A no ser que hayas vivido en una cueva, lo cual teniendo en cuenta los tiempos que corren sería completamente comprensible, probablemente te hayas visto inundado por todo el boom del modelo Zero Trust. Nosotros mismos somos culpables de promocionarlo, describiendo su importancia y sus múltiples beneficios en webinars o artículos. Y aunque lo apoyo, quiero dar un paso atrás y reconocer que implementar Zero Trust, particularmente en los sistemas de salud, no es simple.
No existe un botón o una única solución para adoptar fácilmente la estrategia de Zero Trust, es necesario un conjunto de personas, procesos, herramientas y tecnologías trabajando juntas en todo el sistema de salud para crear y desarrollar continuamente una estrategia efectiva de Zero Trust. Por ello, primero vamos a aclarar qué es (y qué no) Zero Trust en el ámbito sanitario, definiremos este concepto, hablaremos sobre por qué es importante y, a continuación, indicaremos un marco de aplicación práctico para comenzar a implementar este modelo.
Diferencias entre Zero Trust y Clinical Zero Trust
Antes de sumergirnos en Clinical Zero Trust para la atención sanitaria, vamos a revisar el concepto general de Zero Trust. La Confianza Cero o Zero Trust es una filosofía que parte de la base de que “no hay que confiar en nadie y es imprescindible verificar todo”. Esto tiene sentido y suena bien en la teoría, pero ¿qué ocurre cuando se pone en práctica? Una gran cantidad de proveedores dirán que tienen la solución de Zero Trust que está buscando, pero no existe como tal “una empresa o producto de Zero Trust”. La Confianza Zero es una estrategia, no una tecnología, es un objetivo final, no una característica ni una capacidad.
Para alcanzar una postura Zero Trust se necesita la combinación de personas, procesos y tecnologías, trabajando juntas hacia un objetivo común: mantener toda la infraestructura de negocio funcionando como debería. Este concepto se basa en la suposición de que se pueden tomar decisiones de acceso en función de la identidad y los derechos de los usuarios y los datos (por ejemplo, el usuario “A” sólo puede conectarse a estos cinco dispositivos, pero a nada más). Así, los trabajadores disponen de los menores privilegios posibles para hacer su trabajo de forma segura. De esta manera, si un atacante compromete a un usuario o dispositivo, se limita el daño que pueda hacer, conteniendo el ataque, cerrando muchos vectores de ataque internos y minimizando en gran medida el impacto potencial de una brecha.
Hay una serie de recursos que pueden ayudar a averiguar cómo diseñar una red de TI para construir un entorno Zero Trust (recomiendo empezar con “Zero Trust Security Playbook for 2021” de Forrester). Estas estrategias tradicionales de Zero Trust funcionan para las operaciones de back office, donde hay muchos de los registros financieros e información de salud personal (PHI). Sin embargo, estas estrategias tradicionales no le ayudarán a proteger los entornos clínicos, donde se presta realmente la atención al paciente.
¿Qué es Clinical Zero Trust?
Aquí es donde entra en juego Clinical Zero Trust (CZT). Este modelo cambia el enfoque de la protección del acceso a los dispositivos y los datos a la securización de los flujos de trabajo físicos (protocolos de atención), los cuales se componen de personas, procesos y dispositivos médicos que participan en la prestación de la atención sanitaria.
A diferencia de los entornos tradicionales de oficina, la mayoría de los dispositivos de los entornos clínicos no están asociados a ningún usuario o dato específico, por lo que no se pueden aplicar los principios tradicionales de Zero Trust. Piense en las bombas intravenosas, los monitores, los endoscopios o las resonancias magnéticas, entre otros dispositivos: no están vinculados a una persona concreta, no hay ningún usuario conectado o registrado desde una perspectiva digital (aunque haya una persona físicamente conectada a ellos). Además, estos dispositivos no son herramientas estáticas. Se mueven constantemente, a veces de un paciente a otro y en otras ocasiones con el propio paciente, en el trascurso de la prestación de la atención sanitaria. Por lo tanto, el concepto Zero Trust debe adaptarse a los requisitos específicos del entorno clínico para proteger la continuidad de la atención al paciente frente a cualquier dispositivo particular.
Por qué es importante Clinical Zero Trust
Clinical Zero Trust garantiza que el paciente es lo primero en una estrategia diseñada en torno al objetivo de proteger la prestación de cuidados y no a los dispositivos. Piense en lo que supondría que se bloqueara el acceso a un ventilador o que se impidiera la comunicación de una bomba intravenosa con el monitor de un paciente, simplemente porque se moviera, se encendiera o se hiciera una nueva conexión. La estrategia Clinical Zero Trust ayuda a los sistemas sanitarios a implementar controles de seguridad efectivos sobre los protocolos asistenciales para mantener su integridad y fluidez, sin obstaculizar la atención al paciente.
Para implementar esta postura de seguridad, se tienen en cuenta todos los dispositivos y procesos que intervienen en la prestación de la asistencia, lo que en última instancia puede ayudar a los sistemas sanitarios a optimizar la eficiencia y mejorar los resultados. Esto es fundamental para permitir las transformaciones operativas y eficaces que los sistemas de salud están buscando a medida que avanzan hacia una medicina más conectada. Los hospitales y sistemas de salud inteligentes solo son posibles si están protegidos. CZT puede ser un facilitador de esa adopción, permitiendo que los protocolos de atención se entreguen de una manera segura que satisfaga las necesidades de los pacientes, el personal y el negocio.
Cómo empezar a implementar una estrategia Clinical Zero Trust
Dado que CZT trata de proteger los procesos físicos (protocolos de atención), y no los dispositivos o datos específicos que intervienen en el proceso, hay que tener en cuenta todo lo que intervine en la administración de un procedimiento o la prestación de la atención sanitaria. Los equipos de ingeniería biomédica y clínica ya funcionan de esta manera cuando crean protocolos de atención, que dependen de un conjunto de personal, dispositivos y sistemas, que pueden ser ejecutados diariamente para proporcionar un resultado prescriptivo: ahora, la seguridad necesita empezar a pensar en estos términos.
El proceso requerirá mucha colaboración entre las partes interesadas de la empresa, la biomedicina y la seguridad, lo que puede generar sus propios retos y recompensas, pero al final permitirá la aplicación de una estrategia Clinical Zero Trust exitosa con todos los beneficios mencionados anteriormente. La planificación y puesta en marcha de esta estrategia puede desglosarse en cinco fases:
- Identificar todo lo que funciona en el entorno clínico
- Mapear el uso de las entidades para entender cómo intervienen en los protocolos asistenciales y empresariales
- Diseñar el entorno para proteger la integridad y el flujo de cada protocolo
- Supervisar el entorno para comprender el impacto de las políticas que se pretenden aplicar
- Automatizar la implementación siempre que sea posible para maximizar los beneficios de una postura CZT
Para obtener más información sobre estas fases, consulte este whitepaper de Medigate sobre Clinical Zero Trust.
Puede leer el artículo original en la web de Medigate.