– El Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) liberado una lista de verificación de seguridad de dispositivos móviles, que contiene consideraciones importantes para el uso de dispositivos móviles en un entorno de atención médica.
“Los dispositivos móviles prevalecen en el sector de la salud y, debido a su almacenamiento y procesamiento de información de salud privada (PHI), así como otros datos confidenciales, estos dispositivos pueden ser una parte fundamental de las operaciones de atención médica”, explicó HC3.
“Como tal, sus datos y funcionalidad deben estar protegidos. Este documento representa una lista de verificación básica de los elementos recomendados para que los dispositivos móviles del sector de la salud mantengan la seguridad, incluidos los datos en movimiento y en reposo, así como las capacidades del propio dispositivo”.
La lista de verificación simple puede servir como un repaso para las organizaciones de atención médica que administran dispositivos móviles. HC3 enfatizó la importancia de la autenticación multifactor (MFA), el cifrado de extremo a extremo y las actualizaciones periódicas de dispositivos y aplicaciones.
Además, la lista de verificación insta a las organizaciones a considerar la seguridad física, la gestión de la configuración, las copias de seguridad de datos y el almacenamiento en la nube.
“La redundancia de datos debe estar en práctica para toda la información confidencial. HHS recomienda la regla 3-2-1 para cualquier organización de atención médica como estrategia de respaldo de datos”, señaló HC3.
“Esto se aplica a los datos de atención médica más confidenciales y requiere que se mantengan al menos tres copias de los datos, almacenadas en dos medios diferentes, con al menos una copia almacenada fuera de línea”.
HC3 también alentó a limitar la conectividad y aprovechar las VPN, reducir la cantidad de aplicaciones implementadas en cada dispositivo para reducir la superficie de ataque e implementar software de seguridad de punto final y procesos de administración de configuración.
Esta lista de verificación es la última guía agregada a la biblioteca en constante crecimiento de recursos de seguridad gratuitos disponibles para organizaciones de atención médica y otras entidades de infraestructura crítica. Por ejemplo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) lanzó recientemente su Piloto de Advertencia de Vulnerabilidad de Ransomware (RVWP), destinado a ayudar a las entidades de infraestructura crítica a contener vulnerabilidades de manera proactiva.
A través del RVWP, CISA aprovechará sus recursos internos para identificar sistemas vulnerables y notificar a los propietarios de los sistemas por teléfono o correo electrónico, lo que les permitirá adelantarse a las amenazas cibernéticas más recientes.
“Las notificaciones contendrán información clave sobre el sistema vulnerable, como el fabricante y el modelo del dispositivo, la dirección IP en uso, cómo CISA detectó la vulnerabilidad y orientación sobre cómo se debe mitigar la vulnerabilidad”, CISA fijado.
En otras noticias, CISA también lanzó recientemente su Herramienta de ganso sin títuloque se creó para ayudar a los defensores de la red a identificar la actividad maliciosa en los entornos de Microsoft Azure, Azure Active Directory (AAD) y Microsoft 365 (M365).
No hay escasez de recursos gratuitos disponibles para las organizaciones de atención médica que buscan aumentar sus capacidades de detección de amenazas y mejorar sus posturas de seguridad. Sin embargo, como se mencionó durante una audiencia reciente del Comité de Asuntos Gubernamentales y de la Patria del Senado centrada en la ciberseguridad de la atención médica, muchas organizaciones de atención médica no tienen suficientes recursos disponibles para dedicarse a la seguridad.
Frente al panel del Senado, los expertos defendieron el apoyo adicional del gobierno para ayudar a las organizaciones de atención médica a administrar los riesgos de seguridad.
