Los líderes de ciberseguridad del HHS quieren que la industria de la salud rinda cuentas, pero prometen apoyo

BOSTON – En el Foro de Ciberseguridad de Salud de HIMSS el jueves, Erik Decker, director de seguridad de la información de Intermountain Health, dirigió una discusión con líderes de ciberseguridad del Departamento de Salud y Servicios Humanos de EE. UU. para hablar sobre cómo la agencia está impulsando la responsabilidad y la competencia en ciberseguridad. .

Decker estuvo acompañado por el comandante Thomas Christl, director de la Oficina de Protección de Infraestructura Crítica del HHS en la Administración para la Preparación y Respuesta Estratégicas, Nicholas Heesters, asesor principal de ciberseguridad de la Oficina de Derechos Civiles y Nick Rodríguez, gerente del HHS. programa 405(d).

Un ‘cambio radical’ en el enfoque de la gestión de riesgos

Christl dijo que recientemente ha habido muchas conversaciones dentro del HHS sobre cómo su departamento de ASPR puede abordar la ciberseguridad del sector de atención médica y de salud pública de manera más “holística”, mejor y ayudar al HHS en su papel como Agencia de Gestión de Riesgos Sectoriales para atención médica bajo la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Ha habido un “cambio radical en la forma en que abordamos lo cibernético como SRMA en formas que ni siquiera podríamos haber imaginado hace dos o tres años”, dijo.

Al trabajar con CISA y socios del sector privado, ASPR tiene planes para desarrollar su capacidad cibernética, está invirtiendo en el seguimiento de incidentes cibernéticos y ha publicado el Kit de herramientas de identificación de riesgos y criticidad del sitiouna evaluación de 94 preguntas basada en el Marco de ciberseguridad del NIST.

La herramienta le dará al HHS la capacidad de generar datos agregados anónimos sobre el estado del sector, dijo Christl, quien señaló que ASPR también puede tener más personal o capacidad de recursos. “Estamos recibiendo una inversión de nuestro liderazgo superior”, lo que permitirá que la función de preparación y respuesta del HHS “haga más en todos los niveles”.

En respuesta a una pregunta sobre el intercambio de información de inteligencia sobre amenazas, Christl dijo que la agencia está buscando cómo degradar y desclasificar la información a través de “protocolos de semáforo” para hacerla “consumible” y útil para HIT, y también está considerando agregar información completa. establecer enlaces con el FBI y el CISA para facilitarlo.

Nuevo recurso para 405(d)

Decker brindó una breve reseña sobre el análisis del panorama patrocinado por 405(d), que, según dijo, se alinea con el Actualización de las prácticas de ciberseguridad de la industria sanitaria publicada en HIMSS23 en abril.

Ese análisis de lo que las organizaciones de atención médica están haciendo bien y en qué se quedan cortos le dio al HHS una hoja de ruta, al mismo tiempo que proporciona a las organizaciones datos para compararse con sus pares en función del tamaño y otros factores, dijo Rodríguez.

Rodríguez dijo que el programa 405(d) se centra en trabajar con ASPR e integrar sus datos y generar su apoyo para apoyar mejor a la industria “para producir más documentos, producir más capacitaciones, producir más educación” y también brindar alcance directo a las pequeñas empresas. sistemas de salud.

Junto con la reciente actualización del IPCA, el HHS también ofrece nuevos conocimientos bajo demanda. Un programa gratuito de educación y capacitación de cuatro partes está diseñado para la capacitación del usuario final, y los archivos están disponibles para descargar para organizaciones que tienen sus propios sistemas de aprendizaje, señaló.

En un futuro próximo, 405(d) también publicará una publicación sobre gestión de riesgos cibernéticos y una lista de verificación operativa conjunta actualizada para las primeras 12 horas después de un evento cibernético, dijo Rodríguez.

Cómo el HICP puede ayudar con las investigaciones de la OCR

Heesters dijo que la OCR ha recibido más de 30.000 quejas sobre posibles violaciones de la privacidad o seguridad de la información médica y más de 700 notificaciones de violaciones para 2022.

Decker preguntó a Heesters cómo las nuevas consideraciones bajo la Ley HITECH dan a las organizaciones de atención médica una ventaja en las investigaciones si han implementado HICP y otras orientaciones 405(d).

Dado que las regulaciones están diseñadas para no ser prescriptivas, Heesters dijo que cree que los elementos procesables específicos en HICP son útiles para que las organizaciones piensen en cómo fortalecer mejor sus entornos y proteger la ePHI. Mencionó el análisis de riesgos, el control de puntos finales, el inventario de activos, la autenticación multifactor y otros protocolos de seguridad de red de HICP.

Muchos de los elementos tienen una correlación directa con los requisitos de seguridad.

“Así que, aunque la regla de seguridad no es prescriptiva, los requisitos son para proteger la información de salud”, afirmó Heesters.

Por ejemplo, dijo que la sección sobre ejercicios de simulación de phishing “encaja muy bien” con el requisito de proporcionar recordatorios de seguridad que las entidades deben cumplir.

Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico: afox@himss.org

Healthcare IT News es una publicación de HIMSS Media.