Prácticas y vídeos sobre ciberseguridad en la industria de la salud

Se recomienda encarecidamente a todos los sistemas de salud que adopten esta serie en sus programas de capacitación; a los grupos industriales y sociedades profesionales, les pido que alienten a sus miembros a hacer lo mismo; y a las empresas de tecnología médica, farmacéuticas, de pago, de TI de salud y de servicios, les pido que consideren extender esta serie a sus clientes como complemento a su apoyo.

La mayoría de las pequeñas empresas recurren a proveedores de correo electrónico externos, en lugar de establecer una infraestructura de correo electrónico interna dedicada. Las prácticas de protección del correo electrónico de esta sección se presentan en tres partes:

1. Configuración del sistema de correo electrónico: los componentes y capacidades que debe incluir su sistema de correo electrónico
2. Educación: cómo aumentar la comprensión y la conciencia del personal sobre las formas de proteger su organización contra ciberataques basados ​​en correo electrónico, como phishing y ransomware
3. Simulaciones de phishing: formas de capacitar al personal y de concientizarlo sobre los correos electrónicos de phishing

Todos los puntos finales de una organización pequeña deben estar protegidos. Pero ¿qué son los puntos finales? ¿Y qué puede hacer una organización de atención médica pequeña para proteger sus puntos finales?

David Willis, MD y Kendra Siler, PhD de la Organización de Análisis e Intercambio de Información de Salud Poblacional del Centro Espacial Kennedy están aquí para analizar lo que usted debería hacer para reducir las probabilidades de que un ciberataque penetre en sus puntos finales.

En esta sección, analizaremos el área de práctica de ciberseguridad número 3: gestión de acceso para pequeñas organizaciones de atención médica.

Esta discusión se organizará en tres secciones:

1. ¿Qué es la gestión de acceso?
2. ¿Por qué es importante?
3. ¿Cómo puede el HICP o “hipo” ayudar a mejorar la gestión del acceso para pequeñas organizaciones de atención médica?

El Instituto Nacional de Estándares y Tecnología, o NIST por sus siglas en inglés, define una violación de datos como “un incidente que implica que información sensible, protegida o confidencial sea copiada, transmitida, vista, robada o utilizada por un individuo no autorizado para hacerlo”.

Los datos sensibles, protegidos o confidenciales incluyen información médica protegida (PHI), números de tarjetas de crédito, información personal de clientes y empleados, y la propiedad intelectual y los secretos comerciales de su organización.

¿Qué tecnología de la información o dispositivos de TI tiene en su organización? ¿Sabe cuántos portátiles, dispositivos móviles y conmutadores de red tiene en todas sus ubicaciones? ¿Cuáles ejecutan Windows o el IOS de Apple o uno de los diversos sistemas operativos de Android? Si no está fijado a una pared o a un escritorio, ¿quién es responsable de cada dispositivo?

Las redes proporcionan la conectividad que permite que las estaciones de trabajo, los dispositivos médicos y otras aplicaciones e infraestructuras se comuniquen. Las redes pueden adoptar la forma de conexiones cableadas o inalámbricas. Independientemente de la forma, el mismo mecanismo que fomenta la comunicación puede utilizarse para lanzar o propagar un ciberataque. 

Una higiene adecuada en materia de ciberseguridad garantiza que las redes sean seguras y que todos los dispositivos conectados puedan acceder a ellas de forma segura. Incluso si la gestión de la red la proporciona un proveedor externo, las organizaciones deben comprender los aspectos clave de la gestión adecuada de la red y asegurarse de que estén incluidos en los contratos de estos servicios.

La gestión de vulnerabilidades es una práctica continua de identificación, clasificación, priorización, reparación y mitigación de vulnerabilidades de software. Muchos marcos de cumplimiento de la seguridad de la información, auditoría y gestión de riesgos requieren que las organizaciones mantengan un programa de gestión de vulnerabilidades.

La respuesta a incidentes es la capacidad de identificar tráfico sospechoso o ciberataques en su red, aislarlo y solucionarlo para evitar la filtración, el daño o la pérdida de datos. Por lo general, la respuesta a incidentes se conoce como el “bloqueo y abordaje” estándar de la seguridad de la información. Muchos tipos de incidentes de seguridad ocurren de manera regular en organizaciones de todos los tamaños. De hecho, la mayoría de las redes están bajo ataque constante de entidades externas.

Los sistemas de atención sanitaria utilizan muchos dispositivos diferentes como parte del tratamiento rutinario de los pacientes. Estos van desde sistemas de diagnóstico por imágenes hasta dispositivos que se conectan directamente al paciente con fines diagnósticos o terapéuticos. Estos dispositivos pueden tener implementaciones sencillas, como los monitores de cabecera que controlan los signos vitales, o pueden ser más complicados, como las bombas de infusión que administran terapias especializadas y requieren actualizaciones continuas de la biblioteca de medicamentos. Estos dispositivos complejos e interconectados afectan la seguridad, el bienestar y la privacidad de los pacientes, y representan vectores de ataque potenciales en la huella digital de una organización. Como tal, estos dispositivos deben incluir controles de seguridad en su diseño y configuración para permitir su implementación de manera segura.

Práctica de seguridad cibernética n.° 10: Políticas de seguridad cibernética incluye las mejores prácticas que son documentos específicos para la implementación de políticas y procedimientos de seguridad cibernética en su organización de atención médica.