Ciberseguridad en el Sector de e-salud. Bayardo Alvarez Director TI, Boston PainCare Center

Transcripción

1 Ciberseguridad en el Sector de e-salud Bayardo Alvarez Director TI, Boston PainCare Center

2 Todo lo que vea y oiga en el ejercicio de mi profesión, y todo lo que supiere acerca de la vida de alguien, si es cosa que no debe ser divulgada, lo callaré y lo guardaré con secreto inviolable.

3 Boston PainCare Bayardo Alvarez Director, TI Boston, Massachusetts Centro para el tratamiento del dolor con enfoque interdisciplinario

4 Privacidad y Confidencialidad

5

6 Confidencialidad Seguridad de la Información Integridad Disponibilidad

7 Seguridad No es binaria No es un proyecto No es estática Es más que cumplir con pólizas Es más que seguir mejores prácticas Es más que tecnología

8 HIMSS 2015 Cybersecurity Survey 69% 65% 63% 59% 53% 53% 53% 49% 39% 34%

9 HIMSS 2016 Cybersecurity Survey Source: HIMSS Cybersecurity Survey 2016

10 NORSE Video

11

12 Tipos de Control Los 9 Cuadros de Control Riesgo Responder Detectar Prevenir Costo Automático Semi-Auto Manual Formas de Control Malcolm Harkins Cylance Inc.

13 Mas de 70% de los ataques tomaron ventaja de vulnerabilidades, para la cual había una actualización. Durante los últimos 11 años, 98% de los incidentes siguieron 9 patrones. Los 4 mas comunes involucraban error humano o uso incorrecto de tecnología. El método mas común para infectar un computador: PHISHING Verizon 2016 DBIR

14 Source: Stan Stahl Citadel Information Group

15 Phishing Las Primeras 24 horas Verizon 2016 DBIR

16 Motivación de Brechas Verizon 2016 DBIR

17 Ransomware

18

19 Cultura de Seguridad Uno de los valores de la organización Cultura organizacional consciente Orientación para nuevos empleados Capacitación, educación e información Dar ejemplo por medio de acciones Incentivar y motivar las buenas practicas

20 Normas y Estándares COBIT NIST SP 800 ISO 27000

21 Acercamiento de 5 Pasos BBB.org

22 10 Consejos Principales para Prácticas Pequeñas HealthIT.gov

23 Controles Críticos de Seguridad CISecurity.org / SANS.org 1 - Inventario de Dispositivos, Autorizados y No Autorizados 2 - Inventario de Software, Autorizado y No Autorizado 3 - Configuraciones Seguras de HW y SW 4 - Evaluación y Remediación de Vulnerabilidades Continua 5 - Controlar Uso de Privilegios Administrativos 6 - Mantenimiento, Monitoreo y Análisis de Bitácoras de Auditoria 7 - Protección de y Navegadores 8 - Defensas Contra Malware 9 - Limitar y Controlar Puertos, Protocolos y Servicios 10 - Capacidad de Recuperar Información

24 Controles Críticos de Seguridad CISecurity.org / SANS.org 11 - Configuraciones Seguras de Dispositivos de Red 12 - Defensa Fronteriza 16 - Monitoreo y Control de Cuentas 17 - Evaluar Conocimiento de Personal y Educar 13- Protección de la Información 18 - Seguridad de Aplicaciones 14 - Acceso Basado en Necesidad 15 - Control de Acceso Inalámbrico 19 - Respuesta y Manejo de Incidentes 20 - Pruebas y Ejercicios de Penetración

25 Por Ultimo Alinearse con los objetivos de la organización Establecer buena relación y comunicación con otros deptos. Comunicar retos y soluciones clara y efectivamente Recordemos que el usuario no es el enemigo Desarrollar políticas realistas, fáciles de entender y de cumplir Participar y colaborar en asociaciones, comités y grupos de interés sobre ciberseguridad y e-salud

26 Membresía por invitación para miembros de HIMSS Comité consiste de 12 miembros, incluyendo un presidente Cada miembro sirve por un período de 2 años El comité provee supervisión de las iniciativas de privacidad y seguridad de HIMSS

27 Se formo en Enero del 2016 Cuenta con mas de 200 miembros Membresía abierta a miembros de HIMSS Seminarios Web mensuales Presentadores de todos los sectores (gobierno, privado, académico, etc.)

28 Obrigado! Bayardo Alvarez Director TI, Boston PainCare Center