Sus siete pilares pueden desplegarse y aplicarse de diversas maneras para proteger las vías de datos y automatizar las respuestas de las ciberamenazas.
A medida que las organizaciones sanitarias siguen evolucionando digitalmente, una cosa ha quedado clara: el bienestar del paciente no puede ser prioridad si los sistemas digitales que lo sustentan están amenazados.
Según el Journal of the American Medical Association, la frecuencia de los ciberataques a los hospitales y sistemas sanitarios de Estados Unidos aumentó más del doble entre 2016 y 2021.
Un estudio de Check Point Software Technologies confirma esta tendencia, revelando que el sector sanitario experimentó una media de 1684 ataques semanales en el primer trimestre del 2023, lo que supone un incremento interanual del 22 %.
Esto convierte a la sanidad en el tercer sector más atacado este año, por delante de las finanzas, los seguros y las comunicaciones.
La explicación es que el sector sanitario es una auténtica mina de oro de datos, muchos de los cuales se gestionan a través de sistemas informáticos obsoletos fáciles de explotar.
Según una encuesta de la Healthcare Information and Management Systems Society, el 73% de las organizaciones sanitarias utilizan sistemas informáticos heredados, cuyo mantenimiento es costoso y que suelen presentar fallas de seguridad.
Esto hace que el sector sea un objetivo fácil – y potencialmente lucrativo – para los operadores de ransomware. Esta vulnerabilidad no se debe únicamente al software y los sistemas, sino también a la forma en que se gestionan los datos y los dispositivos dentro de cada organización.
Existen varias responsabilidades cuando se trata de ciberresiliencia en sectores como la sanidad. Por un lado, está la “aplicación” de la seguridad y, por otro, el “control y las políticas” de la red.
Esto se refleja mejor en los «siete pilares de la confianza cero» definidos por los marcos de Forrester y el Instituto Nacional de Normas y Tecnologías (NIST).
La confianza cero es un modelo de seguridad que funciona según el principio de «nunca confíes, verifica siempre«. Esto significa que el acceso a recursos y datos, nunca debe darse por seguro aunque sea dentro del perímetro de la red
Los cinco primeros pilares son usuarios, dispositivos, redes, cargas de trabajo y datos. Estos pilares constituyen el elemento de “ejecución del marco”, que aplica el principio de «mínimo privilegio» exigiendo comprobaciones continuas de identidad y verificación.
Los otros dos pilares son la visibilidad con el análisis y la automatización con la orquestación. Estos pilares conforman el elemento de “control y políticas” del marco, mejorando la postura de seguridad de una organización mediante la supervisión en tiempo real y las respuestas automatizadas en caso de violación de la seguridad.
La unión de estos pilares permite a las empresas crear un entorno de confianza cero. Esto es precisamente lo que las organizaciones sanitarias necesitan implementar para defenderse del creciente número de ataques.
Errores comunes en la supervisión de redes
Hay algunos errores comunes que muchas organizaciones sanitarias cometen cuando se trata de supervisar su red en busca de amenazas, pero el enfoque de confianza cero puede ayudar a rectificarlos.
No adoptar un enfoque basado en la prevención: Al igual que es mejor vacunar a un paciente para evitar que se infecte, es mejor detectar y prevenir los ciberataques sanitarios antes de que se manifiesten en una red.
Las soluciones de detección de amenazas en tiempo real pueden ayudar a descubrir patrones de tráfico anómalos, mientras la inteligencia de amenazas en tiempo real puede bloquear activamente el malware antes de que penetre en una red.
Redes planas o falta de segmentación: A medida que las organizaciones sanitarias siguen digitalizando sus servicios, su huella en la red crece. Los dispositivos vulnerables (endpoints) se extienden ahora a hogares y otras oficinas, en lugar de a un único emplazamiento, por lo que es importante «segmentar» o separar la red en grupos más manejables mediante cortafuegos (firewalls) y protección a nivel de dispositivo.
Un hospital puede colocar puertas cortafuegos alrededor de su edificio para evitar la propagación del fuego, una red debe contar con barreras para evitar la propagación lateral de cualquier malware.
No proteger los dispositivos de punto final: Un hospital medio de 500 camas puede tener hasta 10 000 dispositivos de Internet de las Cosas (IoT) conectados para supervisar, almacenar y transmitir información sobre los pacientes y otros datos confidenciales.
La aplicación de una política de confianza cero, comenzará con la identificación de estos dispositivos en la red y, a continuación, aplicará automáticamente una política de mínimos privilegios y confianza.
Implantación de controles de seguridad obsoletos: Para que los controles de seguridad sean eficaces, deben seguir el ritmo de la innovación. Incorporar retroactivamente controles de seguridad en las aplicaciones existentes, significa que la seguridad siempre va un paso por detrás de la innovación.
Para cerrar la brecha y garantizar una seguridad continua, los códigos de seguridad deben integrarse en el proceso de desarrollo de aplicaciones lo antes posible, utilizando la confianza cero para reforzar las redes sanitarias
La aplicación de los principios de confianza cero es esencial para que las organizaciones sanitarias garanticen la seguridad de los datos de los pacientes y de las infraestructuras críticas.
La “supervisión de la red“ es un subconjunto de la visibilidad y el análisis de confianza cero, siendo esencial, cuando se trata de identificar y categorizar la información y comprender el flujo de datos.
Las “cargas de trabajo” se refieren a cualquier aplicación o servicio que opere en centros de datos privados o nubes públicas y es aquí, donde debe aplicarse el principio del mínimo privilegio o «nunca confíes, siempre verifica». Las organizaciones sanitarias pueden reforzar sus cargas de trabajo de aplicaciones con confianza cero implantando la verificación continua de identidades y aplicando operaciones preventivas de seguridad en tiempo real.
La confianza cero puede implantarse en cualquier aplicación local o en la nube, en función de las necesidades de seguridad de la organización. Un hospital central, por ejemplo, puede tener necesidades diferentes a las de una residencia de ancianos o a un proveedor de atención domiciliaria, donde los empleados se desplazan con dispositivos o se encuentran en distintas ubicaciones.
También, hay que clasificar los datos para protegerlos de la manera adecuada. Por ejemplo, la protección de datos no estructurados, como texto, fotos, vídeo, audio y cirugía a distancia con sistemas robóticos, como «Da Vinci», requerirá diversos grados de protección y control.
Confianza cero es una «cibercultura» que las organizaciones sanitarias deben adoptar si quieren capear el temporal que se avecina.
Definición de confianza cero
Zero Trust es un modelo de seguridad de la información que niega el acceso a aplicaciones y datos de forma predeterminada. La prevención de amenazas se logra solo otorgando acceso a redes y cargas de trabajo, utilizando políticas informadas por verificación continua, contextual y basada en riesgos entre usuarios y sus dispositivos asociados.
La confianza cero se centra en proteger los recursos (activos, servicios, flujos de trabajo, cuentas de red, etc.), no los segmentos de la red, ya que la ubicación de la red ya no se considera el componente principal de la postura de seguridad del recurso.