
Las Violaciones de Datos en el Sector Salud Son Comunes, Poniendo en Riesgo los Datos de Pacientes y el Cumplimiento de la Ley HIPAA
Las violaciones de datos en el sector salud y las infracciones de cumplimiento de la ley HIPAA derivadas de esas violaciones son cada vez más comunes. Esa es una de las conclusiones contundentes del sexto estudio anual del Instituto Ponemon sobre el estado de la seguridad y privacidad en la industria de la salud. Basándose en una encuesta detallada de organizaciones de salud (HCO) y sus asociados comerciales (BA), el estudio de Ponemon encontró que en los últimos 24 meses:
- El 89% de las organizaciones de salud habían experimentado al menos una violación de datos
- El 79% de los proveedores de salud habían experimentado dos violaciones
- El 45% había experimentado cinco o más violaciones de datos
Las fuentes de las violaciones de datos en el sector salud variaron, pero los actores criminales, ya sea dentro o fuera de la HCO, jugaron roles significativos. Cuando se les preguntó sobre la causa raíz de las violaciones de datos:
- El 50% de las organizaciones de salud citaron ataques criminales
- El 41% citaron errores de terceros
- El 39% citaron dispositivos informáticos robados como laptops
- El 13% citaron a insiders maliciosos
Los criminales claramente entienden el valor de los registros médicos robados para perpetrar fraudes médicos y otras formas de robo de identidad. Los registros médicos robados pueden ser utilizados para obtener ilícitamente recetas, equipos médicos como sillas de ruedas eléctricas y atención médica valorada en miles o incluso decenas de miles de dólares. Experian informa que la incidencia promedio de fraude médico termina costando a la víctima más de $22,000. No es sorprendente, entonces, que un registro médico robado se venda por 10 veces el precio de una tarjeta de crédito robada en el mercado negro.
Dado que el fraude médico es tan lucrativo, las HCO y los BA deben esperar que los ataques a archivos médicos y registros de facturación continúen.
No Exentos: Asociados Comerciales y Otros Terceros
La encuesta de datos de salud de Ponemon de este año fue la primera en incluir a los asociados comerciales como encuestados. Ampliar el enfoque de la seguridad de datos de salud y el cumplimiento de la ley HIPAA para incluir a los asociados comerciales de las organizaciones de salud tiene sentido. En 2009, la Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (más comúnmente conocida como la Ley HITECH), amplió el alcance de la Regla de Privacidad de Datos de HIPAA para cubrir a los asociados comerciales de una HCO, como administradores de terceros, transcriptores médicos, bufetes de abogados, firmas de CPA y otras partes que brindan servicios como análisis de datos, análisis de prácticas y facturación.
Dada la naturaleza de su trabajo, estas organizaciones inevitablemente terminan manejando información de salud protegida (PHI) como registros médicos y son tan susceptibles a una violación de datos de salud como una HCO. Como resultado, la Ley HITECH requiere que estas organizaciones cumplan con los mismos estándares de privacidad y seguridad de datos utilizados por las HCO para lograr el cumplimiento de la ley HIPAA.
Las HCO parecen reconocer los riesgos que representan los BA y otros terceros para causar violaciones de datos de salud y crear infracciones de cumplimiento de la ley HIPAA. Según la encuesta de Ponemon, alrededor de un tercio de las HCO creen que los BA no son evaluados con suficiente cuidado, y alrededor de dos tercios (61%) de las HCO ahora están prestando más atención a las prácticas de seguridad de datos de los BA con los que trabajan.
Resolviendo el Problema de las Violaciones de Datos de Salud
Para reducir la frecuencia y el alcance de las violaciones de datos de salud, las HCO y sus asociados comerciales necesitan nuevas soluciones de seguridad de datos y gobernanza de datos que funcionen con sus sistemas de TI existentes. Específicamente, las HCO y los BA necesitan:
- Seguridad de datos integral – Los datos deben estar asegurados en toda la empresa, independientemente de si se almacenan en las instalaciones o en la nube. También se debe considerar cómo se accede a ellos (por ejemplo, escritorio, laptop, tablet, móvil o dispositivo portátil). Asegurar que los datos estén cifrados en tránsito, en uso y en reposo es un gran comienzo.
- Protección integral de Antivirus (AV) – Debe implementarse un filtrado anti-malware que detenga rootkits y otras herramientas de software utilizadas por los atacantes. En dispositivos móviles, el contenido sensible debe almacenarse en un “contenedor seguro”, un área protegida de memoria y almacenamiento que minimiza el riesgo de contaminación por malware que pueda residir en otro lugar del dispositivo.
- Soporte para colaboración segura – Debido a que la atención médica es inherentemente un trabajo colaborativo, las soluciones de gestión de contenido que apoyan tareas comunes de colaboración como la gestión de tareas, discusiones en hilos y más deben estar equipadas con características de seguridad para asegurar que los proveedores de salud puedan colaborar de manera segura.
Uso Compartido Seguro de Archivos para la Seguridad de Datos de Salud y Cumplimiento de la Ley HIPAA
Las soluciones de uso compartido seguro de archivos, incluida la plataforma de uso compartido seguro de archivos y gobernanza de Kiteworks, proporcionan acceso seguro a contenido sensible como los Registros Electrónicos de Salud (EHR) que deben protegerse para el cumplimiento de la ley HIPAA. Una solución de uso compartido seguro de archivos permite a las HCO y los BA compartir, enviar, sincronizar y editar archivos en cualquier tipo de dispositivo, desde cualquier almacén de contenido, incluidas plataformas populares de Gestión de Contenido Empresarial (ECM) como Microsoft SharePoint.
Diseñadas para reducir el riesgo de violaciones de datos de salud mientras apoyan el cumplimiento de la ley HIPAA y la colaboración, las soluciones de uso compartido seguro de archivos:
- Cifran los datos en uso, en tránsito y en reposo.
- Proporcionan controles y herramientas de monitoreo para que los administradores de TI hagan cumplir las políticas de seguridad y monitoreen la distribución de PHI.
- Se integran con una amplia gama de plataformas ECM y servicios de almacenamiento de datos, incluidos Microsoft SharePoint, EMC Documentum, OpenText, Box, Dropbox, Google Drive y otros. Estas integraciones permiten a las HCO y los BA hacer cumplir las políticas de seguridad de manera consistente en todos los sistemas de contenido, incluidos los servicios de datos en la nube pública.
- Permiten a los proveedores de salud compartir contenido de manera segura con socios de confianza fuera de la HCO. Las características de colaboración segura incluyen marcas de agua digitales, administración restringida y expiración de archivos y carpetas, entre otras.
- Proporcionan escaneo AV incorporado para detener el malware que infecta dispositivos móviles y su contenido.
- Permiten el “borrado remoto” o eliminación remota de datos en dispositivos una vez que los administradores de TI saben que un dispositivo está perdido o un empleado ha dejado la organización.
- Soportan la gestión de tareas y discusiones en hilos para asegurar que los empleados móviles tengan acceso no solo al contenido sino también al contexto del contenido.
La atención médica de calidad requiere un diagnóstico preciso, un tratamiento efectivo y una seguridad de datos a prueba de balas. Con el uso compartido seguro de archivos, los profesionales de la salud extienden la atención de calidad al proteger la privacidad del paciente.