Las pérdidas por ciberataques suman más de 8,000 millones de dólares tan sólo en los últimos tres años. La firma de ciberseguridad Fortinet señala que en la primera mitad de 2022 se registraron 85,000 millones de intentos de ciberataques a nivel global. YMéxico es el tercer país con más ataques. Entre los objetivos predilectos de los hackers se cuentan las instituciones de atención sanitaria. De ahí la importancia que tiene para estas organizaciones implementar la confianza digital en sus entornos de TIC.
«Vivimos en un mundo donde cuando se trata de cómo y a qué nos conectamos. Los términos, definiciones y procedimientos tradicionales ya no se aplican y, por lo tanto, tampoco los métodos de seguridad tradicionales. En este nuevo mundo, necesitamos más que sólo software y soluciones: también necesitamos confianza digital», señala Dean Coclin, director senior de DigiCert, firma especialista en ese campo.
Para implementar la confianza digital no basta con una aplicación de seguridad única. Se trata de una arquitectura completa compuesta por prácticas, herramientas, sistemas y organizaciones. El objetivo es proteger colectivamente un ecosistema completo, independientemente de su tamaño y uso, o si no tiene límites bien definidos. Al implementar la confianza digital, las organizaciones pueden operar con la seguridad de que su huella digital es segura.
Actualmente, en México la ciberseguridad es un desafío creciente. Se requiere proteger dispositivos, activos informáticos, información y datos. Implementar la confianza digital es una práctica fundamental para las empresas mexicanas hoy en día. Se enfoca en reforzar la protección establecida contra el acceso no autorizado a los datos.
«Cada avance tecnológico trae consigo nuevos retos y riesgos, haciendo de la ciberseguridad una prioridad para personas y empresas. La seguridad no es un producto, sino un proceso continuo», apunta Roger Werner, director general de CertSuperior.
Seguridad en todos los dispositivos
Las empresas de salud ya no pueden basarse en los límites físicos o virtuales para definir la confianza. Por ello, muchas han adoptado una política de seguridad de confianza cero (Zero Trust). Este enfoque, caracterizado por la premisa de nunca confiar de antemano, sino siempre verificar todo, requiere la autenticación de todos los accesos a servicios, redes y aplicaciones. En consecuencia, las personas encargadas de la gestión de identidades y accesos deben enfrentarse a muchas más exigencias en sus empresas.
●Más puntos de acceso que requieren autenticación.
○Un mayor volumen de autenticaciones.
●Más tipos de autenticación, como métodos biométricos o sin contraseña.
○Gestión de identidad, integridad y encriptación.
Por otra parte, los dispositivos conectados —ya sean dispositivos personales conectados a una red o tecnologías operativas que han migrado a la nube, así como la Internet de las Cosas Médicas (IoMT)—, aumentan la superficie de ataque. Los administradores de seguridad de red y tecnología operativa no solo deben evaluar cómo aprovisionar la identidad de los dispositivos. También deben establecer cómo protegerlos durante la operación.
Es decir, evitar que los dispositivos sean manipulados. Igualmente, deben pensar en la manera de proteger sus comunicaciones; controlar cómo se conectan a la red; la interacción entre dispositivos nuevos y heredados, y habilitar la autenticación mutua entre ellos. Por supuesto, deben determinar cómo detectar amenazas.
Ahora bien, quienes desarrollan soluciones de seguridad deben tener en cuenta la superficie a proteger en el ciclo de vida de los dispositivos. Esto incluye a los fabricantes de chips y dispositivos, a los desarrolladores de aplicaciones y, en última instancia, a los operadores y usuarios finales.
Implementar la confianza digital: un modelo
Los pilares fundamentales de la confianza digital pueden enumerarse así:
●Estándares.
○Cumplimiento y operaciones.
●Gestión de la confianza.
○Confianza conectada.
En conjunto, permiten a las empresas funcionar de manera segura en un mundo donde los límites ya no definen qué es confiable y qué no lo es. Para implementar la confianza digital existen soluciones —entre ellas las de DigiCert y CertSuperior— que facilitan las acciones de los profesionales de TIC.
Para la administración de identidades, permiten:
●Proporcionar identidades confiables a usuarios, dispositivos, servidores y otros recursos de TIC para autenticarlos.
○Administrar y automatizar el ciclo de vida de los certificados y los flujos de acceso para satisfacer las demandas de TIC y reducir los errores humanos.
En lo que se refiere a gestionar la integridad, es posible:
●Controlar la ausencia de rechazo y la integridad de firmas, documentos y contenidos.
○Definir la integridad del software y ampliar su confianza para abarcar no sólo a los usuarios, sino también a las operaciones en la red y en la nube.
●Proteger conexiones y operaciones.
○Resguardar la comunicación de los dispositivos entre sí y con los usuarios.
●Proteger el ciclo de vida de los dispositivos para garantizar operaciones y actualizaciones confiables.
○Monitorear permanentemente los recursos criptográficos dentro del entorno de la empresa e identificar y corregir vulnerabilidades.
Las iniciativas para implementar la confianza digital pueden establecer un enfoque integral y unificado de la seguridad dentro de una empresa sanitaria. Abordan cómo la disolución del perímetro tradicional define las demandas de seguridad en los departamentos de TIC.