Las organizaciones de atención médica a menudo no priorizan la seguridad cibernética, lo que lleva a medidas de seguridad deficientes, falta de cumplimiento normativo y ausencia de planes de resiliencia cibernética.
En este artículo explicaremos cómo la industria de la salud puede mejorar sus prácticas de ciberseguridad y seguridad de la información para evitar que ocurran filtraciones de datos.
Indice
¿Por qué los ciberdelincuentes apuntan a la atención médica?
El sector de la salud tiene desafíos únicos que ameritan abordar sus estrategias de prevención de filtraciones de datos de manera específica. Las empresas de atención médica contribuyen a la infraestructura crítica en todo el mundo y combinan:
- Grandes cantidades de datos: según el Foro Económico Mundial, los hospitales pueden producir alrededor de 50 petabytes de datos cada año. Cuantos más datos se recopilen, más valiosa puede ser la información.
- Datos confidenciales: los registros clínicos son algunos de los datos más confidenciales. Los centros de atención médica almacenan no solo información de identificación personal (PII) , sino también detalles de enfermedades y afecciones, resultados de tratamientos e información financiera.
- Transiciones lentas de los sistemas heredados: con tantos más registros médicos que nunca y la capacidad de almacenarlos en discos duros y servidores, los hospitales continúan alejándose de los sistemas basados en papel u otros sistemas heredados en favor de soluciones de almacenamiento modernas, incluidos los servicios en la nube. Esta transición puede implicar cierta confusión, problemas de comunicación y configuraciones incorrectas, lo que podría generar vulnerabilidades que los ciberdelincuentes pueden explotar.
- Falta de seguridad de terceros: los terceros , como los servicios de almacenamiento en la nube y los servicios de TI administrados, tienen acceso a datos confidenciales. Aumentan la superficie de ataque de las instituciones a las que sirven.
Las regulaciones de atención médica ayudan a prevenir las filtraciones de datos
Una de las mejores maneras de prevenir una violación de datos es mantener el cumplimiento de las normas de atención médica. Están diseñadas para proteger la privacidad de la información del paciente y pueden ser un factor de motivación para las organizaciones que se enfrentan a una violación de datos.
Una empresa de atención médica puede incurrir en multas significativas si un organismo regulador decide que sus sistemas de seguridad de la información y sus políticas y procedimientos de privacidad de datos fueron inadecuados durante una violación de datos. Estas multas pueden sumar, ya que pueden calcularse por incidente por día. Además, la brecha de datos promedio puede pasar desapercibida durante más de 200 días.
11 formas de prevenir una violación de datos en el cuidado de la salud
La razón principal por la que los ciberdelincuentes atacan constantemente a las organizaciones y los proveedores de atención médica es que la información de salud protegida, que incluye datos de pacientes, registros médicos e información de seguros, es información extremadamente valiosa que los delincuentes pueden vender en el mercado negro o en la dark web. La información del paciente robada o expuesta a menudo se rescata a la organización, que no tiene más remedio que pagar el rescate para continuar con las operaciones o correr el riesgo de perder los datos confidenciales del paciente por completo.
Además, los estándares de cumplimiento requieren que los proveedores de servicios de atención médica tengan protocolos de seguridad cibernética para continuar con las operaciones o correr el riesgo de incurrir en sanciones severas, especialmente si la falta de seguridad lleva a comprometer la privacidad del paciente.
Para obtener una guía más técnica sobre cómo prevenir filtraciones de datos, lee esta publicación.
1. Evaluar los riesgos de seguridad en la infraestructura de TI
Las evaluaciones de riesgos cibernéticos y las evaluaciones de seguridad deben realizarse anualmente para abordar nuevas vulnerabilidades, brechas de seguridad y políticas obsoletas que podrían poner en riesgo a la organización. Las auditorías de ciberseguridad se pueden realizar internamente o por un tercero para obtener una descripción más completa de toda la infraestructura de TI. Los riesgos de seguridad en la infraestructura de TI no se limitan a la seguridad de la red o del correo electrónico; también se aplican a la seguridad de los dispositivos físicos que los empleados pueden usar para acceder a la red principal de la organización.
Una parte importante de la evaluación de la seguridad debe ser la identificación de los activos y datos más importantes que deben protegerse. Las organizaciones de atención médica deben implementar protecciones de seguridad más sólidas para los registros de pacientes y los datos personales de sus empleados.
Además, las instituciones de atención médica deben preparar evaluaciones y pruebas de riesgo anuales para determinar si su seguridad es adecuada para defenderse contra las amenazas cibernéticas actuales. Las pruebas de penetración , las simulaciones y la evaluación de vulnerabilidades pueden medir si los sistemas de seguridad de las empresas deben disuadir hipotéticos ataques cibernéticos.
2. Mantener el cumplimiento normativo
Existe un conjunto de regulaciones y marcos de atención médica que determinan la capacidad de una organización de salud para proteger los datos y registros de salud de los pacientes. Las organizaciones pueden utilizar las normas como hoja de ruta para mejorar la privacidad de los datos.
También es de interés para la institución seguir los estándares de cumplimiento para evitar incurrir en sanciones y multas por la falta de prácticas de seguridad de datos. Esas normas se aplican a cualquier entidad que maneje datos confidenciales de pacientes, incluidos:
- Proveedores de servicios de salud
- Cámaras de compensación de atención médica
- Socios de negocio
3. Implementar la segmentación de la red
La segmentación de la red es una práctica de seguridad de datos muy eficaz que utiliza subredes divididas para limitar el acceso a los datos en toda la red de servidores de una organización, especialmente en organizaciones más grandes u hospitales. La segmentación de la red es una práctica proactiva y preventiva que segmenta los datos en varias redes individuales para organizar mejor la infraestructura de la red y evitar el acceso libre de usuarios no autorizados.
La idea detrás de la segmentación de la red es que si un pirata informático obtiene acceso a una subred, es extremadamente difícil saltar a otra subred dentro de la organización. Cada subred tiene sus propias reglas de seguridad, privilegios de acceso y bolsillos de información confidencial que impiden el fácil acceso sin autorización. Si una organización solo usa una estructura de red plana, corre el riesgo de exponer todos sus datos a través de una única vulnerabilidad explotada.
La segmentación de redes es un proceso muy complicado e intrincado que requiere una gran inversión y tiempo para implementarlo correctamente. Sin embargo, si se implementa correctamente, la segmentación de la red en las organizaciones de atención médica más grandes puede aumentar significativamente su postura de seguridad y evitar una violación total de los datos si ocurre un ataque cibernético.
4. Hacer cumplir la capacitación y educación en ciberseguridad
Una de las principales causas de las violaciones de datos de atención médica es que los trabajadores y empleados no están informados sobre los riesgos cibernéticos y no tienen la capacitación necesaria para reconocer las amenazas. Cualquier organización, desde pequeños proveedores hasta grandes hospitales, debe brindar una educación adecuada en ciberseguridad para que el personal pueda ser la primera línea de defensa contra los ataques.
Las organizaciones de atención médica deben brindar capacitación en seguridad cibernética al personal nuevo y continuar reforzando las mejores prácticas de protección de datos para los empleados relevantes con acceso a datos confidenciales. La capacitación debe actualizarse a medida que surjan las amenazas o vulnerabilidades cibernéticas más recientes. La educación y la capacitación cibernética deben incluir prácticas de seguridad de datos como:
- Cómo crear contraseñas seguras
- Prácticas seguras de navegación en Internet
- Reconocimiento de posibles ataques de phishing
- No conectarse a redes Wi-Fi no seguras con dispositivos personales o del trabajo
- Configurar la autenticación de dos factores o multifactor
- Nunca proporcionar números de seguro social o información de tarjetas de crédito a través de canales no seguros
- Protección de dispositivos físicos
La mejor protección contra los ataques cibernéticos es reforzar la seguridad de los datos y limitar los errores humanos tanto como sea posible.
5. Actualizar software y hardware obsoletos
Es posible que muchos hospitales u otras organizaciones de atención médica aún estén trabajando con sistemas y tecnología heredados, lo que pone en grave riesgo la información importante de atención médica y los registros electrónicos de salud. Los piratas informáticos se enfocan en organizaciones que aún operan con software, aplicaciones y hardware desactualizados porque tienen una protección mínima y un software de seguridad sin parches que no puede defenderse contra los ataques cibernéticos de hoy en día.
Otra razón para actualizar la tecnología obsoleta es que muchos dispositivos médicos están conectados a la red principal, aunque no se puede acceder directamente a Internet. Estos se conocen como dispositivos IoT (Internet de las cosas) y son comunes para que los delincuentes pirateen y accedan a la red si no están protegidos mientras están conectados a redes inalámbricas.
Una vez que se viola este vector de ataque, los delincuentes pueden implementar malware, ransomware o ataques DDoS que pueden paralizar todo un sistema de atención médica. Los hospitales grandes a menudo usan miles de dispositivos médicos que pueden no estar protegidos, lo que crea puntos de entrada interminables para que los piratas informáticos los exploten.
6. Establecer horarios de retención de datos
El almacenamiento de datos innecesarios aumenta el daño potencial que puede causar una violación de datos. Además de limitar el acceso de los empleados a la información del paciente, la institución de atención médica puede limitar el tiempo que almacena datos confidenciales.
Sería prudente que el establecimiento de atención médica tuviera una política escrita sobre cuánto tiempo conserva los registros de salud electrónicos (EHR). Al eliminar los archivos históricos, se pueden perder o robar menos datos. Los programas de retención ayudan a garantizar que la ePHI se elimine cuando ya no se necesite.
La destrucción de datos digitales debe realizarse de forma segura, ya que simplemente descartar discos duros o eliminar archivos no garantiza la eliminación adecuada de los datos. Las empresas de destrucción digital certificadas son una solución para que las organizaciones sanitarias destruyan datos antiguos de forma segura. Los documentos digitales se pueden triturar electrónicamente para evitar la recuperación, y eso debe ser realizado de manera monitorizada, controlada y sistemática por personas con las credenciales de acceso adecuadas.
7. Usa la monitorización en tiempo real
Al registrar y rastrear la actividad de la red y del usuario, las empresas de atención médica pueden monitorizar el acceso no autorizado a la PHI, rastrear la actividad sospechosa de la red e identificar los riesgos de seguridad antes de que puedan ser explotados. También puede realizar un seguimiento de quién tiene acceso a qué información y cuándo en un sistema con acceso por niveles. El análisis de la información de monitorización puede ayudar a identificar las amenazas y acabar con ellas antes de que empeoren.
Si ocurre una filtración de datos, los registros de los sistemas de monitorización en tiempo real pueden ser fundamentales para identificar y contener los daños durante las primeras etapas de un plan de respuesta a la filtración de datos. Las alertas en tiempo real pueden ayudar a las empresas de atención médica a responder más rápidamente a las amenazas y prevenir filtraciones de datos.
8. Utiliza el control de acceso basado en roles (RBAC)
El control de acceso basado en roles (RBAC) es una forma de seguridad basada en roles que asigna permisos específicos a cada usuario de la empresa. Al administrar los permisos, las organizaciones tienen un control más estricto sobre los privilegios de acceso a los datos según el rol del usuario en la empresa. RBAC es particularmente necesario en organizaciones grandes, como hospitales, con miles de empleados y cientos de roles.
La implementación de RBAC es una de las mejores formas de evitar filtraciones de datos porque limita la cantidad de datos que los piratas informáticos pueden robar si de alguna manera obtienen acceso a la cuenta de un empleado. Por ejemplo, si un empleado de nivel inferior es pirateado, el actor de la amenaza no puede acceder a datos de alto valor a través del acceso limitado de los empleados, lo que evita de manera efectiva una violación de datos completa.
RBAC emplea el principio de privilegio mínimo y el modelo de confianza cero que restringe automáticamente el acceso de los empleados a los datos fuera de las necesidades de su rol al asumir que cada nivel de datos tiene el potencial de acceso no autorizado.
9. Administrar los riesgos de los proveedores externos
Debido a que ciertos proveedores externos manejan, almacenan o transmiten datos críticos y confidenciales, aumenta la superficie de ataque de sus socios. Los terceros incluyen contratistas, otras clínicas, socios comerciales, proveedores de servicios en la nube y más.
Es esencial realizar la diligencia debida de terceros y garantizar que los proveedores de terceros mantengan prácticas sólidas de seguridad y privacidad de datos. Los acuerdos de socios comerciales (BAA) basados en el cumplimiento son parte de cómo las organizaciones de atención médica pueden establecer requisitos y expectativas de seguridad de datos para terceros.
Además, las instituciones de atención médica que trabajan con proveedores externos deben asegurarse de leer y revisar todos los acuerdos de nivel de servicio. No permitas que ninguna casilla se marque o desmarque automáticamente. Si un proveedor externo necesita acceso a registros médicos y otros datos de pacientes, debe cumplir con la normativa Cualquier cosa menos poner en riesgo al negocio de la salud y a tus pacientes.
Las violaciones de la ley pueden resultar en multas y sanciones significativas tanto para el proveedor como para la organización de atención médica. Las organizaciones deben considerar designar a una persona designada para que se haga cargo de los procesos de cumplimiento y adquisición de terceros.
10. Crea planes de resiliencia cibernética
Los planes de resiliencia cibernética son cruciales para que cualquier organización los cree e implemente. La resiliencia cibernética incluye la recuperación ante desastres, la continuidad del negocio y los planes de respuesta a incidentes que permiten a la organización resistir un ataque cibernético y planificar una posible violación de datos. Si bien estos planes no evitarán las violaciones de datos, son esenciales para detallar los protocolos de mitigación y remediación.
Por ejemplo, los planes de respuesta a incidentes identificarán las funciones y responsabilidades del equipo de TI en caso de un ataque cibernético activo y detallarán los procesos de informes específicos, las acciones de mitigación y la identificación y corrección del vector de ataque para limitar el alcance del ataque rápidamente.
11. Contrata un equipo de TI
Los establecimientos de salud pueden ser grandes organizaciones con una gran cantidad de registros y departamentos. Pueden abarcar no solo varios departamentos y jefes de departamento, sino también varios hospitales, residencias de ancianos y otros centros en amplias ubicaciones geográficas. Un equipo de TI dedicado puede ayudar significativamente a prevenir una violación de datos y hacer que las cosas funcionen mucho más rápido, sin problemas y de manera asequible si un ataque, un error humano o un desastre natural compromete los datos.
Mantenerse al tanto de los requisitos de seguridad de la información para una organización de atención médica puede ser un desafío importante. Designar puestos, como un CISO, para liderar los esfuerzos de seguridad de TI de la empresa es una forma efectiva de mantener el negocio en marcha e implementar un plan de respuesta de violación de datos de manera efectiva cuando sea necesario.
Independientemente del tamaño, las organizaciones de atención médica deben enfrentar necesariamente el desafío de proteger los datos de los pacientes. Un equipo de TI dedicado puede monitorizar amenazas, mantener firewalls y software de detección de amenazas, mantener los sistemas actualizados, monitorizar y modificar permisos, y monitorizar proveedores externos y otros socios.
El sector de la salud tiene las tasas más altas de brechas de seguridad y ataques cibernéticos a nivel mundial. El coste medio de una violación de datos para las organizaciones de atención médica es de alrededor de 10 millones de euros, mientras que el promedio global para todas las industrias se ubica en menos de la mitad de esa cantidad, alrededor de 4 millones.