Las instituciones de salud son los principales objetivos de los ataques cibernéticos y diversas formas de fraude. Ya sea como trabajador o como paciente, ¿qué debe tener en cuenta?
Dado que todos los aspectos de las operaciones de atención médica son esenciales para el bienestar de los pacientes, la ciberseguridad ocupa un lugar destacado como uno de los componentes más críticos.
La capacidad de documentar, organizar y acceder fácilmente a los registros de salud de los pacientes mejora la calidad del servicio que reciben. Pero cuando esa información se pierde o se ve comprometida debido a amenazas y ataques cibernéticos, corren el riesgo de perder la vida. Comprender estos riesgos cibernéticos y cómo prevenirlos es un salvavidas.
¿Qué es la ciberseguridad sanitaria?
La ciberseguridad de la atención médica se refiere a las medidas técnicas que adoptan las organizaciones de atención médica para proteger los datos de sus pacientes y proteger su privacidad contra amenazas y ataques cibernéticos.
La privacidad de los datos es de suma importancia en el cuidado de la salud debido a la sensibilidad de los registros de salud de los pacientes, por lo que las partes interesadas deben defenderla a toda costa. Es importante tener en cuenta que las amenazas que pueden comprometer la ciberseguridad de la atención médica no son solo externas sino también internas.
Hay amenazas internas y externas en la ciberseguridad de la atención médica. El primero es de extraños, mientras que el segundo es de personas dentro del centro de salud. Así como un ciberdelincuente puede atacar un establecimiento médico para obtener ganancias maliciosas, un trabajador de la salud también puede exponer los registros confidenciales de los pacientes, ya sea intencionalmente o no.
La ciberseguridad en el cuidado de la salud previene las amenazas internas y externas y mitiga los daños luego de una violación de datos.
¿Cuáles son los riesgos cibernéticos comunes en el cuidado de la salud?
Las instalaciones de atención médica no solo almacenan los registros de salud confidenciales de los pacientes. También reciben grandes sumas en pagos. Los actores de amenazas cibernéticas están ansiosos por obtener los detalles de pago de los pacientes, para que puedan participar en el robo de identidad y el fraude financiero.
Las empresas médicas deben familiarizarse con los riesgos cibernéticos comunes en su dominio.
Suplantación de identidad
El phishing es un proceso en el que un actor de amenazas se presenta como una persona o institución legítima y lo atrae para que comparta información confidencial con ellos. El atacante tiene en cuenta que es posible que no esté dispuesto a compartir la información, por lo que lo engañan para que abra o haga clic en contenido infectado con malware que les da acceso a su red. Este tipo de contenido suele tener un sentido de urgencia, provoca miedo a perderse algo (FOMO) y, a menudo, es demasiado bueno para ser verdad.
Dado que las organizaciones de atención médica atienden al público, reciben muchos correos electrónicos y otros mensajes. Un actor de amenazas puede hacerse pasar fácilmente por un posible paciente o socio comercial y lanzar un ataque de phishing.
Secuestro de datos
El ransomware es una técnica de ataque que utilizan los piratas informáticos para hacerse cargo de su red y bloquearlo. Encriptan los archivos en su sistema, lo que le dificulta abrir los archivos sin las claves de descifrado. Habiendo hecho eso, proceden a exigirle un rescate como condición para que recupere su sistema.
Las organizaciones de salud son propenso a ataques de ransomware porque poseen datos dignos de rescate. Prefieren pagar antes que dejar que los atacantes expongan o comprometan la información confidencial de sus pacientes.
Ataque a la cadena de suministro
Los ataques a la cadena de suministro son ataques desde cualquiera de las múltiples áreas de una cadena de suministro. Los centros de salud trabajan con varios socios y proveedores que ofrecen productos y servicios que utilizan en sus operaciones. Para que sus operaciones sean fluidas, otorgan a estos terceros acceso autorizado a su red.
Si las organizaciones de salud asegurar su red con controles de acceso, los intrusos pueden aprovechar el acceso de terceros para ejecutar ataques. Una vez que obtengan las credenciales de inicio de sesión de un socio o proveedor, podrán acceder a la red de la organización.
5 formas de medir los riesgos cibernéticos en el cuidado de la salud
Una forma efectiva para que los establecimientos de atención médica aseguren sus activos digitales es medir los riesgos cibernéticos. Al hacer esto, tendrán la capacidad de fortalecer su infraestructura de seguridad. ¿Cómo pueden hacerlo?
1. Realizar evaluaciones de riesgos
Una gran cantidad de amenazas y vulnerabilidades dentro de los centros de salud aumentan con efectos dañinos si persisten o pasan desapercibidas. Estas instituciones deben realizar evaluaciones de riesgos con marcos creíbles como el Marco de evaluación de riesgos del Instituto Nacional de Estándares y Tecnología (NIST) para determinar sus debilidades de seguridad.
Los incidentes de ciberseguridad frecuentes indican que un sistema es muy propenso a los ataques y requieren una evaluación de riesgos exhaustiva. Para aprovechar al máximo la evaluación de riesgos, los proveedores de atención médica deben realizarla regularmente, al menos dos veces al año.
2. Obtenga visibilidad completa
La medición efectiva de los riesgos radica en la cobertura de visibilidad. Los riesgos no existen en el vacío: se desarrollan desde adentro. Para medir los riesgos en un sistema de salud, los proveedores deben identificar todos sus activos digitales, incluidas las aplicaciones y los servicios activos. Dejar estos activos desatendidos podría causar daños, por lo que deben comprender cómo funcionan los dispositivos y proporcionar la infraestructura de seguridad necesaria para mantenerlos fuera de peligro.
La visibilidad ayuda a las organizaciones de atención médica a proteger la superficie de ataque de su sistema al permitirles implementar gestión eficaz de la superficie de ataque. También los hace conscientes de los riesgos potenciales antes de que degeneren.
3. Evaluar el tiempo de respuesta
El tiempo es esencial en la ciberseguridad del cuidado de la salud. No se trata de "si" los ciberdelincuentes apuntarán a su red, sino de "cuándo". ¿Qué tan rápido se elevarán sus defensas de seguridad para la ocasión? Los retrasos en el tiempo de respuesta a incidentes pueden provocar la pérdida de datos críticos.
Las organizaciones de atención médica deben establecer su tiempo promedio de respuesta a incidentes y examinar su efectividad para mitigar los ataques. Procura responder en el menor tiempo posible, implementando las mejores prácticas de seguridad para proteger tus activos.
4. Adoptar marcos de seguridad estandarizados
Los resultados de la medición del riesgo son más precisos cuando los actores utilizan las métricas de medición de los marcos estandarizados de ciberseguridad. Y con los estrictos requisitos de cumplimiento de seguridad en la industria de la salud, los hospitales están mejor implementando marcos como las Prácticas de Ciberseguridad de la Industria de la Salud (HICP) que son reconocidas por la autoridades.
Al comparar sus niveles de seguridad con las pautas de HICP, las organizaciones de atención médica pueden determinar sus riesgos de ciberseguridad y resolverlos en consecuencia según las recomendaciones descritas.
5. Utilice la evaluación comparativa entre pares
La sana competencia entre las organizaciones médicas mejora la calidad de sus operaciones en general. La evaluación comparativa entre pares es un acto de comparar los servicios, la estrategia y las operaciones de una organización con la de otra. Permite a las organizaciones de atención médica acceder a su ciberseguridad más allá de su entorno inmediato y pensar en la sociedad en general.
Uno podría pensar que la infraestructura de seguridad de su hospital cumple con los estándares, pero cuando lo comparan con otro hospital, pueden darse cuenta de que se está quedando atrás en algunas áreas. Esta comparación lo ayuda a tomar nota de las fallas de seguridad y lo guía en la dirección correcta para mejorar.
Mejore la atención médica con ciberseguridad efectiva
Los detalles operativos diarios de las instituciones de salud pueden diferir, pero todos comparten el objetivo común de salvar vidas. La digitalización de los registros de los pacientes es clave para simplificar la prestación de atención médica, y esos registros solo pueden ser útiles cuando están seguros.
Asegurar los sistemas de salud es una victoria para todos: todos nos beneficiaremos de una forma u otra, especialmente cuando nuestros seres queridos o nosotros necesitemos atención médica.
Con una seguridad de atención médica más sólida, los proveedores de atención médica podrán crear y acceder fácilmente a los registros de sus pacientes y administrar los mejores tratamientos.
