¡Descubra el enfoque de Clinisys en ciberseguridad!
Cuando un establecimiento sanitario busca un nuevo Sistema de Información de Laboratorio (SIL), el departamento de informática tendrá que evaluar en algún momento los riesgos de ciberseguridad.
La ciberseguridad es el tema que atormenta a toda dirección y equipo informático.
Nuestros especialistas, Shay Hassidim, Director de Tecnología, y Jacques Le Roux, CIO/CISO, discutieron la estrategia de Clinisys en ciberseguridad destinada a nuestros actuales productos y y nuestros futuros sistemas alojados en el cloud y en modo SaaS.
Un entorno lleno de amenazas
Para Ud, ¿Cuáles son las principales preocupaciones de las instituciones sanitarias en términos de ciberseguridad?
Jacques Le Roux: El sector de la salud se ha convertido en un objetivo muy atrayente para los ciberdelincuentes: los riesgos de ciberseguridad ahora se toman muy en serio por las instituciones de salud. La ciberseguridad y las estrategias para mitigar los riesgos de intrusión son lo que mantiene a los directores de tecnología y sus equipos en alerta. Y su preocupación está justificada, ya que recientes artículos confirman que el 60% de los ciberataques se dirigen al sector de la salud.
Shay Hassidim: Esto es cierto no solamente en los Estados Unidos, pero también en otros países, y sabemos que un expediente médico ahora tiene más valor que un expediente bancario en algunos casos en el dark web. Al mismo tiempo, las habilidades de seguridad y los recursos técnicos necesarios para contrarrestar a los hackers son muy costosos.
Jacques Le Roux: Además, en muchas instituciones de salud, todavía hay herramientas informáticas obsoletas que pueden representar una parte importante de la infraestructura informática. Sistemas informáticos difíciles de renovar (costo, infraestructuras, recursos), grandes cantidades de datos de pacientes, una vasta red de dispositivos médicos conectados, todo esto impacta significativamente la seguridad de la institución.
Esto es particularmente cierto en un contexto internacional, que tiende a integrar más datos de salud, haciéndolos más abiertos, compartibles y accesibles. Razón por la cual muchos países han implementado medidas regulatorias para proteger los datos de salud y las instituciones contra los ciberataques.
Cumplimiento regulatorio
¿Qué esperan los CIO de HealthTech?
Shay: Lo primero que buscan es que la solución cumpla con una certificación reconocida.
Jacques: En Europa y el Reino Unido, las certificaciones Data Security and Protection Toolkit (DSPT), Cyber Essentials Plus e ISO27001 se utilizan para evaluar a los proveedores. Esta es la estrategia de “ciberseguridad” promovida por el NHS inglés: asegurar la cadena de suministro y garantizar que los proveedores cumplan con los estándares de ciberseguridad.
Shay: En los Estados Unidos, el enfoque sigue siendo cumplir con los requisitos de las normas HIPAA y HITECH, aunque diría que están volviéndose obsoletas. Los proveedores se están inclinando cada vez más hacia nuevas normas como HITRUST, que está mucho más enfocada en el cloud pero también es más completa.
Jacques: Esto muestra que el marco regulatorio está en constante evolución. En Europa, la directiva sobre la seguridad de las redes y la información (NIS2) entrará en vigor este año, y el gobierno británico ya ha anunciado su intención de actualizar las regulaciones de 2018 sobre redes y sistemas de información (NIS Regulations). En Clinisys, evolucionamos y avanzamos con estos cambios, mientras trabajamos continuamente en cumplimiento con los requisitos de las regulaciones de los países en los que estamos presentes.
Cumplimiento técnico
¿Hay otras acciones a tomar?
Shay: No se trata solo del cumplimiento regulatorio. Los CIO y los departamentos técnicos y de seguridad deben encontrar socios con excelentes procedimientos de seguridad. Los de Clinisys se basan en el modelo FAN desarrollado por Northrup Grumman y el NIST CSF.
Este modelo ve la ciberseguridad como capas de controles que se extienden desde los activos críticos hasta los datos, aplicaciones, terminales, redes y perímetros cloud públicas o privadas, todos controlados por procedimientos sólidos y seguimiento de calidad. También hemos optado por adoptar el enfoque de “confianza cero”.
Este enfoque considera que las organizaciones no deben confiar automáticamente en un usuario, un dispositivo o una red. Se hace hincapié en una fuerte autenticación, autorizaciones y controles estrictos. Nuestros clientes lo verán en acción cuando sus equipos utilicen un acceso basado en derechos de usuario: verán que solo pueden acceder a los datos que necesitan para realizar su trabajo y no pueden ir de un segmento de red a otro. ¿El objetivo? Limitar el daño que un hacker podría causar si accediera al sistema.
También utilizamos la vigilancia en “tiempo real”, lo que nos permite comprender mejor lo que está sucediendo y reduce significativamente el tiempo de reacción.
“Shift left” y gestión de riesgos “fuera de las paredes”
¿Es posible integrar la ciberseguridad desde el principio?
Jacques: Sí, y Clinisys adopta el principio de “shift left” en sus métodos de desarrollo. Este principio aboga por la integración de medidas de seguridad lo antes posible en el proceso de desarrollo.
Si la seguridad es una prioridad desde la creación del código y es parte integral del diseño, los problemas pueden corregirse antes en el proceso y la aplicación es necesariamente más segura.
Shay: También hay que pensar en las bibliotecas de terceros y de código abierto. Hay que asegurarse de que la persona con la que está trabajando no sea un individuo aislado, sino una empresa sólida y seria, con repositorios de software bien establecidos. El procedimiento de gestión de riesgos “terceros” de Clinisys identifica, evalúa y busca mitigar los riesgos asociados con las bibliotecas de software de terceros, y asegura que no introduzcan vulnerabilidades y no expongan a las instituciones a riesgos potenciales.
La estrategia de Clinisys en ciberseguridad
¿Cuáles son los objetivos de Clinisys?
Shay: Con la transición al cloud, las cosas están evolucionando hacia una responsabilidad más compartida en ciberseguridad y los proveedores de almacenamiento también tienen las habilidades y recursos de los que hablamos anteriormente.
Pueden construir, monitorear y proteger sus sistemas con solo unas pocas personas para parchear y tapar los agujeros. En este entorno, aspiramos a llevar a cabo lo que llamo una operación de “cumplimiento continuo”.
Esto significa que no esperamos ser auditados o que no realizamos pruebas sólo una o dos veces al mes. Utilizamos herramientas para implementar y corregir nuestra infraestructura en tiempo real, y diariamente. También tenemos un sistema de alerta que nos permite saber si no estamos en cumplimiento. Nuestras numerosas conversaciones con CIO, directores técnicos y CISO nos muestran que esto es lo que buscan hoy, y hacemos lo necesario para tranquilizarlos.
En Clinisys, evolucionamos y avanzamos con estos cambios, mientras trabajamos continuamente en cumplir con los requisitos de las regulaciones de los países en los que estamos presentes.
Más información sobre NIS 2:
NIS2 es un avance significativo para la ciberseguridad al nivel europeo:
- Ampliando el alcance de las entidades cubiertas,
- Reforzando los requisitos de gestión de riesgos y notificación de incidentes,
- Fomentando una mayor cooperación y el intercambio de información.
El cumplimiento con la norma NIS2 requerirá que las empresas adopten un enfoque proactivo y global de la ciberseguridad.
Para obtener más información sobre nuestra estrategia en ciberseguridad y cumplimiento, comuníquese con su contacto comercial o envíe su solicitud a [[email protected]](mailto:[email protected]).
CIO/CISO: Chief Information Officer/ Chief Information Security Officer
DSPT: Data Security and Protection Toolkit
Modelo FAN™: marco de análisis defensivo de ciberseguridad y arquitectura visual desarrollado por Northrop Grumman Corporation