Las organizaciones de salud deben gestionar de forma segura los datos privados de miles de personas. Lo mismo pacientes que médicos y administradores o proveedores, todos contribuyen con información delicada. Destacan los expedientes clínicos electrónicos (ECE) y los datos financieros. Regular el acceso a esa información es complejo. Y las soluciones habituales, como las de gestión de identidades y accesos (Identity and Access Management, IAM) no siempre son suficientes. Es ahí donde entran en juego herramientas más potentes, como las de gobernanza y administración de identidades (Identity Governance and Administration, IGA).
Al igual que el software de IAM, las soluciones de gobernanza y administración de identidades monitorean el acceso y las actividades de los usuarios. Sin embargo, las herramientas de IGA van más allá: son capaces de auditar y automatizar de manera uniforme los requisitos de acceso a todos los recursos de TIC, sin importar su ubicación. Esto es algo que, en general, las soluciones IAM no pueden hacer automáticamente. Sin embargo, no por ello se deben desechar. Al contrario: sus capacidades se suman e integran a las herramientas de IGA:
Es decir, las herramientas de gobernanza y administración de identidades integran las políticas y operaciones de identidad y los requisitos de auditoría y cumplimiento. Eso permite al personal de TIC tener más control sobre las actividades de los usuarios. Por supuesto, lo hacen tanto en las redes y recursos locales como en la nube.
Además, las soluciones de IGA pueden generar informes para consultas específicas, auditorías, comprobaciones de cumplimiento y revisiones de ciberseguridad.
Control detallado
Las capacidades de las soluciones IGA son ideales para los entornos de salud. No sólo se trata de atender a miles de personas. A ello se suma la complejidad de la rotación de pacientes y su uso de diferentes servicios de salud. En cada caso, los usuarios requerirán accesos y permisos distintos. El software de gobernanza y administración de identidades permite gestionarlos con precisión, asegurando que sólo accederá a los recursos indispensables en cada caso. Por supuesto, cada una de sus acciones queda registrada para propósitos de auditoría.
Otra ventaja de las soluciones IGA consiste en que funcionan bien en entornos muy descentralizados. La mayoría de las organizaciones tienen diversos edificios y redes, a menudo en ciudades distintas. Además, hoy en día los usuarios pueden conectarse desde cualquier parte. Eso propicia que se conecte a las redes hospitalarias una cantidad ingente de dispositivos personales. Se trata de computadoras de escritorio, dispositivos móviles (laptops, tabletas y smartphones), que suelen usar redes Wi-Fi abiertas. A ellos se suman los dispositivos de la Internet de las Cosas Médicas (IoMT), las unidades USB y los servicios basados en la nube.
Controlar con eficacia las actividades que los usuarios realizan con esos dispositivos sólo es posible con herramientas avanzadas, como las de gobernanza y administración de identidades.
Esa abundancia de usuarios y endpoints se conjuga con un ecosistema esencialmente abierto por necesidad. Hoy no es raro que los usuarios utilicen los recursos de TIC bajo una gobernanza laxa, con pocas limitaciones. Eso aumenta significativamente la superficie de ataque de las organizaciones de salud y los hackers lo aprovechan.
Buenas prácticas de gobernanza y administración de identidades
Ahora bien, aun cuando las soluciones de gobernanza y administración de identidades ayudan a enfrentar el reto de la ciberseguridad, para implementarlas correctamente conviene tomar en cuenta algunas consideraciones:
●Usar roles para definir los accesos. Con IGA no es necesario crear individualmente las credenciales para cada persona. En vez de ello, se diseñan categorías de clasificación, es decir, roles. Luego, los usuarios reciben identidades de acceso según la categoría que se les asigna. Así, en vez de lidiar con miles de variantes, se tiene un catálogo manejable de las funciones existentes y los privilegios que requieren.
●Actualizar periódicamente el catálogo de usuarios. Dado que los conjuntos de usuarios y sus roles en las organizaciones de salud cambian sin cesar, es vital mantener actualizados sus privilegios de acceso. Por ende, resulta esencial establecer políticas de gobernanza claras, pues las soluciones IGA no pueden hacerlo todo por sí solas. Deben delinearse prácticas bien definidas de aprovisionamiento y bajas de los usuarios, lo cual requiere la colaboración de otros departamentos, como el recursos humanos.
Ahora bien, lo más desafiante al implementar una solución de gobernanza y administración de identidades es el factor humano. Como en todo lo relativo a la ciberseguridad, persuadir a las personas de las ventajas de una estrategia robusta de IGA implica poner de acuerdo a los departamentos y personal clave, con intereses a menudo encontrados. O bien, simplemente sin tiempo ni recursos para intentarlo. Sin embargo, ante el panorama de ataques en aumento, vale la pena el esfuerzo.
