Cómo reducir el riesgo cibernético en las organizaciones sanitarias

Por David Sampson, vicepresidente de estrategia y riesgo cibernético de Thrive.

En febrero, los piratas informáticos desconectaron Change Healthcare en uno de los ataques cibernéticos más destacados y de mayor alcance hasta la fecha. Change Healthcare presta servicios a cientos de miles de proveedores en los Estados Unidos y procesa miles de millones de transacciones anualmente. Con los sistemas de Health Change comprometidos, el dinero dejó de fluir a hospitales y consultorios médicos en todas partes. Los proveedores no podían presentar nuevas reclamaciones, las farmacias no podían cobrar adecuadamente por las recetas y las autorizaciones previas no podían aprobarse para procedimientos críticos.

Incluso después de que la entidad matriz de Change Healthcare, UnitedHealth Group, pagara un rescate de 22 millones de dólares al grupo tras el ataque, todavía existe el riesgo de que se filtren en línea datos confidenciales de los pacientes. Más importante aún, la industria de la salud ha visto cómo un ciberataque a un proveedor externo puede interferir directamente con la atención al paciente.

Desafortunadamente, los ataques cibernéticos al sector de la salud están aumentando y, al igual que el ataque Healthcare Change, pueden causar estragos en las operaciones diarias y afectar la seguridad del paciente. Sin embargo, si los hospitales toman las precauciones adecuadas, pueden mitigar estos riesgos y protegerse mejor de los piratas informáticos, el ransomware y las interrupciones comerciales.

La importancia de la evaluación de riesgos de proveedores externos

Las organizaciones de atención médica a menudo dependen de proveedores externos para diversos servicios. Brindar atención al paciente de alta calidad es complicado en sí mismo. Crear un ecosistema que incluya servicios y soluciones como telemedicina, dispositivos portátiles, registros médicos electrónicos digitales (EMR), aplicaciones móviles centradas en el paciente y otras innovaciones de vanguardia es imposible para los proveedores de atención médica más pequeños.

A menudo, la mejor manera de ampliar la gama de servicios ofrecidos es trabajar con proveedores externos. El problema es que esta subcontratación amplía la superficie de ataque de los ciberdelincuentes. Cada relación con proveedores externos viene con una nueva integración de TI y un punto de entrada potencial para los piratas informáticos. En otras palabras, más proveedores externos significan un mayor riesgo organizacional.

Los líderes de atención médica deben reconocer esta compensación y pensar intencionalmente sobre la mejor manera de lograr un equilibrio entre la excelencia en la atención médica y la integridad de TI. Antes de incorporar un nuevo proveedor, los proveedores deben realizar auditorías exhaustivas, identificar todas las vulnerabilidades y trabajar continuamente para garantizar que los sistemas estén integrados de manera segura y resiliente. Este no es un ejercicio puntual, sino uno que tanto los proveedores de atención médica como los proveedores deben realizar con regularidad para mantener a los intrusos alejados de los datos confidenciales de los pacientes.

Responder eficazmente a los incidentes cibernéticos

Cuando ocurren incidentes cibernéticos, los proveedores y vendedores de atención médica deben estar preparados para responder. Mejorar la resiliencia de TI significa no sólo detectar riesgos de manera proactiva, sino también contener el radio de alcance de cualquier ataque. Como reveló la situación del cambio en la atención médica, esto significa que los proveedores deben poder continuar operando con éxito y al mismo tiempo minimizar la pérdida de datos a manos de actores maliciosos.

Los sistemas y proveedores de salud deben revisar sus planes de respuesta a ataques cibernéticos con frecuencia y realizar actualizaciones según sea necesario. Los equipos de TI deben simular ataques falsos mediante iniciativas como pruebas de penetración y evaluar qué tan bien responden sus sistemas y procesos a diferentes tipos de amenazas. A medida que la tecnología de ciberseguridad continúa mejorando, también lo hacen los ciberdelincuentes y sus técnicas. No hay lugar para la complacencia, especialmente en una industria tan atractiva para los piratas informáticos como el sector sanitario.

Construyendo una industria más resiliente

La ciberseguridad sofisticada ya no es una característica agradable de tener; es una función esencial para cualquier grupo de atención médica, y mantener sistemas de TI resilientes y planes de respuesta sólidos requiere la participación tanto de dentro de una organización como de la industria en general. El sector de la salud en general podría beneficiarse de una mayor colaboración entre todas las partes interesadas: sistemas de salud, aseguradoras, reguladores y la comunidad de ciberseguridad en general. Los expertos de todas las partes deberían reunirse con frecuencia para discutir las mejores prácticas, compartir lecciones aprendidas y establecer estándares de seguridad que mantengan a más grupos a salvo de ataques cibernéticos.

Un centro de análisis e intercambio de información (ISAC) o un consorcio industrial similar también podría servir como una ubicación centralizada para recopilar datos sobre las mayores amenazas de ciberseguridad conocidas. Un repositorio de este tipo permitiría a las organizaciones de atención médica evaluar sus propias capacidades frente a problemas conocidos y tomar medidas para abordar las brechas o vulnerabilidades. También ayuda a los reguladores a comprender mejor dónde implementar estándares de cumplimiento más estrictos que obliguen a mejorar el comportamiento en materia de ciberseguridad.

Así como obtener conocimiento y experiencia de fuentes externas es valioso para las organizaciones de atención médica, también lo es asociarse con un proveedor de servicios de seguridad administrados, especialmente para proveedores de atención médica, farmacias y sistemas de salud más pequeños que no necesariamente tienen los recursos para recopilar. a ellos. -equipos locales. Estos grupos también pueden monitorear las tendencias de seguridad y las mejores prácticas cuando se trata de frustrar los últimos tipos de ataques, para que aquellos dentro de la organización puedan concentrarse en lo más importante: brindar una atención excepcional al paciente.

A medida que el sector de la salud dependa cada vez más de tecnologías digitales interconectadas, la función de ciberseguridad no hará más que aumentar en complejidad. Al adoptar una postura más proactiva, la industria de la salud podrá evitar más situaciones como el incidente del cambio de atención médica, protegiendo así los datos confidenciales de los pacientes y garantizando la continuidad de la atención cuando más importa.