El 4 de octubre de 2023, el Departamento de Salud y Servicios Humanos de EE.UU. (HHS, por sus siglas en inglés) presentó un nuevo conjunto de Metas de Rendimiento en Ciberseguridad (CPG, por sus siglas en inglés) voluntarias, específicamente adaptadas al sector de la atención sanitaria y la salud pública. Esta iniciativa responde al aumento en la frecuencia y gravedad de los ataques de ransomware y otras amenazas cibernéticas que han interrumpido las operaciones sanitarias y comprometido información sensible de pacientes en los últimos años.

Las CPG consisten en 10 metas específicas, categorizadas en tres niveles: Nivel 1 (esencial), Nivel 2 (mejorado) y Nivel 3 (avanzado). Las metas esenciales incluyen medidas básicas como desarrollar un plan de respuesta a incidentes de ciberseguridad, implementar autenticación multifactor y establecer un programa de gestión de riesgos. Las metas mejoradas se basan en estas con requisitos como la gestión de vulnerabilidades y protocolos de seguridad de correo electrónico, mientras que las metas avanzadas incorporan prácticas más sofisticadas como la arquitectura de confianza cero y la gestión de riesgos en la cadena de suministro.

El secretario de HHS, Xavier Becerra, enfatizó la urgencia de estas medidas, declarando: 'Los ciberataques a nuestro sistema de salud no son solo una amenaza para los datos: son una amenaza para las vidas. Estas metas proporcionan un mapa de ruta claro para que las organizaciones sanitarias protejan a los pacientes y fortalezcan la infraestructura de salud de nuestra nación.' El marco fue desarrollado mediante un esfuerzo colaborativo que involucró al Grupo de Trabajo de Ciberseguridad del Consejo Coordinador del Sector de la Salud, la Agencia de Ciberseguridad e Infraestructura de Seguridad (CISA) y otras entidades federales.

El contexto de fondo resalta la vulnerabilidad del sector de la atención sanitaria. Según HHS, los ciberataques han aumentado, con incidentes notables como el ataque de ransomware a Change Healthcare en 2023 que afectó a millones de pacientes y causó interrupciones generalizadas en la facturación. Las CPG están diseñadas para ser escalables, permitiendo que tanto pequeñas prácticas como grandes hospitales adopten medidas apropiadas a sus recursos.

Aunque son voluntarias, HHS fomenta su adopción integrándolas en expectativas regulatorias más amplias y proporcionando asistencia técnica. No se anunciaron mandatos inmediatos, pero la publicación subraya una postura proactiva ante amenazas continuas. Los líderes sanitarios han dado la bienvenida a la guía, con un representante de una asociación notando: 'Este es un paso vital hacia un sector más resiliente.' Las implicaciones incluyen posibles reducciones en los costos de brechas, estimados en miles de millones anualmente, y una mejor continuidad en la atención durante incidentes cibernéticos.

Las metas están disponibles en el sitio web de HHS para una implementación inmediata, con apoyo continuo prometido a través de recursos y capacitación.