El sector sanitario sigue constituyendo uno de los almacenes de datos más grandes, lucrativos y vulnerables, lo que lo convierte en un objetivo atractivo para los ciberdelincuentes. Además, los actores maliciosos son más frecuentes, organizados y creativos en sus ataques a vectores vulnerables. Aunque las normas de seguridad de la HIPAA están vigentes desde hace tiempo, su cumplimiento sigue avanzando a paso de tortuga y los responsables de la innovación de productos se están viendo obligados a prestar más atención a las consideraciones de seguridad, TI, legales, de riesgo y normativas en una fase más temprana del ciclo de vida del desarrollo. Muchas organizaciones también tienen que revisar esas mismas consideraciones para los productos y servicios que ya están en uso con el fin de satisfacer los requisitos reglamentarios o de cumplimiento, remediar un problema, preservar la reputación y promover una ventaja competitiva.
Pero hay esperanza para la sanidad. Los certificados digitales son una solución que se está utilizando cada vez más como método de autenticación y cifrado entre datos vulnerables, dispositivos y software dentro de sistemas médicos y empresariales complejos. Superpuestos a otras herramientas de autenticación multifactor, los certificados pueden ser una solución rentable para las posibles vulnerabilidades de los sistemas sanitarios.
El estado actual de la ciberseguridad sanitaria:
El estado actual de la ciberseguridad sanitaria está muy influido por el hecho de que la sanidad posee los datos más valiosos disponibles, y con múltiples puntos de acceso. En el pasado, los registros financieros eran los más valiosos para los ciberdelincuentes.
Según InfoWorld, en la actualidad, los registros sanitarios superan con creces el valor de los datos financieros, principalmente porque éstos limitan la cantidad de transacciones fraudulentas que un ladrón puede realizar antes de que el cliente se dé cuenta, momento en el que los datos financieros ya no tienen valor. Por el contrario, la mayor parte de la información contenida en los registros sanitarios es permanente, como los números de la seguridad social y los historiales médicos; esto permite una vida útil mucho más larga, e implica datos suficientes para llevar a cabo un robo de identidad en toda regla.
Por no hablar de que los sistemas sanitarios contienen múltiples puntos de acceso. Los datos, las aplicaciones, los dispositivos y diversos terceros intercambian datos constantemente; luego están los interminables sitios web y servidores que están conectados en red, y la proliferación masiva de IoT y la digitalización de la asistencia sanitaria. Existen múltiples puntos de entrada para un actor malicioso que intente encontrar la manera de entrar, y al final lo conseguirá. No es de extrañar que las organizaciones sanitarias se apresuren a emplear tantos controles de seguridad como sea posible y a optimizar la postura de seguridad en general, pero es bien sabido que el esfuerzo es un interminable juego de la lotería.
La sanidad presenta un panorama de amenazas bastante activo. HealthData Management informó de que las principales amenazas a la seguridad en la sanidad son:
- Información privilegiada
- Cadenas de suministro de proveedores
- Productos sanitarios
- Malware y amenazas persistentes avanzadas
- Movilidad
... Y esos son sólo unos pocos. Es un entorno rápido y peligroso de manejar.
5 factores del sector sanitario que plantean retos de seguridad
Las innovaciones actuales en tecnologías de la información están beneficiando a las organizaciones sanitarias y a los usuarios finales desde el punto de vista de la eficiencia y el funcionamiento, pero esas mismas innovaciones están planteando retos a la hora de proteger los datos que generan.
Estos son algunos de los factores que impulsan la carrera de todo el sector hacia un futuro seguro para la sanidad:
- El ritmo de la innovación: el enfoque de las TI es cada vez más avanzado, lo que hace que las cosas sean más eficientes, pero también genera nuevos problemas a la hora de abordar la seguridad.
- Aumento del uso de dispositivos móviles y la gran migración a la nube-Los dispositivos móviles son la norma para el funcionamiento de las instalaciones médicas y las comunicaciones con los pacientes. Cada vez más usuarios finales tienen la información y la comodidad al alcance de la mano, pero ahora sus datos sanitarios están más al alcance de los individuos que quieren robarlos.
La sanidad sigue dudando en algunos aspectos a la hora de hacer la transición a la nube, pero la mayoría de las aplicaciones SaaS no críticas se alojan siempre en ella. La nube no es necesariamente insegura de por sí, pero las dudas suelen deberse a problemas de seguridad.
- Interconexión omnipresente: hay más tecnologías interconectadas que nunca. Personas, dispositivos, aplicaciones, servicios web, servidores, terceros e integración en general, por nombrar algunos.
- Requisitos de cumplimiento de la industria y el gobierno: el cumplimiento es un gran impulso para mejorar los controles de seguridad, pero también viene con su propio conjunto de desafíos. El sector sanitario está dominado por varios organismos reguladores, cada uno de los cuales contiene normativas relativas a la seguridad de los datos, pero estas normativas no son necesariamente específicas, sino que constituyen un punto de partida para un futuro estado de seguridad. No estipulan prácticas de seguridad específicas.
- Determinar quién es el responsable de la seguridad y elegir las herramientas adecuadas-Decidir qué personas son responsables de la seguridad puede ser todo un reto. Muchas organizaciones sanitarias se preguntan: ¿es una entidad cubierta de la empresa, asociada al desarrollador? ¿Es el departamento de TI o de seguridad de una organización?
Identificar dónde aplicar las distintas herramientas de seguridad también es una lucha porque hay una gran cantidad de tecnologías interconectadas y puntos de acceso entre datos, aplicaciones, dispositivos, terceros y servidores web. Priorizar y decidir dónde está el mayor riesgo teniendo en cuenta las limitaciones presupuestarias es un acto de equilibrio.
Prescripción de certificados digitales para aliviar los síntomas de las vulnerabilidades de seguridad
La lista anterior no es exhaustiva: son muchos los factores que hacen que la seguridad de los datos sea un reto tan complejo para la sanidad. Sin embargo, entre las muchas herramientas disponibles hay una serie de controles de seguridad fundamentales que todas las organizaciones sanitarias pueden beneficiarse de implantar, entre ellos los certificados digitales. Los certificados digitales pueden funcionar como una solución sólida y económicamente viable para las vulnerabilidades de los sistemas sanitarios al permitir la autenticación y el cifrado de datos, dispositivos y software, tres tecnologías que dominan la TI sanitaria.
Existen multitud de métodos, herramientas y tecnologías para autenticar, cifrar o firmar software y datos para su validación, y cada vez son más las organizaciones sanitarias que optan por la autenticación multifactor y la seguridad por capas. Teniendo en cuenta elementos del movimiento de digitalización, cosas como los sistemas IoT , por ejemplo, requieren estos tres controles de seguridad dentro de un sistema, razón por la cual los certificados digitales pueden utilizarse como una capa adicional de seguridad integrada para los sistemas empresariales y IoT .
Las prácticas habituales en sanidad están impulsando la necesidad de certificados digitales. Por ejemplo, cuando se trata de recetas electrónicas para sustancias controladas, la comodidad para el usuario final es grande, pero el médico que las prescribe necesita ser verificado; esto requiere una autenticación de múltiples factores para demostrar que el médico está realmente autorizado a escribir recetas para sustancias controladas. Esto requiere un nombre de usuario y una contraseña para autenticar a la persona, y a menudo un pin específico para el médico, seguido de un código token de un solo uso para cada receta. Este es sólo uno de los muchos casos de uso, pero los certificados ofrecen a las organizaciones sanitarias una capa adicional de autenticación de dispositivos, cifrado y seguridad, que puede ser necesaria para una mayor seguridad, e incluso diferenciación en el mercado.
Cómo encajan los certificados digitales en su organización
Las amenazas a la ciberseguridad en la sanidad no harán sino multiplicarse. Disponer de los controles de seguridad adecuados es clave para prevenir las filtraciones de datos y proteger a los pacientes. Los certificados digitales son una herramienta fundamental para la autenticación que reducirá en gran medida el riesgo organizativo.
CSS organizó recientemente un seminario web, Certificados digitales: receta para integrar la seguridad en sistemas sanitarios vulnerables, con el fin de profundizar en los detalles del panorama de las amenazas para la sanidad, los retos de seguridad que afectan a la sanidad y el uso de certificados para reducir los riesgos de forma eficaz. Entre los temas específicos tratados se incluyen:
- Diagnóstico del estado actual de la ciberseguridad sanitaria
- Pronóstico de vulnerabilidades futuras
- Síntomas de seguridad: dolores y secuelas
- Prescripción de certificados para aliviar los síntomas relacionados con la autenticación, el cifrado y la firma de código
- Planes de tratamiento para integrar la seguridad en los sistemas médicos y empresariales
- Medicina preventiva para minimizar los vectores de ataque e influir positivamente en la seguridad
Descargue la presentación del seminario web para obtener más información sobre cómo los certificados digitales pueden mejorar la seguridad de su organización sanitaria.
Si su equipo de seguridad está interesado en obtener más información sobre la salud de su postura de seguridad y cómo los certificados digitales pueden trabajar para usted, póngase en contacto con un experto en certificados digitales de CSS hoy mismo, o no dude en llamarnos al 877.715.5448 para obtener ayuda inmediata.
