Prácticas e vídeos de ciberseguridade da industria da saúde

Recoméndase encarecidamente a todos os sistemas de saúde que adopten esta serie nos seus programas de formación; grupos industriais e sociedades profesionais, anime aos seus membros a que fagan o mesmo; e as empresas de tecnoloxía médica, farmacéuticas, de pago, de TI sanitaria e de servizos, considere ampliar esta serie aos seus clientes e clientes como complemento ao seu apoio.

A maioría das pequenas prácticas aproveitan provedores de correo electrónico de terceiros subcontratados, en lugar de establecer unha infraestrutura de correo electrónico interna dedicada. As prácticas de protección do correo electrónico nesta sección preséntanse en tres partes:

1. Configuración do sistema de correo electrónico: os compoñentes e as capacidades que deben incluírse no seu sistema de correo electrónico
2. Educación: como aumentar a comprensión e o coñecemento do persoal sobre formas de protexer a súa organización contra ataques cibernéticos baseados no correo electrónico, como phishing e ransomware
3. Simulacións de phishing: formas de proporcionar ao persoal formación e concienciación sobre os correos electrónicos de phishing

Os puntos finais dunha pequena organización deben estar protexidos. Pero que son os puntos finais? E, que pode facer unha pequena organización sanitaria para protexer os seus puntos finais?

David Willis, MD e Kendra Siler, PhD coa Organización de Análise e Compartimento de Información sobre Saúde da Poboación do Centro Espacial Kennedy están aquí para discutir o que deberías facer para reducir as posibilidades de que un ciberataque penetre nos teus puntos finais.

Nesta sección, falaremos da área de práctica de ciberseguridade número 3: xestión de acceso para pequenas organizacións sanitarias.

Este debate organizarase en tres apartados:

1. Que é a xestión de accesos?
2. Por que é importante?
3. Como pode o IAPC ou o "hiccup" axudar a mellorar a xestión do acceso para as pequenas organizacións sanitarias?

O Instituto Nacional de Estándares e Tecnoloxía, ou NIST, para abreviar, define unha violación de datos como "un incidente que implica que información sensible, protexida ou confidencial sexa copiada, transmitida, vista, roubada ou utilizada por un individuo non autorizado para facelo".

Os datos sensibles, protexidos ou confidenciais inclúen información de saúde protexida (PHI), números de tarxeta de crédito, información persoal de clientes e empregados e a propiedade intelectual e os segredos comerciais da túa organización.

Que tecnoloxía da información, ou dispositivos informáticos, ten na súa organización? Sabes cantos portátiles? dispositivos móbiles? E conmutadores de rede que tes en todas as túas localizacións? Cales executan Windows ou IOS de Apple ou un dos varios sistemas operativos de Android? Se non está pegado a unha parede ou a un escritorio, quen é o responsable de cada dispositivo?

As redes proporcionan a conectividade que permite que as estacións de traballo, os dispositivos médicos e outras aplicacións e infraestruturas se comuniquen. As redes poden adoptar a forma de conexións por cable ou sen fíos. Independentemente da forma, o mesmo mecanismo que fomenta a comunicación pódese utilizar para lanzar ou propagar un ciberataque. 

A hixiene adecuada da ciberseguridade garante que as redes sexan seguras e que todos os dispositivos conectados en rede poidan acceder ás redes de forma segura. Aínda que a xestión da rede sexa proporcionada por un provedor externo, as organizacións deben comprender os aspectos clave da xestión adecuada da rede e asegurarse de que se inclúen nos contratos destes servizos.

A xestión de vulnerabilidades é unha práctica continua de identificar, clasificar, priorizar, remediar e mitigar as vulnerabilidades do software. Moitos marcos de cumprimento de seguridade da información, auditoría e xestión de riscos requiren que as organizacións manteñan un programa de xestión de vulnerabilidades.

A resposta a incidentes é a capacidade de identificar tráfico sospeitoso ou ciberataques na súa rede, illalo e corrixilo para evitar a violación, danos ou perdas de datos. Normalmente, a resposta a incidentes denomínase "bloqueo e abordaxe" estándar da seguridade da información. Moitos tipos de incidentes de seguridade ocorren regularmente en organizacións de todos os tamaños. De feito, a maioría das redes están baixo ataque constante de entidades externas.

Os sistemas de atención sanitaria usan moitos dispositivos diferentes como parte do tratamento rutineiro do paciente. Estes van desde sistemas de imaxe ata dispositivos que se conectan directamente ao paciente con fins diagnósticos ou terapéuticos. Estes dispositivos poden ter implementacións sinxelas, como monitores de cabeceira que controlan os signos vitais, ou poden ser máis complicados, como bombas de infusión que ofrecen terapias especializadas e requiren actualizacións continuas da biblioteca de medicamentos. Estes dispositivos complexos e interconectados afectan á seguridade, o benestar e a privacidade dos pacientes, e representan potenciais vectores de ataque na pegada dixital das organizacións. Polo tanto, estes dispositivos deben incluír controis de seguridade no seu deseño e configuración para permitir a súa implantación de forma segura.

Práctica de ciberseguridade n.º 10: as políticas de ciberseguridade inclúen prácticas recomendadas que son documentos específicos para a implementación de políticas e procedementos de ciberseguridade na súa organización sanitaria.