Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de HIPAA > Los Dispositivos Móviles Perdidos y Robados Son la Principal Causa de Filtraciones de Datos en el Sector Salud

Los Dispositivos Móviles Perdidos y Robados Son la Principal Causa de Filtraciones de Datos en el Sector Salud

by Cliff White updated diciembre 14, 2024 Cumplimiento de HIPAA
Reading Time: 9 minutes

Un portátil, tableta o smartphone perdido o robado puede complicar una violación de datos de salud, como deja claro una historia reciente de Texas.

El ladrón que robó la sede de Sunglo Home Health Services en Harlingen, Texas, irrumpió en una furgoneta, encontró las llaves de otra, cargó la segunda furgoneta con herramientas y equipo, y se fue a toda velocidad. Más tarde regresó a las oficinas de Sunglo, usó un extintor para romper una ventana y robó un portátil.

Ese portátil contenía los números de Seguro Social y la Información de Salud Protegida (PHI) de los pacientes de Sunglo. El departamento de TI de Sunglo no pudo confirmar si los datos estaban cifrados o no. La policía posteriormente detuvo al ladrón—la mayor parte de esta historia fue capturada en video—pero nunca recuperaron el portátil.

Este robo no fue una gran noticia, pero desafortunadamente es el tipo de historia que es demasiado común. Los dispositivos móviles perdidos y robados son una de las principales causas de violaciones de datos de salud—y por ende, problemas de cumplimiento con la Ley HIPAA según una encuesta reciente de Bitglass.

La encuesta encontró que:

  • El 68 por ciento de las violaciones de datos de salud se debieron a la pérdida o robo de dispositivos móviles o archivos.
  • El 48 por ciento de los datos perdidos estaban en un portátil, computadora de escritorio o dispositivo móvil.
  • Solo el 23 por ciento de las violaciones resultaron de hackeos no relacionados directamente con la pérdida o robo de un dispositivo móvil.

Como muestran estos números, las organizaciones de salud (HCOs) y sus socios comerciales necesitan hacer un trabajo mucho mejor para proteger la PHI en dispositivos móviles, si quieren lograr el cumplimiento de la Ley HIPAA y evitar una violación de datos de salud, o una violación de HIPAA. Deben asegurarse de que la PHI esté siempre cifrada, ya sea en tránsito o en almacenamiento, y que los administradores de TI puedan borrar remotamente los datos en dispositivos perdidos o robados. Las políticas de seguridad de la información y la capacitación deben extenderse para cubrir el uso de dispositivos móviles.

Visión General de las Violaciones de Datos de Salud

Las violaciones de datos de salud ocurren cuando individuos no autorizados obtienen acceso a información sensible sobre pacientes, médicos u otros profesionales médicos. Esta información puede incluir registros médicos, información personal identificable o información de salud protegida (PII/PHI), e información financiera.

Las consecuencias de estas violaciones pueden ser serias, incluyendo robo de identidad, pérdida financiera y daño a la reputación de un paciente. Además, las organizaciones de salud y sus asociados comerciales pueden enfrentar repercusiones legales y financieras si no protegen adecuadamente los datos de los pacientes.

Hay varias causas comunes de violaciones de datos de salud, incluyendo amenazas internas, hackeos y exposición accidental. Las organizaciones de salud pueden tomar medidas para prevenir estas violaciones implementando medidas de ciberseguridad robustas, capacitando al personal en procedimientos adecuados de manejo de datos y realizando evaluaciones regulares de sus sistemas y procesos.

4 Causas Más Comunes de Violaciones de Datos de Salud

Estas violaciones tienen algunas similitudes inquietantes. Aquí están las cuatro principales causas de violaciones de salud:

  1. Redes No Seguras: Las redes no seguras son una de las causas más comunes de violaciones de datos de salud, ya que pueden ser fácilmente violadas si carecen de las medidas de seguridad adecuadas. Sin contraseñas fuertes, cortafuegos y cifrado, los hackers pueden acceder a dichas redes y robar información confidencial de los pacientes.
  2. Capacitación Insuficiente: La negligencia profesional es otra causa importante de violaciones de datos de salud, ya que la capacitación inadecuada puede llevar a errores y a una falta de comprensión de las mejores prácticas. Esto puede resultar en que los miembros del personal no implementen adecuadamente los protocolos de seguridad o usen contraseñas fácilmente adivinables.
  3. Datos No Cifrados: Las organizaciones de salud a menudo almacenan datos sensibles de pacientes en formatos no cifrados, lo que facilita que los hackers accedan y roben registros privados. Para proteger dichos datos, las organizaciones deben asegurarse siempre de que los datos estén cifrados antes de ser transferidos o almacenados.
  4. Software Malicioso: El software malicioso, como el malware y el ransomware, puede ser utilizado por hackers para acceder a la red de una organización de salud.

Amenazas Mayores de Seguridad Móvil que Causan Violaciones de Datos de Salud

La tecnología móvil ha permitido a los profesionales de la salud trabajar de forma remota y acceder a la información de los pacientes sobre la marcha. Sin embargo, esta conveniencia viene con ciertos riesgos. Los dispositivos móviles son vulnerables a varias amenazas de seguridad, incluyendo:

  1. Dispositivos móviles perdidos o robados: Perder un dispositivo móvil que contiene información sensible de pacientes puede llevar a una violación de datos si el dispositivo no está protegido por contraseña o cifrado.
  2. Ataques de malware y phishing: El software malicioso y los ataques de phishing pueden engañar a los profesionales de la salud para que descarguen o compartan información sensible, que luego puede ser utilizada con fines nefastos.
  3. Redes Wi-Fi no seguras: Los profesionales de la salud a menudo utilizan redes Wi-Fi públicas para acceder a la información de los pacientes, lo que puede poner en riesgo esos datos si la red no es segura.
  4. Medidas de seguridad inadecuadas: Muchas organizaciones de salud no tienen las medidas de seguridad adecuadas para proteger los datos de los pacientes, como contraseñas fuertes, cifrado y autenticación de dos factores.
  5. Uso personal de dispositivos móviles: Los profesionales de la salud pueden usar sus dispositivos personales para acceder a la información de los pacientes, lo que puede ser arriesgado si el dispositivo no es seguro o si lo comparten con otros.
  6. Software desactualizado: Usar software desactualizado en dispositivos móviles puede hacerlos vulnerables a violaciones de seguridad, ya que estas versiones más antiguas pueden no tener los últimos parches de seguridad o actualizaciones para proteger contra nuevas amenazas.
  7. Negligencia de los empleados: Los empleados que no están adecuadamente capacitados en las mejores prácticas de seguridad móvil o que no siguen los protocolos pueden causar inadvertidamente violaciones de datos al compartir información sensible, perder dispositivos o caer en estafas de phishing.
  8. Aplicaciones de terceros: Los profesionales de la salud pueden usar aplicaciones de terceros para acceder a la información de los pacientes, lo que puede ser arriesgado si la aplicación no es segura o si accede a los datos sin la autorización o el consentimiento adecuados.
  9. Políticas de “trae tu propio dispositivo” (BYOD): Las políticas de BYOD permiten a los profesionales de la salud usar sus propios dispositivos para fines laborales, lo que puede llevar a riesgos de seguridad si los dispositivos no están adecuadamente asegurados, monitoreados o gestionados por la organización.
  10. Seguridad física: Las amenazas de seguridad física, como el robo o el acceso no autorizado a dispositivos móviles, también pueden llevar a violaciones de datos de salud si la información sensible no está adecuadamente protegida o cifrada.

¿Qué Tipos de Datos de Salud se Roban Usualmente?

Los hackers frecuentemente irrumpen en dispositivos en busca de información muy específica. Los tipos más comunes de datos de salud robados de dispositivos móviles incluyen:

  1. Información personal como nombre, dirección y número de Seguro Social
  2. Información de salud protegida (PHI), incluyendo historiales médicos, diagnósticos, resultados de laboratorio e información de seguros
  3. Información de tarjetas de crédito y datos financieros
  4. Credenciales de cuenta como nombres de usuario y contraseñas
  5. Datos confidenciales de pacientes almacenados en registros de salud electrónicos
  6. Correos electrónicos y mensajes de texto confidenciales sobre el cuidado de los pacientes
  7. Imágenes médicas electrónicas, como radiografías, tomografías computarizadas, resonancias magnéticas, etc.

Estadísticas de Violaciones de Datos de Salud

Cuando los hackers pueden explotar las mismas vulnerabilidades y acceder a los mismos tipos de datos de salud, la frecuencia de las violaciones aumenta, al igual que el daño financiero subsiguiente. Aquí hay cinco estadísticas inquietantes sobre violaciones de datos de salud:

  1. 15.1 millones de registros de salud fueron expuestos en 2018, el número más alto jamás reportado.
  2. Más de la mitad (54%) de las violaciones de datos de salud fueron causadas por hackeos o incidentes de TI.
  3. El costo promedio de una violación de datos de salud es de $6.45 millones.
  4. Casi el 80% de las organizaciones de salud no tienen un plan de respuesta a incidentes.

Desafortunadamente, el panorama no es bueno para los robos de dispositivos móviles, particularmente en casos donde los ladrones sospechan que los dispositivos contienen PHI. Según el Foro Mundial de Privacidad (citado por RSA):

“El costo en la calle para la información médica robada es de aproximadamente $50, frente a $1 por un número de Seguro Social robado. El pago promedio por un robo de identidad médica es de $20,000, en comparación con $2,000 por un robo de identidad regular.”

Los criminales siguen el dinero, y la PHI robada vale mucho dinero. Para proteger la PHI y evitar violaciones de datos de salud, las HCOs y sus socios deben actuar ahora. Deben fortalecer su seguridad de TI, incluyendo su seguridad de TI para smartphones, tabletas y portátiles.

¿Cómo se Compara el Número de Violaciones de Datos en el Sector Salud con Otros Sectores?

Según el Centro de Recursos de Robo de Identidad, el sector salud experimentó el segundo mayor número de violaciones de datos en 2020, representando el 11.8% de todas las violaciones reportadas. El sector empresarial experimentó la mayoría de las violaciones de datos, representando el 45.1% de las violaciones reportadas, seguido por el sector educativo con un 9.7%. Sin embargo, cuando se trata del número de registros expuestos, el sector salud todavía lidera todos los demás sectores. En 2020, el sector salud representó más del 30% de todos los registros expuestos, seguido por los sectores financiero y empresarial. Esto resalta la vulnerabilidad continua y la importancia de mejorar las medidas de ciberseguridad en el sector salud.

Las 13 Mayores Violaciones de Datos en Salud Clasificadas por Impacto

Dado el valor monetario de la PHI robada, no es sorprendente que las violaciones de datos de salud sean 1. comunes y 2. costosas. Aquí están 13 de las mayores violaciones de datos en salud, clasificadas por impacto financiero:

  1. Anthem Inc.: Esta violación fue la más grande de todas, afectando a un asombroso número de 79 millones de individuos. Los hackers accedieron a registros almacenados en una base de datos que contenía nombres, fechas de nacimiento, direcciones, números de Seguro Social y otra información personal.
  2. Premera Blue Cross: Esta violación afectó a 11 millones de individuos. Los hackers lograron acceder a registros que contenían nombres, fechas de nacimiento, direcciones, números de Seguro Social y correos electrónicos, entre otra información.
  3. Sistema de Salud de UCLA: Más de 4.5 millones de registros de pacientes fueron expuestos en esta violación de datos. Los registros contenían nombres, fechas de nacimiento, números de Seguro Social y otra información de salud.
  4. Excellus BlueCross BlueShield: Esta violación afectó a casi 10 millones de individuos. Los hackers accedieron a números de Seguro Social, números de cuentas bancarias e información médica.
  5. Grupo Médico Advocate: Esta violación expuso la información personal de 4 millones de individuos. Los registros contenían nombres, fechas de nacimiento, números de Seguro Social y otros datos.
  6. Grupo Ortopédico de la Costa Este: Aproximadamente 4.5 millones de registros de pacientes fueron expuestos en esta violación de datos. Los registros contenían nombres, direcciones, números de Seguro Social y otra información de salud.
  7. Productos Newkirk: Esta violación expuso 3.5 millones de registros de pacientes. Los registros contenían nombres, números de Seguro Social, fechas de nacimiento y otra información.
  8. 21st Century Oncology: Esta violación afectó a 2.2 millones de pacientes. Los registros contenían nombres, números de Seguro Social, fechas de nacimiento y otra información de salud.
  9. Sistema de Salud Comunitario: Esta violación expuso 4.5 millones de registros de pacientes. Los registros contenían nombres, números de Seguro Social, fechas de nacimiento y otra información.
  10. Triad Healthcare: Aproximadamente 2.3 millones de registros de pacientes fueron expuestos en esta violación de datos. Los registros contenían nombres, números de Seguro Social, fechas de nacimiento y otra información de salud.
  11. Banner Health: Esta violación afectó a 3.7 millones de individuos. Los registros contenían nombres, números de Seguro Social, fechas de nacimiento y otros datos.
  12. CareFirst BlueCross BlueShield: Esta violación expuso la información personal de 1.1 millones de individuos. Los registros contenían nombres, direcciones, números de Seguro Social y otros datos.

¿Cómo Pueden las Organizaciones de Salud Minimizar las Violaciones de Datos?

Las violaciones de datos en las organizaciones de salud pueden tener consecuencias graves, incluyendo la confidencialidad comprometida de los pacientes, pérdida financiera y pérdida de confianza. Para minimizar los riesgos de violaciones de datos, las organizaciones de salud deben implementar medidas de seguridad fuertes para proteger mejor los datos de los pacientes y prevenir posibles violaciones de datos. Aquí hay algunas mejores prácticas de seguridad de datos que las organizaciones de salud deberían considerar seriamente:

  1. Implementar medidas de seguridad fuertes: Las organizaciones de salud deben utilizar medidas de seguridad fuertes como cifrado, cortafuegos y controles de acceso para asegurar sus datos.
  2. Realizar evaluaciones de riesgos regulares: Realizar evaluaciones de riesgos regulares ayudará a identificar vulnerabilidades y prevenir violaciones de datos.
  3. Capacitar a los empleados: Realizar sesiones de capacitación regulares para los empleados para enseñarles sobre la importancia de la seguridad de los datos, cómo identificar y reportar amenazas potenciales, y las mejores prácticas para manejar información sensible.
  4. Desarrollar políticas y procedimientos fuertes: Desarrollar y hacer cumplir políticas y procedimientos fuertes para la seguridad de los datos, incluyendo controles de acceso, retención de datos y respuesta a incidentes.
  5. Usar autenticación multifactor: Implementar autenticación multifactor para prevenir el acceso no autorizado a datos sensibles.
  6. Monitorear y detectar amenazas: Las organizaciones de salud deben tener un sistema robusto de monitoreo y detección para detectar y responder a amenazas potenciales en tiempo real.
  7. Asociarse con proveedores de confianza: Las organizaciones de salud deben asociarse con proveedores que tengan un historial comprobado de seguridad de datos y cumplimiento de privacidad.
  8. Planificar para la respuesta a incidentes: Desarrollar un plan integral de respuesta a incidentes que describa un proceso paso a paso para responder a violaciones de datos, incluyendo procedimientos de notificación, contención e investigación, y remediación.
  9. Realizar auditorías regulares: Realizar auditorías regulares de sistemas y procesos para identificar vulnerabilidades y asegurar el cumplimiento con las regulaciones de seguridad de datos.
  10. Mantenerse al día con las regulaciones: Las organizaciones de salud deben mantenerse al día con las regulaciones de seguridad de datos y cumplir con todas las leyes y regulaciones aplicables, incluyendo la Ley HIPAA y el GDPR.

Kiteworks Ayuda a las Organizaciones de Salud a Proteger la PHI con el Uso Compartido Seguro de Archivos Móviles

La Red de Contenido Privado de Kiteworks ayuda a las organizaciones de salud y sus asociados comerciales a proteger la PHI y la privacidad de los pacientes siempre que se acceda, envíe, comparta o reciba desde un dispositivo móvil, incluso en caso de pérdida o robo del dispositivo. El uso compartido seguro de archivos móviles permite a médicos, administradores, personal, proveedores y vendedores compartir PHI de manera simple, segura y en cumplimiento con la Ley HIPAA. Con capacidades como un contenedor móvil seguro que mantiene la PHI alejada de otros contenidos en el dispositivo y el borrado remoto que permite a los administradores eliminar remotamente la PHI, el personal médico evita costosas violaciones de datos de salud y evita violaciones de la Ley HIPAA. Con Kiteworks, los profesionales de la salud tienen una solución de uso compartido seguro de archivos móviles que proporciona acceso seguro, simple y conforme a los registros de pacientes, para que puedan encontrar el contenido que necesitan rápidamente, revisarlo y editarlo fácilmente, y compartirlo de manera segura y en cumplimiento para minimizar el riesgo de una violación de datos o una violación de la Ley HIPAA.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks