Los incidentes de seguridad ya son parte del día a día de todas las industrias.
En los últimos días el hospital San Francisco de Asis en Antioquia y el hospital Centro Oriente en Bogotá fueron victimas de defacements y aunque inicialmente no pareciera que los incidentes hubieran ido más alla y que se hubiera filtrado información, si marcan la tendencia de las brechas de seguridad existentes en el sector salud.
Las organizaciones del sector actualmente se deben enfrentar a ellas en un nuevo y único conjunto de desafíos.
1. Cumplimiento:
En Estados Unidos existe HIPAA (Health Insurance Portability and Accountability Act), una regulación que ayuda a las entidades a crear y mantener procesos robustos de seguridad. Su incumplimiento trae sanciones para las entidades relacionadas a la salud, que pueden llegar hasta los $1.5 millones de dólares por violación.
En Colombia desafortunadamente no hay una norma especifica o regulaciones creadas exclusivamente para la industria de la salud que establezca estandares de seguridad como lo hace HIPAA. Sin embargo, existe la ley 1581 de 2012, que regula el tratamiento de los datos personales. En el artículo 5 la Ley señala como categoría de datos especiales a los datos sensibles, “se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación”.
Las organizaciones y personas que recolecten, transmitan y almacenen información personal en historias clínicas, exámenes de laboratorio, información de seguros, entre otros, deberán asegurar que la información cumpla con lo estipulado en la Ley o se pueden enfrentar a multas y otras medidas sancionatorias.
2. Internet de las cosas:
La introducción del internet de las cosas revolucionó el sector de la salud pues mejoró la eficacia de las ciencias medicas, pero su falta de seguridad ha contribuido significativamente para exponer a la industria ante los cibercriminales. Según el Instituto SANS los dispositivos y aplicaciones medicas han sido la principal causa de emision de tráfico peligroso.
Las organizaciones del sector utilizan equipos y tecnología especializada que conlleva esfuerzos adicionales en seguridad. Estos dispositivos son sistemas cerrados, es decir no permiten ser escaneados fácilmente en búsqueda de malware, o así lo asegura Carl Wright, gerente general en TrapX.
Hace poco menos de un año, el Departamento de Seguridad Nacional de Estados Unidos investigó 25 casos de fallos de seguridad cibernetica en dispositivos medicos, mayormente en los relacionados con cardiología.
3. Móviles
Las entidades de la salud tienen gran cantidad de información sensible la cual no solo reside en servidores y desktops, sino tambien en computadores portatiles, tablets y smartphones.
Según el más reciente Informe de Incumplimiento en Salud realizado por Bitglass, 68 por ciento de todas las violaciones de datos de atención médica desde 2010 fueron por robo o pérdida de los dispositivos. "Todos los equipos con datos sensibles deben ser capaces de cifrar en todo momento y tener la capacidad de borrar de forma remota la información de los dispositivos moviles cuando estos se pierden", dijo Gary Palgon, vicepresidente de soluciones de salud en Liaison Technologies.
Además de la perdida o robo de dispositivos, los móviles implican otros 2 retos importantes de seguridad para las entidades del sector, como son la practica de BYOD y la seguridad en aplicaciones.
4. Personal de trabajo:
En hospitales, consultorios médicos, compañías de seguros y organizaciones similares, un gran número de personas se ven involucradas en el manejo de datos personales; son muchos quienes necesitan tener acceso a registros de pacientes para realizar su trabajo. Algunos de estos empleados son temporales, cambian de cargos regularmente y pueden ser negligentes o descuidados con el manejo de la información. Olvidar un formulario en un escritorio o impresora o dejar un computador descuidado durante 2 minutos puede ser realmente peligroso. Recordemos que el factor humano es determinante y muchos incidentes se han presentado debido a la falta de cuidado.
Los registros médicos son de gran valor para los cibercriminales pues pueden usarlos para crear identidades, realizar fraudes y un sinnúmero de ataques. Por esto, una brecha no solo tiene efectos financieros y reputacionales para la entidad afectada, sino que se extienden dramáticamente hacia los pacientes y usuarios. Las empresas del sector salud deben moverse rápidamente y enfrentar decididamente estos retos ahora mismo, de lo contrario en el futuro próximo van a estar en problemas.
