Seguridad en la nube, atención médica, industria específica El inspector general dice que los sistemas en la nube del HHS corren el riesgo de verse comprometidosMarianne Kolbasuk McGee (HealthInfoSec) • 23 de julio de 2024 Un nuevo informe de auditoría indica que el Departamento de Salud y Servicios Humanos de EE. UU. enfrenta algunos de los mismos problemas de seguridad en la nube que las organizaciones de atención médica que regula. El Departamento de Salud y Servicios Humanos enfrenta algunos de los mismos problemas de seguridad en la nube que las organizaciones de atención médica que regula: debilidades en una docena de diferentes controles de seguridad en la nube e inventarios de sistemas en la nube, según el informe de auditoría de un inspector general. Ver también: Defendiendo su futuro de IA con Prisma Cloud Más del 30% de los 1.555 sistemas del HHS estaban basados ​​en la nube en 2022, y un informe publicado el lunes por la Oficina del Inspector General del HHS critica el proceso de inventario en la nube de la agencia, las habilidades de los trabajadores y las debilidades del control de ciberseguridad, como la falta de autenticación multifactor para cuentas privilegiadas y cifrado de tráfico web para un servidor remoto. El informe dice que el HHS «puede correr el riesgo de verse comprometido». Los expertos dicen que los problemas planteados por el inspector general, como el peligro de las configuraciones predeterminadas en servidores no administrados (y la desviación de las políticas del HHS y las pautas del Instituto Nacional de Estándares y Tecnología) es un problema común en casi todas las organizaciones relacionadas con la atención médica. «Las organizaciones asumen que el proveedor de la nube está realizando todo lo necesario para garantizar la seguridad y el cumplimiento de su entorno, lo que con demasiada frecuencia no es el caso», dijo Steve Akers, CISO de la firma de consultoría de privacidad y seguridad Clearwater y CTO del equipo de servicios de seguridad administrados de la empresa. La auditoría, que incluyó todos los sistemas en la nube propiedad de, operados y mantenidos por HHS OS o sus contratistas proveedores de servicios administrados, incluyó un examen de las políticas y procedimientos del sistema en la nube del HHS, los inventarios y las configuraciones utilizando un escáner de vulnerabilidad de red y una herramienta de evaluación de seguridad en la nube para identificar vulnerabilidades y configuraciones incorrectas, dijo la OIG del HHS. El inspector general también contrató a un hacker ético externo, BreakPoint Labs, para realizar una prueba de penetración en sistemas en la nube seleccionados del HHS en junio y julio de 2022 para determinar si los controles establecidos detectarían o evitarían ciberataques. Hallazgos clave El examen encontró que, si bien el HHS identificó con precisión los componentes dentro de los sistemas en la nube evaluados para la auditoría, el HHS OS no identificó ni inventariaba con precisión todos sus sistemas en la nube de acuerdo con los requisitos de seguridad del HHS. “El HHS OS no tiene ningún procedimiento documentado para verificar que los inventarios de sus sistemas en la nube sean precisos y completos. Como resultado, es posible que el HHS OS no esté gestionando eficazmente los riesgos de ciberseguridad para todos sus sistemas en la nube”, decía el informe. La OIG del HHS hizo varias recomendaciones para que el HHS abordara sus deficiencias de seguridad en la nube. “Por ejemplo, el HHS OS puede no saber que existe en su entorno un sistema en la nube mal configurado o sin parches susceptible a un ciberataque porque el sistema no fue inventariado, lo que hace poco probable que se programe la aplicación de parches al sistema para reducir el riesgo de un ciberataque”. La auditoría también reveló que, si bien el HHS implementó varios controles de seguridad para proteger sus sistemas en la nube, al menos 12 controles de seguridad clave, incluida la autenticación multifactor para cuentas privilegiadas y el cifrado del tráfico web para un servidor remoto, no se implementaron de manera efectiva de acuerdo con los requisitos y pautas federales. “Esto ocurrió porque ciertos propietarios de sistemas HHS OS y oficiales de seguridad del sistema no identificaron algunos de sus sistemas de información como sistemas en la nube de acuerdo con los requisitos del HHS”, dijo la OIG del HHS. Los oficiales de seguridad del sistema HHS OS, que con mayor frecuencia son asignados por los propietarios de empresas o sistemas, “no siempre tienen las habilidades o la experiencia necesarias para desempeñar adecuadamente los roles y las responsabilidades de la función laboral según lo define el NIST”, dijo el informe. “Aunque los roles y las responsabilidades de los oficiales de seguridad del sistema están definidos en las políticas de seguridad del HHS, no existe un proceso estandarizado para garantizar que se seleccionen oficiales de seguridad del sistema calificados”, dijo la OIG del HHS. “Esto afecta negativamente la capacidad del HHS OS para garantizar que los controles de seguridad se implementen de manera efectiva. Como resultado, los datos del HHS OS almacenados en los sistemas en la nube que examinamos pueden correr el riesgo de verse comprometidos”. Recomendaciones de la OIG del HHS La OIG del HHS hizo varias recomendaciones al HHS sobre cómo abordar las preocupaciones, y el HHS en comentarios escritos que acompañaban al informe dijo que estaba de acuerdo con las sugerencias y que las implementaría. Las recomendaciones incluyen que el HHS: desarrolle un procedimiento para garantizar que los inventarios del sistema en la nube sean precisos y se completen de conformidad con los requisitos de seguridad del HHS, remedie los 12 hallazgos de debilidad de control de acuerdo con el NIST, implemente una estrategia que incluya el aprovechamiento de las herramientas de evaluación de seguridad en la nube para identificar configuraciones incorrectas y otras debilidades de control en sus servicios en la nube, y remedie los controles débiles de manera oportuna. La OIG del HHS también recomendó que el HHS desarrolle e implemente una política y un proceso para garantizar que se asigne personal calificado como oficiales de seguridad del sistema para sus sistemas en la nube. El HHS no respondió de inmediato a la solicitud de comentarios de Information Security Media Group sobre el informe de la OIG del HHS. Desafíos comunes Algunos de los hallazgos de la OIG del HHS son similares a los tipos de problemas de control y gestión de seguridad en la nube que enfrentan muchas entidades del sector de la salud, dijeron algunos expertos. Tom Walsh, presidente de la firma consultora twSecurity, dijo que las entidades deben leer atentamente la letra pequeña de sus acuerdos de servicio en la nube. “La mayoría de las empresas comparten algún tipo de responsabilidad en materia de seguridad entre el proveedor de servicios en la nube y el cliente. A veces, la gente supone que el proveedor de servicios en la nube se encarga de algo (como la gestión de parches) en su nombre, cuando no es así”, afirma. “Estos servicios pueden estar disponibles, pero con un coste adicional para el cliente”. Walsh también recomienda probar las copias de seguridad, los planes de continuidad empresarial y los planes de recuperación ante desastres relacionados con los servicios en la nube. “Si el proveedor de servicios en la nube deja de funcionar durante un período prolongado, ¿existe un plan bien redactado y probado sobre cómo seguirá funcionando la empresa y cómo se recuperarán los sistemas basados ​​en la nube?”. Según la auditoría, un error común que cometen muchas organizaciones es intentar aprovechar sus equipos de TI internos para gestionar y mantener un entorno en la nube, afirma Akers. Eso “a menudo significa que esos equipos no están familiarizados con las complejidades de la gestión de un entorno en la nube”.