios confidenciales. Si bien estas medidas representan un avance importante, siguen estancadas en el proceso legislativo y aún no se han convertido en ley.

Incluso si se promulgan, el alcance limitado y los mecanismos de aplicación delineados en estos proyectos de ley pueden no ser suficientes para abordar las crecientes amenazas cibernéticas que plagan nuestro sistema de atención médica cada vez más digital. Sin un enfoque más integral y agresivo, estas iniciativas corren el riesgo de ser vistas como gestos simbólicos en una lucha que exige una acción urgente y decisiva.

Continúe leyendo para comprender completamente ambos proyectos de ley, incluidos

Protección de datos sanitarios no tradicionales
Abordar los desafíos
Fortalecimiento del liderazgo
Actualizaciones de HIPAA en el horizonte
Un futuro de resiliencia

Lea el artículo completo aquí. Haga clic aquí

Cadenas de suministro de software y ISAC: podcast The Inevitability Curve EP14

Escrito por Julia Annaloro on Enero 21, 2025. Publicado en En las noticias.

Enero 15, 2025

Phil Englert y nuestro anfitrión Chris Blask han presidido conjuntamente un grupo de trabajo de CISA sobre el uso compartido de listas de materiales de software (SBOM). El grupo de trabajo ha desarrollado un proceso para ayudar a los ISAC y organizaciones similares a determinar la arquitectura de control necesaria para gestionar la distribución de SBOM entre sus miembros.

Escuche el podcast Inevitability Curve EP14 aquí. Haga clic aquí

Logotipo de Health-ISAC y logotipo de Dark Reading Imagen de una pantalla de computadora con el titular Las nuevas reglas de ciberseguridad de HIPAA no se andan con rodeos

Las nuevas normas de ciberseguridad de la HIPAA no se andan con rodeos

Escrito por Julia Annaloro on Enero 17, 2025. Publicado en En las noticias.

Las organizaciones de atención médica de todas las formas y tamaños estarán sujetas a estándares más estrictos de ciberseguridad a partir de 2025 con nuevas reglas propuestas, pero no todas tienen el presupuesto para ello.

Desde el principio, HIPAA siempre ha sido la mejor, aunque insuficiente, regulación que dicta la ciberseguridad para la industria de la salud.

“[Existe] una historia de que el enfoque estaba en el lugar equivocado debido a la forma en que se diseñó la HIPAA a mediados de la década de 1990”, dice Errol Weiss, director de seguridad de la información (CISO) del Centro de análisis e intercambio de información sanitaria (Health-ISAC). “En aquel momento, había un gran impulso para transferir los registros médicos y sanitarios al medio electrónico. Y con la llegada de las regulaciones HIPAA, se trataba de proteger la privacidad del paciente, pero no necesariamente de asegurar esos registros”.

El enfoque de HIPAA en la privacidad limitó su capacidad para abordar amenazas de ciberseguridad más diversas en la década de 2010, en particular el ransomware. Mientras tanto, en lugar de usarlo como base para desarrollar una postura de seguridad sólida, las organizaciones tendieron a tratar a HIPAA más como un conjunto de casillas para marcar. orientar los presupuestos hacia el cumplimiento normativo y no necesariamente hacia la seguridad"Y en los últimos cinco o seis años, hemos visto lo que sucede en un entorno que no está adecuadamente protegido, no está debidamente atado, no tiene las copias de seguridad adecuadas, cuando son atacados por ransomware", dice Weiss.

“Incluso si ya están siguiendo todos los controles del NIST”, estima Pingree de Dispersive, implementar las nuevas reglas de seguridad HIPAA “podría costar tan solo 100,000 dólares para un consultorio médico pequeño, o podrían ser muchos millones si se trata de un gran grupo médico”.

Según Weiss, una forma posible en que las organizaciones de atención médica que se encuentran en dificultades podrían sortear todas estas nuevas reglas y sus costos asociados es con un director de seguridad de la información virtual (vCISO) subcontratado. Porque “no se trata solo de comprar la tecnología. También se trata de contratar y retener la experiencia en ciberseguridad que se necesita para operar”, afirma.

“Estas organizaciones no saben por dónde empezar”, continúa. “El mercado de la ciberseguridad es muy confuso. Hay muchos actores y muchas soluciones. Entonces, si tienes 100 dólares para gastar en ciberseguridad, ¿dónde los gastas? Necesitan ayuda para poder entender todo eso. Y creo que algo como un CISO virtual puede ayudar a implementar una estrategia y luego estar presente de manera virtual, para consultar y ser un recurso para esa organización cuando tengan preguntas y necesiten ayuda. Parece un modelo decente para estos pequeños hospitales rurales que no necesariamente podrían justificar o contratar a un CISO a tiempo completo”.

Lea el artículo completo en Dark Reading. Haga clic aquí

¿Qué incluye la revisión de las normas de seguridad HIPAA propuesta por el HHS?

Escrito por Julia Annaloro on Enero 17, 2025. Publicado en Salud-ISAC, En las noticias.

Expertos: Los nuevos mandatos podrían ser difíciles y costosos para muchas entidades

Una propuesta de revisión de las regulaciones federales de ciberseguridad para la industria de la salud podría significar una tarea difícil y costosa para muchas organizaciones, dijeron los expertos.

“Los costos para cumplir con estas disposiciones serán enormes”, dijo Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información Sanitaria. “¿De dónde saldrá el dinero para pagar todo esto? No puede ser de los ahorros futuros que se obtengan al evitar multas por infracciones. Los proveedores de atención sanitaria con dificultades económicas, especialmente los pequeños hospitales rurales, no tienen los recursos para respaldar estas nuevas propuestas”, afirmó.

Cualquier requisito regulatorio como este deberá venir acompañado de asistencia financiera para que los proveedores de atención médica puedan adquirir la tecnología adecuada y, lo que es más importante, reclutar y retener profesionales experimentados en ciberseguridad para proteger adecuadamente sus redes, dijo Weiss.

Lea el artículo completo en Bank InfoSecurity. Haga clic aquí

Iniciativa de ciberseguridad de Google para la atención sanitaria rural

Escrito por Julia Annaloro on Enero 9, 2025. Publicado en Salud-ISAC, En las noticias.

Google se está asociando con Health-ISAC para ofrecer programas de capacitación innovadores, programas de inteligencia de ciberseguridad y otros recursos para los sistemas de salud rurales.

Los ciberataques a las organizaciones sanitarias alteran su capacidad de operar y ponen en peligro la atención a los pacientes. Los sistemas sanitarios rurales de Estados Unidos atienden a 60 millones de personas y son el núcleo de innumerables comunidades. La seguridad de todos los miembros de una comunidad se ve amenazada cuando los sistemas de información sanitaria críticos no están disponibles debido a incidentes cibernéticos.

Google se compromete a ayudar a los sistemas de salud vulnerables a fortalecer su resiliencia ante los ciberataques. Nos asociamos con el gobierno y la industria para ofrecer nuestros servicios, asistencia y tecnologías, lo que permite que los sistemas se centren en la atención al paciente.

Una iniciativa a medida para mejorar la seguridad

Diseñado para hospitales rurales

Los sistemas de salud y hospitales rurales reflejan la singularidad de las comunidades a las que sirven, y también lo hace nuestra oferta. Ofrece un conjunto cada vez mayor de tecnología de Google segura por diseño para el acceso y la colaboración, servicios de consultoría y soporte, y recursos de capacitación en seguridad con descuento o sin costo. La solución se adapta a las necesidades de cada entidad de salud rural. El centro de salud debe estar ubicado en un condado o región designado como rural por la Health Resources and Services Administration (Agencia de Seguridad y Salud Laboral).

Más información Haga clic aquí

Aprovechar el poder de la colaboración industrial

La colaboración eficaz para defenderse y responder a los ataques cibernéticos es vital para proteger la atención médica. Google es una Socio embajador al Centro de análisis e intercambio de información sanitaria (Health-ISAC). La misión de Health-ISAC es fortalecer las relaciones de confianza en la industria de la atención médica global para ayudar a prevenir, detectar y responder a los eventos de seguridad física y cibernética para que los miembros puedan concentrarse en mejorar la salud y salvar vidas. Google se está asociando con Health-ISAC para ofrecer programas de capacitación innovadores, programas de inteligencia de seguridad cibernética y otros recursos para los sistemas de salud rurales.

Ofertas de programas

La mayoría de estos servicios se ofrecerán sin costo o con importantes descuentos, teniendo en cuenta las limitaciones financieras que enfrentan muchos sistemas de atención médica rurales. Además, brindaremos servicios de implementación y apoyo a las organizaciones que cumplan con los requisitos. Estas ofertas solo están disponibles en los EE. UU. en este momento.

Podcast "Abandonados a nuestra suerte" n.° 71: Errol Weiss

Escrito por Julia Annaloro on Enero 7, 2025. Publicado en Salud-ISAC.

De la banca a la ciberseguridad sanitaria

Nos sentamos con Errol Weiss, director de seguridad de Health-ISAC, para hablar sobre su carrera de 25 años que abarca la banca, el gobierno y la atención médica, e identificar las mayores amenazas y tendencias de ciberseguridad que impactan a la industria de la atención médica en 2025 y más allá.

Escucha el episodio #71 aquí: Escucha aqui

Desafíos singulares en la ciberseguridad de la atención médica

Weiss describió los desafíos únicos que enfrentan las organizaciones de atención médica en comparación con los servicios financieros. Los sistemas de atención médica a menudo administran infraestructuras complejas, incluidos sistemas modernos basados en la nube, dispositivos heredados (como máquinas de resonancia magnética con sistemas operativos obsoletos) y diversos ecosistemas de dispositivos médicos. Esta complejidad se ve agravada por una subinversión prolongada en ciberseguridad, con recursos históricamente asignados a la privacidad y el cumplimiento (por ejemplo, regulaciones HIPAA) en lugar de medidas de seguridad sólidas.

Subrayó que la falta de financiación y de directores de seguridad de la información (CISO) dedicados al sector sanitario dificultan la protección eficaz de estos entornos. Sin embargo, incidentes como los ataques de ransomware han impulsado una mayor concienciación y una mayor inversión en ciberseguridad en el sector sanitario durante la última década.