Según un informe reciente de Moody, la industria de la atención médica es “ciberdeficiente”, lo que significa que no tiene los equipos necesarios para evitar ciberataques.[1] Ya sea que usted tenga un consultorio pequeño o un conglomerado de atención médica, es fundamental asegurarse de que su empresa esté protegida contra los ciberataques. Este artículo describirá el estado de la ciberseguridad en la industria de la atención médica, qué está en juego si se viola la seguridad de datos de su empresa, y qué puede hacer para fortalecer sus inversiones en ciberseguridad a fin de mitigar la amenaza.
¿Puede la industria de la atención médica controlar los ciberataques?
Si bien la capacidad de las empresas de atención médica individuales para defenderse contra los ciberataques varía, la industria suele sufrir violaciones a gran escala. En 2022, según una investigación realizada por Protenus, se violaron casi 60 millones de registros de pacientes, lo que representa un aumento del 18 % respecto de 2021, cuando los atacantes comprometieron más de 50 millones de registros de pacientes.[2]
Las violaciones a la atención médica afectan la confianza de los pacientes, dañan la reputación de una organización y provocan costos financieros directos. En su informe de Costo de la violación de datos de 2022, IBM fija el costo promedio de violaciones a la ciberseguridad del sector de atención médica en $10.10 millones, lo que significa un aumento del 42 % desde el 2020.[3]
Cómo mitigar el riesgo de los ciberataques
Los ciberdelincuentes explotarán cualquier debilidad para acceder a su red y a los datos de los pacientes. A continuación, se describen las pautas para proteger mejor los activos de su organización.
Realizar evaluaciones de riesgo de seguridad
Para evitar que ocurra una violación de ciberseguridad, identifique los riesgos, documente los controles correspondientes y solucione las brechas. Es fundamental abordar cualquier debilidad inmediatamente. Cuanto más persistan, mayores serán las posibilidades de que se usen para violar sus defensas. Comprometerse a evaluaciones de riesgo continuas también puede ser de ayuda, especialmente si su empresa atraviesa un cambio significativo en sus operaciones, como una adquisición o desinversión.
Aplicar parches y actualizaciones de software
Los ciberdelincuentes suelen explotar debilidades de seguridad conocidas. Los sistemas de parches, aplicaciones, dispositivos, etc. eliminan una vía fácil para violar la seguridad de su organización. Una vez más, cuanto más tiempo tenga un parche o actualización de seguridad sin ser abordado, mayor es el riesgo de que su organización sufra una violación de ciberseguridad. En ese sentido, asegúrese de que su departamento de informática supervise la liberación de parches y actualizaciones, y planifique su instalación con el debido tiempo.
Cifrar y hacer respaldo de datos
Los ciberdelincuentes roban datos porque tienen información valiosa que pueden convertir en dinero. El cifrado de datos en un sitio o en tránsito impide que los ciberdelincuentes accedan a sus datos y hace que no se puedan usar. Además de cifrar datos, es importante hacer un respaldo de sus datos, ya que el sector de la atención médica suele ser víctima de ataques de ransomware, en el cual los atacantes roban datos y exigen un rescate a cambio de su devolución.
Si usted resulta víctima de ransomware, comuníquese con las autoridades policiales, ya que estas pueden potencialmente ayudar a mitigar el ataque, evitar ataques futuros y perseguir a los perpetradores.
Y si bien existe una presión significativa para pagar el rescate, hay muchas razones para no hacerlo.[4] Las autoridades policiales no recomiendan pagar un rescate ya que no garantiza la devolución segura de sus datos. También recompensa a los delincuentes por sus esfuerzos y pueden violar las sanciones de los EE. UU. y las leyes de transferencia de dinero.
Desplegar controles de acceso robustos
Los empleados solo deben recibir acceso a los datos que necesitan para realizar su trabajo. Aplicar el menor privilegio de acceso limita al empleado para que acceda a los datos de los pacientes solo cuando sea necesario. Por ejemplo, un empleado de marketing no debe recibir acceso a los datos de los pacientes. En cambio, sus privilegios de acceso de datos deben coincidir con su función. Este enfoque limita la cantidad de datos a los que los empleados tienen acceso y, por ende, los caminos para comprometer a las defensas de seguridad de su organización.
Supervise su red para detectar actividad sospechosa
Despliegue un sistema de detección de intrusiones (IDS, por sus siglas en inglés) para generar alertas cuando los ciberdelincuentes intentan comprometer a las defensas de su compañía. Una solución de detección de intrusiones supervisa su red para detectar comportamiento que parece ser malicioso. La IDS tiene varias formas, incluidas las soluciones basadas en la red (que escanea una red completa) y soluciones basadas en un host (ubicado en un punto extremo).
Independientemente del tipo de IDS, la meta es detectar actividad sospechosa y generar alertas que permitan que un profesional se seguridad examine la actividad y tome acciones para proteger a su organización.
Preparar un plan de respuesta ante incidentes
Si su organización resulta víctima de una violación de ciberseguridad, una respuesta sistemática y eficiente puede ayudar a minimizar su exposición. Un plan de respuesta ante incidentes proporciona pasos detallados para que su organización los implemente después de un ataque y asigna responsabilidad para cada elemento del plan a cada empleado o departamento. Para asegurarse de que funcione según lo previsto, considere realizar un ejercicio que simule un ataque y mida la efectividad del plan.
Invertir en educación de los empleados
Los empleados con frecuencia son el vínculo más débil, ya que suelen no tener un entendimiento total de las amenazas a las que la organización se enfrenta. Solicitar que los empleados completen una capacitación periódica de seguridad pueden ser algo a lo que se resistan, pero puede ser efectivo para evitar ataques.
Por ejemplo, educar a sus empleados sobre las estafas de suplantación de identidad (phishing) puede evitar los ataques de ransomware y los esquemas que involucran fraudes bancarios. Cuando se usan tácticas de suplantación de identidad, los delincuentes envían un correo electrónico, mensaje de texto o mensaje de voz para engañar a un empleado para que revele datos confidenciales. Enseñar a los empleados a reconocer las características distintivas de un esquema puede reducir la posibilidad de un ataque.
Evaluar su programa de seguridad contra los parámetros de referencia
Debido a la severidad de las amenazas a las que se enfrenta el sector de la atención médica, muchas agencias gubernamentales proporcionan pautas exhaustivas para mitigar el riesgo. La agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés) y el Centro para la Seguridad por Internet (CIS, por sus siglas en inglés) proporcionan pautas para que las organizaciones de atención médica combatan las amenazas.[5][6] Evaluar su programa de seguridad contra estos estándares puede revelar debilidades antes de que un atacante pueda explotarlos.
Mantenga su empresa a salvo
El sector de la atención médica enfrenta amenazas significativas y generalizadas con el potencial de exponer a millones de registros de pacientes. Los delincuentes adaptan sus enfoques de manera continua para aumentar la probabilidad de violar las defensas de su organización. Por lo tanto, la seguridad es una tarea que nunca termina. Si bien un enfoque de niveles múltiples y proactivo para la ciberseguridad no puede erradicar la amenaza, puede mitigar el riesgo, que incluye detener los ataques y reducir el impacto de los que se perpetran.
Si los ingresos de su compañía superan los $10 millones, nuestro equipo de banca comercial, corporativa e institucional para la atención médica de PNC puede ayudar a satisfacer las necesidades de su organización.