Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Actualizaciones de seguridad de HIPAA 2025: lo que las organizaciones de atención médica necesitan saber

Trevor Dearing
,
Director de Mercadotecnia de Soluciones Industriales
January 13, 2025
23 min. lectura

Los ataques cibernéticos están golpeando la atención médica más fuerte que nunca. Con la seguridad del paciente y los datos sensibles en juego, las nuevas actualizaciones propuestas de la Regla de Seguridad HIPAA son un audaz llamado a la acción: resiliencia sobre excusas.

Las actualizaciones propuestas a la Regla de Seguridad tienen como objetivo fortalecer la protección de la información electrónica protegida de salud (ePHI). Durante años, las organizaciones de salud han tenido dificultades para seguir las directrices de ciberseguridad. Muchos han dejado brechas críticas en sus defensas.

Ahora, la Oficina de Derechos Civiles (OCR) está pidiendo un enfoque más fuerte y claro para asegurar los sistemas de salud de la nación. ¿El mensaje? Es hora de priorizar la acción sobre la intención.

A continuación, se muestra un desglose de lo que significan los cambios propuestos y cómo los proveedores de atención médica pueden prepararse.

Los 3 cambios de seguridad HIPAA más grandes propuestos

Las nuevas propuestas de HIPAA no son solo pequeños cambios a las Reglas de Seguridad existentes. Cambian las reglas del juego para ciberseguridad sanitaria. Estos son los tres cambios más importantes para los que cada organización de atención médica necesita prepararse ahora.

1. Pasar de una mentalidad de prevención a una mentalidad de resiliencia

Un gran cambio en las actualizaciones propuestas es el cambio de centrarse solo en la seguridad a centrarse en ciberresiliencia.

No es suficiente mantener las amenazas fuera; debe estar preparado para contener los ataques y reducir su impacto. Las organizaciones de atención médica son una infraestructura crítica y cualquier interrupción de sus operaciones puede ser catastrófica. Deben ser capaces de recuperarse rápidamente cuando ocurren ataques.

Según explica la propuesta, “las entidades reguladas deben considerar cómo sus medidas de seguridad apoyan la resiliencia ante un evento adverso”.

Este es un cambio poderoso en el pensamiento. Se está pidiendo a las organizaciones de salud que construyan sistemas que puedan adaptarse y recuperarse durante las crisis.

Los nuevos requisitos significan que la resiliencia cibernética no es solo una ventaja. Es esencial para proteger a los pacientes, los datos y las operaciones en el panorama actual de amenazas.

2. Creación de ciberseguridad personalizada basada en riesgos

Otra actualización clave es el paso a enfoque de seguridad basado en el riesgo.

En lugar de tratar todos los riesgos de la misma manera, las organizaciones deben evaluar sus amenazas específicas y centrarse en abordar las más críticas.

El proyecto de regla establece: “Las entidades deben reducir los riesgos para su ePHI a un nivel que sea razonable y apropiado para sus circunstancias específicas”.

Este enfoque reconoce que no todas las organizaciones de atención médica son iguales. Una gran red hospitalaria tiene riesgos diferentes a los de una clínica pequeña. Al adaptar los esfuerzos de seguridad a sus situaciones únicas, los proveedores pueden garantizar que sus defensas sean efectivas y eficientes.

3. Abordar la seguridad de los dispositivos heredados

Uno de los desafíos más difíciles para las organizaciones de atención médica es lidiar con dispositivos médicos obsoletos. Estos sistemas heredados a menudo carecen de características de seguridad modernas, lo que deja a las redes vulnerables a los ataques.

La nueva propuesta no endulce este tema. El proyecto reconoce: “Algunas entidades reguladas pueden incurrir en costos para reemplazar dispositivos médicos heredados que no pueden protegerse razonablemente contra las amenazas actuales”.

Si bien es necesario, estas actualizaciones podrían agotar a los proveedores pequeños y rurales con presupuestos limitados. Pero ignorar el problema no es una opción. Los ataques cibernéticos dirigidos a dispositivos vulnerables podrían costar aún más a largo plazo.

Requisitos técnicos propuestos por HIPAA para la ciberseguridad sanitaria

Las actualizaciones propuestas no se tratan solo de ideas amplias. Incluyen acciones específicas que las organizaciones de atención médica deben tomar para mejorar la seguridad:

  • Respuesta ante incidentes: Las organizaciones deben crear y probar respuesta a incidentes planea regularmente para asegurarse de que estén listos para posibles eventos cibernéticos.
  • Seguridad de la cadena de suministro: Los proveedores deben evaluar los riesgos en sus socios comerciales y cadenas de suministro para hacer frente a vulnerabilidades de terceros.

El borrador también destaca los requisitos técnicos, haciéndolos obligatorios en lugar de opcionales:

  • Mitigación de vulnerabilidades
  • Cifrado
  • Autenticación multifactor (MFA)
  • Backup y recuperación de datos
  • Restricción de puertos abiertos
  • Segmentación

La segmentación, en particular, es digno de mención. Si bien se ha considerado la mejor práctica durante años, ahora se está convirtiendo en un requisito de cumplimiento y seguro.

Por qué la microsegmentación es importante ahora para el cuidado de la salud

El borrador menciona la segmentación de redes, pero las organizaciones sanitarias deberían ir un paso más allá con la microsegmentación.

Microsegmentación divide las redes en zonas más pequeñas y aisladas. Esto limita el movimiento de los atacantes si violan el sistema, también llamado movimiento lateral.

A diferencia de la segmentación tradicional, que se basa en defensas perimetrales, la microsegmentación funciona a nivel granular. Puede evitar que las amenazas se propaguen mientras mantiene las operaciones normales. Para los proveedores de atención médica, esto significa menos interrupciones y una protección más sólida para los datos confidenciales.

En Illumio, hemos visto cómo la microsegmentación transforma las estrategias de seguridad. No se trata solo de cumplir con las regulaciones, sino de crear un sistema de defensa proactivo que esté listo para nuevas amenazas y resistente cuando ocurre un ataque.

¿Qué sigue para la ciberseguridad sanitaria?

Las actualizaciones propuestas de HIPAA son más que ajustes regulatorios: son una llamada de atención para la industria de la salud. Las organizaciones de atención médica deben ir más allá de las prácticas obsoletas y adoptar un enfoque de ciberseguridad con visión de futuro.

La resiliencia ya no es opcional; es una necesidad.

Estos cambios no serán fáciles. Implementarlos requerirá tiempo, dinero y un cambio de mentalidad. Pero el costo de la inacción es mucho mayor. Los ciberataques son cada vez más sofisticados y las apuestas son demasiado altas para ignorarlas.

Las organizaciones de atención médica deben ver estas actualizaciones como una oportunidad, no como una carga. Al invertir en resiliencia y adoptar mejores prácticas como la microsegmentación, pueden construir un futuro más sólido y seguro.

Las organizaciones que estén a la altura de este desafío estarán mejor preparadas para las amenazas del mañana y ganarán la confianza de sus pacientes y socios en el proceso.

Lea nuestro guía sobre cómo la Plataforma de Segmentación de Confianza Cero de Illumio puede ayudarle a cumplir con los nuevos requerimientos de seguridad de HIPAA.

Temas relacionados

Cuidado de la salud

Artículos relacionados

Únase a Illumio en la Conferencia RSA 2022
Segmentación de confianza cero

Únase a Illumio en la Conferencia RSA 2022

Los eventos en vivo están de vuelta, y eso significa que podemos esperar una gran y emocionante Conferencia RSA con nuestros colegas en la industria de soluciones de ciberseguridad.

Leer más
Lista permitida frente a lista de denylist
Segmentación de confianza cero

Lista permitida frente a lista de denylist

Descubra por qué las listas de permitidos son la solución perfecta para asegurar el flujo de datos este-oeste.

Leer más
Cómo Hi-Temp Insulation lanzó la microsegmentación de Illumino en solo 30 minutos
Segmentación de confianza cero

Cómo Hi-Temp Insulation lanzó la microsegmentación de Illumino en solo 30 minutos

Así es como Hi-Temp Insulation de Camarillo, CA lanzó la solución de Micro-Segmentación de Illumino en solo 30 minutos.

Leer más
9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero
Segmentación de confianza cero

9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero

Explore los beneficios de la Segmentación de Confianza Cero para su organización de atención médica.

Leer más
Los dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica
Ciberresiliencia

Los dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica

Averíguese sobre las problemas de seguridad de dispositivos médicos IoT conectados y cómo resolver con la Segmentación de confianza cero.

Leer más
Por qué la atención médica debe adoptar un enfoque de contención de brechas para la ciberseguridad
Segmentación de confianza cero

Por qué la atención médica debe adoptar un enfoque de contención de brechas para la ciberseguridad

Obtenga información sobre la rápida transformación digital de la industria de la salud en el contexto del 75 aniversario del NHS del Reino Unido.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información