CISA Publica Guía de Ciberseguridad para Organizaciones de Salud Pública y Atención Médica

La reputada agencia de ciberseguridad de los Estados Unidos, CISA, ha lanzado nuevas pautas para ayudar a las organizaciones de salud y salud pública a entender los riesgos y amenazas cibernéticas a su sector y a aplicar medidas de mitigación.

Título: Guía de mitigación: Sector de Salud y Salud Pública (HSP)

Titulada Guía de Mitigación: Sector de Salud y Salud Pública (HSP) (PDF), este documento se lanzó como un complemento del Resumen de Riesgo Cibernético difundido en Julio. Esta guía viene tras CISA y HHS anunciaran recursos de ciberseguridad para el sector HSP hace aproximadamente un mes.[automatic_youtube_gallery type="search" search="CISA Publica Guía de Ciberseguridad para Organizaciones de Salud Pública y Atención Médica" cache="2419200" per_page="1" thumb_excerpt="0" player_description="0"]

Utilización de datos recopilados para esta guía cibernética de salud

Valiéndose de datos recolectados de las organizaciones inscritas en los programas de escaneo de vulnerabilidades y de aplicación web de la CISA, esta nueva guía incorpora el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la agencia, información de otras fuentes y el marco de trabajo MITRE ATT&CK, para poner en contexto las tendencias de vulnerabilidad.

Recomendaciones incluidas en la guía de ciberseguridad para el sector de sanidad

La guía también recomienda mitigaciones en línea con los Objetivos de Rendimiento de Ciberseguridad Cross-Sector (CPGS) de la CISA, y brinda orientación y soporte adicional para las organizaciones del sector HSP.

Las recomendaciones de la CISA comienzan con la gestión de activos y la seguridad, un tema sensible dada la alta valoración de la información de salud protegida (PHI) y otros tipos de información con los que trabajan las organizaciones de HSP, lo que representa un objetivo atractivo para los actores de amenaza.

A continuación, la orientación aborda la seguridad y gestión de la identidad y dispositivos, ofreciendo recomendaciones sobre seguridad del correo electrónico, prevención de phishing, contraseñas, gestión y supervisión del acceso, y prácticas de protección de datos.

Adoptar principios seguros por diseño para productos de salud

La guía también sugiere que los fabricantes de productos de HSP adopten principios seguros por diseño: “Dado que sistemas conectados a internet están vinculados a sistemas y funciones críticos de salud, es esencial que los fabricantes de productos tecnológicos usados por las entidades HSP empleen prácticas de diseño seguro.”

Finalmente, el documento ofrece orientación para la remediación de vulnerabilidades, con el objetivo de ayudar a las organizaciones HSP a priorizar la corrección de vulnerabilidades basándose en la arquitectura de su red interna y su postura de riesgo.

Vulnerabilidades conocidas explotadas en ataques

La CISA enfatiza cinco vulnerabilidades conocidas por ser utilizadas en ataques, a saber, CVE-2021-44228 (el famoso bug Log4Shell que afecta a Apache Log4j2), CVE-2019-11043 y CVE-2012-1823 (fallos RCE en PHP), CVE-2021-34473 (un problema de Microsoft Exchange conocido como ProxyShell), y CVE-2017-12617 (RCE en Apache Tomcat).

«Como se indica en esta guía, las entidades del Sector HSP deben mantenerse alerta en sus prácticas de mitigación de vulnerabilidades para prevenir y minimizar el riesgo de las amenazas cibernéticas. Una vez que una organización evalúa y considera una vulnerabilidad como un riesgo, debe tratarla. La CISA recomienda que las entidades HSP implementen esta guía para reducir significativamente su riesgo de ciberseguridad”, concluye la CISA.