Saltar al contenido principal
Imagen
patrón hexagonal morado

La importancia de la seguridad de los datos en el sector sanitario

Las filtraciones en el ámbito de la salud alcanzaron un máximo histórico en 2021, lo que continuó una tendencia al alza en la que se observó cómo el número de registros sanitarios estadounidenses vulnerados se ha triplicado con creces en los últimos tres años. Los registros sanitarios son un objetivo popular por una sencilla razón: Los registros médicos valen hasta 40 veces más que los datos de las tarjetas de crédito robadas en la web oscura. Esto se debe a que los registros sanitarios suelen incluir todo tipo de datos, desde números de la Seguridad Social hasta información sobre los beneficiarios del plan de salud e incluso identificadores biométricos, además de incluir a menudo información sobre cuentas financieras.

Pero lo más importante es que las crecientes violaciones de la seguridad en el sector sanitario están directamente relacionadas con la transformación digital del sector sanitario. Hoy en día, la prestación de atención médica depende totalmente de los datos. Los dispositivos conectados recogen las constantes vitales y otra información médica del paciente que sirve de base para la atención. Los registros médicos electrónicos (EHR) almacenan esa información e impulsan los flujos de trabajo asistenciales, desde la autorización de procedimientos hasta la prescripción de medicamentos. Todo, desde los tratamientos más sencillos hasta los más complejos y avanzados, se realiza ahora con tecnologías digitales. La infraestructura digital es la base de las instalaciones y de los espacios en los que se presta esa atención, ya que mantiene las luces encendidas, controla los sistemas complejos de HVAC y controla el acceso físico y la seguridad. Ahora, el rápido crecimiento de la telesalud impone necesidades adicionales de seguridad de los datos. Los proveedores están integrando tecnologías de terceros y plataformas basadas en la web para que la telesalud sea fluida y cómoda para los pacientes y eficiente para los proveedores.

La seguridad de los datos es fundamental para proteger todo este ecosistema. Si se hace bien, un programa integral de seguridad de datos produce tres resultados fundamentales:

  1. Confianza y lealtad de los pacientes
    Los pacientes y consumidores de hoy en día están capacitados para buscar la “mejor” atención y son cada vez más sensibles a la privacidad de los datos. Un programa eficaz de seguridad de datos protege contra el daño a la reputación (y las consiguientes pérdidas de volumen de pacientes) de una filtración de datos.
  2. Calidad asistencial y seguridad del paciente
    Garantizar el acceso ininterrumpido a la información sanitaria del paciente y el funcionamiento de tecnologías y sistemas críticos es fundamental para el objetivo más básico de los proveedores de asistencia sanitaria: ofrecer una atención de alta calidad y mitigar los riesgos para la seguridad del paciente.
  3. Evitar los costos asociados a las filtraciones
    La sanidad ya está a la vanguardia de las regulaciones con respecto a la privacidad de datos, y los requisitos cada vez más estrictos implican que incluso las pequeñas filtraciones pueden dar lugar a importantes multas. Pero las multas suponen tan solo el principio cuando se trata del costo total de una violación de la seguridad. Por ejemplo, un hospital de tamaño medio puede esperar que un ciberataque típico lo deje fuera de servicio durante una media de 10 horas, con un costo de 45 700 dólares por hora.

¿Cuáles son los principales problemas de seguridad de los datos en el sector sanitario?

El problema general es la digitalización exponencial de todos los aspectos de la asistencia sanitaria, como se ha mencionado anteriormente. No cabe duda de que esta transformación digital les está aportando enormes beneficios tanto a los pacientes como a los proveedores, y seguirá abriendo nuevas y poderosas posibilidades y potencialidades en los próximos años. Pero también presenta riesgos de seguridad significativamente mayores, sencillamente porque crea un ecosistema digital mucho más amplio y complejo con muchos más puntos a los que un mal actor podría acceder o cuyos datos podrían filtrarse o quedar expuestos. Un informe de la primavera de 2022 identificó cinco fuentes clave de problemas de seguridad de datos en la asistencia sanitaria:

  1. Dispositivos médicos conectados al IoT/”inteligentes”: El número de dispositivos conectados en hospitales y clínicas sigue creciendo exponencialmente. EE. UU. El Departamento de Salud y Servicios Humanos (HHS) informa de que más de la mitad de los dispositivos médicos conectados más utilizados son vulnerables a los ciberataques.
  2. Aumento del uso de la telesalud: El cambio inducido por la pandemia hacia la telesalud y la asistencia sanitaria móvil está demostrando haber llegado para quedarse. Los pacientes que acceden a la asistencia sanitaria fuera del “perímetro” tradicional de la seguridad de los datos conlleva una serie de riesgos y desafíos para la seguridad.
  3. La Ley de Curas: La Ley de Curas de 2016 pretende reducir los obstáculos a la interoperabilidad de sistemas y dispositivos en la atención sanitaria. Esto apoya y acelera directamente la innovación tecnológica, pero también presenta puntos adicionales en los que se pueden filtrar o robar datos en tránsito.
  4. Departamentos de IT sin recursos: La escasez de personal y la falta de presupuesto afectan a todos los departamentos de un hospital, lo que puede provocar que se pierdan cosas como la aplicación de parches de seguridad y que no se actualicen y refuercen los conjuntos tecnológicos para hacer frente a las exigencias y los riesgos modernos. Además, el HHS informa que el hospital típico está simplemente “superado” por los ciberatacantes desde el punto de vista tecnológico y del personal.
  5. Falta de formación de los empleados en materia de seguridad: El factor humano sigue siendo el mayor riesgo para la seguridad, ya sea por hacer clic en un enlace de phishing, por perder o compartir las credenciales o por dejar entrar en las instalaciones a visitantes no registrados.

De hecho, se calcula que 3 de cada 4 violaciones de la seguridad sanitaria tienen su origen en uno de estos cinco problemas fundamentales.

Imagen
Prevenga las brechas de seguridad en la sanidad

Cinco estrategias para prevenir infracciones en la sanidad

Comience por centrarse en la protección de los datos de los pacientes

La estrategia más fundamental de seguridad de datos es centrarse en la protección de los datos de los pacientes que impulsan la prestación de la asistencia sanitaria moderna, que pone en marcha las tecnologías y los procesos adecuados, y crea una cultura de seguridad de datos. Para garantizar la disponibilidad y la integridad de los datos de los pacientes, los hospitales y los sistemas sanitarios deben adoptar varias medidas:

  • Encriptar y tokenizar todos los datos de los pacientes (en tránsito y en reposo) para protegerlos del acceso no autorizado
  • Permitir la firma digital de los registros de los pacientes para mantener una cadena de control segura sobre los datos de los pacientes y ayudar a mitigar los riesgos de fraude y falsificación
  • Al compartir o trasladar los datos de los pacientes, toda la información personal identificable (PII) debe ser tokenizada para proteger aún más la privacidad del paciente

Marque todas las casillas de cumplimiento

Además de la importancia clínica de la seguridad de los datos de los pacientes, los hospitales y los sistemas de salud deben lograr y mantener el cumplimiento de una serie de requisitos normativos cada vez más estrictos, desde la HIPAA y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH), hasta el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad del Consumidor de California (CCPA), la Identificación Electrónica, la Autenticación y los Servicios de Confianza (eIDAS) y otros.

Para la mayoría de las organizaciones sanitarias, facilitar el cumplimiento de la HIPAA es el objetivo mayor. A continuación, se describen las cuatro áreas en las que se centra la seguridad de los datos para el cumplimiento de la HIPAA:

  • Autenticación sólida: La HIPAA prioriza la limitación, el control y la supervisión del acceso físico y digital a los espacios, los activos y los datos. Proporcione a los usuarios autorizados una autenticación de alta seguridad basada en credenciales que les permita autenticar rápida y fácilmente la identidad y los privilegios de acceso.
  • Certificados digitales: Los certificados digitales complementan la autenticación fuerte para confirmar la identidad de un dispositivo, servidor o usuario. Un programa sólido de certificados digitales es cada vez más crítico para permitir un ecosistema sin fricciones y totalmente integrado de dispositivos conectados IoT dentro de un hospital o sistema de salud.
  • Protección de datos: La HIPAA estipula que la información sanitaria protegida (PHI) debe encriptarse a menos que se dé una justificación “razonable y apropiada”. Además, una encriptación eficaz de los datos (tanto en tránsito como en reposo) puede ayudar a las organizaciones a evitar sanciones importantes en caso de infracción.

Refuerce la seguridad de los datos en torno a la arquitectura digital crítica

Los estándares y las mejores prácticas de seguridad de los datos que se han utilizado para proteger las estaciones de trabajo de escritorio y las tecnologías locales heredadas simplemente no pueden seguir el ritmo en la era de las aplicaciones basadas en la nube, la conectividad móvil y los conjuntos de tecnología sin límites. Los hospitales y los sistemas de salud necesitan construir un conjunto de seguridad a prueba del futuro que sea capaz de permitir el acceso instantáneo y sin obstáculos, y al mismo tiempo frustrar los crecientes riesgos de ciberataques, fraudes y violaciones. A continuación, se describen las tres áreas en las que hay que centrarse:

Utilice la tecnología de seguridad de datos inteligente para hacer posible una plantilla moderna y productiva

La “nueva normalidad” ha reconfigurado el funcionamiento del personal sanitario. Los proveedores interactúan con los pacientes de forma virtual a través de la telesalud y los servicios sanitarios móviles. El personal clínico y administrativo adopta modelos de trabajo a distancia e híbridos. Permitir estas nuevas formas de trabajo es esencial para ampliar y mejorar la forma de prestar la asistencia. También es fundamental para proteger los resultados económicos, así como para atraer y retener al personal ante las incesantes presiones laborales.

  • Integrar las tecnologías de última generación: El ritmo de la innovación en el mundo de la productividad y la tecnología de colaboración sigue acelerándose. Estas son las herramientas y tecnologías que les permiten a los médicos y al personal trabajar de forma nueva, más inteligente y mejor. La capacidad de un hospital o sistema de salud para integrar rápidamente las nuevas tecnologías depende de tener un conjunto tecnológico de seguridad ágil y preparado para el futuro, que sea capaz de poner la autenticación, la encriptación y otras medidas de seguridad de datos necesarias en torno a las nuevas aplicaciones, las nuevas integraciones y los nuevos flujos de trabajo.
  • Permitir un acceso sin fricción: El valor de las nuevas tecnologías innovadoras está limitado por la capacidad de acceder rápidamente a ellas, y de saltar de una a otra para prestar asistencia y llevar a cabo flujos de trabajo clave. Lograr todo el potencial de la transformación digital (desde los beneficios de la productividad hasta la mejora de la calidad de la atención y la satisfacción de los pacientes y el personal) depende de permitir este tipo de acceso sin fricciones.
  • Apoye la flexibilidad del personal con la seguridad física: Uno de los efectos más ignorados de un modelo de trabajo híbrido es que a menudo requiere cambios en los programas de seguridad física y de control de acceso. Desde permitir que el personal autorizado acceda a las instalaciones fuera de los turnos habituales, hasta facilitar el registro sin contacto de pacientes y visitantes, pasando por la incorporación y la retirada del personal y los voluntarios, los hospitales y los sistemas sanitarios deben revaluar las brechas y los problemas de su programa de seguridad física que puedan suponer un riesgo para la privacidad y la seguridad de los datos de los pacientes.

Facilite y proteja la prestación de asistencia sanitaria a distancia y las transacciones digitales

La demanda de los pacientes de telesalud, atención móvil y otras opciones de atención virtual y a distancia ha llegado para quedarse. También las organizaciones médicas han reconocido las numerosas ventajas de estos nuevos modos de prestación de atención. Pero ofrecer las experiencias cómodas, personalizadas y privadas que esperan los pacientes (y aprovechar el potencial para ampliar el acceso a las poblaciones desatendidas al tiempo que se impulsa la eficiencia) conlleva un conjunto totalmente nuevo de retos en materia de seguridad de los datos.

  • Incorporación y autentificación de pacientes a distancia: El reto más sencillo para la seguridad de los datos en la prestación de asistencia sanitaria a distancia es simplemente autentificar la identidad de un paciente que no está físicamente presente. Las organizaciones sanitarias necesitan poner en marcha tecnologías que permitan la verificación de la identidad de los pacientes de forma segura y en régimen de autoservicio. También necesitan crear nuevos flujos de trabajo para la incorporación de nuevos pacientes en un escenario de atención totalmente virtual.
  • Protección de la PHI en la prestación de cuidados en la nube: La conexión con los pacientes y la prestación de cuidados a través de aplicaciones basadas en la web y en la nube significa que una cantidad increíble de información de salud pública va y viene fuera de la seguridad del perímetro de la red tradicional. Una estrategia integral de protección de datos debe incluir una encriptación avanzada de extremo a extremo, certificados sólidos e infraestructura de clave pública (PKI) para facilitar el intercambio fluido de datos de los pacientes, protegiéndolos al mismo tiempo de filtraciones o robos.
  • Portabilidad y seguridad de los dispositivos más allá del perímetro: Más allá de las visitas básicas de atención primaria, el mayor impulsor de la asistencia sanitaria a distancia es el avance de los dispositivos médicos conectados que permiten a los proveedores controlar y reaccionar ante la información sanitaria del paciente en tiempo real. Esto abarca desde los dispositivos sanitarios “inteligentes”, como los CPAP, las máquinas de diálisis y los marcapasos, hasta el crecimiento en auge de los dispositivos portátiles, como los smartwatches y los monitores continuos de glucosa. Las organizaciones sanitarias no solo tienen que proteger la transferencia de la PHI desde estos dispositivos conectados a sus sistemas internos, sino también poner en marcha tecnologías sólidas de seguridad de datos para proteger el hardware y el firmware de los propios dispositivos conectados.
  • Asegurar las transacciones y pagos digitalizados: Las sofisticadas tecnologías de firma digital desempeñan un papel fundamental tanto en la primera y última parte de la prestación de cuidados a distancia. Las organizaciones sanitarias necesitan una forma segura y sin fisuras de autenticar rápidamente y con confianza los pedidos de los proveedores, como las solicitudes de laboratorio y las recetas. En el extremo posterior, tienen que garantizar la autenticidad de las reclamaciones de seguros, así como proporcionar la infraestructura tecnológica que permita a los pacientes realizar pagos seguros.