Il SANS NewsBites del 4 gennaio (www.sans.org) segnala la pubblicazione della serie di documenti "Health Industry Cybersecurity Practices: Managing Threats and Protecting Patients" da parte dell'US Dept. of Health and Human Services:
- https://www.phe.gov/Preparedness/planning/405d/Pages/hic-practices.aspx.
Un commento di un curatore del SANS segnala che questa guida è un cambio di direzione perché si basa sulle "buone pratiche", non sul "rischio". Secondo molti è un male, ma secondo me è un bene, fino ad un certo punto. Come dice lo stesso curatore del SANS NewsBites, per una vera valutazione del rischio sono necessari tempo e competenze (oltre che soldi) e spesso i risultati non sono poi così strabilianti. Allora ben venga un elenco di "buone pratiche" su cui è possibile ragionare e non un vago richiamo (come oggi va di moda) alla valutazione del rischio senza una seria valutazione delle soluzioni oggi disponibili.
E' vero che domani le soluzioni saranno diverse, ma almeno qualcuno ci spiega quelle di oggi.
A dire il vero, non mi sembra che questa guida presenti cose particolarmente innovative o relative alla sanità (persino la "Cybersecurity Practice #9: Medical Device Security" non mi è sembrata particolarmente significativa). Però confesso di non averla letta con particolare attenzione.
Nessun commento:
Posta un commento