Cómo hacerle frente al desafío de proteger los datos confidenciales

26 de septiembre de 2008
Resumen Este artículo analiza cómo el aumento de las brechas en la seguridad de los datos constituye un llamado de advertencia para la industria de la asistencia sanitaria.

Introducción

En Washington, una mujer que estaba buscando en la Web información sobre un amigo fallecido quedó sorprendida. Allí, a simple vista, estaba la historia clínica de su amigo.
Pero esto era sólo la punta del iceberg.
Resulta que los empleados de una empresa subcontratada de facturación que hace negocios con unos 40 a 60 hospitales en todo el país dejaron accidentalmente un firewall inactivo mientras transferían datos desde un servidor a otro. Durante el tiempo que el firewall estuvo inactivo, Google indexó todos los datos. Como consecuencia de ese único error de TI, se registraron brechas de seguridad en cinco hospitales diferentes en todo el país y se expusieron los datos de 90.000 pacientes.
Este artículo analiza cómo el aumento de las brechas en la seguridad de los datos constituye una llamada de advertencia para la industria de la asistencia sanitaria. Más adelante, se evalúan las medidas que los proveedores de asistencia sanitaria pueden tomar para proteger los datos y evitar pérdidas financieras, cuidar la imagen de la compañía y demostrar el cumplimiento normativo.

La cambiante amenaza para la seguridad de los datos

Si bien hoy en día los proveedores de asistencia sanitaria cuentan con más medidas de seguridad que nunca, la cantidad de brechas en los datos sigue aumentando. De hecho, las brechas en los datos que involucran información confidencial se han convertido un suceso diario. Una búsqueda superficial de DataLossDB, un archivo en línea con información sobre brechas en datos que involucran información personal revela las siguientes brechas relacionadas con la asistencia sanitaria, sólo de las últimas semanas:
  • 07/08/2008, en un hospital del condado de Texas: se descargó información financiera y médica de 1.200 pacientes en una unidad flash que más tarde se informó que faltaba.
  • 01/08/2008, en un hospital del Reino Unido: se encontró información personal de 1.581 pacientes en un equipo portátil robado.
  • 29/07/2008, en las instalaciones de un proveedor de asistencia sanitaria de Georgia: se alertó a 202.000 personas sobre cartas que contenían información personal y médica que se habían enviado a direcciones erróneas.
  • 24/07/2008, en un centro médico regional de Nevada: se alertó a 128.000 personas de las posibles intrusiones en la base de datos.
  • 19/07/2008, en una residencia para veteranos de Minnesota: un servidor robado contiene números de seguridad social, direcciones e información médica de 336 residentes.
  • 18/07/2008, en una enfermería del Reino Unido: se encontraron nombres, direcciones e información detallada de 89 pacientes en un equipo portátil robado.
  • 07/07/2008, en una agencia para el cuidado de la salud en Florida: se expusieron los nombres, direcciones, fechas de nacimiento, licencias de conducir y números de seguridad social de 55.000 donantes de órganos.
¿Por qué tanta avalancha de brechas en la seguridad? En primer lugar, la avalancha tiene que ver con la procedencia de las brechas.
Si bien hace apenas unos años la prioridad N.° 1 de la seguridad de datos era la protección de la red contra ataques externos, en la actualidad, la mayoría de las amenazas son internas y, por lo general, se pueden atribuir a errores en los procesos comerciales y a descuidos de los empleados. De hecho, Symantec calcula que el 96% de todas las fugas de datos es accidental y menos del 1%, con fines maliciosos.
Ese es un cambio importante.
Tenga en cuenta que: de acuerdo con una encuesta reciente realizada por la consultora Forrester Consulting y Vontu, una de cada dos empresas ha perdido datos almacenados en dispositivos USB. Además, una encuesta realizada por Ponemon Institute y Vontu reveló que cuatro de cada cinco empresas han sufrido pérdida de datos almacenados en equipos portátiles.
Para proteger su infraestructura, la mayoría de los proveedores de asistencia sanitaria actualmente confía en software antivirus, firewalls, protección contra intrusos y otras medidas. Si bien estas soluciones constituyen componentes importantes de una defensa en capas, no son suficientes para contrarrestar las amenazas de hoy en día. Por ejemplo, no podrían evitar un robo de identidad en el área de la asistencia sanitaria. En cambio, es necesario que los proveedores de asistencia sanitaria se centren en la información crítica en sí y la protejan.

Centrarse en la información

¿Qué significa centrarse en la información? Significa tener las respuestas para las siguientes preguntas:
  • ¿Dónde está mi información confidencial? La respuesta podría sorprenderlo. Los datos pueden estar en muchos lugares, algunos son previsibles y otros no. ¿La información confidencial se copió en un disco local? ¿Está publicada en un recurso compartido de red?
  • ¿Cómo se utiliza? ¿La envía un médico por correo electrónico a un médico de referencia para hacerle una consulta sobre un paciente? ¿La copia en un disco USB para llevársela y trabajar en su casa? ¿Se envía a un servicio de transcripción subcontratado?
  • ¿Cómo se aplican las políticas? ¿Las puede aplicar a todas las personas, es decir, personal interno y externo del hospital, contratistas y voluntarios? ¿Las políticas se aplican automáticamente? ¿Cómo recopila información sobre cumplimiento o informa sobre brechas?
Piense en cómo la red de un hospital típico se expone continuamente en la actualidad. Para dar respuesta a las exigencias del usuario final, los administradores de TI habilitan más mecanismos que permiten establecer conexiones a la red. Por su parte, los usuarios finales desean ser productivos más allá del lugar en el que se encuentren. También desean poder trabajar con las organizaciones asociadas al hospital. En consecuencia, los administradores de TI deben encontrar el equilibrio entre proporcionar la cantidad adecuada de acceso a la red a fin de conseguir un buen nivel de productividad y mantener la red protegida.
Por supuesto, existe una tercera pieza que completa este rompecabezas. Los proveedores de atención sanitaria también afrontan a un escenario normativo en constante cambio.

Un cambio de estado constante

Hoy en día, los proveedores de atención sanitaria deben trabajar en un escenario de reglamentaciones impuestas por una gran variedad de organizaciones: el gobierno estatal e, incluso, el regional; las entidades reconocidas y las organizaciones de salud regionales. Las disposiciones de privacidad y seguridad de la The Health Insurance Portability and Accountability Act (HIPAA) y los estándares que dicta la comisión conjunta para la acreditación de organizaciones de atención sanitaria representan los estándares más significativos para los proveedores de atención sanitaria.
Cuando el Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) inició una auditoría en el Piedmont Hospital de Atlanta, en marzo de 2007, fue la primera auditoría de acuerdo con los requisitos de seguridad de datos de la HIPAA. Este paso pronto generó preocupación en la industria de la atención sanitaria sobre la posibilidad de que se establecieran más medidas de cumplimiento.
De hecho, el HHS, que supervisa el cumplimiento de la HIPAA, celebró un contrato con la empresa PricewaterhouseCoopers para llevar a cabo auditorías si aviso previo en hospitales durante este año. El HHS declaró en público que aproximadamente las primeras 10 se realizarán en hospitales en donde se registraron quejas sobre seguridad.
Los proveedores de atención sanitaria también deben cumplir con los estándares de seguridad de datos del sector de tarjetas de pago (PCI DSS) ya que aceptan las tarjetas de crédito como medio de pago. Además, las reglamentaciones de la Ley Sarbanes-Oxley plantean desafíos para el cumplimiento. Además, muchas organizaciones regionales enfrentan reglamentaciones fragmentadas que cambian en cada jurisdicción.

Cumplimiento integral

Symantec considera que los proveedores de atención sanitaria pueden controlar mejor su propio destino mediante el desarrollo y la implementación de un programa de cumplimiento integral en un entorno de crecientes brechas en los datos y reglamentaciones que cambian constantemente.Entre los elementos clave de este programa se incluyen:
De acuerdo con las mejores prácticas, el programa debe ir más allá de una implementación de soluciones de tecnología en forma fragmentada, que están diseñadas para cumplir con una reglamentación determinada, y sustituirla por un enfoque que integre las herramientas de tecnología con las políticas. Este enfoque incluye:
  • Definir los parámetros del programa de cumplimiento, incluidas las reglamentaciones que deben cumplirse, las categorías de riesgo del proveedor y las políticas que debe implementar. Desarrollar políticas específicas y procesables puede ser difícil. Allí es donde trabajar en equipo con un asesor de confianza que aporte experiencia en cuestiones de cumplimiento y una perspectiva integral de la seguridad de la información puede generar buenos dividendos.
  • Automatizar el cumplimiento mediante la planificación de políticas de acuerdo con marcos, estándares y reglamentaciones. Por ejemplo, una red de hospitales de California necesitaría planificar su política de acuerdo con la HIPAA, las exigencias de California, como la ley SB-1386, las disposiciones relevantes del Manual de Acreditación de la Comisión Conjunta (Joint Commission Accreditation Manual) y otras organizaciones de acreditación.
  • Generación automática y con control propio de mediciones en toda la empresa y elaboración de informes completos para las autoridades correspondientes. Las herramientas de última generación incluyen pantallas similares a consolas que proporcionan información resumida al personal encargado de la seguridad de la información del nivel directivo y generan los informes detallados exigidos por los reguladores.

Conclusión

El aumento de las brechas en la seguridad de los datos constituye un llamado de advertencia para los proveedores de asistencia sanitaria, quienes, al mismo tiempo, deben lidiar con reglamentaciones que cambian constantemente. Si se toman medidas ahora para proteger los datos confidenciales, los proveedores de asistencia sanitaria estarán en una mejor posición para evitar pérdidas financieras, proteger la imagen de la organización y demostrar el cumplimiento normativo.

Vínculos relacionados