Servicios sanitarios: 3 formas de garantizar la seguridad de los datos

Debido a su sensibilidad y alto valor, los datos sanitarios han estado fuertemente regulados durante años a través de legislación especializada como la Ley de Responsabilidad y Portabilidad de Seguros de Salud de Estados Unidos (HIPAA por sus siglas en inglés). A pesar de ello, el sector de la salud ha tenido el coste medio total de las violaciones de datos más alto de todos los sectores durante once años consecutivos. Según el Informe sobre el Coste de una Violación de Datos 2021 realizado por IBM y el Instituto Ponemon, este coste alcanzó la asombrosa cifra de 9,23 millones de dólares por cada violación de datos en 2021, lo que supone un aumento del 29,5% respecto a 2020.

Los servicios sanitarios recogen una gran cantidad de Datos Personales en Salud (PHI) que entra dentro de la incidencia de la HIPAA. La PHI es información que se relaciona con la salud física o mental pasada, presente o futura de un individuo y con la prestación de asistencia sanitaria a un individuo. También incluye la Información de Identificación Personal (PII) como el nombre, la dirección o el número de la Seguridad Social que, por sí solos o agrupados con otros identificadores, pueden revelar la identidad de una persona, su historial médico o los pagos que ha realizado. La PII también está amparada por una legislación de protección de datos más general, como el Reglamento General de Protección de Datos (RGPD) de la UE.

Para garantizar el cumplimiento, evitar multas y otros costes asociados a las filtraciones de datos, como la pérdida de negocio y el daño a la reputación, los servicios sanitarios deben crear una estrategia de seguridad de datos integral que proteja la información sensible de las amenazas externas e internas. Veamos con más detalle cómo pueden lograrlo.

1. Hacer frente a las amenazas internas

El sector sanitario se enfrenta a un nivel de negligencia de sus empleados especialmente alto. El 27% de sus violaciones de datos se deben a errores humanos, uno de los porcentajes más altos de todos los sectores. Otro 27% de los incidentes maliciosos también tienen como causa principal a los empleados, que son víctimas de ataques de phishing e ingeniería social o intentan robar datos ellos mismos.

Esto es problemático porque, por ley, la mayoría de los datos sanitarios no pueden salir de las instalaciones de una organización sin estar cifrados o transmitidos a través de canales seguros y autorizados. Los servicios sanitarios pueden recurrir a las soluciones de Prevención de Pérdida de Datos (DLP) para controlar el flujo de datos sanitarios sensibles que entran y salen de sus redes.

Diseñadas para proteger directamente los datos sensibles, las herramientas de DLP utilizan perfiles predefinidos y definiciones personalizadas para rastrear y controlar los datos sensibles que entran en la incidencia de leyes como la HIPAA y el GDPR en las redes de la empresa. Con potentes herramientas de inspección de contenido y escaneo contextual, las soluciones de DLP pueden identificar datos sanitarios en archivos y en el cuerpo de los correos electrónicos antes de que se envíen, bloqueando su transferencia a través de canales no autorizados.

2. Restringir el acceso a los datos

Otra forma en que los datos sanitarios pueden ser vulnerables y quedar expuestos a robos es cuando se almacenan localmente en los ordenadores del trabajo. Los empleados a menudo acceden, guardan y descargan datos sensibles mientras realizan sus tareas y pueden olvidarse de eliminar estos archivos cuando ya no los necesitan. Esto supone un riesgo importante para la seguridad de los datos y el cumplimiento de la normativa, ya que leyes como la HIPAA subrayan la necesidad de limitar el acceso a los datos a lo que se necesita.

Las soluciones de DLP pueden escanear los datos sensibles almacenados localmente en toda la red de la empresa, y cuando se encuentran en lugares no autorizados, los administradores pueden tomar medidas de corrección, como la eliminación o el cifrado. De este modo, los servicios sanitarios pueden garantizar que ningún empleado siga teniendo acceso a datos sensibles que ya no necesite para desempeñar sus funciones.

3. Controlar los dispositivos extraíbles

Aunque Internet está ganando adeptos como método de transferencia de datos preferido, muchos empleados siguen utilizando dispositivos extraíbles como USB o discos duros externos para copiar grandes cantidades de información o archivos de gran tamaño. Sin embargo, estos dispositivos pueden perderse o ser robados fácilmente debido a su tamaño. Y lo que es peor, en los últimos años, los USB, en particular, se han convertido en herramientas populares para los ataques de malware.

Los servicios sanitarios que deseen hacer frente a estos riesgos pueden utilizar soluciones de DLP para supervisar y controlar el uso de periféricos y puertos USB, así como las conexiones Bluetooth. Pueden optar por bloquear su uso por completo o limitarlo a los dispositivos aprobados. De este modo, los servicios sanitarios pueden rastrear qué empleado está utilizando qué dispositivo y en qué momento, lo que facilita la detección de actividades sospechosas en la red y de posibles robos de datos. Algunas soluciones DLP, como Endpoint Protector, también ofrecen políticas granulares, lo que significa que las empresas pueden optar por aplicar diferentes niveles de restricciones en función de grupos, departamentos, dispositivos o individuos.

Para garantizar la seguridad de los datos, las organizaciones sanitarias también pueden dar un paso más y utilizar una solución de cifrado forzado. De este modo, pueden asegurarse de que todos los datos copiados en un USB se cifran automáticamente y el acceso a ellos queda restringido a quienes tengan una clave de descifrado.