Servicios de saludunit 42
Está surgiendo un creciente enfoque en la ciberseguridad de los servicios de salud dado que el sector de servicios de salud es conocido entre los ciberdelincuentes por ser un buen objetivo. Esto se debe a que los registros de pacientes, datos de investigaciones y propiedad intelectual pueden generar grandes sumas de dinero en la web oscura.
Mientras que los datos financieros robados normalmente tienen poca vida útil, la información personal de salud (PHI) es para siempre. Las víctimas pueden obtener una nueva tarjeta de crédito luego de una vulneración, pero no pueden cambiar su tipo de sangre o la historia clínica. Este hecho aumenta el valor de la PHI para los ciberdelincuentes, quienes pueden secuestrar la información para pedir un rescate o venderla a terceros mucho después de haberla robado. Esto no significa que los ciberdelincuentes ignoran oportunidades de robar dinero de las organizaciones de servicios de salud. Los servicios de salud representan casi un quinto de la economía de Estados Unidos con grandes sumas que se mueven electrónicamente todos los días entre varias partes y organizaciones: pagadores, proveedores, distribuidores y pacientes. Solo requiere un eslabón débil en la cadena para crear una oportunidad para que los actores de amenazas den el golpe.
El sector de servicios de salud ha sufrido una transformación a soluciones en la nube en todo aspecto, desde la facturación hasta opciones de atención remota a pacientes, portales en línea para pacientes y más. Si bien ofrecen eficiencia y escalabilidad, también aumentan los riesgos asociados no solo con la ciberdelincuencia, sino también con eventos de divulgación inadvertida que puede exponer grandes volúmenes de datos confidenciales.
Los dispositivos médicos están cada vez más interconectados y, por lo tanto, aumentan la superficie de ataque en la cual los ciberdelincuentes pueden obtener acceso a datos confidenciales o incluso interrumpir la atención al paciente mientras se realiza. Esta proliferación de dispositivos de IoT, junto a las herramientas y técnicas cada vez más sofisticadas que utilizan los actores de amenazas para hackearlos, significa que los proveedores de servicios de salud deben proteger más equipos que antes y que los desafíos nunca han sido mayores. Encargarse correctamente de la ciberseguridad en los servicios de salud requiere de un socio con una experiencia única, conozca más acerca de Unit 42 ahora.
Given what they do, hospitals, medical practices, and other healthcare organizations can least afford to experience disruptions in essential systems and networks. As they rely increasingly on electronic data exchange, system downtime not only results in huge costs but can also bring delays in accessing critical patient health information and keeping life-saving services operating smoothly.
La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) atribuye una responsabilidad adicional a las organizaciones de salud de proteger la información electrónica de salud personal de los individuos que reciben, usan o guardan. La regla de seguridad de la HIPPA requiere protecciones administrativas, físicas y técnicas adecuadas para garantizar la confidencialidad, integridad y seguridad de la información electrónica de salud protegida. Si las organizaciones de salud pierden el control de sus datos, se requiere que notifiquen a las personas afectadas, el gobierno federal y, en determinadas circunstancias, a los medios.
Si bien las organizaciones de salud enfocan su tiempo, atención y recursos en la respuesta a la COVID-19, han visto aumentos en los ataques de ciberseguridad dado que los actores de amenazas buscan explotar la emergencia. Desde el inicio de la pandemia, ha habido un aumento significativo en correos electrónicos de phishing y distribución de malware utilizando la COVID-19 como señuelo. Mientras tanto, las agencias de inteligencia informaron que los hackers están utilizando malware y correos electrónicos de phishing sofisticados para intentar obtener acceso a la investigación de vacunas e información sobre cadenas de suministro médicas.
Unit 42 aplica las pautas y requisitos de la HIPPA de evaluar la postura de seguridad general de una organización teniendo en cuenta su personal, procesos y tecnologías en uso para proteger la organización y sus activos. Comprendemos el panorama de ciberseguridad, trazando donde se encuentra la PHI y otros datos confidenciales, y cómo se almacena y transmite. También analizamos la documentación existente y damos recomendaciones conforme a los estándares del sector de servicios de salud, y realizamos entrevistas a las partes interesadas para obtener perspectivas de la infraestructura en ciberseguridad, las operaciones, las capacidades, los procesos y las prácticas generales en la organización. Nuestra evaluación de la HIPAA incluye recomendaciones detalladas para remediar las debilidades identificadas o las brechas en seguridad, así como una hoja de ruta de implementación estratégica que detalle cómo pueden abordarse las debilidades identificadas, incluido el nivel percibido del esfuerzo y los costos estimados.
Unit 42 ofrece evaluaciones dirigidas y servicios de ciberseguridad técnica para poner a prueba y evaluar la postura de ciberseguridad y la resiliencia cibernética general y para verificar que los controles de seguridad se desempeñen de mantera óptima y eficaz. Estos incluyen las pruebas de penetración (en las que simulamos un ataque real para evaluar la fortaleza de sus contramedidas e identificar las vulnerabilidades ocultas), pruebas de aplicaciones móviles y web, evaluaciones de seguridad dirigida de sus configuraciones actuales, ejercicios de phishing y ejercicios de simulación que incluyen escenarios personalizados en función de amenazas específicas para el sector de servicios de salud.
La protección comienza con iniciar las protecciones e implementar capacidades de supervisión continua para garantizar que se ofrezcan los servicios de infraestructura fundamentales. Algunos ejemplos incluyen identificar la gestión y el control de acceso, llevar a cabo la capacitación de concientización sobre el riesgo cibernético para empleados e implementar procesos y procedimientos de protección de información. Esto implica supervisar los desarrollos y eventos de ciberseguridad para verificar la eficacia de las medidas de protección.
El equipo de respuesta ante incidentes de Unit 42 está preparado para ayudar a las organizaciones de salud a investigar, erradicar y recuperarse de ataques de ransomware, además de la vulneración de correos electrónicos de negocios, divulgaciones inadvertidas de datos y cualquier otro tipo de incidente. Nuestra misión es detener inmediatamente el ataque, ahuyentar al intruso, restaurar los sistemas y reanudar las operaciones en línea lo antes posible, aprovechando las soluciones de análisis de datos para investigar el alcance de la exposición de PHI ante las obligaciones reglamentarias pertinentes.
HABLE CON NOSOTROS
Un especialista de Palo Alto Networks se comunicará con usted a la brevedad. Esperamos hablar con usted pronto.