Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas

lunes, 26 de febrero de 2018

Recordatorio: Especial de la Revista de la SEIS sobre el "Impacto del Nuevo Reglamento de Protección de Datos en el ámbito sanitario", el RGPD que entra en vigor el próximo 25 de Mayo

[Recordatorio de entrada publicada el 15/02/2018]

El  nº 127 de la Revista de la Sociedad Española de Informática de la Salud [SEIS] de Febrero de 2018 es un especial titulado  "Impacto del Nuevo Reglamento de Protección de Datos en el ámbito sanitario" que , ante la cuenta atrás que finaliza el próximo 25/05/2018 con la entrada en vigor del nuevo Reglamento General de Protección de Datos , de obligado cumplimiento tras los dos años  establecidos a las organizaciones para su adaptación , y ante las dudas de "cómo  afecta a las organizaciones sanitarias, a sus profesionales o los recursos necesarios para su cumplimiento", incluye una serie de artículos informativos de la  Agencia Española de Protección de Datos con estos temas:

  • El Reglamento General de Protección de Datos y su aplicación en el ámbito sanitario. 
  • El Delegado de Protección de Datos.
  • RGPD: Evaluaciones de impacto
  • Seguridad, Análisis de Riesgos y Auditorías en el RGPD
  • Guías y Herramientas de Apoyo para Adaptarse al RGPD
  • Resultados del Plan de Inspección Sectorial de Oficio de Hospitales Públicos desarrollado por la Agencia Española de Proteccion de Datos (Año 2016- 2017)
  • Tutelas y Denuncias Relevantes del Sector Sanitario. La praxis sanitaria: singularidades del contexto en referencia a la protección de los datos personales
  • Elementos clave del RGPD: Inventario de tratamientos y Evaluación de impacto
  • El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
  • Nuevos retos normativos para el ámbito sanitario. RGPD y PIC, casi nada
  • RGPD, un Reglamento que Afecta a todas las Organizaciones, Públicas y Privadas, en Europa ¿Estamos Preparados?
  • Una “hoja de ruta” para la Adecuación de las Organizaciones Sanitarias Públicas al #RGPD

jueves, 15 de febrero de 2018

Especial de la Revista de la SEIS sobre el "Impacto del Nuevo Reglamento de Protección de Datos en el ámbito sanitario", el RGPD que entra en vigor el próximo 25 de Mayo

El  nº 127 de la Revista de la Sociedad Española de Informática de la Salud [SEIS] de Febrero de 2018 es un especial titulado  "Impacto del Nuevo Reglamento de Protección de Datos en el ámbito sanitario" que , ante la cuenta atrás que finaliza el próximo 25/05/2018 con la entrada en vigor del nuevo Reglamento General de Protección de Datos , de obligado cumplimiento tras los dos años  establecidos a las organizaciones para su adaptación , y ante las dudas de "cómo  afecta a las organizaciones sanitarias, a sus profesionales o los recursos necesarios para su cumplimiento", incluye una serie de artículos informativos de la  Agencia Española de Protección de Datos con estos temas:
  • El Reglamento General de Protección de Datos y su aplicación en el ámbito sanitario. 
  • El Delegado de Protección de Datos.
  • RGPD: Evaluaciones de impacto
  • Seguridad, Análisis de Riesgos y Auditorías en el RGPD
  • Guías y Herramientas de Apoyo para Adaptarse al RGPD
  • Resultados del Plan de Inspección Sectorial de Oficio de Hospitales Públicos desarrollado por la Agencia Española de Proteccion de Datos (Año 2016- 2017)
  • Tutelas y Denuncias Relevantes del Sector Sanitario. La praxis sanitaria: singularidades del contexto en referencia a la protección de los datos personales
  • Elementos clave del RGPD: Inventario de tratamientos y Evaluación de impacto
  • El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal
  • Nuevos retos normativos para el ámbito sanitario. RGPD y PIC, casi nada
  • RGPD, un Reglamento que Afecta a todas las Organizaciones, Públicas y Privadas, en Europa ¿Estamos Preparados?
  • Una “hoja de ruta” para la Adecuación de las Organizaciones Sanitarias Públicas al #RGPD

martes, 13 de febrero de 2018

Recordatorio. XV Foro de Seguridad y Protección de Datos de Salud de la SEIS del 14 al 15 de Febrero en Valencia Programa y Ponentes de Sanidad de Madrid

[Recordatorio de entrada publicada el 05/02/2018]

Del 14 al 15 de Febrero tendrá lugar en Valencia el XV Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud [ SEIS] bajo el lema "RGPD: ¿Que nos exige a las Organizaciones Sanitarias?"

El programa cuenta entre sus  sesiones, con espacio dedicado al nuevo Reglamento General de Protección de Datos que recordemos será de obligada aplicación el ya muy próximo  25 de Mayo de 2018.
Entre los ponentes participarán de Sanidad de Madrid:


lunes, 5 de febrero de 2018

XV Foro de Seguridad y Protección de Datos de Salud de la SEIS del 14 al 15 de Febrero en Valencia Programa y Ponentes de Sanidad de Madrid

Del 14 al 15 de Febrero tendrá lugar en Valencia el XV Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud [ SEIS] bajo el lema "RGPD: ¿Que nos exige a las Organizaciones Sanitarias?"

El programa cuenta entre sus  sesiones, con espacio dedicado al nuevo Reglamento General de Protección de Datos que recordemos será de obligada aplicación el ya muy próximo  25 de Mayo de 2018.
Entre los ponentes participarán de Sanidad de Madrid:

jueves, 4 de enero de 2018

XV Foro de Seguridad y Protección de Datos de Salud de la SEIS del 14 al 15 de Febrero en Valencia

Del 14 al 15 de Febrero tendrá lugar en Valencia el XV Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud [ SEIS] bajo el lema "RGPD: ¿Que nos exige a las Organizaciones Sanitarias?"

 Ya existe un programa disponible, , que contará, evidentemente, entre sus habituales sesiones, con espacio dedicado al nuevo Reglamento General de Protección de Datos que recordemos será de obligada aplicación el ya muy próximo  25 de Mayo de 2018.




[TheRegister] Fallos de seguridad en los procesadores Intel,AMD, ARM pueden permitir acceso a información protegida. Parches de los sistemas operativos en marcha que pueden penalizar el rendimiento

Actualizaba The Register hoy  04/01/2017 su información anterior publicada el martes 02/01/2018 (de la que se hacía eco El País y muchos medios) acerca de un fallo de seguridad grave en todos los procesadores Intel de al menos la última década que permitiría en sistemas operativos multiusuario y con seguridad, como Windows, Linux , macOS, que en ciertos casos programas de nivel de usuario pudieran tener acceso a la información protegida en memoria del proceso interno administrativo principal (la memoria privada del "núcleo" o kernel) y por tanto información indirecta del resto de procesos, y  del contenido de los ficheros protegidos, contraseñas, etc

En la nueva información de ayer, se detalla que el fallo realmente son dos tipos vulnerabilidades, la descrita antes (Meltdown) y  que también afecta a procesadores ARM, presentes en móviles y multitud de dispositivos, aparte de todos los Intel desde el primer Pentium y otra, Spectre, que permitiría que programas de nivel de usuario  tuvieran acceso a la información de otros procesos (incluidos los de nivel administrador, y que afecta además a los procesadores AMD recientes.. Y por último: ya existen pruebas de concepto de aprovechamiento ["exploits"] disponibles  que la propia Intel ya ha reconocido en su información (donde afirma por un lado que la ha  reproducido  y por otro que no hay posibilidad de modificación de datos y que no hay malware público conocido que los utilice).

La solución para los centenares de millones de equipos informáticos afectados (ordenadores personales, móviles y todo tipo de dispositivos inteligentes), al ser debido a un problema de su "hardware" pasaría por actualizaciones ("parches") de sus sistemas operativos que permitan esquivar  los posibles formas de aprovechamiento del fallo, estando ya en marcha para los sistemas operativos más extendidos Linux, Windows, MacOS, .... siendo probable su distribución la próxima semana,  temiéndose que implicarán una penalización en el rendimiento de estos sistemas.

viernes, 29 de diciembre de 2017

[Consalud] Ciberseguridad en Sanidad: Informe en EEUU dice que aumentará la inversióny guía europea de ENISA de buenas prácticas en centros sanitarios

Informa ConSalud que el informe del Centro de Medicina Conectada de Pittsburgh  "Top of Mind for Top U.S. Health Systems 2018"  concluye tras una encuesta queel 90% de los sistemas sanitarios de EEUU van a aumentar el gasto en ciberseguridad y que 2/3 ya están aumentando el personal experto en la lucha contra los ciberataques, recordando que los hospitales son objetivo de estas amenazas y que los riesgos se incrementarán con el despliegue en los centros sanitarios del “Internet de las Cosas" .

También informa  que la Agencia Europea para la Seguridad de las Redes y la Información (ENISA)tiene  una guía de buenas prácticas para fomentar la conexión de dispositivos y sistemas de información en hospitales y centros de salud y de los riesgos sanitario s que pueden suponer tanto por la vía de vulnerabilidades como de fallos humanos [ NOTA DEL EDITOR: se refiere al documento Cyber security and resilience for Smart Hospitals]

lunes, 11 de diciembre de 2017

[Diario Médico] Los fallos por ciberseguridad ya considerados el primer riesgo sanitario: secuestros y robos de datos sanitarios

Informa Diario Médico  este 11/12/2017 que el instituto ECRI de EEUU acaba de situar los fallos por ciberseguridad en el primer lugar de su ranking anual de riesgos sanitarios (antes ocupaba el segundo lugar) , destacando en especial por un lado los secuestros de datos en ataques informáticos de tipo "ransomware", en los que se pide un rescate para poder recuperar los datos, citando el caso de centro de salud Hollywood Presbyterian de  California que llegó a pagar 17.000 dólares para recuperar sus historias clínicas y que incluso existen empresas dedicadas a la mediación entre secuestradores y víctimas, así como de seguros ante atauq"cibernéticos". Y por otro los robos intencionados de información sanitaria para su venta en el mercado negro de datos, donde los datos sanitarios son ya más valiosos que los bancarios.

viernes, 1 de diciembre de 2017

Declarado desierto el concurso del SERMAS para las auditorías bienales obligatorias de cumplimiento de la Ley de Protección de Datos y del nuevo ESquema Nacional de Seguridad

El SERMAS acaba de hacerse público que queda desierto, por "no concurrir ninguna empresa válida para la ejecución del contrato",  su concurso de casi 90 mil euros que había convocado el pasado 27 de Junio para que una empresa realizara las obligadas cada dos años “auditoría de cumplimiento de las medidas de seguridad  en el tratamiento de datos de carácter personal para centros del SERMAS" (en su nueva edición de 2016) asó como una  auditoría de cumplimiento del recientemente aprobado  Esquema Nacional de seguridad” [ENS] por parte de las aplicaciones informáticas del SERMAS con acceso electrónico de los ciudadanos.

miércoles, 29 de noviembre de 2017

[El País] Descubierto fallo de seguridad en ciertos Mac que permite entrar como administrador sin contraseña

Informa El País este 29/11/2017 que se ha descubierto un fallo de seguridad de los ordenadores de Apple  Mac que tengan ciertas versiones del sistema operativo High Sierra , el más popular, y que permitiría entrar como usuario administrador sin necesidad de contraseña con un procedimiento extraordinariamente simple. Apple ya estaría desarrollando el parche para solucionar el problema y ha recomendado a los usuarios que realicen uana operación para evitar el problema.

lunes, 13 de noviembre de 2017

[Redacción Médica] Según el ECRI, la ciberseguridad es el mayor riesgo tecnológico para los hospitales

Informa Redacción Médica queeEl Instituto ECRI (de ‘Emergency Care Research Institute’) ha presentado su lista de los 10 mayores riesgos tecnológicas para el hospital ,situando en primer lugar  el ransomware y otras amenazas de ciberseguridad., que infiltradas en la red, "se propagan a través de los dispositivos y los sistemas conectados y encriptan datos, inhabilitan accesos de los usuarios, software y bienes tecnológicos”, como ya ha quedado patente en varios casos que han "ocasionado graves problemas a los sistemas de salud".

miércoles, 18 de octubre de 2017

VISION17 Congreso de Gobierno y Gestión de las TI en Madrid el 19 y 20 de Octubre. Ponencias sobre sector sanitario.

Estos próximos 19 y 20 de Octubre va a tener lugar en Madrid , en el Hotel NH Madrid Ventas,la   12ª edición del Congreso Nacional y Exposición VISION #VISION17 ,el congreso anual organizado por itSMF España [ @itsmfes] (la división española de la organizaicón internacional Information Technology Service Management Forum) dedicado al Gobierno, la Gestión y la seguridad de las Tecnologías de Información  y que contará este año con el lema "La Transformación de TI para una Empresa Ágil y Digital".


Entre el amplio programa, centrado como es habitual en sus contenidos en los marcos y estándares utilizados en el sector de TI (ITIL 2011, ISO20000, ISO38500, COBIT 5, ISO27000, LEAN IT, PRINCE2, PMI, CMMISVC , ISO 21500, ISO 22301, etc) y por supuesto el lema del congreso - la "transformación digital" habrá varias ponencia relacionada con el sector sanitario , en concreto:

martes, 17 de octubre de 2017

[El País] Encontrado grave fallo y forma de aprovecharlo del protocolo de encriptación usado de las redes Wifi

Informa El País este 16/10/2017 que se ha descubierto un fallo en el estándar de encriptación más utilizado en la actualidad  en las redes Wifi, WPA2 , y una forma de aprovecharlo  que permite acceder a la información transmitida por esas redes WIFI [siempre que no esté en sí misma  encriptada].

El fallo del protocolo WPA2 radica en la fase de negociación de la clave de encriptación entre el cliente y el punto de acceso que permitiría engañar al cliente  reinstalando una clave ya utilizada, siendo especialmente más sencillo de implementar con éxito los ataques en el cliente de WPA2 utilizado en los sistemas operativos Linux como el Android de millones de teléfonos [wpa_supplicant, ver aquí el anuncio del impacto de la vulnerabilidad en este caso]


miércoles, 4 de octubre de 2017

Resumen de la segunda jornada de VII Reunión del Foro para la Gobernanza de las TIC en Salud: ciberseguridad de los datos sanitarios y liderazgo digital

Durante los días 27 y 28 de Septiembre tuvo lugar en Mérida la VII Reunión del Foro para la Gobernanza de las TIC en Salud,  organizado por la Sociedad Española de Informática de la Salud (SEIS) [@SEISeSalud , este año bajo el lema "Retos del líder digital" , y de cuya primera jornada ya publicamos un resumen: nube pública, ¿sí o no en Sanidad?

Siguiendo el programa, te la segunda jornada comenzaba con la segunda Mesa de Debate sobre un tema muy de actualidad: "Ciberseguridad ¿Estamos preparados para el reto de la Seguridad Digital?", moderado  por el Subdirector General de Innovación y Arquitectura Tecnológica de la Dirección General de Sistemas de Información Sanitaria del SERMAS,  David LLeras Iglesias, en sustitución del propio Director General.




Pablo López, segundo Jefe de Departamento de Ciberseguridad del Centro Criptológico Nacional, reconoció el impacto que ha tenido en los medios los recientes ciberataques de los gusanos WannaCry y NotPetya, y si bien opina que no debe cundir el pánico si debe haber un refuerzo del esquema básico de prevención, detención y respuesta en las organizaciones. También dijo que sería conveniente un centro nacional de monitorización y vigilancia más allá del actual centro que realiza notificaciones y alertas y sobre todo, compartir la información,  "la única manera de poder vencer".  Ya en especial sobre los datos de Sanidad, reseñó cómo en el mundo sanitario se conjugan datos muy atractivos con equipos médicos informáticos "legacy" o complejos que son difíciles de actualizar para aplicar los parches de seguridad , lo que  junto con el hecho de que "a nivel de usuario no hay buenas práctias", genera una "superficie de exposición alta" a los ataques de seguridad.
 

lunes, 2 de octubre de 2017

[Xataka] Informe de Karpersky: se disparan el numero de ordenadores comprometidos para minería de criptomonedas

Informaba Xataka el pasado 13/09/2017 del informe de la empresa de seguridad Kaspersky que revela que ya suman 1,65 millones los ordenadores comprometidos por redes de malware o botnets que dedican sus recursos informáticos al novedoso negocio de la "minería de criptomonedas"sin que los poseedores de los ordenadores comprometidos  se enteren, destacando que entre éstos se encuentran servidores de organizaciones comprometidos mediante el mismo exploit EternalBlue que el gusano WannaCry y otros utilizaban para propagarse remotamente de forma automática.

jueves, 31 de agosto de 2017

[BBC] Hospitales de Escocia paralizaron operaciones y consultas ante un malware

Informaba la BBC el 28/08/2017  que nuevamente hospitales del NHS británico, en este caso de Lanarkshire, tuvieron que paralizar  asistencia sanitaria ,consultas y operaciones programadas, ante la parada del sistema informático tras un "ciberataque" de un malware, que se desconoce si su entrada en el hospital fue deliberada.

Se da la circunstancia de que estos hospitales escoceses fueron de los más afectados cuando la irrupción del gusano  Wannacry, si bien, las autoridades informan que el impacto ha sido menor esta vez.

viernes, 18 de agosto de 2017

Prorrogada por 1 año más a Oesia la adjudicación de la Oficina de seguridad en TI del SERMAS [la OSSI-CERT]

Acaba de publicarse la  2ª prórroga  a Oesia Networks por un año (desde el 16/10/2017 hasta el 15/10/2018) por  un importe de 651 mil del contrato del concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT u OSSI simplemente] que había sido adjudicado con cambio de proveedor en 2014 a Oesia El concurso admitía prórrogas de hasta 2 años

Recordemos que la OSSI  funciona bajo un modelo de externalización amplia  en la que junto con la empresa adjudicataria y una persona de la propia Dirección General de
Sistemas de información Sanitaria del SERMAS también existe una pequeña parte de personal de la actual Agencia para la Administración Digital de la Comunidad de Madrid (antigua Agencia de Informática de la Comunidad de Madrid  o ICM) , dadas las compentencias que  tiene IC desde el 1/1/2008  en la Consejería de Sanidad en materia de seguridad de las comunicaciones o de datos


martes, 27 de junio de 2017

[CCN-CERT] Nuevo ataque de ransomware que se progaga tambień con la vulnerabilidad de Windows que WannaCry aproivechaba

Publica el Centro Criptológico Nacional que se  está propagando un nuevo malware con cifrado (ransomware= , una variante de la familia Petya que cifra el sistema operativo o disco y cuya propagación es como la que que utilizaba  WannaCry, de forma automática por red de Windows aprovechándose de la misma vulnerabilidad de Windows del boletín de seguridad 14 de Marzo de Microsoft  en sistemas que no cuenten con el parche de Microsoft  que la solucionaba para Windows XP y versiones superiores, habiendo causado ya problemas en varias multinacionales españolas. Además, y a diferencia de WannaCry, también se estaría propagando por correo spam dentro de documentos adjuntos de Office.


miércoles, 17 de mayo de 2017

[GobCM] 'La Comunidad trabaja por garantizar la seguridad de los sistemas informáticos de la Administración regional'. [Navegación por internet limitada]

'La Comunidad de Madrid, a través de la Agencia Madrid Digital, está trabajando intensamente para garantizar la seguridad y protección de los sistemas informáticos con los que se presta servicio a los madrileños,
desde el mismo momento en que se produjo el ataque informático global denominado “wannacry”.

Como ha informado el consejero de Presidencia, Justicia y Portavoz del Gobierno regional, Ángel Garrido, en la rueda de prensa posterior al Consejo de Gobierno, el pasado viernes se convocó un gabinete de crisis para realizar un
análisis de la situación en la Comunidad de Madrid y evaluar las medidas a llevar a cabo para prevenir los posibles efectos del ataque, y desde entonces se están poniendo todos los medios técnicos y humanos para proteger el sistema
informático de la Comunidad de Madrid.

[La Información] C. Valenciana .La Generalitat retira gradualmente las restricciones preventivas por el virus/gusano Wanna Cry

Informa La Información este 16/05/2017 que la Generalitat Valenciana había comenzado ya este martes 15 a retirar de forma gradual las medidas preventivas en forma de restricciones informáticas en el acceso a Internet  de sus empleados mientras instalaba las actualizaciones para protegerse  del virus y  "gusano", Wanna Decryptor, , entre ellas el "nuevo" parche que Microsoft contra el fallo de su sistema operativo Windows del que se aprovecha el viru s[es decir, debe referise al qu Pque Microsfot sacó este fin de semana para varias versiones de Windows sin soporte desde hace años (Windows XP para puestos y Windows Server 2003 para servidores), dado que las versiones recientes ya contaba con el parche en Marzo] . La Generalitat reconoce haber detectado el virus pero asegura que gracias a las medidas tomada no llegó ni a propagarse ni a afectar a nada.