A pesar de las numerosas ventajas de adoptar un intercambio seguro de datos, la protección de datos y la privacidad serán el principal reto que deberán superar estas organizaciones.
No todo consiste en adoptar tecnologías, como los sistemas de historiales médicos electrónicos; también hay políticas y procesos implicados, además de la concienciación de los usuarios.
De hecho, la protección de datos y la confidencialidad son prioridades absolutas en el sector informático, y la sanidad no será diferente. Pero no siempre es fácil alcanzar estos objetivos a gran escala.
No es de extrañar que el intercambio seguro de datos en la sanidad se considere el gran obstáculo para los próximos años.
Tenga siempre presente la seguridad del paciente
Para muchos expertos en salud y seguridad informática, el intercambio de datos en la sanidad es un “arma de doble filo”.
Por un lado, gestores y médicos quieren innovación en la asistencia sanitaria y que los pacientes puedan decidir qué datos quieren compartir y con quién.
Por otro lado, los profesionales de la tecnología quieren garantizar la protección de datos y la privacidad, por lo que cuando los pacientes permiten que se comparta su información médica, deben entender perfectamente qué ocurre con sus datos y por dónde viaja esa información.
La privacidad de los datos puede convertirse en una trampa
Para que se haga una idea, el 80% de las aplicaciones de salud conductual de la App Store de Apple comparten información con terceros.
Determinar quién tiene acceso a estos datos una vez compartidos puede ser difícil, sobre todo si hay un acuerdo de licencia de usuario final de por medio.
¿Has leído el acuerdo de licencia de usuario final de Facebook? Probablemente tardaría horas. Así que cuando hablamos de compartir datos de forma segura, un acuerdo de licencia de usuario que lleva horas leer y entender no es un consentimiento pensando en la protección de datos y la privacidad.
Esta preocupación también se aplica a las instituciones sanitarias. Las normas adoptadas para el almacenamiento y uso de datos por estas organizaciones también tendrán un impacto significativo en la vida de los pacientes, al poner directamente en sus manos el permiso para compartir datos.
En última instancia, las legislaciones existentes han reducido el riesgo de compartir información entre organizaciones sanitarias, pero si un paciente permite compartir sus datos médicos, la Ley General de Protección de Datos (GDPR ) puede no aplicarse, en caso de problemas.
Invertir en protección de datos y privacidad es fundamental, pero es sólo una etapa hacia un intercambio seguro.
Hoy en día, los sistemas operativos y las soluciones sanitarias están mejor protegidos y los atacantes han desplazado su atención hacia el elemento humano, con el objetivo de irrumpir en los sistemas de información de la organización.
A medida que aumentan el número y la frecuencia de los ciberataques diseñados para aprovecharse de personas inocentes, no puede subestimarse la importancia del factor humano en la gestión de la seguridad de la información.
Para combatir los ciberataques diseñados para explotar los factores humanos en la cadena de protección de datos y privacidad, es primordial reconocer la seguridad de la información con el objetivo de reducir los riesgos para la información sanitaria que se producen debido a las vulnerabilidades relacionadas con el usuario.
La educación, las políticas y los procesos, claves para un intercambio seguro
En octubre de 2019, el sistema sanitario de Alabama, en Estados Unidos, fue víctima de un ataque que le dejó sin poder aceptar nuevos pacientes en tres hospitales. Se pagó una cantidad no revelada para detener un ciberataque y restablecer el funcionamiento de los hospitales.
Pero la inversión en protección de datos y privacidad a través de la tecnología no es lo único que hay que hacer para reducir los riesgos y ataques que sin duda se producirán en esta nueva década. Los recursos tecnológicos son sólo la “punta del iceberg” para garantizar un intercambio de datos seguro.
A menudo, para que se produzcan ataques o se compartan datos de forma indebida, los virus y programas maliciosos necesitan la ayuda de los usuarios para introducirse en los ordenadores.
En el contexto de la seguridad de la información, la ingeniería social es el uso de técnicas para manipular a las personas para que divulguen información comercial o personal confidencial que puede utilizarse con fines fraudulentos.
En otras palabras, se puede engañar a la gente para que divulgue información estratégica que de otro modo no divulgaría.
Los vectores comunes de ataque a los usuarios incluyen:
- Phishing: correos electrónicos falsos para engañar a la gente y hacer que haga clic en un enlace o abra un archivo adjunto que contiene una carga maliciosa;
- Redes sociales: Las redes sociales pueden ser un poderoso vehículo para convencer a una víctima de que abra una imagen descargada de un sitio web o realice otras acciones comprometedoras;
- Mensajería instantánea: los clientes de mensajería instantánea pueden ser pirateados por los ciberdelincuentes y utilizados para distribuir programas maliciosos a la lista de contactos de la víctima;
- SMSishing: el SMSishing utiliza mensajes de texto para que los destinatarios naveguen a un sitio web o introduzcan información personal en sus dispositivos;
Las organizaciones deben impartir formación periódica para ayudar a los empleados a evitar las trampas habituales del malware y otras amenazas.
|
|
Y para lograr este objetivo, existe una amplia variedad de métodos para concienciar sobre la seguridad de la información, como materiales de formación basados en la web, formación contextual y formación integrada.
¿Por qué necesitan las organizaciones sanitarias políticas y procedimientos de seguridad informática?
El objetivo de las políticas y procedimientos de seguridad informática es hacer frente a las amenazas, aplicar estrategias para mitigarlas y recuperarse de las amenazas que han expuesto a una parte de su organización.
Las políticas y procedimientos de seguridad informática proporcionan a los empleados una hoja de ruta sobre qué hacer y cuándo hacerlo. Recuerde, por ejemplo, las molestas políticas de gestión de contraseñas que tienen todas las empresas.
Si no existiera una política y un procedimiento de este tipo en las organizaciones, ¿cuán habitual sería que la gente utilizara contraseñas sencillas y fáciles de adivinar que, en última instancia, exponen a la organización a un mayor riesgo de robo y/o pérdida de datos?
Las políticas de seguridad de la información de una organización suelen ser conceptos de alto nivel que pueden abarcar un gran número de controles de seguridad.
Emitida por la empresa para garantizar que todos los empleados que utilicen activos informáticos dentro de la organización cumplan las normas y directrices establecidas, la política de seguridad de la información está diseñada para que todos reconozcan que existen normas por las que tendrán que rendir cuentas en relación con la sensibilidad de la información corporativa y los activos informáticos.
El intercambio seguro de datos en sanidad es la convergencia de tecnología y concienciación
La alta dirección de las instituciones sanitarias desempeña un papel importante en la protección de los activos y el intercambio de información en una organización.
La dirección ejecutiva puede apoyar el objetivo de seguridad informática definiendo objetivos y prioridades de seguridad y garantizando las inversiones necesarias para la protección de datos y la privacidad.
Sin embargo, aunque sabemos que el uso de recursos como certificados y firmas digitales, herramientas como antivirus y cortafuegos y personal especializado en seguridad de la información.
Los usuarios finales tienen la responsabilidad de proteger los activos de información a diario, mediante políticas y procesos de seguridad que se han definido, comunicado y deben aplicarse.
El cumplimiento de las políticas de seguridad por parte de los usuarios finales es esencial para mantener la seguridad de la información en una organización; este grupo representa principalmente la protección de la información médica de pacientes y familiares en lo que pueden considerarse los momentos más frágiles de la vida de una persona.
Acerca de Eval
A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
