El sector sanitario va a la zaga en seguridad en el software
El número de incidentes de seguridad que han afectado sólo este año al sector sanitario en Estados Unidos ha puesto sobre la mesa problemas en las prácticas de seguridad de software. Un estudio reciente ha confirmado lo que los profesionales de la seguridad ya sospechaban.
- 2 de cada 3 organizaciones sanitarias han sufrido incidentes de seguridad
- ¿Es posible compatibilizar la movilidad y la seguridad en los entornos sanitarios?
- La salud digital alcanzará los 10 billones de usuarios en 2017
- Las TIC en el terreno de la salud, impulsadas por la unión de FENIN, AMETIC y SEIS
- Las organizaciones sanitarias sufren un 340% más de ciberataques
Las organizaciones sanitarias tienden a tener una puntuación menor que organizaciones en otros sectores, como los servicios financieros o la electrónica de consumo, según el último estudio realizado por Cigital, Building Security in Maturity Model (BSIMM). En su sexta edición, el estudio está basado en entrevistas en profundidad con los más altos directivos responsables de la seguridad de software en 104 organizaciones participantes, así como con personas que les reportan. Esta es la primera vez que se incluye en el modelo información del sector sanitario.
El modelo analiza las prácticas de seguridad de software en cuatro dominios: gestión y gobierno, inteligencia, ciclo de vida de desarrollo de software seguro, e implantación. Cada dominio tiene tres áreas de prácticas, lo que resulta en una docena de segmentos, cada uno de los cuales tiene su propio conjunto de actividades, con un total de 112 actividades.
Para la gestión y gobierno, las organizaciones pueden ver como se posicionan en políticas y cumplimiento, métricas y formación. Inteligencia mira a los modelos de ataque e inteligencia, así como la construcción y publicación de características y diseño de seguridad. El ciclo de vida de desarrollo de software seguro debería incluir elementos como la revisión de características de seguridad y la utilización de herramientas automatizadas como parte de las prácticas de programación segura. El área de implantación incluye pruebas de penetración, monitorización de entradas en aplicaciones y gestión de configuración y vulnerabilidad.
El BSIMM mide cómo las organizaciones ejecutan sus programas internos de seguridad de software y permite a las organizaciones evaluar la madurez de sus programas frente a un punto de referencia que son sus colegas. Cuando los profesionales de seguridad dan la alarma a la alta dirección, se les pregunta frecuentemente qué hacen otras organizaciones de similar tamaño en su sector. El modelo ayuda a las organizaciones a ver si están en posición de liderazgo, en el medio, o retrasados y es un buen comienzo antes de decidir qué es lo siguiente que hay que hacer.
