Post on 21-Sep-2018
Ciberseguridad en el Sector de e-Salud
Bayardo Alvarez
Director TI, Boston PainCare Center
Todo lo que vea y oiga en el ejercicio de mi profesin, y todo lo que supiere acerca de la vida de alguien, si es cosa que no debe ser divulgada, lo callar y lo guardar con secreto inviolable.
Boston PainCare
Bayardo Alvarez
Director, TI
Boston, Massachusetts
Centro para el tratamiento del dolor con enfoque interdisciplinario
Privacidad y Confidencialidad
Seguridadde la
Informacin
Integridad Disponibilidad
Confidencialidad
Seguridad
No es binaria
No es un proyecto
No es esttica
Es ms que cumplir con plizas
Es ms que seguir mejores prcticas
Es ms que tecnologa
HIMSS 2015 Cybersecurity Survey
69% 65% 63%
59% 53% 53% 53%
49% 39% 34%
HIMSS 2016 Cybersecurity Survey
Source: HIMSS Cybersecurity Survey 2016
NORSE Video
Los 9 Cuadros de Control
Automtico Semi-Auto Manual
Prevenir
Detectar
Responder
Costo
Riesgo
Malcolm Harkins Cylance Inc.
Tip
os
de
Co
ntr
ol
Formas de Control
Mas de 70% de los ataques tomaron ventaja de vulnerabilidades, para la cual haba una actualizacin.
Durante los ltimos 11 aos, 98% de los incidentes siguieron 9 patrones. Los 4 mas comunes involucraban error humano o uso incorrecto de tecnologa.
El mtodo mas comn para infectar un computador: PHISHING
Verizon 2016 DBIR http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
Source: Stan Stahl Citadel Information Group http://citadel-information.com
Phishing Las Primeras 24 horas
Verizon 2016 DBIR http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
Motivacin de Brechas
Verizon 2016 DBIR http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/
Ransomware
Cultura de Seguridad
Uno de los valores de la organizacin
Cultura organizacional consciente
Orientacin para nuevos empleados
Capacitacin, educacin e informacin
Dar ejemplo por medio de acciones
Incentivar y motivar las buenas practicas
Normas y Estndares
COBIT
ISO 27000
NIST SP 800
https://www.bbb.org/council/for-businesses/cybersecurity/the-5-step-approach/
Acercamiento de 5 Pasos
BBB.org
10 Consejos Principales para Prcticas Pequeas
https://www.healthit.gov/providers-professionals-newsroom/top-10-tips-cybersecurity-health-care
HealthIT.gov
1 - Inventario de Dispositivos, Autorizados y No Autorizados
2 - Inventario de Software, Autorizado y No Autorizado
3 - Configuraciones Seguras de HW y SW
4 - Evaluacin y Remediacin de Vulnerabilidades Continua
5 - Controlar Uso de Privilegios Administrativos
6 - Mantenimiento, Monitoreo y Anlisis de Bitcoras de Auditoria
7 - Proteccin de Email y Navegadores
8 - Defensas Contra Malware
9 - Limitar y Controlar Puertos, Protocolos y Servicios
10 - Capacidad de Recuperar Informacin
https://www.cisecurity.org/critical-controls.cfm
Controles Crticos de SeguridadCISecurity.org / SANS.org
11 - Configuraciones Seguras de Dispositivos de Red
12 - Defensa Fronteriza
13- Proteccin de la Informacin
14 - Acceso Basado en Necesidad
15 - Control de Acceso Inalmbrico
16 - Monitoreo y Control de Cuentas
17 - Evaluar Conocimiento de Personal y Educar
18 - Seguridad de Aplicaciones
19 - Respuesta y Manejo de Incidentes
20 - Pruebas y Ejercicios de Penetracin
https://www.cisecurity.org/critical-controls.cfm
Controles Crticos de SeguridadCISecurity.org / SANS.org
Por Ultimo Alinearse con los objetivos de la
organizacin
Establecer buena relacin y comunicacin con otros deptos.
Comunicar retos y soluciones clara y efectivamente
Recordemos que el usuario no es el enemigo
Desarrollar polticas realistas, fciles de entender y de cumplir
Participar y colaborar en asociaciones, comits y grupos de inters sobre ciberseguridad y e-salud
Membresa por
invitacin para
miembros de HIMSS
Comit consiste de
12 miembros, incluyendo un presidente
Cada miembro sirve por un perodo de 2 aos
El comit provee supervisin de las iniciativas de privacidad y seguridad de HIMSS
www.himss.org/get-involved/committees/privacy-and-security
www.himss.org/get-involved/community/cybersecurity
Se formo en Enero
del 2016
Cuenta con mas de
200 miembros
Membresa abierta a miembros de HIMSS
Seminarios Web mensuales
Presentadores de todos los sectores (gobierno, privado, acadmico, etc.)
Obrigado!Bayardo Alvarez
Director TI, Boston PainCare Center