Trisha Paine, jefa de Programas de Marketing en la Nube de Check Point, ha publicado que la industria de la salud siempre ha sido más cautelosa cuando se trata de la seguridad de los nuevos mecanismos de implementación de tecnología médica, especialmente cuando involucran la carga de trabajo en la nube.
Aunque se aprecian todos los beneficios que ofrece la nube, la primera prioridad del sector salud es proteger los datos y registros privados de los pacientes. Esto, a su vez, se equilibra con la necesidad de datos expeditos de atención al paciente, que estén consolidados y siempre disponibles.
La forma más fácil de hacerlo es aprovechando la nube pero, a juicio de Paine, las reglas y multas regulatorias impuestas por la HIPAA (Ley de Responsabilidad y Portabilidad del Seguro de Salud) agrava este salto y hace que la transición sea más desafiante. Y es que, en algunos casos, las sanciones ascienden a más de un millón de dólares por incidente.
“Esto deja a las organizaciones de atención médica y al tecnólogo médico en un dilema. El secreto es evolucionar el enfoque de seguridad y, mejor aún, automatizar el protocolo de seguridad para garantizar la protección del paciente, la seguridad de la aplicación y el cumplimiento”.
También ha dicho que la rápida proliferación de tecnología médica y de salud con que cuentan los consumidores está impulsando a los proveedores de atención y tecnología médica a la nube pública, específicamente a nuevas cargas de trabajo de aplicaciones, incluidas arquitecturas sin servidor y contenedores.
Las arquitecturas modernas de carga de trabajo en la nube, para muchos casos de uso de tecnología médica y sanitaria, representan una excelente opción de arquitectura por varias razones.
En primer lugar, porque las aplicaciones sanitarias y médicas a menudo requieren gran escala y alta disponibilidad. Entonces, las cargas de trabajo sin servidor y de contenedores hacen que sea más fácil y menos costoso construir y operar aplicaciones a gran escala y de alta disponibilidad.
“Por ejemplo, las farmacias tienen aplicaciones móviles o en línea para procesar solicitudes de recetas que requieren escalabilidad bajo demanda. Por otro lado, las aplicaciones de software EMR utilizadas dentro de la red de hospitales se pueden dividir en contenedores para una mayor eficiencia y seguridad”.
En segundo lugar, el cumplimiento y la protección de la privacidad de los datos a menudo son críticos para las soluciones tecnológicas de atención médica. Pasar a las arquitecturas de carga de trabajo en la nube puede ayudar a los desarrolladores a “crear aplicaciones más sólidas con requisitos nanométricos para mejorar las restricciones de seguridad y privacidad”.
Desafíos de cargas de trabajo
El cambio a cargas de trabajo modernas, como servidores y contenedores, crea nuevos desafíos y oportunidades para las soluciones médicas y de atención médica, de acuerdo a lo planteado por la jefa de Programas de Marketing en la Nube de Check Point.
Ha señalado que los proveedores de tecnología médica deben comprender los diversos aspectos para abordar los requisitos de seguridad y cumplimiento como, por ejemplo, que las aplicaciones médicas implementadas en una nube pública tienen requisitos de cumplimiento estrictos, como la HIPAA y el GDPR (Reglamento General de Protección de Datos).
“Las organizaciones de atención médica deben cumplir con estas reglamentaciones de conformidad de acuerdo con el diseño de la carga de trabajo implementada, y permitir las certificaciones y auditorías adecuadas para controles de seguridad claros en todo el ciclo de vida de la aplicación, desde el desarrollo hasta la producción”.
Además, deben tomar en cuenta que los servicios de salud en la nube pueden comprender cientos de funciones sin servidor o varios contenedores en una arquitectura de microservicios, cada uno manejando alguna transacción específica de los datos médicos de los usuarios.
“Para cada función o componente de contenedor, es imprescindible que la solución de protección de la carga de trabajo en la nube implementada garantice la ejecución de privilegios mínimos. Esto es crucial para minimizar el riesgo de fuga de datos y violaciones de privacidad”.
Por otra parte, las soluciones de protección de la carga de trabajo en la nube requieren proteger la aplicación de amenazas conocidas y desconocidas, estas últimas comúnmente llamadas como ataques de “día cero”.
“Debido a que las funciones sin servidor utilizadas en las soluciones de tecnología médica suelen ser pequeñas y de un solo propósito, una solución de seguridad sin servidor debe emplear una defensa conductual de autoaprendizaje para detectar y bloquear comportamientos indeseables que surgen de los ataques cibernéticos”.
Automatizando la seguridad
Desde cero, así debe construirse la seguridad moderna de las aplicaciones nativas de la nube, como de las cargas de trabajo en la nube, teniendo en cuenta el funcionamiento interno de la aplicación.
Los protocolos de seguridad de aplicaciones tradicionales, según Trisha Paine, simplemente no funcionan en estas arquitecturas modernas porque la mecánica de la aplicación ha cambiado fundamentalmente.
“Las organizaciones de atención médica y el tecnólogo médico deben reinventar la forma en que AppSec se realiza sin afectar negativamente los beneficios operativos de estas cargas de trabajo modernas, como la eficiencia, el ahorro de costos, etc”.
También ha recordado que existen varias características que ayudan a hacer que la aplicación Cloud Workload para Healthcare sea mucho más segura que las aplicaciones tradicionales.
Algunos de estas son la visibilidad centralizada en entornos nativos de la nube, la inteligencia conductual para prevenir ataques conocidos y desconocidos, así como la protección activa y seguridad automatizada.
Dijo que Check Point CloudGuard también proporciona una solución integral de protección de la carga de trabajo en la nube para la atención médica y que ha desarrollado su solución para abordar las necesidades únicas que enfrentan las organizaciones de atención médica y el tecnólogo médico con las cargas de trabajo modernas en la nube.