Seguridad de la nube en el sector de la salud: 10 actividades de AWS que debe controlar

Las organizaciones de la salud adoptan cada vez más la computación en nube y los servicios en la nube para almacenar historias clínicas electrónicas y procesar datos médicos. Un proveedor de nube popular para las organizaciones de la salud es Amazon Web Services (AWS), que ofrece servicios como Amazon Elastic Compute Cloud, Simple Storage Service, Relational Database Service, Virtual Private Cloud y AWS Lambda. Las instituciones de la salud aprovechan estos y otros servicios de computación en la nube ofrecidos por AWS para satisfacer necesidades específicas de seguridad y cumplimiento.

Garantizar una sólida seguridad en la nube en el sector de la salud es primordial para salvaguardar los datos sensibles de los pacientes y mantener el cumplimiento de normativas como la HIPAA. Esto obliga al equipo de seguridad de TI del hospital a auditar la actividad de AWS y comprobar la seguridad de los datos en la nube. Para conseguirlo, el equipo de seguridad debe saber primero cómo utiliza AWS su organización de la salud. Solo con este conocimiento serán capaces de recopilar los logs adecuados e introducirlos en su solución SIEM para controlar actividades sospechosas y prevenir violaciones de la seguridad de los datos.

¿Cómo se utiliza AWS en el sector de la salud?

AWS ofrece un conjunto de servicios de computación en la nube que se utilizan ampliamente en el sector de la salud para mejorar diversas operaciones. Esto incluye la gestión y seguridad de los datos, el desarrollo de aplicaciones y la escalabilidad de la infraestructura. AWS también ayuda a mejorar la atención al paciente y a garantizar el cumplimiento de la HIPAA. El sector de la salud utiliza varios servicios de AWS para satisfacer necesidades específicas, como se indica a continuación.

• Amazon Elastic Compute Cloud (Amazon EC2): Las organizaciones del sector de la salud aprovechan las instancias EC2 para alojar aplicaciones, bases de datos y servidores web de forma segura en la nube. EC2 proporciona capacidad de computación escalable, lo que permite a los proveedores de la salud implementar y escalar servidores virtuales en función de la demanda, además de facilitar el alojamiento de sistemas de registro médico electrónico (EHR), aplicaciones de imagen médica y plataformas de telemedicina. Los proveedores médicos experimentan distintos niveles de demanda de consultas de telemedicina, con picos de solicitudes durante las temporadas de gripe. Amazon EC2 permite a los proveedores de telemedicina escalar su infraestructura de forma dinámica en función de la demanda actual. Con funciones como Auto Scaling, la plataforma puede ajustar automáticamente el número de instancias EC2 para mantener un rendimiento óptimo y garantizar que los proveedores de salud puedan prestar servicios ininterrumpidos incluso en horas pico.
• Firewall de aplicaciones web (WAF): AWS WAF ayuda a las organizaciones de la salud a proteger las aplicaciones web de exploits web y amenazas de seguridad comunes, como la inyección SQL, el scripting entre sitios (XSS) y los ataques DDoS. Mediante la implementación de WAF frente a las aplicaciones web alojadas en instancias EC2 o a través de AWS Elastic Load Balancer, los proveedores de servicios de salud pueden proteger los datos confidenciales de los pacientes y garantizar el cumplimiento con los requisitos normativos.
• AWS Identity and Access Management (IAM): Las organizaciones de la salud pueden aprovechar IAM para aplicar controles de acceso, administrar identidades de usuarios, garantizar una autenticación segura y monitorear la actividad de los usuarios, aplicar los principios de mínimo privilegio y demostrar el cumplimiento con los requisitos normativos en sus entornos de AWS. La IAM desempeña un rol fundamental a la hora de ayudar a las organizaciones de la salud a proteger los datos confidenciales de los pacientes, mitigar los riesgos de seguridad y mantener la confidencialidad, integridad y disponibilidad de la información de salud protegida (PHI) en la nube.
• Relational Database Service (RDS): RDS simplifica la gestión de bases de datos para las organizaciones de la salud proporcionando soluciones de bases de datos relacionales gestionadas, como MySQL, PostgreSQL y SQL Server. Los proveedores de la salud utilizan RDS para almacenar y gestionar datos médicos estructurados de forma segura, como historiales de pacientes, datos clínicos e información de facturación, al tiempo que se benefician de copias de seguridad automatizadas, alta disponibilidad y escalabilidad.
• AWS Lambda: Lambda permite a las organizaciones de la salud ejecutar código en respuesta a eventos sin aprovisionar ni gestionar servidores. Los proveedores de salud utilizan funciones Lambda para automatizar tareas rutinarias, como el tratamiento de datos, el análisis de imágenes y los flujos de trabajo basados en eventos, mejorando la eficiencia operativa y reduciendo los costos de infraestructura.
• Servicio de token de seguridad (STS): STS ayuda a las organizaciones de la salud a gestionar el acceso a los recursos de AWS de forma segura mediante la emisión de credenciales de seguridad temporales para usuarios y aplicaciones. Los proveedores de servicios de salud utilizan STS para autenticar y autorizar el acceso a datos confidenciales almacenados en bases de datos RDS, buckets S3 y otros servicios de AWS, garantizando el cumplimiento con las políticas y normativas de control de acceso.
• Elastic Block Store (EBS): EBS proporciona volúmenes de almacenamiento de bloques persistentes para instancias EC2, lo que permite a las organizaciones de la salud almacenar datos y acceder a ellos de forma fiable. Los proveedores de servicios de salud utilizan volúmenes EBS para almacenar datos médicos críticos, como imágenes médicas e historiales de pacientes, al tiempo que se benefician de funciones como instantáneas, cifrado y alta disponibilidad.
• Nube privada virtual (VPC): La VPC permite a las organizaciones de la salud aprovisionar una sección lógicamente aislada de la nube de AWS en la que pueden implementar recursos de forma segura. Los proveedores de salud utilizan VPC para crear una infraestructura de red virtual con subredes privadas, controles de acceso a la red y conexiones VPN, aislando las cargas de trabajo de salud sensibles y garantizando la privacidad de los datos y el cumplimiento de los requisitos normativos.
• Elastic Load Balancer (ELB): ELB distribuye el tráfico entrante entre varias instancias de EC2 para garantizar la alta disponibilidad, la tolerancia a fallos y la escalabilidad de las aplicaciones y los servicios web. Las organizaciones de la salud utilizan ELB para balancear la carga de las solicitudes entrantes a los servidores web que alojan portales de pacientes, plataformas de telemedicina y otras aplicaciones de salud, mejorando el rendimiento y la fiabilidad para los usuarios finales.
• Servicio de almacenamiento simple de Amazon (Amazon S3): S3 es un servicio de almacenamiento de objetos escalable que las organizaciones de la salud utilizan para almacenar y administrar grandes cantidades de datos no estructurados, como imágenes médicas, documentos y copias de seguridad. Los proveedores de servicios de salud utilizan los buckets S3 para almacenar y compartir datos médicos de forma segura, implementar políticas de ciclo de vida de los datos e integrarlos con otros servicios de AWS para el análisis de datos, el machine learning y el almacenamiento de archivos.

Al aprovechar los servicios de AWS como IAM, EC2, WAF, RDS, Lambda, STS, EBS, VPC, ELB y S3, las organizaciones de la salud pueden almacenar y acceder a los datos de los pacientes desde infraestructuras en la nube seguras, escalables y conformes. Pero, independientemente de lo segura que sea la plataforma en la nube, siempre habrá alguna vulnerabilidad o brecha de seguridad que los atacantes encuentren y aprovechen, sobre todo si se sabe que contiene historiales médicos. Por eso, el equipo de TI del hospital debe realizar un control continuo de su actividad en AWS. ManageEngine Log360 es una solución SIEM unificada con funciones DLP y CASB integradas que puede ayudar a las organizaciones de la salud a controlar sus actividades en AWS y alertarles de eventos sospechosos.

¿Cuáles son las actividades de AWS que las organizaciones de la salud deberían controlar?

Las organizaciones de la salud utilizan cada vez más AWS para sus necesidades de computación en la nube. Sin embargo, para garantizar la seguridad de AWS, hay ciertas actividades que las organizaciones de la salud deben controlar (véase la Figura 1). El control de estas actividades también les ayudará a obtener beneficios relacionados con el cumplimiento. La HIPAA exige a las organizaciones de la salud que apliquen controles de acceso y otras salvaguardias técnicas para proteger la PHI electrónica (ePHI) de accesos no autorizados. Al cumplir con esto, las instituciones de la salud pueden proteger la confidencialidad, integridad y disponibilidad (CIA) de la ePHI, y garantizar la seguridad de los datos.

La siguiente figura recoge las actividades de AWS que las instituciones sanitarias deben supervisar.

He aquí por qué debería realizar un control de estas actividades de AWS:

1. Inicio de sesión de usuario y actividad de inicio de sesión único (SSO) Monitorear el inicio de sesión de los usuarios y la actividad de inicio de sesión único (SSO) es crucial para las organizaciones de la salud, ya que les ayuda a obtener visibilidad de los eventos de autenticación de usuarios en todas las aplicaciones y servicios integrados. Esto ayudará a las instituciones médicas a garantizar una autenticación y un control de acceso sólidos, y a detectar intentos de acceso no autorizados. Mediante el control de los eventos de autenticación de los usuarios, pueden identificar anomalías o patrones de inicio de sesión sospechosos que pueden indicar credenciales comprometidas o accesos no autorizados. También permite al equipo de TI del hospital responder con prontitud a posibles fallos de seguridad revocando el acceso o implementando capas de autenticación y controles de seguridad adicionales.
2. Actividad de la IAM: El análisis de la actividad de la IAM ayuda a las organizaciones de la salud porque arroja luz sobre los cambios realizados en los permisos, roles y políticas de los usuarios. También ayuda a garantizar el acceso con privilegios mínimos, detectar cambios sospechosos y garantizar el cumplimiento de las políticas de seguridad. Al garantizar que los permisos de usuario están configurados adecuadamente, los hospitales pueden reducir el riesgo de acceso no autorizado a la PHI. De este modo, permite al equipo de seguridad mitigar el riesgo de amenazas internas y accesos no autorizados abordando rápidamente los eventos sospechosos relacionados con IAM que podrían comprometer la seguridad de su hospital.
3. Actividad NSG: Los grupos de seguridad de red (NSG) actúan como firewalls virtuales para controlar el tráfico entrante y saliente a los recursos de AWS, incluidos los equipos virtuales en la nube. Su auditoría permite a las organizaciones de la salud identificar y bloquear el tráfico malicioso y aplicar la segmentación de la red. También permite a los hospitales revisar y validar sus políticas de seguridad de la red. Además, mediante el monitoreo de los cambios en las configuraciones de los grupos de seguridad y el análisis de los logs de tráfico, las organizaciones de la salud pueden identificar posibles vulnerabilidades e intentos de acceso no autorizado a la red. Este enfoque proactivo ayuda a implementar controles de acceso granulares, prevenir las violaciones de la seguridad de los datos y garantizar la confidencialidad e integridad de la información de los pacientes.
4. Actividad de S3: La auditoría de la actividad de los bucket S3 permite a las organizaciones de la salid controlar quién accede a los registros de los pacientes, las imágenes médicas y otros archivos confidenciales, incluido cuándo se accede a ellos y qué acciones se realizan. Una solución de SIEM como Log360 proporciona informes de auditoría de cambios en archivos S3. Las organizaciones de la salud pueden utilizarlos para controlar las modificaciones, eliminaciones y cambios de permisos de acceso a archivos confidenciales. Esto ayuda a detectar actividades no autorizadas o intentos de acceder o modificar archivos de información de pacientes almacenados en buckets S3. Esto también ayudará a los hospitales a prevenir la pérdida de datos, mantener su integridad y demostrar el cumplimiento de normativas sobre privacidad como la HIPAA.
5. Actividad del WAF: Las actividades del WAF ofrecen información sobre las posibles amenazas del tráfico web, así como sobre las infracciones de las políticas. Como se mencionó anteriormente, las amenazas contra las que protege el WAF incluyen la inyección SQL y los ataques XSS. Así pues, las organizaciones de la salud deben monitorear la actividad del WAF para identificar y mitigar los riesgos de seguridad de sus aplicaciones web, que pueden procesar o almacenar los EHR. Esto se ajusta a los requisitos de la HIPAA para proteger la ePHI contra el acceso no autorizado y la violación de la seguridad de los datos.
6. Actividad de AWS Config: AWS Config monitorea continuamente y proporciona visibilidad de los ajustes de configuración de los recursos de AWS. Esto incluye detalles de los cambios realizados en los recursos de AWS a lo largo del tiempo. El análisis de las actividades de AWS Config ayuda a las organizaciones de la salud a detectar errores de configuración y garantizar el cumplimiento con las prácticas recomendadas de seguridad y las políticas de la organización. Dado que cada regla de AWS Config corresponde a uno o varios controles de la HIPAA, su auditoría permite a las organizaciones de la salud mantener una infraestructura en la nube segura y conforme. Para obtener más información sobre la asignación de AWS Config con HIPAA, lea este documento.
7. Actividad EC2: Las actividades EC2 proporcionan información sobre la utilización, el rendimiento y la seguridad de las instancias de equipos virtuales en la nube. En entornos de la salud, las instancias EC2 pueden alojar aplicaciones que manejen PHI. El análisis de las actividades de las instancias EC2 puede ayudar a las organizaciones de la salud a identificar vulnerabilidades, optimizar la asignación de recursos y detectar intentos de acceso no autorizados. Además de ayudar a los hospitales a mitigar los riesgos de seguridad en la nube, también contribuye a garantizar que las configuraciones de seguridad se apliquen y mantengan correctamente, lo que es esencial para el cumplimiento de la HIPAA.
8. Actividad de RDS: En el sector de la salud, el RDS se utiliza a menudo para gestionar bases de datos que contienen PHI. Proporciona información sobre las configuraciones y actividades de la base de datos, incluidos los accesos no autorizados y el rendimiento de la base de datos. Esta información puede ayudar al equipo de seguridad del hospital a implementar los controles de seguridad adecuados para proteger la ePHI. Por tanto, el monitoreo de la actividad de RDS ayuda a las organizaciones de la salud a gestionar las bases de datos relacionales de forma segura y a garantizar la disponibilidad e integridad de los datos, así como el cumplimiento de la normativa HIPAA.
9. Actividad STS: Mediante el control de la actividad de STS, las organizaciones de la salud pueden monitorear la emisión y el uso de credenciales temporales, garantizando que solo los usuarios autorizados tengan acceso a los datos confidenciales de los pacientes. Puede hacerlo identificando anomalías en la emisión de credenciales o eventos de asunción de roles indicativos de intentos de acceso no autorizados o violaciones de la seguridad. Los hospitales pueden utilizar esta información para realizar un control del acceso basado en roles y garantizar el cumplimiento de los principios de privilegio mínimo. El control de la actividad de STS proporciona información sobre los eventos de autenticación federada, lo que ayuda a las organizaciones de la salud a monitorear el acceso de usuarios externos a los recursos de AWS. También les ayudará a evitar el uso indebido o el robo de credenciales y a cumplir con la HIPAA.
10. Actividad de la VPC: Mediante el control de la actividad de la VPC, las instituciones de salud pueden monitorear el tráfico de red entrante y saliente, detectar anomalías y aplicar controles de seguridad para protegerse contra accesos no autorizados e incidentes de seguridad más siniestros. También ayudará al equipo de seguridad de TI del hospital a garantizar que los controles de acceso están correctamente configurados, protegiendo aún más los datos médicos.

AWS proporciona acceso seguro a la nube para los datos médicos sensibles que almacena. Sin embargo, como ya se ha explicado, para garantizar la CIA de la ePHI y cumplir con la normativa sobre privacidad en la salud, es imprescindible auditar las actividades que tienen lugar en su entorno de AWS, y Log360 puede ayudarle a hacerlo.

¿Cómo puede Log360 mejorar la seguridad de AWS en la salud?

ManageEngine Log360 es una solución de SIEM integral que puede ingerir logs y auditar múltiples plataformas en la nube, incluyendo AWS. Proporciona dashboards interactivos (véase la figura 2) con datos gráficos e informes detallados sobre actividades importantes de AWS (véase la figura 3) que las organizaciones de la salud pueden utilizar para mejorar su seguridad en la nube y lograr el cumplimiento con la HIPAA.

Cada grupo de informes ofrece varios informes, como se muestra en la Figura 4.

PREGUNTAS FRECUENTES

¿Es segura la nube para el sector de la salud?

Sí, el uso de la nube es seguro para el sector de la salud siempre que los hospitales apliquen principios adecuados de seguridad de los datos. También deberían utilizar una solución de SIEM, como ManageEngine Log360, que puede auditar varias plataformas en la nube que almacenan datos médicos sensibles, incluido AWS.

¿Cómo está transformando la computación en nube el sector de la salud?

La computación en la nube está revolucionando el sector de la salud al proporcionar numerosas ventajas, como una mejor accesibilidad a los datos, una mayor colaboración entre los profesionales de la salud, un aumento de la eficiencia y una reducción de los costos. La forma más notable en que ha transformado el sector de la salud es permitiendo a los profesionales de la salud acceder a los datos y los historiales médicos de los pacientes desde cualquier lugar y en cualquier momento.

¿Cuáles son los riesgos de seguridad de la computación en nube en el sector de la salud?

La privacidad y seguridad de los datos, la gobernanza de los datos y el control de acceso, y las amenazas a la ciberseguridad son algunos de los principales riesgos de seguridad asociados a la computación en la nube en el sector de la salud.

¿Cuál es la mayor preocupación de la computación en la nube en el sector de la salud?

Un conocido artículo de investigación ha identificado la confidencialidad de los datos como uno de los mayores retos de seguridad de la computación en la nube en el sector de la salud. Le siguen la seguridad, la disponibilidad y la integridad de los datos.

¿Cuál es la plataforma en la nube más utilizada en el sector de la salud?

La plataforma en la nube más utilizada en el sector de la salud es Amazon Web Services (AWS) porque los médicos y las instituciones médicas confían en los servicios que ofrece. AWS es la opción más popular para la computación en la nube en el sector de la salud por las siguientes razones:

• Garantiza un almacenamiento en la nube para el sector de la salud fiable, seguro y altamente escalable.
• Ofrece numerosos servicios en la nube para el sector de la salud que utilizan médicos, profesionales clínicos y personal de enfermería con el fin de mejorar la atención al paciente y la eficiencia operativa.
• AWS facilita el cumplimiento normativo en el sector de la salud, especialmente en lo que respecta a la HIPAA.

Además, Forrester menciona en su informe, Best Practices For Healthcare In Cloud, que ciertas organizaciones de la salud eligen AWS por su comodidad y presencia en el espacio del sector de la salud.

¿Por qué las organizaciones de la salud deben monitorear su actividad en AWS?

Los hospitales utilizan AWS para la computación en la nube en el sector salud. AWS aloja datos médicos en la nube para facilitar el acceso de médicos y otro personal de la salud a los EHR. Esto exige que los hospitales monitoreen sus datos sensibles almacenados en la nube. Al hacerlo, también ayudará a las organizaciones de la salud a cumplir las normativas sobre privacidad de datos, como la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y el Reglamento General de Protección de Datos (GDPR).