CASO LOCAL/EJEMPLO

 INFORMACIÓN COMPARTIDA: ¿QUÉ ES? ¿CÓMO SE HACE?¿PORQUÉ IMPORTA?

¿Cómo funciona el intercambio de información en el sector sanitario y de salud pública?

Puede ocurrir de muchas maneras y puede ser interno o externo:

• Dentro de una organización.
• De igual a igual.
• Entre varias
• En todo el
• Entre uno o más sectores de infraestructuras críticas y/o
• Con las fuerzas de
• Con los
• Con los medios de comunicación.

Compartir información es útil para todo tipo de incidentes y amenazas. Tanto si hay una amenaza de que algo ocurra realmente como si se ha producido un incidente, tanto las

amenazas como los incidentes tienen indicadores que ayudan a determinar lo que ha ocurrido (en el caso de un incidente) o lo que puede ocurrir (en el caso de una amenaza). Un ejemplo de amenaza es el phishing. Cuando el intento de phishing tiene éxito (por ejemplo, un destinatario de un correo electrónico de phishing hace clic en un enlace malicioso, lo que lleva a la instalación de malware en su máquina), se convierte entonces en un incidente de seguridad.

Para adelantarse a una amenaza, la información debe compartirse de forma precisa, oportuna y eficaz. Por ejemplo, las organizaciones pueden compartir información sobre las campañas de phishing que han experimentado para advertir a otros sobre ellas. Las campañas de phishing pueden aprovechar noticias y acontecimientos actuales, como la pandemia de COVID-19 y la Ley CURES. Así, los miembros del equipo pueden ser engañados para que sean presa de varios correos electrónicos y sitios web de phishing como resultado de la curiosidad sobre el correo electrónico o el sitio web o de otra manera.

¿Qué miembros del equipo deben participar en el intercambio de información?

Lo ideal es que su organización tenga un programa formal para compartir información. Todos los miembros de una organización pueden participar activamente en el programa. Los miembros del equipo de ciberseguridad pueden supervisar de forma proactiva las amenazas y mitigaciones nuevas, en evolución y existentes. Otros miembros del equipo interno pueden hacer su parte informando de las amenazas e incidentes sospechosos (por ejemplo, notificando al equipo de ciberseguridad los correos electrónicos de phishing, las llamadas de ingeniería social, los intentos de ransomware, etc.).

Para ser claros, ser proactivo en el intercambio de información implica el conocimiento de la situación y la comunicación en toda la organización con todas las manos en la masa. Además, dependiendo de la situación, pueden participar personas de toda la organización, como las de comunicaciones, legales, tecnología de la información, recursos humanos, instalaciones y otras.

¿Qué debe tenerse en cuenta al elaborar o mejorar un plan de intercambio de información? La siguiente es una lista no exhaustiva de cuestiones que hay que tener en cuenta a la hora de elaborar o mejorar el plan de su organización para compartir información:

Amenazas:

1. ¿Cuál es la amenaza?
2. ¿Cuáles son los indicadores asociados a la amenaza?
3. ¿Existe una forma de mitigarla (o una solución)?
4. ¿Cómo te has enterado de la amenaza? ¿Quién informó de la amenaza?
5. ¿Qué daño, consecuencia o impacto está asociado a la amenaza?

¿Están involucrados los miembros adecuados del equipo? ¿Están disponibles? 7. ¿Cuál es el plan de contingencia en caso de que una o varias personas no estén disponibles (por cualquier motivo)?

¿Cómo funciona el intercambio de información en el sector sanitario y de salud pública?

Puede ocurrir de muchas maneras y puede ser interno o externo:

• Dentro de una organización.
• De igual a igual.
• Entre varias
• En todo el
• Entre uno o más sectores de infraestructuras críticas y/o
• Con las fuerzas de
• Con los
• Con los medios de comunicación.

Compartir información es útil para todo tipo de incidentes y amenazas. Tanto si hay una amenaza de que algo ocurra realmente como si se ha producido un incidente, tanto las amenazas como los incidentes tienen indicadores que ayudan a determinar lo que ha ocurrido (en el caso de un incidente) o lo que puede ocurrir (en el caso de una amenaza). Un ejemplo de amenaza es el phishing. Cuando el intento de phishing tiene éxito (por ejemplo, un destinatario de un correo electrónico de phishing hace clic en un enlace malicioso, lo que lleva a la instalación de malware en su máquina), se convierte entonces en un incidente de seguridad.

Para adelantarse a una amenaza, la información debe compartirse de forma precisa, oportuna y eficaz. Por ejemplo, las organizaciones pueden compartir información sobre las campañas de phishing que han experimentado para advertir a otros sobre ellas. Las campañas de phishing pueden aprovechar noticias y acontecimientos actuales, como la pandemia de COVID-19 y la Ley CURES. Así, los miembros del equipo pueden ser engañados para que sean presa de varios correos electrónicos y sitios web de phishing como resultado de la curiosidad sobre el correo electrónico o el sitio web o de otra manera.

¿Qué miembros del equipo deben participar en el intercambio de información?

Lo ideal es que su organización tenga un programa formal para compartir información. Todos los miembros de una organización pueden participar activamente en el programa. Los

miembros del equipo de ciberseguridad pueden supervisar de forma proactiva las amenazas y mitigaciones nuevas, en evolución y existentes. Otros miembros del equipo interno pueden hacer su parte informando de las amenazas e incidentes sospechosos (por ejemplo, notificando al equipo de ciberseguridad los correos electrónicos de phishing, las llamadas de ingeniería social, los intentos de ransomware, etc.).

Para ser claros, ser proactivo en el intercambio de información implica el conocimiento de la situación y la comunicación en toda la organización con todas las manos en la masa. Además, dependiendo de la situación, pueden participar personas de toda la organización, como las de comunicaciones, legales, tecnología de la información, recursos humanos, instalaciones y otras.

¿Qué hay que tener en cuenta al elaborar o mejorar un plan de intercambio de información?

La siguiente es una lista no exhaustiva de cuestiones a tener en cuenta a la hora de elaborar o mejorar el plan de su organización para compartir información:

Amenazas:

1. ¿Cuál es la amenaza?
2. ¿Cuáles son los indicadores asociados a la amenaza?
3. ¿Existe una forma de mitigarla (o una solución)?
4. ¿Cómo te has enterado de la amenaza? ¿Quién informó de la amenaza?
5. ¿Qué daño, consecuencia o impacto está asociado a la amenaza?
6. ¿Están involucrados los miembros adecuados del equipo? ¿Están disponibles? ¿Cuál es el plan de contingencia si uno o más individuos no están disponibles (por cualquier razón)?
7. ¿Se ha    informado    a    los    miembros    del    personal    sobre    la(s)    amenaza(s) correspondiente(s)? ¿Cómo se educa a los miembros del personal sobre la(s) amenaza(s)?

¿Cómo se comunican las amenazas a los miembros del personal? ¿Existe una formación periódica de concienciación en materia de seguridad? ¿Existe un mecanismo para que los miembros de la plantilla comuniquen las sospechas de amenazas e incidentes a los puntos de contacto adecuados de la organización (por ejemplo, la oficina de seguridad de TI o el servicio de asistencia técnica de TI)?

Incidentes:

1. ¿Qué ha ocurrido?
2. ¿Cómo se descubrió el incidente?
3. ¿Quién informó del incidente?
4. ¿Cuál es la pérdida, el daño o el perjuicio que ha provocado el incidente?
5. ¿Se ha documentado el incidente?
6. ¿Se ha notificado a los puntos de contacto adecuados de acuerdo con las políticas correspondientes?
7. ¿El equipo de respuesta a incidentes se comunica y coordina adecuadamente con otros (por ejemplo, el responsable de privacidad, el responsable de seguridad, el asesor jurídico, )?
8. ¿Se ha clasificado adecuadamente el incidente?
9. ¿Está respondiendo al incidente el miembro del equipo apropiado?
10. ¿Saben los miembros del equipo a quién deben informar de los incidentes sospechosos?

Se producen muchos incidentes que implican consideraciones de privacidad y/o seguridad. Si se ha producido un incidente de ciberseguridad, asegúrese de involucrar a su responsable de seguridad informática. Esta persona podrá entender, comunicar y/o investigar el incidente de seguridad a nivel técnico. Por supuesto, algunos incidentes de ciberseguridad implican necesariamente cuestiones de privacidad (por ejemplo, la causa raíz de un incidente, posibles violaciones de la información de los pacientes, etc.), así que asegúrese de implicar a su responsable de privacidad, según corresponda.

¿Existe una cultura de intercambio de información en su organización?

Si no se fomenta el intercambio de información dentro de su organización, es probable que la comunicación sobre los incidentes se retrase durante un tiempo considerable. Esto puede perjudicar aún más a la organización, debido a que el incidente no se mitiga. Dentro de una cultura que no fomenta el intercambio de información -por miedo a perder el trabajo, etc.- la comunicación de incidentes puede retrasarse durante semanas e incluso meses.

¿Por qué es importante compartir la información?

Compartir la información es importante porque todos debemos ser conscientes de lo que ocurre y comprender las consecuencias de lo que puede ocurrir. Todos podemos ser los ojos y los oídos de una organización. También podemos ser guardianes, en el sentido de ayudar a nuestras organizaciones a responder a los incidentes tan pronto como se produzcan. Como resultado, el daño de cualquier incidente de este tipo puede ser mitigado significativamente con una respuesta oportuna.

En esencia, un buen intercambio de información es una buena práctica de privacidad y seguridad que ayuda a proteger a nuestras organizaciones y a nuestros pacientes.

Fuente: Compartir información: ¿Qué es? ¿Cómo se hace? ¿Por qué es importante? https://www.himss.org/resources/information-sharing-what-it-how-do-it-why-does-it-matter