Seguridad en la nube, gobernanza y gestión de riesgos, atención médica Supuestos comunes sobre la nube y conclusiones para las organizaciones de atención médica Steve Akers • 3 de octubre de 2024 Imagen: Shutterstock A medida que los proveedores y vendedores de atención médica migran su infraestructura y servicios a la nube, obtienen beneficios como mayor flexibilidad, escalabilidad y Acceso e intercambio optimizados de datos de pacientes. Pero varias suposiciones comunes sobre la seguridad en la nube están poniendo en peligro la seguridad y la privacidad de la información electrónica de salud de los pacientes, la ePHI y otros datos confidenciales. Consulte también: Kit de herramientas de participación en la concientización sobre la ciberseguridad: mejore su cultura de seguridad Muchas organizaciones de atención médica carecen de profesionales capacitados en seguridad en la nube y dependen de configuraciones predeterminadas para cumplir con sus requisitos. Estas configuraciones erróneas y la falta de conciencia sobre el modelo de responsabilidad compartida entre proveedores de servicios en la nube, CSP y entidades de atención médica amplían la superficie de ataque, aumentando el riesgo de posibles infracciones. De hecho, el 40% de las filtraciones de datos involucran datos almacenados en múltiples entornos, y las filtraciones de datos almacenados en nubes públicas tienen el costo promedio más alto, de más de $5 millones. Más del 80% de las organizaciones experimentaron una vulneración de la nube en los últimos 18 meses, mientras que el 25% teme haber sufrido una vulneración de la nube y no lo sabe. Para comprender mejor estos riesgos de la nube, las organizaciones de atención médica deben reexaminar y aprender de estas realidades de la nube para mejorar las prácticas de seguridad. Supuestos comunes sobre la nube Supuesto 1: Un entorno de nube es como una red corporativa. Podemos utilizar los mismos supuestos de infraestructura local para gestionar la nube. Por ejemplo, implementar un servidor virtual MS-SQL en lugar de utilizar servicios nativos de Azure SQL. Realidad: Los entornos de nube operan bajo diferentes reglas operativas y técnicas y tienen diferentes beneficios. La creación de redes tiene más matices y elevar sistemas como MS-SQL directamente a la nube puede resultar ineficiente en términos de costos e impedir aprovechar las opciones de seguridad y escalabilidad disponibles con servicios nativos como Azure SQL. Los supuestos operativos también varían según la plataforma en la nube, por lo que comprender a su proveedor específico es crucial. Supuesto 2: Los controles de acceso a la nube son similares a los controles locales. No necesito monitorear el entorno como lo hará mi proveedor de nube. Realidad: Hay muchos controles de seguridad en la nube disponibles, pero muchos están diseñados principalmente para proteger al proveedor, no al cliente. Es responsabilidad de la organización configurarlos adecuadamente y monitorear los cambios. Los piratas informáticos suelen atacar los sistemas en la nube y los administradores con acceso privilegiado, por lo que se recomienda encarecidamente la supervisión del acceso privilegiado y la MFA. Supuesto 3: Mi proveedor de nube optimiza la seguridad de la nube y el cumplimiento de su configuración predeterminada. Realidad: Las funciones principales están configuradas para optimizar los costos para el proveedor, que generalmente no cumplen con HIPAA. Vemos limitaciones en la tala o cobertura inadecuada para abordar una gestión adecuada del riesgo. Si bien la nube es excelente para el rendimiento y la escalabilidad, los controles de cumplimiento y seguridad deben implementarse y gestionarse de forma adecuada y activa. Supuesto 4: No necesitamos formalidades operativas como cambios y gestión de usuarios para nuestros entornos de nube. Realidad: Los controles deficientes en la nube provocan configuraciones erróneas y cambios que exponen a riesgos a las organizaciones de atención médica, especialmente para los sistemas conectados a Internet. La nube proporciona la velocidad para moverse rápidamente, pero aún requiere revisiones de configuración, gestión de vulnerabilidades, pruebas de penetración y gestión de acceso de identidades y usuarios. Supuesto 5: Las decisiones tomadas durante el desarrollo no se promoverán en nuestros entornos de producción. Mi proveedor de nube abordará las configuraciones de API inseguras y limitará el acceso al desarrollo y las configuraciones de backend. Realidad: Muchas API de la nube son inseguras, no necesariamente se prueban y deben revisarse para determinar su potencial de exposición al riesgo. Pero ésta no es la función de los proveedores de la nube. Permiten sistemas, servicios y funciones de desarrollo para acelerar DevOps. Las organizaciones y los desarrolladores de aplicaciones sanitarias necesitan seguridad y supervisión integradas incluso en dichos entornos. El desafío es aprovechar la flexibilidad adecuada y las configuraciones de desarrollo que se alineen e incorporen los objetivos de seguridad y cumplimiento requeridos. Conclusiones clave sobre la nube Estos conceptos erróneos resaltan la necesidad de contar con experiencia en seguridad específica de la nube para reducir el riesgo en toda la industria de la salud. Esto es lo que pueden hacer las organizaciones de atención médica: incluir entornos de nube en su análisis de riesgos general, no solo la infraestructura sino también SaaS, API u otros servicios basados ​​en la nube. Haga un inventario de las habilidades de cumplimiento y seguridad en la nube de su equipo interno. Proporcione oportunidades de capacitación y certificación para elevar a quienes comprenden inherentemente su riesgo comercial. Asóciese con un tercero para ayudar con la supervisión de la seguridad y el cumplimiento y las evaluaciones de brechas. Evalúe su conocimiento y capacidad de seguridad en la nube para proporcionar programas continuos diseñados para ayudarlo a alcanzar sus objetivos actuales y a largo plazo. Utilice una guía de confianza pero verificación en todos sus entornos y programas de nube: implemente políticas y procedimientos de confianza cero; Habilite el acceso con privilegios mínimos y otros controles de gestión de acceso de identidad y de usuarios basados ​​en roles; Primero autentíquese y luego habilite el acceso; Habilite un registro y una supervisión sólidos para detectar rápidamente una amenaza o un comportamiento anómalo. Utilice la seguridad como restricción de diseño en toda la nube. Considérelo una característica, no un obstáculo, que puede elevar a su organización como líder en la protección de la seguridad del paciente y la privacidad de los datos de atención médica y en el avance de la innovación en la atención médica. URL de la publicación original: https://www.databreachtoday.com/blogs/cloud-assumptions-misconfigurations-threaten-healthcare-security-p-3732