Health-ISAC condivide la guida all'implementazione di Zero Trust per i CISO del settore sanitario
Le sfide nell’adozione di un modello di sicurezza zero trust nell’assistenza sanitaria si riducono a due questioni chiave: la rapida espansione dei dispositivi IoT e le complessità di autenticazione legate alla “natura di roaming di alcuni operatori sanitari”, secondo un nuovo libro bianco da Health-ISAC.
Link all'articolo:
Questi ostacoli devono essere superati prima di passare a zero trust, poiché "implementare un'architettura zero trust non è semplice come rivolgersi a un fornitore e scegliere una soluzione già pronta".
Come riportato in precedenza, il modello Zero Trust è ideale per l'assistenza sanitaria, ma la maggior parte delle organizzazioni fornitrici ha avuto difficoltà a compiere il salto a causa delle complessità del sistema e di altri ostacoli.
Ma mentre il Dipartimento della Salute e dei Servizi Umani continua a fare passi avanti nell'interoperabilità, che si basa fortemente sulle API, adozione zero-trust dovrebbe essere una priorità affinché gli ospedali possano adattarsi meglio alle reti estese.
L'identità è il "nucleo della fiducia zero", che include l'autenticazione multifattoriale, la governance delle autorizzazioni e "il provisioning appropriato di ruoli e attributi per l'accesso", ha osservato Health-ISAC. "Le regole di accesso devono essere il più possibile granulari per abilitare il privilegio minimo e tutti i soggetti, le risorse e i flussi di lavoro devono essere autenticati e autorizzati in modo esplicito".
Ad esempio, zero trust garantisce che i dipendenti abbiano accesso solo agli elementi necessari per svolgere le loro funzioni lavorative richieste. Il modello garantisce che la rete sia segmentata in base al minimo accesso privilegiato, fornendo un accesso minimo basato su policy di trust su misura per l'utente.
La carta si propone di supportare i responsabili della sicurezza informatica nel settore sanitario nel comprendere meglio la sicurezza zero-trust e l'approccio consigliato all'architettura del modello per sviluppare un approccio alla sicurezza informatica incentrato sull'identità.
Health-ISAC sottolinea che la guida è progettata per istruire i CISO su zero trust e le sue necessarie fondamenta, insieme ai principi di base, alle sfide comuni alle migrazioni zero trust e a come avviare il cambiamento. La guida è stata scritta per entità di tutte le dimensioni e livelli di maturità, con la speranza che questi CISO comprendano l'importanza di un approccio incentrato sull'identità alla sicurezza informatica.
I leader della sicurezza scopriranno una definizione di zero trust, implicazioni del modello di sicurezza e passaggi specifici per implementare zero trust nell'ambiente sanitario. Il documento aggiunge anche componenti zero trust al Quadro sanitario ISAC per la gestione dell'identità rilasciato in 2020.
Il framework è stato aggiornato con concetti di zero trust e "incorpora controlli aggiuntivi per fornire elementi fondamentali di un'architettura zero trust", inclusi standard per la protezione delle comunicazioni, monitoraggio delle risorse, perimetri per la concessione dell'accesso, autorizzazione basata su policy e aggiunta di dispositivi ai sistemi e alle risorse di destinazione.
I CISO del settore sanitario possono sfruttare la guida per valutare le sfide specifiche che la loro organizzazione potrebbe dover affrontare nel tentativo di adottare il modello. Health-ISAC sta anche richiedendo feedback agli stakeholder del settore.
"I criteri possono sembrare scoraggianti all'inizio, ma alla fine porteranno a una migliore sicurezza per le organizzazioni a lungo termine", ha concluso Health-ISAC. "Sono finiti i giorni in cui si lasciava entrare qualcuno dalla porta principale, gli si dava un ruolo con privilegi di accesso e poi lo si lasciava andare per la sua strada allegramente".
- Risorse e notizie correlate
- Salute-ISAC Hacking Healthcare 5-11-2026
- Manuale del CISO Vol. 2 – Vulnerabilità del token 0Auth che ha causato una violazione di Salesforce
- Newsletter mensile – Maggio 2026
- Analisi trimestrale delle minacce – primo trimestre 1
- Cosa rivela l'attacco Stryker sulla sicurezza dei dispositivi medici
- Politiche e misure di salvaguardia per l'uso sicuro dell'IA
- HSCC presenta la guida sui rischi dell'IA di terze parti e sulla trasparenza della catena di fornitura.
- Anthropic svela il magico dio informatico zero-day
- Il settore sanitario nel mirino: le minacce informatiche legate all'Iran aumentano i rischi per ospedali, dispositivi medici e filiere di approvvigionamento per l'assistenza sanitaria.
- Health-ISAC segnala lacune nella resilienza informatica e nella risposta agli incidenti…