Seguridad de la Salud en Estado Crítico

healthcare security

Seguridad de la Salud en Estado Crítico

¿Las organizaciones de atención médica son más vulnerables a las violaciones de datos que otras industrias?

Las organizaciones de salud (69 por ciento) y sus asociados de negocios (BA, por sus siglas en inglés) (63 por ciento) ciertamente sienten que tienen un blanco en la espalda, según el Sexto Estudio Anual de Referencia de Ponemon sobre Privacidad y Seguridad de Datos de Atención Médica.  Sin embargo, el conocimiento no necesariamente ha llevado a la acción preventiva en muchas empresas de salud o en los BA que los apoyan. Las violaciones de datos en la atención de la salud continúan poniendo en riesgo los datos de los pacientes y son cada vez más costosas y frecuentes. De acuerdo a Estimaciones de Ponemon, las infracciones de datos ya podrían haber costado $6.2 mil millones a la industria de la salud.

Pacientes en riesgo de robo de identidad financiera
Si bien muchas de las infracciones informadas por los encuestados fueron pequeñas, con menos de 500 registros, casi el 90 por ciento de las organizaciones de salud que participaron en el estudio informaron que fueron víctimas de una violación de datos en los últimos dos años, y el 45 por ciento tuvo más de cinco infracciones de datos durante ese mismo período. Ponemon estima que el costo promedio de una violación de datos para las organizaciones de atención médica en los últimos dos años fue de más de $2.2 millones, mientras que los costos para BAs fueron más de $1 millón. Los principales archivos robados: archivos médicos, registros de facturación y seguros y detalles de pago, poniendo a los pacientes no solo en riesgo de exponer detalles personales, sino también por robo de identidad financiera.

Negligencia del empleado, motivo de preocupación
Lo que es evidente a partir de los datos es que la negligencia de los empleados y el manejo inadecuado de los datos confidenciales de los pacientes sigue siendo un gran motivo de preocupación; de acuerdo con Data Breach Digest de Verizon, 23 por ciento de las filtraciones de datos informados en el cuidado de la salud son debido a privilegios internos y usos indebidos. En el informe Ponemon, el 69 por ciento de los encuestados de la salud citaron “empleados negligentes o descuidados” como el tipo de incidente de seguridad que más les preocupa, en comparación con el 45 por ciento de los atacantes cibernéticos y el 30 por ciento de los dispositivos móviles inseguros.

En cuanto a BAs, el 53 por ciento de los encuestados mencionó a los empleados negligentes o descuidados como el incidente de seguridad más temido. Las organizaciones de atención de la salud pueden estar demasiado preocupadas, ya que solo el 36 por ciento de las organizaciones de atención médica declararon la acción involuntaria de los empleados como una causa de incumplimiento.  Sin embargo, los números se alinearon también para los BAs, ya que el 55 por ciento de los BA declararon la acción no intencional del empleado como una causa de incumplimiento.

Datos de salud, menos encriptados
De acuerdo a un segundo informe de Ponemon y Thales, que rastreó el uso extensivo de soluciones de encriptación para 10 sectores industriales durante tres años, las organizaciones farmacéuticas y de salud han visto el mayor salto en el uso de soluciones de encriptación, con 40% de las organizaciones que ahora informan sobre el uso de encriptación. Sin embargo, el mismo informe también muestra que las organizaciones de tipo de datos menos probables en general (21 por ciento) son información relacionada con la salud, un resultado bastante sorprendente dados los requisitos normativos, la sensibilidad de los datos y las recientes violaciones de datos de alto perfil en el cuidado de la salud.

Los dedos apuntan a fondos y recursos
A pesar de la mayor frecuencia de infracciones y los crecientes costos para lidiar con las secuelas, la mitad de estas organizaciones aún sienten que carecen de los fondos y los recursos para gestionar las infracciones de datos. La intención está allí, ya que la mayoría de las empresas han reevaluado sus prácticas de seguridad y han implementado políticas y procedimientos diseñados para reducir las infracciones. Esas prácticas, aunque bien intencionadas, parecen estar haciendo poco para evitar que ocurran infracciones.

  • No ha invertido en las tecnologías necesarias para mitigar una violación de datos
  • No ha contratado a suficientes profesionales de seguridad de TI capacitados
  • No ha financiado o proporcionado recursos de manera adecuada para el proceso de respuesta a incidentes

Las organizaciones de salud reportan que los presupuestos han disminuido desde el año pasado (10 por ciento de los encuestados) o se han mantenido igual (52 por ciento). El escenario es similar para los BAs: el 11 por ciento informó disminuciones y el 50 por ciento el presupuesto se mantuvo igual.

La seguridad sanitaria está en estado crítico
En base a estos informes, la seguridad de la atención médica se encuentra en estado crítico. Las infracciones ocurren con frecuencia y le cuestan más a las organizaciones sanitarias y a los BA. Según el informe Ponemon, la responsabilidad del proceso de respuesta a incidentes de violación de datos está dispersa en toda la organización, sin embargo, tanto organizaciones de salud (30 por ciento) como socios comerciales (41 por ciento) dicen que IT es la función más responsable del proceso de respuesta a la violación de datos. ¿Pero quién es responsable de detener estas violaciones antes de que se requiera una respuesta?

Los CIO y los CISO deben seguir avanzando en la prevención de las infracciones en su organización, escalándola para convertirla en una prioridad empresarial clave. Pueden empezar por poner sus políticas y procedimientos bajo un microscopio y localizar donde está el agujero negro al momento de poner las políticas y procedimientos en la práctica con empleados. El siguiente paso es invertir en tecnología de encriptación para evitar infracciones, no solo en las pólizas de seguro para cuando ocurran.

Si deseas averiguar cómo asegurarte de que tus puntos críticos de contacto de comunicación estén protegidos, el contenido adicional que se detalla a continuación puede ser de tu interés.

Esta publicación de blog fue publicada originalmente en inglés

 

By Christian Peel, ‎VP Customer Engineering, Echoworx