COBERTURA #82Interés General

Cibernética – Preparación y respuesta

En los últimos años, el sector de la sanidad  ha sido víctima de gran cantidad de filtraciones de datos, con más de 700 que afectaron a 500 registros o más en cada uno de los últimos tres años.

Sólo en el primer trimestre de 2024, el Departamento de Salud y Servicios Humanos (HHS por sus siglas en inglés) recibió 212 notificaciones formales de violación de datos. Esto es por que las organizaciones sanitarias suelen ser consideradas «ventanillas únicas» que contienen información de identidad, financiera y sanitaria.

Los ciberataques pueden paralizar las operaciones de una organización y ser tremendamente costosos y perjudiciales para las operaciones. En respuesta, muchos órganos legislativos y reguladores han actualizado leyes y publicado orientaciones para una mejor protección de la información sensible de pacientes o de clientes.

Los últimos acontecimientos subrayan especialmente la creciente importancia de la ciberseguridad en la atención sanitaria. Se deberá contar con una visión general de los crecientes riesgos de ciberseguridad del sector sanitario y conocer las mejores prácticas para la prevención o la mitigación de los ciberataques y de respuesta a los incidentes.

Ciberriesgos en el sector sanitario

Dada la creciente dependencia de los sistemas digitales y de las historias clínicas electrónicas (HCE por sus siglas en inglés), las organizaciones sanitarias se encuentran expuestas a riesgos de ciberseguridad cada vez mayores, como ser el despliegue de programas maliciosos, la sofisticación de los ataques de ransomware y las formas más sutiles de acceso no autorizado, así como también aquellos relacionados con correos electrónicos de phishing o con errores humanos.

Asimismo, muchas entidades sanitarias dependen de proveedores externos que brinden las herramientas digitales esenciales, desde plataformas de telesalud hasta soluciones de transferencia segura de archivos y herramientas publicitarias. Estos servicios de terceros pueden convertirse en los objetivos principales de los ciberataques, dada su amplia base de clientes y la posesión de voluminosos datos sanitarios.

Adicionalmente, dado que el sector sanitario ha experimentado un aumento de las fusiones y adquisiciones, muy frecuentemente, las empresas pasan por alto las posibles vulnerabilidades derivadas de los sistemas informáticos heredados y/o no integrados.

Es de suma importancia la preparación proactiva para el enfrentamiento de las amenazas y para la implementación de los planes adecuados de respuesta a incidentes por parte de las entidades, sin importar su tamaño.

Preparación ante amenazas a la ciberseguridad

Las entidades sanitarias no deben esperar el acontecimiento de un ciberataque o el desarrollo de los requisitos normativos para la mejora de su postura de ciberseguridad. Las siguientes prácticas pueden ayudar a la prevención o a la mitigación de los ciberataques y a la reducción del impacto de posibles violaciones.

  • Implantación de medidas de seguridad de alto valor: sería ideal un alineamiento pleno de sus programas de seguridad con las mejores prácticas del sector, como las descritas por el NIST o la norma ISO 270001. No obstante, muchas empresas han descubierto que sus brechas son causadas por la falta de fundamentos de ciberseguridad, como la autenticación multifactor (MFA), las contraseñas seguras, los sistemas de almacenamiento en la nube inaccesibles públicamente  y los parches y/o actualizaciones regulares de los sistemas.
  • Realización de evaluaciones de seguridad: ayudan a una identificación proactiva de las brechas y de las vulnerabilidades para una asignación correcta de recursos en el abordaje de tales riesgos.  Dichas evaluaciones pueden estar concentradas en el cumplimiento de la norma de seguridad HIPAA o en el alineamiento con el marco NIST, enfocándose en las necesidades y en las obligaciones de la organización. Se deberán abordar las conclusiones de la evaluación de riesgos sin demora, ya que suelen ser los primeros documentos examinados por los reguladores y buscados por los demandantes ante la presentación de evidencias. 
  • Evaluación periódica de los datos almacenados:  Las auditorías de datos detectan los datos redundantes o no esenciales que plantean riesgos potenciales  de ciberseguridad, ofreciendo a las organizaciones la oportunidad de eliminar dichos datos.
  • Separación de los datos sensibles: El almacenamiento de datos sensibles, como historias clínicas conjuntamente con datos de menor confidencialidad, como, por ejemplo, información de marketing, puede ser problemático para algunas organizaciones. Por razones de eficiencia, las organizaciones requieren de una mayor accesibilidad a ciertos para muchos empleados; sin embargo, los datos sensibles de los pacientes requieren de protocolos de seguridad reforzados (por ejemplo, de cifrado y de controles de acceso estrictos), que mitiguen los riesgos derivados de incidentes de seguridad y de violaciones.
  • Ejercitación teórica: pueden reforzar el material educativo y las políticas y los procedimientos reduciendo los posibles errores. Los simulacros eficaces consisten en situaciones reales adaptadas a una organización concreta. Asimismo, los ejercicios de simulación tienden a ser más eficaces cuando  cuentan con  la participación de los principales responsables de la toma de decisiones  implicados en un incidente real.
  • Implantación de planes de contingencia: son fundamentales para la garantía de la continuidad, incluida la prestación ininterrumpida de asistencia y la presentación electrónica de reclamaciones en caso de incidente de seguridad. Esto refiere a planes para el mantenimiento de las operaciones cuando los sistemas informáticos y las redes no se encuentren operativos, al establecimiento de procesos manuales para la atención al paciente cuando determinados programas informáticos y sistemas de correo electrónico sean inaccesibles. La planificación de contingencias también implica el desarrollo de protocolos de comunicación alternativos, como un árbol de texto o el uso temporal de sistemas de correo electrónico no laborales (p. ej., Gmail, Outlook.com), si los sistemas de correo electrónico y/o telefónico de una empresa se ven interrumpidos  o quedan fuera de línea; no obstante, dichas alternativas deben ser seguras y cumplir con los requisitos legales (p. ej., HIPAA) para el tratamiento de datos sensibles de los pacientes. Las organizaciones deberán desarrollar planes de respuesta específicos para cada situación, con actualización periódica en el enfrentamiento de  las últimas amenazas y de las obligaciones normativas.

Respuesta  a un incidente de seguridad

Idealmente, al producirse un ciberincidente, la entidad afectada debería ya tener establecido un plan de respuesta probado, puesto en práctica y con actualización periódica. 

No obstante,  en la práctica, los ciberataques afectan mayormente a aquellas empresas que no están preparadas para enfrentarlos. Una empresa que es víctima de un ciberataque debe actuar rápida y adecuadamente para una gestión de las consecuencias normativas, jurídicas, de reputación y de negocio. Las organizaciones deben considerar la adopción de medidas proactivas tras  un ciberataque, incluyendo los siguientes pasos para la mitigación de  los riesgos de cumplimiento y de litigio.

  • Participación de los altos ejecutivos: El personal de TI de una organización no puede solucionar por sí solo las implicaciones de amplio alcance de los incidentes cibernéticos: el involucramiento de los altos ejecutivos es fundamental para sacar a una empresa de la crisis. Los altos ejecutivos, incluido el CEO y los responsables de comunicación, de tecnología, de legales  y de cumplimiento, deben estar preparados para tomar la iniciativa en la gestión de la crisis. 
  • Aislamiento del sistema y solución de las vulnerabilidades: Tras sufrir un ciberataque, una entidad debe actuar con rapidez, desconectando el sistema afectado y así evitar daños mayores. Mientras los investigadores forenses y los abogados examinan la causa del incidente, el equipo informático debe centrarse en la identificación y en la corrección de  las vulnerabilidades para que la organización pueda volver a poner en línea sus sistemas lo antes posible.
  • Contratación de abogados externos con experiencia: ofrecen experiencia en el tratamiento de violaciones de datos, incluida la supervisión de una investigación forense, la determinación de activación de las obligaciones de notificación en tiempo y forma, de los plazos necesarios y del litigio, en caso de corresponder. 
  • Comunicación pronta y precisa: os clientes, los reguladores y las otras partes potencialmente afectadas por una filtración esperan  respuestas inmediatas. Dichas comunicaciones deben ser redactadas cuidadosamente. Asimismo, algunas leyes y algunos reglamentos federales y estatales exigen notificaciones de violaciones, pero no todos los incidentes dan lugar a tales obligaciones. Un análisis jurídico cuidadoso, basado en los resultados de la investigación forense, determinará cuándo, a quién y cómo notificar. 
  • Coordinación con terceros: Antes de producirse  una brecha, una organización de atención médica debe considerar el establecimiento de relaciones con terceros expertos en ciberseguridad, con abogados externos,con las fuerzas de seguridad y con otras organizaciones relevantes. Estas prácticas ayudarán al rápido aprovechamiento de la experiencia y de la asistencia adicional durante un evento de ciberseguridad.

El riesgo cibernético ha llegado para quedarse

Las organizaciones sanitarias continuarán enfrentando sofisticadas ciberamenazas, lo que exige tanto la salvaguarda de los sistemas como el mantenimiento actualizado de las normativas más recientes. Sin embargo, la gestión integral de riesgos es fundamental y va más allá de la aplicación de soluciones técnicas. Asimismo, consiste en la actualización de las políticas, en la formación del personal, en la segregación de los datos sensibles, en la aplicación de  planes de contingencia sólidos y en la realización de  evaluaciones proactivas  de seguridad.

Para mantener el ritmo de  la evolución de las ciberamenazas, las organizaciones sanitarias deberán aplicar medidas para el refuerzo de las defensas, para la garantía de respuesta eficaz ante un incidente, para la mitigación de la posible exposición legal y para la limitación de la atención comprometida.

FUENTE: www.propertycasualty360.com