Noticias sobre salud y tecnología en Colombia y el mundo

Encuentre todo sobre el panorama actual sobre salud y tecnología.

Debido a que está surgiendo una nueva clase de dispositivos, WannaCry es mucho más  agresivo y una variedad de otros factores, la industria de la salud todavía está en riesgo a causa del software de rescate.

¿Recuerda WannaCry? El gusano ransomware atacó a los hospitales, entre otras industrias, en 2017 al explotar una debilidad en las máquinas Windows. Una vez en una red, el gusano cifraba los archivos y los guardaba como rescate.

¿Qué ha pasado?

Los investigadores de seguridad finalmente cerraron la mayor parte del gusano, pero sigue siendo endémico en Internet. Armis Security ha encontrado en un nuevo estudio que el gusano no sólo está infectando a diversos sistemas,  sino que continúa causando estragos.

¿Por qué es importante?

"Creo que el hecho de que WannaCry fuera tan ruidoso y que hiciera tanto ruido, hizo que la gente de la industria se diera cuenta", dijo Seri, uno de los investigadores que descubrió los nuevos brotes de Wannacry.  Aún así, muchas de las propiedades del virus le permiten prosperar en el tipo de redes que los hospitales mantienen.

"Parte de la razón por la que la industria de la salud se ve tan afectada es porque tiene tantos dispositivos no administrados en sus redes", dijo, incluyendo cosas como ejecutar versiones antiguas de sistemas operativos que ya no son compatibles. "En muchos casos, es demasiado esfuerzo para que los hospitales puedan actualizar estos sistemas.

También le puede interesar: Heón Medical, un software seguro y de alto desempeño para las empresas del sector salud"

El software de un dispositivo médico específico a menudo se fabrica a medida, dice Seri, y "conseguir una actualización del sistema es muy difícil", ya que los fabricantes se muestran reacios a apresurarse a realizar cualquier modificación que pueda afectar a la seguridad del paciente. Debido a esto, las máquinas con software obsoleto pueden seguir siendo un blanco fácil mucho después de que se conozcan las vulnerabilidades.

¿Cuál es la tendencia?

"WannaCry es muy agresivo en su capacidad de propagación", explicó Seri. Advierte que, debido a esto, la segmentación por sí sola no es suficiente para detener la propagación del malware. Por ejemplo, una organización podría considerar que una red eliminada de Internet es "suficientemente segura" y no necesita un escrutinio adicional. Es posible que un equipo infectado no se dé cuenta y permanezca inactivo durante un período de tiempo.

"Eventualmente ocurren errores", dijo Seri. "Algunas partes de la red podrían estar conectadas temporalmente a otras partes de la red de un hospital."

Además, está surgiendo una nueva clase de dispositivos que no pueden recibir parches ni actualizaciones de seguridad directas. Estos van desde televisores inteligentes hasta sistemas de calefacción, ventilación y aire acondicionado habilitados para Internet. Pueden fácilmente caer presas de un ataque de malware como WannaCry debido a su arquitectura simple, que puede no encajar en el agente de gestión de red existente de un hospital.

"Es necesario identificar qué dispositivos corren mayor riesgo de sufrir un ataque", aconsejó Seri. Dijo que las organizaciones pueden encontrar estas máquinas vulnerables a través de un cuidadoso inventario y auditoría, y luego aplicar parches siempre que sea posible.

"Pero tienes que hacerlo mejor que eso", sostuvo. "Necesita poder monitorizar las conexiones entrantes y las puertas de entrada de la red. Necesitas entender los riesgos a diario".

Tener una imagen actualizada de todos los activos de una red permite a un hospital proceder en consecuencia. Saber qué dispositivos de IO están activos significa saber qué comunicaciones con el exterior de Internet están permitidas y cuáles deben bloquearse o podrían indicar una violación o un ataque. Debido a que los gusanos de ransomware están lejos de ser erradicados, los hospitales necesitan entender los riesgos y tener un plan para estar preparados.

Las brechas de datos en la atención de la salud se presentan en una variedad de formas. Este tipo de fugas de información o de oportunidades para que se presenten fraudes pueden incluir casos en los que hackers o los ciber-criminales extraen información médica protegida para cometer robo de identidad médica, o casos en los que un empleado ve los registros de un paciente sin autorización.

Aunque los motivos y resultados de estos dos incidentes de seguridad son muy diferentes, tienen una cosa en común: las brechas de datos de los robots pueden ser muy costosas para los proveedores. Además de las posibles multas u otros costos que acarrean los actos jurídicos que se presentes, los prestadores del sector salud pueden sufrir daños de reputación y una pérdida de confianza del paciente.

Aparte de ser costosas, las brechas en los datos de salud también están bastante extendidas. En 2012 y 2011, casi todas las organizaciones sanitarias (94%) habían sufrido al menos una violación de datos, según un estudio del Ponemon Institute. Además, el 45% experimentó más de cinco infracciones durante ese tiempo. Eso se compara con sólo el 29% de los hospitales que dijeron lo mismo hace dos años. Estas cifras feron determinadas en Estados Unidos, Europa y algunos países de América Latina.

El resultado final: todas las entidades del sector de la salud  y otras organizaciones de atención médica deben tener cuidado con la protección de los datos confidenciales de los pacientes, financieros y de otro tipo.

En HeOn Health on line hemos creado diferentes productos y servicios diseñados para los diferentes actores del sector salud que requieren seguridad en materia de seguridad de la información.

Es por ello que  recopilamos estos 10 tips  con los que su organización puede protegerse y evitar que sea víctima de una violación en la seguridad o robo  de su información,. Que es el activo más relevante para cualquier empresa actualmente.

1. Proteger la red

Como los hackers tienen una variedad de métodos para romper las redes de las organizaciones de salud, los departamentos de TI del sector necesitan usar una variedad de herramientas para tratar de mantenerlos fuera. Sin embargo, la mayoría de las empresas gastan demasiado en seguridad perimetral, como cortafuegos y software antivirus, mientras que los expertos advierten que también deberían adoptar tecnologías que limiten el daño cuando se producen ataques.

Esto incluye técnicas como la segregación de redes para que un intruso en un área no tenga acceso a todos los datos almacenados en toda la organización.

2. Educar a los miembros del personal

Ya sea por negligencia o acciones maliciosas, los empleados a menudo están involucrados en violaciones de datos de salud. Por lo tanto, cualquier programa de seguridad de TI debe incluir un gran enfoque en la educación de los empleados, incluyendo:

Capacitación sobre lo que constituye y lo que no constituye una violación de la seguridad de la información en salud.

Lecciones para evitar el phishing, la ingeniería social y otros ataques dirigidos a los empleados, y consejos para elegir contraseñas seguras.

3. Cifrar dispositivos portátiles

En los últimos años, se han producido varias filtraciones de datos debido a la pérdida o robo de un dispositivo informático o de almacenamiento portátil que contenía información médica protegida. Una cosa que las organizaciones de atención médica siempre deben hacer para prevenir esas infracciones: Cifre todos los dispositivos que puedan contener datos de pacientes, incluidos portátiles, teléfonos inteligentes, tabletas y unidades USB portátiles.

Además de proporcionar dispositivos cifrados para los empleados, es importante tener una política estricta contra el transporte de datos en un dispositivo personal no cifrado.

4. Redes inalámbricas seguras

Las organizaciones confían cada vez más en los routers inalámbricos para sus redes de oficina. Pero desafortunadamente, esas redes inalámbricas a menudo introducen vulnerabilidades de seguridad. Los datos pueden ser robados pirateando esas redes desde el estacionamiento, por ejemplo, especialmente si la organización depende de tecnología anticuada, como los routers que utilizan el estándar de seguridad WEP (Wired Equivalent Privacy) de 12 años de antigüedad.

Para protegerse contra ataques, los proveedores de atención médica deben asegurarse de que sus enrutadores y otros componentes estén actualizados, las contraseñas de red estén protegidas y se cambien con frecuencia, y los dispositivos no autorizados bloqueen el acceso a la red.

5. Implementar controles de seguridad física

A pesar de que las historias clínicas electrónicas son cada vez más comunes, las organizaciones siguen manteniendo una gran cantidad de datos confidenciales en papel. Por lo tanto, los proveedores deben asegurarse de que las puertas y los archivadores estén cerrados con llave y de que se utilicen cámaras y otros controles de seguridad física.

Además, las organizaciones deben proteger físicamente el equipo de tecnología de la información mediante el bloqueo de las salas de servidores y el uso de cerraduras de cables u otros dispositivos para mantener las computadoras portátiles y de escritorio conectadas a los muebles de oficina.

También le puede interesar: HeOn Medfcal, un software seguro y confiable para las organizaciones del sector salud

6. Escribir una política de dispositivos móviles

A medida que más empleados del sector salud utilizan dispositivos personales para realizar su trabajo, es importante que cada organización cree una política de dispositivos móviles que rija los datos que se pueden almacenar en esos gadgets, las aplicaciones que se pueden intalar, etc.

Además, muchos proveedores están utilizando software de gestión de dispositivos móviles para hacer cumplir esas políticas.

7. Borrar datos innecesarios

Una lección que muchas víctimas de violación de datos han aprendido: Cuantos más datos tenga una organización, más delincuentes podrán robar. Las organizaciones deben tener una política que ordene la eliminación de la información del paciente y de otra información que ya no se necesite.

Además, vale la pena auditar regularmente la información que se está almacenando, para que la organización sepa lo que hay allí y pueda identificar lo que se puede eliminar.

8. Seguridad en manos de terceros

Junto con los dispositivos móviles, la mayor tendencia de TI en los últimos años ha sido, probablement,e el aumento del cloud computing o uso de la nube para almacenamiento de datos. Los servicios basados en esta nueva forma de alojamiento de información han permitido a las organizaciones más pequeñas aprovechar muchas de las mismas tecnologías que sus competidores más grandes al reducir los costes iniciales necesarios para la implementación.

Sin embargo, poner la información en manos de terceros también crea una serie de nuevos riesgos. Por lo tanto, es importante que las organizaciones examinen diligentemente la seguridad de los proveedores de cloud computing y de otras terceras partes con las que tienen contratos.

9. Dispositivos médicos electrónicos de parcheo

Aunque muchas de las amenazas a la seguridad de TI a las que se enfrentan las organizaciones de salud también afectan a empresas de otros sectores, los proveedores tienen otro riesgo: la amenaza de que se pirateen marcapasos, herramientas de monitorización y otros dispositivos médicos electrónicos.

Un paso que los departamentos de TI de salud deben dar: Mantenga el software de esos dispositivos parcheado y actualizado para minimizar sus vulnerabilidades.

10. Disponer de un plan de respuesta en caso de violación de datos

Es poco probable que una organización sea capaz de prevenir cualquier posible incidente de seguridad de TI. Es por eso que es crítico desarrollar un plan de acción para cuando ocurra una violación.

Para obtener ayuda, consulte nuestro artículo anterior sobre el desarrollo de un plan de respuesta eficaz en caso de violación de datos.