Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Actualizaciones de seguridad de HIPAA 2025: lo que las organizaciones de atención médica deben saber

Trevor Dearing
Director de Marketing de Soluciones Industriales
Illumio Editorial
13de enero de 2025
23 min. leer

Los ciberataques están afectando a la atención médica con más fuerza que nunca. Con la seguridad del paciente y los datos confidenciales en juego, las nuevas actualizaciones propuestas de la Regla de Seguridad de HIPAA son un llamado audaz a la acción: resiliencia sobre excusas.

Las actualizaciones propuestas a la Regla de Seguridad tienen como objetivo fortalecer la protección de la información médica protegida electrónica (ePHI). Durante años, las organizaciones de atención médica lucharon por seguir las pautas de ciberseguridad. Muchos dejaron brechas críticas en sus defensas.  

Ahora, la Oficina de Derechos Civiles (OCR) está pidiendo un enfoque más fuerte y claro para cerciorar los sistemas de salud de la nación. ¿El mensaje? Es hora de priorizar la acción sobre la intención.

Aquí hay un desglose de lo que significan los cambios propuestos y cómo los proveedores de atención médica pueden preparar.

Los 3 mayores cambios de seguridad propuestos por HIPAA  

Las nuevas propuestas de HIPAA no son solo pequeños cambios a las Reglas de Seguridad existentes. Cambian las reglas del juego para la ciberseguridad de la atención médica. Estos son los tres cambios más importantes para los que toda organización de atención médica debe preparar ahora.

1. Pasar de una mentalidad de prevención a una mentalidad de resiliencia

Un gran cambio en las actualizaciones propuestas es el cambio de centrar solo en la seguridad a centrar en la resiliencia cibernética.  

No es suficiente mantener alejadas las amenazas: debe estar preparado para contener los ataques y reducir su impacto. Las organizaciones de atención médica son una infraestructura crítica y cualquier interrupción de sus operaciones puede ser catastrófica. Deben poder recuperar rápidamente cuando ocurren ataques.

Como explica la propuesta, "las entidades reguladas deben considerar cómo sus medidas de seguridad respaldan la resiliencia ante un evento adverso".

Este es un poderoso cambio de pensamiento. Se les pide a las organizaciones de atención médica que construyan sistemas que puedan adaptar y recuperar durante las crisis.  

Los nuevos requisitos significan que la resiliencia cibernética no es solo un beneficio. Es esencial para proteger a los pacientes, los datos y las operaciones en el panorama actual de amenazas.

2. Creación de ciberseguridad personalizada y basada en el riesgo

Otra actualización clave es el cambio a un enfoque de seguridad basado en el riesgo.  

En lugar de tratar todos los riesgos de la misma manera, las organizaciones deben evaluar sus amenazas específicas y centrar en abordar las más críticas.

El borrador de la regla establece: "Las entidades deben reducir los riesgos para su ePHI a un nivel que sea razonable y apropiado para sus circunstancias específicas".

Este enfoque reconoce que no todas las organizaciones de atención médica son iguales. Una red hospitalaria grande tiene riesgos diferentes a los de una clínica pequeña. Al adaptar los esfuerzos de seguridad a sus situaciones únicas, los proveedores pueden garantizar que sus defensas sean efectivas y eficientes.

3. Abordar la seguridad de los dispositivos heredados

Uno de los desafíos más difíciles para las organizaciones de atención médica es lidiar con dispositivos médicos obsoletos. Estos sistemas heredados a menudo carecen de funciones de seguridad modernas, lo que hace que las redes sean vulnerables a los ataques.  

La nueva propuesta no endulza este tema. El borrador reconoce: "Algunas entidades reguladas pueden incurrir en costos para reemplazar dispositivos médicos heredados que no pueden proteger razonablemente contra las amenazas actuales".

Si bien son necesarias, estas actualizaciones podrían poner a prueba a los proveedores pequeños y rurales con cotizaciones limitadas. Pero ignorar el problema no es una opción. Los ataques cibernéticos dirigidos a dispositivos vulnerables podrían costar aún más a largo plazo.

Requisitos técnicos propuestos por HIPAA para la ciberseguridad de la atención médica

Las actualizaciones propuestas no se tratan solo de ideas generales. Incluyen acciones específicas que las organizaciones de atención médica deben tomar para mejorar la seguridad:

  • Respuesta a incidentes: Las organizaciones deben crear y probar planes de respuesta a incidentes con regularidad para cerciorar de que están preparados para posibles eventos cibernéticos.
  • Seguridad de la cadena de suministro: Los proveedores deben evaluar los riesgos en sus socios comerciales y cadenas de suministro para abordar las vulnerabilidades de terceros.

El borrador también destaca los requisitos técnicos, haciéndolos obligatorios en lugar de opcionales:

  • Mitigación de vulnerabilidades
  • Encriptación
  • Autenticación multifactor (MFA)
  • Copia de seguridad y recuperación de datos
  • Restricción de puertos abiertos
  • Segmentation

La segmentación, en individua, es digna de mención. Si bien se consideró la mejor práctica durante años, ahora se está convirtiendo en un requisito de cumplimiento y seguro.

Por qué la microsegmentación es importante ahora para la atención médica

El borrador menciona la segmentación de la red, pero las organizaciones de atención médica deberían ir un paso más allá con la microsegmentación.  

La microsegmentación divide las redes en zonas más pequeñas y aisladas. Esto limita el movimiento de los atacantes si violan el sistema, también llamado movimiento lateral.

A diferencia de la segmentación tradicional, que se basa en defensas perimetrales, la microsegmentación funciona a un nivel granular. Puede evitar que las amenazas se propaguen mientras mantiene las operaciones normales. Para los proveedores de atención médica, esto significa menos interrupciones y una mayor protección para los datos confidenciales.

En Illumio, vimos cómo la microsegmentación transforma las estrategias de seguridad. No se trata solo de cumplir con las regulaciones, se trata de crear un sistema de defensa proactivo que esté listo para nuevas amenazas y sea resistente cuando ocurra un ataque.

¿Qué sigue para la ciberseguridad sanitaria?

Las actualizaciones propuestas de HIPAA son más que ajustes regulatorios: son una llamada de atención para la industria de la salud. Las organizaciones de atención médica deben ir más allá de las prácticas obsoletas y adoptar un enfoque de ciberseguridad con visión de futuro.  

La resiliencia ya no es opcional; es una necesidad.

Estos cambios no serán fáciles. Implementarlos requerirá tiempo, dinero y un cambio de mentalidad. Pero el costo de la inacción es mucho mayor. Los ataques cibernéticos se están volviendo más sofisticados y lo que está en juego es demasiado alto para ignorarlo.

Las organizaciones de atención médica deben ver estas actualizaciones como una oportunidad, no como una carga. Al invertir en resiliencia y adoptar las mejores prácticas como la microsegmentación, pueden construir un futuro más fuerte y seguro.

Las organizaciones que estén a la altura de este desafío estarán mejor preparadas para las amenazas del mañana y se ganarán la confianza de sus pacientes y socios en el proceso.

Lea nuestro guide sobre cómo la plataforma de segmentación Illumio Zero Trust puede ayudarlo a cumplir con los nuevos requisitos de seguridad de HIPAA.

Temas relacionados

Healthcare

Artículos relacionados

Guía del arquitecto para implementar la microsegmentación: gestión del proceso de implementación
Segmentación de confianza cero

Guía del arquitecto para implementar la microsegmentación: gestión del proceso de implementación

Mejores prácticas de implementación de microsegmentación: en muchos sentidos, es solo otro proyecto de TI. Descubra las pautas que se pueden adaptar a implementaciones de cualquier tamaño.

Read more
Cómo QBE reduce la complejidad y el riesgo a nivel mundial con Illumio
Segmentación de confianza cero

Cómo QBE reduce la complejidad y el riesgo a nivel mundial con Illumio

Descubra cómo QBE implementó la segmentación en su camino hacia la confianza cero.

Read more
Lo que necesita para distribuir una política de confianza cero
Segmentación de confianza cero

Lo que necesita para distribuir una política de confianza cero

En este serial, analizamos el descubrimiento de políticas y la creación de políticas hasta ahora. Una vez que tenga una política para implementar, debe calcularla, convertirla en reglas y distribuirla a los puntos de aplicación.

Read more
9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero
Segmentación de confianza cero

9 razones por las que los proveedores de atención médica deberían implementar la segmentación de confianza cero

Explore los beneficios de la segmentación de confianza cero para su organización de atención médica.

Read more
Dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica
Cyber Resilience

Dispositivos médicos conectados: la principal vulnerabilidad de ciberseguridad de la atención médica

Obtenga información sobre las vulnerabilidades de seguridad de los dispositivos médicos IoT conectados y cómo resolverlas con la segmentación de confianza cero.

Read more
Por qué la atención médica debe adoptar un enfoque de contención de brechas para la ciberseguridad
Segmentación de confianza cero

Por qué la atención médica debe adoptar un enfoque de contención de brechas para la ciberseguridad

Obtenga información sobre la rápida transformación digital de la industria de la salud en el contexto del 75 aniversario del NHS del Reino Unido.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more