¿Por que es necesario un enfoque Zero Trust en hospitales y sistemas sanitarios?

A los ciberdelincuentes les interesa el sector sanitario porque les da acceso a gran cantidad de datos que en muchos casos se vulneran con facilidad puesto que los sistemas informáticos están obsoletos.

Una encuesta de la Sociedad de Sistemas de Información y Gestión Sanitaria (HIMSS) reveló que el 73% de las organizaciones sanitarias utilizan sistemas informáticos heredados, cuyo mantenimiento es costoso y que a menudo presentan lagunas de seguridad. Sin embargo, su vulnerabilidad no se debe únicamente al software y los sistemas, sino también a la forma en que se gestionan los datos y los dispositivos, con una ciberseguridad pobre y descuidada.

El principio de Zero Trust
El modelo Zero Trust se basa en mantener un nivel de confianza cero. Esto significa que el acceso a cualquier recurso o dato nunca se da por seguro, ni siquiera cuando este se produce desde dentro del propio perímetro de la red. No obstante, existe una división de responsabilidades cuando se trata de ciberresiliencia en sectores como la sanidad. Por un lado, tenemos la aplicación de la seguridad y, por otro, el control y las políticas de la red.

Esto se refleja mejor en los "siete pilares de la confianza cero" definidos por los marcos de Forrester y del Instituto Nacional de Normas y Tecnología (NIST): usuarios, dispositivos, redes, cargas de trabajo y datos. Estos cinco primeros conforman el elemento de aplicación del marco de trabajo, instaurando el principio de "mínimo privilegio" al exigir comprobaciones continuas de identidad y verificación.

Los dos restantes son la visibilidad y el análisis, y la automatización y la orquestación: constituyen el elemento de control y políticas del marco, mejorando la postura de seguridad de una organización mediante la supervisión en tiempo real y las respuestas automatizadas en caso de violación de la seguridad.

Fallos comunes en la monitorización de redes
Dada su complejidad, hay algunos errores comunes que muchas organizaciones sanitarias cometen cuando se trata de supervisar su red en busca de amenazas, pero el enfoque de Zero Trust puede ayudar a rectificarlos.

- No adoptar un enfoque de "prevenir primero”: al igual que siempre es mejor vacunar a un paciente para evitar las enfermedades antes de sufrirlas, en ciberseguridad es mejor detectar y prevenir los ciberataques antes de que infecten una red. Las soluciones de detección de amenazas en tiempo real pueden ayudar a descubrir patrones de tráfico anómalos, mientras que la inteligencia de amenazas puede ayudar a bloquear activamente el malware antes de que penetre en una red.

- Redes planas o falta de segmentación: a medida que las organizaciones sanitarias siguen digitalizando sus servicios, aumentando su huella en la red y los dispositivos vulnerables (endpoints), que se extienden ahora hasta los hogares y otras oficinas en lugar de a un único emplazamiento. Por ello, es importante segmentar la red en grupos más manejables mediante cortafuegos y protección a nivel de dispositivo.

- No proteger los endpoints: un hospital medio de 500 camas puede tener hasta 10.000 dispositivos IoT conectados para la supervisión, almacenamiento y transmisión de información de los pacientes. La aplicación de una política Zero Trust comienza con el "descubrimiento" de estos dispositivos, y continúa con la aplicación automática de una política de privilegios mínimos, de modo que solo los sistemas y personas pertinentes tengan acceso a estos datos.

- Implantar controles de seguridad obsoletos: para que los controles de seguridad sean eficaces, deben seguir el ritmo de la innovación. La implantación retroactiva de controles de seguridad en las aplicaciones existentes implica que la seguridad siempre va a estar un paso por detrás de la innovación, y por lo tanto, de los ciberataques.

Como explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal, “los pilares de la estrategia Zero Trust pueden desplegarse y aplicarse de diversas formas, pero el objetivo es siempre el mismo: nunca hay que confiar, siempre hay que verificar. Se trata de unas medidas que el sector sanitario tiene que implementar para poder hacer frente al temporal de ciberataques que se avecina”.