Tu información personal tiene un mayor valor en el mercado negro que la información detu tarjeta de crédito, cuando dicha información está relacionada con la atención médica.
En el mundo de la seguridad cibernética, tu información personal —nombre, dirección, número de seguridad social, nombres de usuario y contraseñas, cuentas de redes sociales, etc.— se conoce como Información de Identificación Personal o IIP. Cuando agregas información médica a la mezcla, tu IIP adquiere un valor adicional que la hace muy atractiva para los hackers criminales que pueden venderla, utilizarla para robar tu identidad hasta el más íntimo nivel, o paralizan a todo un hospital para perpetrar lo que nosotros hemos llegado a conocer como un “ataque de ransomware”.
Esto quiere decir es que es fundamental para las organizaciones de atención médica proteger toda la información en sus sistemas, almacenándola en un nivel máximo de seguridad cibernética y permitiendo el acceso solo a aquellos que realmente lo necesitan para llevar a cabo su trabajo. Y no es solo la información del paciente la que debe estar bajo bloqueo y clave cibernética. Cada organización de atención médica también debe proteger la IIP de sus empleados, proveedores y cualquier otra persona que pueda haber proporcionado su información personal.
La industria de la salud sabe que necesita proteger la IIP. Simplemente es malo para los negocios que la IIP esté expuesta. Perjudica las relaciones comerciales con los clientes y supone multas elevadas relacionadas con las infracciones de cumplimiento de HIPAA. Sin embargo, en 2017, más del 27% de las infracciones de información estaban relacionadas con la salud o la atención médica, según el Centro de Recursos de Robo de Identidad Experian.
Entonces, ¿Cómo se expone la Información de Identificación Personal relacionada con la atención médica? ¿Cuáles son los puntosclaves de riesgo para una exposición?
Hay tres formas principales en las que se expone la IIP, y todas deben ser consideradas cuando te aseguras de que tu organización de atención médica tenga una estrategia sólida de protección de información.
1.) Un ciberataque
Un grave problema de seguridad cibernética para cualquier organización de atención médica, los ataques pueden presentarse de muchas formas, y el atacante solo necesita tener éxito una vez, pero tu organización debe tener éxito en bloquear los ataques el 100% del tiempo.
¿Injusto? Seguramente, pero sigue siendo cierto. Los sistemas de defensa del ámbito cibernético son importantes para protegerse contra los ataques cibernéticos, al igual que las herramientas de registro de red para detectar anomalías. Y si solo un hacker criminal tiene éxito, es importante asegurarse de que no puedan pasar más allá de la fachada, por así decirlo. Las organizaciones de atención médica deben implementar el software adecuado que garantice que el atacante, una vez en el sistema, no pueda incrementar sus privilegios de red o moverse lateralmente dentro de la red de tu organización.
2.) Una amenaza interna
Hay muchas razones por las que alguien de la empresa puede arriesgar deliberadamente la seguridad de su organización. En ocasiones, un empleado puede enojarse con su organización y tomar represalias exponiendo parte de su información confidencial, o abandonando la empresa y llevándose consigo contraseñas confidenciales. Nadie quiere que esto suceda, pero puede ocurrir. O bien, debido a que la información de atención médica es tan valiosa, algunos empleados recurren a la IIP como una forma de ganar dinero cuando no pueden pensar en otra manerade obtenerlo. Puedes tomar medidas para limitar este riesgo, como asegurarte de que los empleados y proveedores solo tengan acceso al nivel de información que realmente necesitan, poder cancelar de inmediato el acceso y cambiar las contraseñas cuando un empleado deja la organización.
3.) Un descuido interno
Quizás no lo hicieron a propósito. Tal vez dejaron su teléfono o computador portátil propiedad de la organización dentrode un taxi, o alguien les robó un dispositivo. Tal vez hicieron clic inocentemente en un enlace en un correo electrónico de suplantación de identidad y expusieron una contraseña u otra información.
De cualquier forma, cuando se trata de datos de salud, los médicos y otros miembros del personal tienen una cantidad significativa de acceso remoto a IIP y esto representa un gran riesgo de multas—una lección que hemos aprendido de experiencias pasadas en las que se han filtrado registros de pacientes, en algún momento. Los dispositivos perdidos o robados son, de hecho, una de las principales causas de una infracción involuntaria. Los empleados deben ser forzados a usar contraseñas seguras en todos sus dispositivos y nunca deben enviar mensajes de texto o correos electrónicos con información confidencial desde dispositivos no protegidos.
¿Cómo protegen las organizaciones de atención médica la IIP de pacientes, proveedores y empleados?
Ninguna organización de atención médica, grande o pequeña, debe estar sin un sistema de administración de contraseñas de nivel empresarial y un software de administración de acceso privilegiado (también llamado software PAM). Un sistema PAM que sea completo y fácil de usar puede ser bien aplicado y proporcionará la máxima seguridad cibernética disponible para la red de tu organización de atención médica.
Este artículo fue proporcionado por el equipo de seguridad cibernética deThycotic.