Nuevas normas de ciberseguridad en Nueva York: qué deben hacer los hospitales generales para cumplirlas 

Silverfort Imagen
Captura de pantalla 2024-11-05 en 12.08.03
Índice

Comparte este artículo:

Todos los hospitales generales del estado de Nueva York están experimentando un cambio significativo en sus requisitos de ciberseguridad. A partir del 2 de octubre de 2024, el Departamento de Salud del estado de Nueva York introdujo modificaciones integrales a la Parte 405.3 que exigen controles de ciberseguridad más estrictos para los 195 hospitales generales del estado. Los hospitales que deben cumplir deben hacerlo antes del 2 de octubre de 2025.

Estas nuevas regulaciones exigen que todos los hospitales generales implementen programas avanzados de ciberseguridad y sigan nuevos protocolos de notificación de incidentes, incluido un plazo de 72 horas para informar incidentes de ciberseguridad importantes. En el panorama actual de la atención médica, donde todos los sistemas y servicios gestionan todo, desde los registros de los pacientes hasta los equipos de cuidados críticos, estos requisitos representan un paso importante hacia la protección de la infraestructura de atención médica. Exploremos qué significan estos cambios para los hospitales generales y cómo Silverfort va a ayudar.

Entendiendo el artículo 10 NYCRR 405.46

Introducida por el Departamento de Salud del Estado de Nueva York (DOH) en 1999, la norma 10 NYCRR 405.46 se centró inicialmente en proteger los derechos de los pacientes en entornos hospitalarios, en particular en lo que respecta al uso de restricciones y aislamiento. En respuesta a la creciente integración de la tecnología en las operaciones de atención médica, la regulación evolucionó para abordar el riesgo creciente de ataques cibernéticos contra los datos y sistemas de atención médica.

Según 10 NYCRR 405.46, los centros de atención médica deben implementar medidas integrales de ciberseguridad para proteger la información confidencial de los pacientes y la infraestructura crítica del hospital. Hasta octubre de 2024, estas medidas incluían cifrado de datos, controles de acceso y monitoreo continuo de registros médicos electrónicos (EHR). Esto garantizaba que los hospitales mantuvieran estándares rigurosos de protección de datos, reforzando tanto la privacidad del paciente como la resiliencia del sistema de atención médica contra las amenazas cibernéticas.

Al imponer tales estándares proactivos de ciberseguridad, el estado de Nueva York apoyó a los hospitales en la defensa de los derechos de privacidad y la seguridad de sus pacientes y destacó su compromiso de adaptar las regulaciones de atención médica en respuesta a los desafíos emergentes de ciberseguridad.

Nuevos mandatos de ciberseguridad del estado de Nueva York para hospitales: 10 NYCRR 405.46

El Departamento de Salud del Estado de Nueva York anunció a principios de octubre de 2024 nuevas regulaciones para 10 NYCRR 405.46, que exigen protecciones de ciberseguridad más fuertes en los 195 hospitales generales de Nueva York.

El cumplimiento total se requiere para el 2 de octubre de 2025, aunque los hospitales deben comenzar a informar
incidentes de ciberseguridad en las 72 horas siguientes al 2 de octubre de 2024. Este reglamento tiene como objetivo la protección
para la información de salud del paciente (PHI) y la información de identificación personal (PII) contra ataques cibernéticos
amenazas.

Componentes clave:

  • Programa de Ciberseguridad: Los hospitales deben implementar un programa sólido de ciberseguridad que
    Incluye monitoreo de red, respuesta a incidentes, capacitación y desarrollo de políticas.
  • Director de Seguridad de la Información (CISO): Los hospitales están obligados a designar un CISO,
    ya sea como empleado directo o como contratista externo, para supervisar la ciberseguridad
    medidas.
  • Pruebas y evaluaciones de vulnerabilidad: Pruebas periódicas, incluidos escaneos y penetración.
    Se requieren evaluaciones para gestionar los riesgos de ciberseguridad.
  • Registros y pistas de auditoría: Los hospitales deben mantener registros de auditoría para detectar y responder a
    incidentes cibernéticos y conservar registros de forma segura.
  • Respuesta al incidente: Es obligatorio contar con un plan de respuesta detallado, con informes de incidentes a
    el Departamento de Salud dentro de las 72 horas.
  • Medidas de Control de Acceso: Los requisitos incluyen la aplicación de múltiples factores. autenticación
    (MFA) para sistemas externos, limitar el uso de cuentas privilegiadas, revisiones de acceso anuales y
    Formación personalizada en ciberseguridad.

Mandatos y apoyo estatal:

  • Revisión anual de acceso: Los hospitales deben revisar y eliminar anualmente el acceso de usuarios innecesarios, lo que plantea desafíos para las cuentas heredadas.
  • Impacto en la financiación y los seguros: Nueva York ha asignado 500 millones de dólares para apoyar
    cumplimiento, con posibles impactos en seguro cibernético condiciones.

A través de estos mandatos, Nueva York pretende fortalecer la ciberseguridad y el apoyo a la atención médica.
hospitales en la protección de los datos de los pacientes frente a las amenazas cibernéticas en constante evolución.

Resuelva cada requisito de seguridad de identidad de NYCRR 10 con Silverfort

Silverfort Equipa a los hospitales para cumplir con los nuevos mandatos de ciberseguridad de Nueva York con soluciones eficientes y rentables. seguridad de identidad capacidades adaptadas a los entornos sanitarios. Mediante la integración SilverfortPara incorporar las capacidades clave de su programa de ciberseguridad, podrá marcar la casilla correspondiente a cada requisito de NYRR 405.46 de la siguiente manera:

  • Ampliación de la protección de la MFA al acceso a la línea de comandos, a aplicaciones heredadas, a la infraestructura de TI y a otros recursos críticos que antes no se podían proteger.
  • Aplicación de fuertes controles de acceso de seguridad Al aplicar MFA en todos los recursos confidenciales, se garantiza que solo los usuarios autorizados puedan acceder a sistemas y datos críticos.
  • Aplicación de políticas de MFA o bloqueo de acceso a todos los usuarios privilegiados, tanto administradores humanos como cuentas de servicio Garantizar que tengan acceso solo cuando sea necesario es un componente clave de la seguridad del acceso privilegiado.
  • Monitorizar continuamente todas las solicitudes de acceso para detectar anomalías y evitar accesos maliciosos en tiempo real.
  • Detección y respuesta a amenazas a la identidad como la escalada de privilegios y movimiento lateral ataca y responde automáticamente con bloqueo en tiempo real.

Con SilverfortGracias a la detección rápida de incidentes, los hospitales pueden cumplir con el requisito de notificación en 72 horas identificando rápidamente los incidentes de ciberseguridad. Además, Silverfort Apoya evaluaciones de riesgos integrales y ofrece herramientas valiosas que ayudan a los CISO recién nombrados a gestionar programas de seguridad integrales.

Diseñado teniendo en cuenta los entornos sanitarios, Silverfort Aborda las amenazas específicas de la industria y prepara a los hospitales para futuras regulaciones mediante la implementación de controles de seguridad de identidad escalables alineados con las mejores prácticas de seguridad.

Descargar nuestra guía para aprender más sobre cómo Silverfort puede ayudarlo a cumplir con los requisitos de 10 NYCRR 405.46 o programar una llamada con uno de nuestros expertos. 

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.

Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración
nuevo héroe (1)

Silverfort adquiere Fabrix Security

Proporcionar seguridad de identidad autónoma en tiempo de ejecución.

Desarrollamos el primer motor de control de acceso en tiempo de ejecución autónomo, diseñado para proteger todas las identidades humanas, de máquinas y de agentes mediante el análisis de contexto profundo y la velocidad de la IA.

Obtén la historia completa