Un marco de traballo Health-ISAC para que os CISO xestionen a identidade 2.0

Unha actualización do marco orixinal de 2020 para incluír identidades non humanas e tecnoloxías emerxentes

Declaración de alcance

Health-ISAC publicou dez documentos técnicos nos últimos seis anos sobre varios compoñentes da xestión de identidade e acceso (IAM). O segundo documento técnico, publicado en 2020, proporcionou un marco completo para axudar aos CISO do sector sanitario a deseñar, construír e implementar un sistema de identidade moderno que poida protexer contra ataques e apoiar os impulsores empresariais. As organizacións do sector sanitario xa están a usar estas ferramentas. A autenticación multifactor, a xestión de acceso privilexiado e outras ferramentas de identidade utilízanse todos os días en sistemas sanitarios de todo o mundo. O marco tampouco se detivo. Desde a súa publicación inicial en 2020, actualizouse dúas veces, primeiro no documento de confianza cero de 2022 e despois de novo para a xestión de acceso privilexiado en 2024. Non obstante, como ocorre con todas as tecnoloxías, o panorama da identidade está en constante evolución. O Marco de Identidade que segue detalla os diversos compoñentes necesarios para unha abordaxe moderna centrada na identidade da ciberseguridade e describe como estes diferentes compoñentes deben integrarse e interrelacionarse para protexer a empresa. As organizacións do sector sanitario deben considerar isto como un marco holístico que xestione o ciclo de vida completo da identidade dos empregados, profesionais, pacientes, socios e, agora, das identidades non humanas dun xeito que protexa contra os ataques comúns á identidade, reduza materialmente o risco e aumente a eficiencia operativa. A gobernanza e administración de identidades (IGA) é fundamental para esta abordaxe na saúde, xa que o número de identidades, roles e recursos se expande. Xa non se trata só de permitir o acceso para empregados, pacientes e terceiros. As identidades non humanas, como os axentes de intelixencia artificial, as API e os dispositivos, requiren identidades que deben protexerse xunto coas identidades humanas.

Este documento revisa e amplía o alcance do marco de 2020 para incluír categorías adicionais de identidades e compoñentes que son necesarios en medio dunha explosión de identidades non humanas nas empresas. Este documento analiza os papeis da IGA, especialmente a medida que se engaden diversos tipos de identidades aos sistemas, e o papel fundamental da monitorización e a auditoría para garantir que estas novas identidades non realicen accións non autorizadas. Este documento tamén examina outras tecnoloxías importantes que as organizacións sanitarias deberían ter en conta ao avaliar o futuro das súas pilas de identidades, incluído o cifrado cuántico, os contratos intelixentes e outras tecnoloxías. Por último, e quizais máis importante, este documento debuxa unha imaxe ideal de como debería ser un marco de IAM dentro dunha organización do sector sanitario, algo que pode non ser alcanzable para todos. As organizacións poden non ter os recursos para dar cabida a todos os novos sistemas e compoñentes. Este documento tamén propón un Modelo de Madurez de IAM para as organizacións sanitarias para que poidan facer progresos incrementais na mellora da seguridade da súa identidade.

Este documento fará o seguinte:

• Definir os compoñentes necesarios para unha pila de tecnoloxía IAM moderna e como poden interactuar con identidades non humanas.
• Introducir un modelo de madurez para que as organizacións do sector sanitario o sigan para mellorar a súa postura de identidade dixital.
• Actualiza os tipos de identidades que deben terse en conta nos directorios de IAM.
• Identificar as tecnoloxías novas e emerxentes que as organizacións do sector sanitario deben ter en conta.
• Crea casos de uso para mostrar como se empregan estes compoñentes, tecnoloxías e sistemas no sector sanitario.

Descarga a presentación de PowerPoint de Framework 2.0.

Outros documentos desta serie para CISO. Pulse AQUÍ

• Recursos e noticias relacionados
• Un hospital de Massachusetts rexeita as ambulancias tras un ciberataque
• Podcast: Phil Englert sobre a ciberseguridade dos dispositivos médicos
• A ameaza interna volve aumentar
• "Oportunidade perdida": a ausencia do goberno dos Estados Unidos na Conferencia da RSAC deixa un baleiro absoluto
• Saúde-ISAC Hacking Healthcare 3-26-2026
• Saúde-ISAC Hacking Healthcare 3-19-2026
• Boletín mensual de saúde de ISAC: abril de 2026
• Informe posterior á acción: Serie de exercicios de resiliencia Health-ISAC 2025
• Por que o papel de Microsoft Intune no ciberataque de Stryker é unha perspectiva aterradora
• O gobernador de Texas ordena unha revisión estatal da tecnoloxía médica fabricada en China