Más de un tercio de las prácticas médicas sufrieron una violación de datos, el 49% causada por un error humano

Si busca en Google «seguridad de datos de salud», encontrará los resultados de las noticias saturados de titulares que anuncian más y más violaciones de datos, y cada uno parece afectar a más pacientes que el anterior.

La información personal, confidencial y protegida se está perdiendo o robando a un ritmo alarmante en la industria médica. Esto es, hasta cierto punto, simplemente un subproducto del mundo en el que vivimos hoy.

Tecnología es una herramienta increíble que tiene mejoró la calidad de la atención médica brindada e incluso salvó vidas. Pero una mayor adopción tiene una desventaja: a saber, la vulnerabilidad que crea para los datos confidenciales y el mayor riesgo de cosas como el robo de identidad y el fraude crediticio para los pacientes y los ataques de ransomware para las prácticas. .

Esta es exactamente la razón por la cual cada proveedor de atención médica que trata con datos de pacientes, es decir, todo de ellos-a tener que tomar ciertas precauciones en cuanto a la protección de sus datos.

Pero, ¿cuáles son las medidas de seguridad de datos de salud adecuadas que se deben tomar?

Esa es una pregunta que queríamos responder encuestando a los proveedores de atención médica: 130 consultorios pequeños con cinco o menos proveedores autorizados y 129 consultorios grandes con seis o más proveedores.

Nous voulions comprendre comment les petits et les grands cabinets se comparent en ce qui concerne les problèmes auxquels ils sont confrontés et les mesures de sécurité qu’ils prennent pour développer des recommandations pour les petits cabinets qui développent encore leurs plans et processus de sécurité des données de salud.

También hablamos con alcaparras zachanalista sénior de contenido en GetApp, donde investiga y escribe sobre seguridad de datos y tendencias tecnológicas. Verá sus comentarios y puntos de vista a lo largo de este informe.

Estos son algunos hallazgos clave de nuestra encuesta:

  • La gran mayoría de los datos de los pacientes ahora se almacenan digitalmente: Casi la mitad de las prácticas grandes y pequeñas almacenan digitalmente al menos el 90% de sus datos, incluida la información de facturación del paciente y el historial médico.
  • Las violaciones son comunes y el error humano suele ser el culpable.: Un tercio de las grandes empresas (33 %) han sufrido una filtración de datos en los últimos tres años, y más de la mitad (51 %) de esas fugas fueron causadas por errores humanos.
  • La capacitación en seguridad y datos es mínima: Una cuarta parte de las grandes empresas (25 %) y el 42 % de las pequeñas empresas dedicaron no más de dos horas a la capacitación en seguridad de TI y privacidad de datos en 2021.
  • La mayoría de las empresas no están preparadas para manejar un evento de ciberseguridad: El 49 % de las pequeñas empresas y el 15 % de las grandes empresas no tienen un plan de acción codificado en caso de una violación de datos o ciberataque.

Ahora que el 90 % de los datos médicos se almacenan digitalmente, los riesgos son enormes: la capacitación puede ayudar

Una de las explicaciones más básicas de la vulnerabilidad de las prácticas a cualquier tipo de violación de datos de atención médica es la cantidad de datos que almacenan digitalmente.

La mayoría de las prácticas pequeñas y grandes dijeron que entre el 81% y el 100% de sus datos (incluidos y especialmente los datos de los pacientes) se almacenan digitalmente.

Esto tiene sentido, porque almacenar datos en la nube es práctico y eficiente— sin mencionar una manera fácil de garantizar el cumplimiento de HIPAA. Pero también deja una gran cantidad de datos privados de pacientes vulnerables a violaciones o ataques.

En nuestra encuesta, les preguntamos a las empresas sobre la tasa de filtraciones de datos y descubrimos que una de cada cuatro (23%) pequeñas empresas experimentó una brecha de datos. Y casi la mitad de todas las grandes prácticas médicas en general (48%) informaron haber experimentado una violación de datos.


porcentaje de pequeñas y grandes empresas que han sufrido filtraciones de datos

Sin embargo, lo que es más interesante es lo que encontramos cuando profundizamos en la causa de estas filtraciones de datos. El error humano ha sido identificado como un causa primaria muchas violaciones de datos de atención médica, por lo que les preguntamos a los encuestados si esto jugó un papel en las suyas.

Este fue el caso para el 46% de las pequeñas empresas y el 51% de las grandes empresas.

Estos puntos de datos muestran cuán imperativo es capacitar a los empleados en estrictos protocolos de seguridad de datos e información (que discutiremos con más detalle más adelante). La seguridad de los datos no se trata solo de la protección del software; las empresas necesitan defender sus datos en múltiples frentes.

“Las grandes prácticas almacenan montañas de datos confidenciales, tienen superficies de ataque complejas y tienden a ser un objetivo principal de los ciberdelincuentes. Las vulnerabilidades de las prácticas pequeñas a menudo están relacionadas con la falta de personal de TI y menos recursos dedicados a capacitar a los empleados en seguridad.


alcaparras zach

Los ataques de ransomware no son desastrosos si te preparas para ellos

Además de obtener más información sobre las infracciones de seguridad accidentales, queríamos evaluar la verdadera amenaza de los nefastos ataques de ransomware en la industria de la salud.

Estos ataques coordinados fueron en las noticias muchos a principios de 2022, y uno de los grupos de ransomware activos más grandes anunció recientemente planes para tomar «medidas de represalia» contra los Estados Unidos por tomar medidas contra una de las infraestructuras críticas de Rusia.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Servicio Secreto de los Estados Unidos recientemente volvió a emitir una advertencia con respecto al Conti Ransomware Group, así como una lista actualizada de Indicadores de Compromiso para que todas las agencias de salud verifiquen.

Para averiguar qué tan grave es la amenaza de los ataques de ransomware, preguntamos cuántos encuestados en nuestra encuesta habían experimentado uno.


porcentaje de pequeñas y grandes empresas que sufrieron un ataque de ransomware

A pesar de que la mayoría de las empresas no informaron sobre un ataque de ransomware, los riesgos actuales son significativos: el 22 % de las pequeñas empresas y el 45 % de las grandes empresas informaron haber experimentado un ataque de ransomware en algún momento.

“Las empresas de la industria de la salud tienden a experimentar menos ataques de ransomware que las empresas de otras industrias, principalmente debido a las prácticas comprobadas de protección de datos que resultan de décadas de regulaciones estrictas (por ejemplo, HIPAA).

Pero las empresas de atención médica deben reconocer que los sistemas de ransomware actuales están evolucionando rápidamente y que las estrategias que protegían los datos confidenciales en el pasado pueden no ser suficientes para los ataques emergentes, como los que tienen como objetivo los dispositivos médicos conectados.


alcaparras zach

Y cabe destacar las estrategias utilizadas para resolver los ataques de ransomware (para las prácticas que lo han sufrido).


cómo las pequeñas y grandes empresas resolvieron los ataques de ransomware

Existe un riesgo real de no recuperar nunca sus datos si sufre un ataque de ransomware. Las pequeñas empresas (14 %) y las grandes empresas (11 %) perdieron sus datos de forma permanente después de no intentar pagar el rescate o después de pagar pero aún no recuperar los datos robados.

Si bien el número de empresas que nos dijeron que pagaron un rescate fue bajo, les preguntamos sobre el costo en el que incurrieron. Dos firmas pequeñas pagaron entre $5,000 y $10,000, y otras dos dijeron que pagaron entre $50,000 y $100,000. Los pagos fueron más variados para las empresas más grandes, pero el grupo más grande (formado por tres empresas) informó haber pagó entre $10,000 y $25,000 para recuperar sus datos.

Pero nuestra investigación muestra que pagar el rescate o no hacer nada no son las únicas opciones; hay otros métodos que pueden ayudar con la recuperación de datos. De hecho, nuestros datos muestran que ninguna de las dos resoluciones principales para prácticas pequeñas y grandes implicó pagar un rescate a través de su capacidad para descifrar datos o recuperar datos perdidos mediante copias de seguridad. Esto muestra el increíble valor de invertir en herramientas como un EMR basado en la nubeque permite el descifrado y copias de seguridad de datos.

Dado que las prácticas de atención médica han tenido éxito con métodos distintos al pago de rescates para recuperar datos robados, queríamos más información sobre su umbral de miedo, así como detalles sobre dónde están invirtiendo para protegerse. .

Las grandes empresas se preocupan más y dedican más tiempo a capacitarse sobre vulnerabilidades de seguridad

Para comprender los temores de los profesionales de TI de la salud, preguntamos a los participantes de la encuesta qué tan preocupados estaban por varios tipos de amenazas a la seguridad.

En general, la mayoría de las empresas, grandes y pequeñas, solo están «algo preocupadas» por cada uno de estos riesgos, lo que indica un nivel saludable de respeto por las amenazas que enfrentan hoy.

Descubrimos que las prácticas grandes están más preocupadas por estas cuatro posibles amenazas de datos que los representantes de TI en las pequeñas organizaciones de atención médica.

Las diferencias más notables fueron:

  • Ataques de ransomware: el 54% de las grandes empresas estaban «extremadamente» o «muy» preocupadas en comparación con el 44% de las pequeñas empresas
  • Eliminación inadecuada, pérdida o robo de equipos: el 51% de las grandes empresas estaban «extremadamente» o «muy» preocupadas frente al 40% de las pequeñas empresas

El acceso no autorizado o la divulgación de datos confidenciales es un área de preocupación tanto para las pequeñas como para las grandes empresas. Y si bien este riesgo se puede abordar directamente con la capacitación de los empleados, descubrimos que las empresas dedicaron sorprendentemente poco tiempo a hacer esto en 2021.


cuánto tiempo dedicaron las pequeñas y grandes empresas a la capacitación en seguridad de datos y TI en 2021

Si bien la mayoría de las empresas dedicaron entre dos y cinco horas a la capacitación en seguridad de TI y privacidad de datos el año pasado, una cuarta parte de las grandes empresas y el 42 % de las pequeñas dijeron que dedicaron no más de dos horas formación sobre estas prácticas.

Es un período de tiempo sorprendentemente corto, especialmente considerando las prácticas de riesgo financiero en caso de una violación de seguridad o un ataque de ransomware. Lo que nos hace preguntarnos si las empresas dedican tan poco tiempo a la formación porque confían en las herramientas que han elegido para protegerse.

Herramientas que utilizan las empresas para protegerse

La capacitación de los empleados es solo un aspecto de un plan integral de seguridad de datos. Otro elemento igualmente importante es invertir en las mejores herramientas posibles para el trabajo.

Preguntamos a las empresas qué herramientas de software utilizan para proteger sus datos de las amenazas y encontramos una buena superposición entre las empresas pequeñas y grandes. Si bien las grandes empresas están destinadas a ser el ejemplo de las empresas más pequeñas, existen algunas deficiencias que podrían corregirse.


tipos de herramientas de seguridad de datos utilizadas por pequeñas y grandes empresas

Más prácticas pequeñas gastan dinero en software antivirus que las grandes, lo que significa que las prácticas más pequeñas pueden querer recortar el presupuesto en esta área para cambiar los fondos a las herramientas en las que las prácticas más grandes invierten más, como la seguridad del correo electrónico y el software de seguridad de la red.

Para que quede claro, debe tener un software antivirus para proteger su práctica. Pero en lugar de comprar el software antivirus más caro disponible, considere optar por una opción más económica para liberar presupuesto e invertir en otras herramientas (como una VPN o un software de seguridad de red) que crearán un entorno de seguridad más sólido.

Las herramientas de seguridad biométrica son otra área que vale la pena considerar. Ya sabemos que este tipo de dispositivos son ayudar a los consumidores a hacer frente a la pandemiapero, ¿en qué medida ayudan a las organizaciones sanitarias a protegerse?


herramientas de seguridad biométrica utilizadas por pequeñas y grandes prácticas

Solo el 19 % de las pequeñas empresas y el 39 % de las grandes empresas encuestadas en nuestra encuesta informaron que utilizan herramientas de seguridad biométrica; entre estos grupos más pequeños, la tecnología de huellas dactilares fue la más popular.

Sin embargo, en función de los resultados generales de la encuesta, nuestra recomendación más firme sobre el software de seguridad de datos sería invertir en la autenticación de dos factores.

El uso de 2FA es una práctica de contraseña altamente recomendada para cualquier cuenta que contenga información de salud protegida. Definitivamente es algo que los proveedores de atención médica deberían usar, y muchos lo hacen.


Las prácticas pequeñas y grandes usan autenticación de dos factores

Mucho más de la mitad de las empresas lo utilizan para al menos algunas aplicaciones, y el 20 % de las pequeñas empresas y el 26 % de las grandes empresas lo utilizan para todas las aplicaciones. Esa es una decisión inteligente, especialmente considerando que aproximadamente un tercio de los profesionales de TI en todas las industrias dijeron que la mala gestión de contraseñas era un problema. principal contribuyente a las brechas de seguridad.

“Las contraseñas por sí solas, incluso las seguras, son insuficientes para proteger los datos de salud confidenciales. Las prácticas médicas deben usar la autenticación de dos factores no solo para proteger el acceso a los datos, sino también para evitar ataques cibernéticos como la apropiación de cuentas y para garantizar el cumplimiento de los requisitos de la HIPAA para el acceso seguro a la información médica protegida electrónica (ePHI).


alcaparras zach

Cómo las prácticas pequeñas pueden mantenerse al día sin gastar más dinero

Invertir dinero en el problema de la seguridad de los datos es sin duda una forma de resolverlo, pero no es la opción más efectiva (o incluso la más inteligente).

Pagar por cada herramienta de protección de datos disponible no es una buena opción porque lo deja vulnerable a otras vías de ataque o violación, como exposición accidental o error humano. En su lugar, recuerda que necesitas protegerte en varios frentes:

  1. Capacitar a los empleados para prevenir exposiciones accidentales

  2. Invierta en las herramientas de seguridad adecuadas para proteger sus datos

  3. Desarrolle un plan de acción para ayudar a mitigar el daño en caso de una violación o ataque

Capacitar a los empleados

¿Recuerda que el 19 % de las pequeñas empresas dedicaron menos de una hora a la capacitación en seguridad de datos en 2021? No es suficiente tiempo. La formación es una parte importante de un organización sanitaria preparada y protegida.

Para complementar la formación de los empleados, es una buena idea revisar quién tiene acceso a qué datos. Por ejemplo, descubrimos que el 52 % de las pequeñas empresas de nuestra encuesta permiten que los empleados accedan a más datos de los necesarios para realizar su trabajo.


Las prácticas pequeñas facilitan el acceso de los empleados a los datos de los pacientes.

Por limitar estratégicamente la cantidad de datos de pacientes a los que los empleados pueden acceder en función de sus responsabilidades, también puede limitar el riesgo de exposición accidental o incumplimiento. Y al capacitar adecuadamente a los empleados sobre cómo administrar los datos a los que tienen acceso, puede proteger aún más su práctica.

“Los proveedores de atención médica pueden mitigar las filtraciones de datos utilizando el principio de privilegio mínimo. En otras palabras, limite el acceso a los datos solo a los empleados que los necesitan para hacer su trabajo utilizando políticas como la clasificación de datos y el control de acceso basado en roles. Esto reduce el riesgo de fugas de datos inadvertidas y limita la gravedad de los ataques basados ​​en credenciales.


alcaparras zach

Invertir en herramientas de seguridad

No, no todas las prácticas pequeñas realmente necesitan poder escanear el iris de los proveedores para acceder a todos los registros de salud electrónicos. es excesivo Pero cada práctica pequeña debe tener herramientas básicas como firewalls y autenticación de dos factores para proteger todos sus datos digitales y la información del paciente.

La clave aquí es comprender dónde se encuentra en el espectro de riesgo y luego elegir las herramientas o plataformas que le brinden la mejor protección de datos.

Para hacer esto, puede considerar ponerse en contacto con una firma consultora de ciberseguridad de atención médica para que un experto externo evalúe su nivel de vulnerabilidad y haga recomendaciones basadas en sus hallazgos.

O, si cree que su equipo es capaz de realizar una evaluación en profundidad, hágalo usted mismo. De cualquier manera, es importante hacer que este proceso sea lo más objetivo y completo posible.

Desarrollo de un plan de acción

Finalmente, debe desarrollar un plan de respuesta detallado para limitar la cantidad de daño que sufrirá en caso de una violación o ataque de datos.

En nuestra encuesta, uno de cada cinco representantes de pequeñas firmas de abogados no sabía si tenía un plan formal de respuesta a incidentes de seguridad cibernética, y el 49 % dijo enfáticamente que no lo tenía.

debes tener un proceso formalizado implementado para que todos los empleados lo sigan en caso de un incidente de seguridad cibernética. Una vez que tenga un plan implementado, debe cerrar el ciclo asegurándose de que sus empleados estén debidamente capacitados sobre cómo seguir el plan.

“Un plan de respuesta a incidentes es fundamental, especialmente para las organizaciones de atención médica donde cada segundo de tiempo de inactividad es fundamental. Es absolutamente esencial contar con una estrategia de comunicación para que las partes interesadas clave puedan reaccionar rápidamente en caso de una crisis.


alcaparras zach

La atención médica digital no desaparecerá pronto. De hecho, estamos seguros de que veremos aún más adopción de almacenamiento en la nube y herramientas médicas remotas en los próximos años. Esta es una buena noticia, pero vale la pena observar el aumento en la tasa de ataques cibernéticos y violaciones de datos que exhibe.

Al seguir estos tres principios de seguridad de datos de atención médica y proteger su organización de la manera correcta, puede proteger los datos de sus pacientes y su práctica de la posibilidad de incidentes de seguridad.


Metodología de la encuesta

Software Advice realizó esta encuesta en febrero de 2022 con 259 proveedores de atención médica. Usamos preguntas de selección para limitar los encuestados a aquellos que actualmente trabajan en empresas estadounidenses y que son al menos parcialmente responsables de la gestión de TI y/o la seguridad de los datos.

Dividimos a nuestros encuestados en prácticas pequeñas y grandes en función de la cantidad de proveedores de atención médica con licencia que trabajan allí actualmente. Las prácticas pequeñas tienen de uno a cinco proveedores; las grandes empresas tienen seis o más proveedores.

Deja un comentario

Tu dirección de correo electrónico no será publicada.