Cómo prevenir ciberataques en la industria de la salud
Leonardo RamosChief Technology Officer - ZMA
AGENDA
• ¿Qué es un ciberataque?
• ¿Cómo se desarrolla?
• Ciberataques en la industria de la salud
• ¿Cómo prevenirlos?
Pandemia vs Ciberataque
1• Virus en
animales
2• Riesgo de
enfermedad en humanos
3• Infección
humana sin transmisión entre personas
4• Transmisión
entre personas
5• Transmisión
en al menos dos países
6• Transmisión
sostenida y aumentada en la población general
Periodo interpandémico
Periodo de alerta pandémico Pandemia Periodo
post-pandémico
¿Cómo se desarrolla?
Reconocimiento Compromiso inicial Punto de apoyo Escalamiento de
privilegio Fin de operación
Reconocimiento interno
Mantener presencia
Movimiento lateral
Ciberataques en la industria de la salud• Calidad de la información almacenada
• Valor de la información
• Ransomware
• Reputación
• Normativas
¿Cómo prevenirlos?
Reconocimiento Compromiso inicial Punto de apoyo Escalamiento de
privilegio Fin de operación
Reconocimiento interno
Mantener presencia
Movimiento lateral
Comienzo Desarrollo Post-ataque
Etapa 1: Comienzo del ataque• Educación sobre ciberseguridad
• Seguridad Perimetral
• Gestión de configuración de la seguridad en Endpoints y Servidores
• Gestión de parches
Reconocimiento Compromiso inicial Punto de apoyo Escalamiento de
privilegio Fin de operación
Seguridad Perimetral
• Firewall• Análisis de Logs
• Change Management
• Alertas en tiempo real
• Reportes basados en reglas
• Auditoria forense
Gestión de configuración de la seguridad en Endpoints y Servers
• Administración centralizada• Políticas de seguridad• Configuración de Firewall Personal• Actualizaciones de Antivirus y firmas• Configuración de buscadores• Auditoría de Logs en Endpoints• Dashboards de indicadores
Gestión de parches
• Automatización de actualizaciones
• Grupos de prueba y despliegue masivo
• Gestión de aprobaciones previo despliegue masivo
• Reportes de dispositivos desactualizados
• Descubrimiento de nuevos dispositivos en la red
Etapa 2: Desarrollo• Auditoria de registros de eventos
• Monitoreo de Alertas basadas en umbrales y anomalías
• Gestión de credenciales
Reconocimiento Compromiso inicial Punto de apoyo Escalamiento de
privilegio Fin de operación
Auditoría de registros de eventos
• Alertas en tiempo real• Correlación de eventos• Cambios de permisos• Patrones de ataques• IA + ML
Auditoría de registros de eventos
• Monitoreo de actividad de usuarios privilegiados
• Monitoreo de carpetas y archivos• Actividad e integridad de archivos
sensibles
Monitoreo de alertas basadas en umbrales y anomalías
• Monitoreo proactivo• Experiencia de usuario• Disponibilidad por servicio• Umbrales y anomalías en
rendimiento• Análisis de causa raíz• Defacements
Gestión de credenciales
• Control del acceso a contraseñas privilegiadas
• Grabación de sesiones privilegiadas
• Reseteo automático de contraseñas
• Uso compartido sin posesión• Gestión de cuentas de
servicios
Etapa 3: Post-Ataque• Análisis Forense de registros de eventos
• Backup
Reconocimiento Compromiso inicial Punto de apoyo Escalamiento de
privilegio Fin de operación
Backup
• Backup online y offline• Medios diferentes• Sitios diferentes• Versionado• Verificación de integridad• Pruebas de restore
Conclusiones• La información es un ACTIVO que se puede valuar, clasificar,
divulgar y PROTEGER
• Existen controles que deben ser implementados para conservar la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD de la información para evitar su FUGA o ALTERACIÓN
• En la mayoría de las fugas de información hay un COMPONENTE INTERNO.
SOLUCION = Gestión + Herramientas