[Infografías] Riesgos de TI para la Industria de la Salud: Expectativas vs. Realidad

Netwrix realizó su 2018 IT Risks Survey para conocer más sobre cómo las organizaciones manejan seis riesgos comunes de TI: daño físico, robo de propiedad intelectual, pérdida de datos, violaciones de datos, interrupción del sistema y sanciones de cumplimiento. Hemos extraído algunos datos interesantes compartidos por 140 organizaciones de atención médica para aprender más sobre cómo la industria percibe sus amenazas. Principalmente, estábamos ansiosos por descubrir si las expectativas sobre estos riesgos coinciden con la realidad, es decir, si los incidentes que más preocupan a las organizaciones son los mismos que experimentaron durante el año, y si los actores de amenazas que temen son realmente responsables de los incidentes reales.

Para ilustrar lo peligrosos que pueden ser estos riesgos informáticos para las empresas de todo el mundo, decidimos respaldar los resultados de la encuesta con ejemplos reales de cómo han afectado a organizaciones del sector salud.

Daño físico

El daño físico es cualquier daño a los activos de hardware de una organización, como sus servidores, portátiles y network devices. Las amenazas que conducen a daño físico incluyen desastres naturales, un entorno de almacenamiento inadecuado, mantenimiento de hardware inadecuado o manejo descuidado, errores de los empleados y ataques intencionados por parte de hackers. Para las organizaciones de salud, el daño físico puede llevar a la pérdida de información personal de salud protegida (PHI), interrupciones del sistema e incapacidad para proporcionar servicios médicos. En algunos casos, el daño físico es una amenaza directa para la vida y el bienestar de los pacientes: si el equipo crítico está fuera de servicio, los pacientes podrían no recibir el nivel de atención que necesitan urgentemente.

La encuesta revela que en general, las expectativas coinciden con la realidad en cuanto a daños físicos. Las organizaciones de salud consideran que las fallas de hardware son la amenaza de seguridad más peligrosa y, de hecho, son el tipo de incidente que las organizaciones experimentaron con mayor frecuencia durante el último año. Sin embargo, hay una brecha entre los actores de amenazas que las organizaciones consideran peligrosos y los actores de amenazas responsables de incidentes reales. La mayoría (61%) de las organizaciones ven a los empleados que se van como la mayor amenaza, mientras que en realidad, son los usuarios regulares quienes son responsables de la mayoría de los incidentes (58%); los ex-empleados descontentos quedan muy atrás, en tercer lugar (23%).

Estudio de caso: Hospital Port Shepstone en llamas

En mayo de 2017, se produjo un incendio en el Port Shepstone Provincial Hospital de Sudáfrica. El fuego comenzó en la sala de servidores de TI, destruyendo computadoras y otro equipo. 200 pacientes tuvieron que ser trasladados a otros hospitales de la zona, y varios servicios del hospital (por ejemplo, operaciones electivas de ojos) estuvieron temporalmente no disponibles. Un portavoz del municipio, Simon April, dijo que el hospital podría haber perdido datos almacenados en sus servidores también: “Considerando que la sala de servidores es el punto central donde se guarda la información, es posible que se haya perdido información, a menos que tengan algún sistema de respaldo.”

Robo de propiedad intelectual

La propiedad intelectual (PI) incluye información extremadamente sensible que está protegida por leyes de derechos de autor, marcas registradas o secretos comerciales; los casos en los que una persona roba o usa mal estos activos intencionalmente se denominan robo de propiedad intelectual. El riesgo de robo de PI es una preocupación particular para las compañías farmacéuticas involucradas en la investigación y desarrollo de nuevos medicamentos. Debido a que esta investigación es extremadamente valiosa y la rivalidad entre las compañías farmacéuticas es intensa, no es sorprendente que a menudo veamos noticias sobre hackers o personas internas que han robado o intentado robar PI para obtener ganancias financieras o venganza.

El robo de propiedad intelectual puede ser impulsado por la competencia entre corporaciones, y también puede ser llevado a cabo por hackers y personas malintencionadas dentro de la organización. En cualquier caso, las posibles consecuencias para las organizaciones de salud incluyen la pérdida de ventaja competitiva, la desaceleración del crecimiento empresarial y la pérdida de planes altamente valiosos en cuanto al desarrollo de medicamentos.

La encuesta revela que las organizaciones de salud no siempre comprenden qué actividades representan una amenaza para su propiedad intelectual. En general, el 70% de las empresas afirmaron temer al ciberextorsión, pero los errores humanos fueron en realidad los responsables de la mayoría de los incidentes del año pasado que afectaron la propiedad intelectual de las organizaciones de salud; la ciberextorsión quedó en cuarto lugar. Aunque el robo de propiedad intelectual se asocia principalmente con intenciones maliciosas, los errores humanos son más propensos a conducir a la pérdida de valiosos secretos comerciales, patentes y otros datos sensibles. Por ejemplo, miembros negligentes del equipo de TI podrían otorgar derechos de acceso excesivos a empleados descontentos que en secreto están listos para renunciar, y los usuarios regulares pueden cometer errores como hacer clic en un enlace de phishing que descarga malware, poniendo en peligro la propiedad intelectual.

En términos de actores de amenazas, las expectativas coinciden con la realidad. Los resultados muestran que las organizaciones de salud comprenden completamente quiénes son los más peligrosos para ellos: son los empleados que se van quienes causan más problemas en la realidad y de quienes las organizaciones tienen miedo.

Estudio de caso: Exempleados de GlaxoSmithKline roban secretos comerciales

En 2016, cinco personas, incluyendo a dos ex científicos de investigación del gigante farmacéutico GlaxoSmithKline (GSK), fueron acusados en EE. UU. de conspirar para robar secretos comerciales y venderlos en China. Según los fiscales, los dos científicos enviaron por correo electrónico datos confidenciales sobre una docena o más de productos de GSK a sus asociados, quienes planearon comercializar los secretos comerciales a través de una empresa que establecieron en China y entrar en competencia directa con GSK. Los datos robados incluían información sobre el desarrollo de múltiples productos biofarmacéuticos, así como información sobre la investigación, desarrollo y fabricación de productos biofarmacéuticos de GSK. En 2018, ambos científicos se declararon culpables de cometer robo de propiedad intelectual, pero aún no se ha calculado el monto exacto del daño financiero.

Pérdida de datos

La pérdida de datos suele ocurrir cuando la información se destruye por fallos durante el almacenamiento, procesamiento o transmisión. La pérdida de datos puede ser deliberada (por ejemplo, borrado, secuestro de sesión, infiltraciones de malware y explotaciones de IoT), o el resultado de errores humanos. Otro escenario es cuando se pierde o roba un dispositivo portátil con acceso a datos sensibles. Las consecuencias de tales incidentes para las organizaciones de atención médica pueden ser graves. Si los datos extremadamente sensibles de sus clientes y empleados, que incluyen información personal, datos financieros y resultados de exámenes clínicos, terminan en manos equivocadas, podrían utilizarse para ataques de phishing, chantaje o fraude. Incluso si los datos de los pacientes se pierden en lugar de ser robados, los procedimientos de atención médica vitales podrían retrasarse y las decisiones importantes podrían estar menos informadas. En cualquier caso, la empresa podría experimentar pérdida de lealtad de los clientes, disminución de la velocidad de negocio o incluso la bancarrota.

La pérdida de otros tipos de datos también es una gran preocupación para las organizaciones de atención médica. Por ejemplo, si una compañía farmacéutica pierde información sobre ensayos clínicos, podría tener que comenzar todo el proceso de investigación y desarrollo desde cero y, por lo tanto, no lograr lanzar un nuevo producto antes que un competidor. En última instancia, la empresa puede perder su ventaja competitiva y cuota de mercado, además del tiempo y dinero gastados en reproducir los datos.

Los resultados de la encuesta indican que la mayoría de las organizaciones de salud temen las eliminaciones intencionales, mientras que en realidad necesitan prestar más atención a los errores humanos, que son la verdadera causa número uno de incidentes que involucran pérdida de datos. Las eliminaciones intencionales ni siquiera están en el top cinco; solo fueron mencionadas por el 11% de los encuestados, lo cual es mucho menos que otras causas de pérdida de datos (por ejemplo, fallos de hardware y dispositivos perdidos/robados).

En términos de actores de amenazas, nuevamente vemos que las organizaciones no comprenden completamente de quién deben temer. Temen más a los empleados que se van que a cualquier otro (63%), mientras que en realidad son los usuarios de negocios regulares quienes causan la mayor pérdida de datos. Una vez más, los empleados que se van pueden parecer peligrosos, pero ni siquiera están cerca de ser líderes entre otros actores de amenazas — solo el 21% de los encuestados dijo que los empleados que se van participaron en incidentes reales.

Estudio de caso: Un centro de cáncer en Texas pierde grandes cantidades de datos sensibles

En 2018, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. anunció su cuarta multa más grande por violación de HIPAA, emitida al University of Texas MD Anderson Cancer Center. El caso se deriva de tres incidentes en 2012 y 2013: una laptop de un empleado fue robada y dos memorias USB desaparecieron; todos los dispositivos almacenaban información electrónica protegida de salud (ePHI) de los pacientes de MD Anderson.

En total, la PHI de 34,883 pacientes se perdió y podría haber sido expuesta a individuos no autorizados. El análisis reveló que los dispositivos portátiles que contenían ePHI no estaban encriptados, lo cual fue una violación directa de HIPAA. Debido a su fracaso en implementar los controles de seguridad requeridos por HIPAA, se ordenó a MD Anderson pagar $4,348,000 en multas.

Violación de datos

Lamentablemente, la industria de la salud no es ajena a las violaciones de datos. Los incidentes que han acaparado titulares recientemente incluyen los de Premera Blue Cross y Anthem, ambos en 2015. Una violación de datos es un incidente de seguridad confirmado en el que datos sensibles, protegidos o confidenciales son copiados, transmitidos, vistos, robados o utilizados por un individuo no autorizado. En el caso de la industria de la salud, las violaciones de datos a menudo involucran el compromiso de PHI, pero algunos casos incluyen otros tipos de datos, como información de pagos o información personal identificable (PII).

Según el Verizon 2018 DBIR, el patrón de amenaza más frecuente para las brechas en el sector de la salud son los errores diversos, principalmente en forma de entrega errónea y divulgación no intencionada. Las consecuencias de una violación de datos incluyen filtraciones masivas de datos extremadamente sensibles, que pueden venderse fácilmente en el mercado negro o utilizarse para extorsión y fraude, así como demandas de clientes indignados, multas de cumplimiento sustanciales y daño a la reputación.

La mayoría de los encuestados de la encuesta (68%) nombraron las violaciones de datos como su principal prioridad entre los riesgos de TI. La mayoría de las organizaciones de salud (79%) nombraron el compartir contraseñas como el patrón de amenaza más peligroso. Pero en realidad, la mayoría de las violaciones fueron causadas por errores humanos (24%), como la divulgación no intencionada o hacer clic en enlaces de phishing. Las expectativas sí coincidieron con la realidad en cuanto a los actores de amenazas, sin embargo: los usuarios regulares son vistos como el principal actor de amenaza y son el principal actor de amenaza en la realidad.

Estudio de caso: Premera Blue Cross está en el centro del escándalo de violación de datos

En 2015, el gigante de seguros de salud Premera Blue Cross reveló que una base de datos con información de más de 11 millones de clientes fue comprometida durante una brecha en mayo de 2014. Un empleado de la compañía fue víctima de un ataque de phishing que permitió a los hackers instalar malware en la red del asegurador. En un comunicado público, Premera dijo que los atacantes podrían haber obtenido acceso a la información clínica de los clientes, números de cuentas bancarias, números de Seguro Social, fechas de nacimiento y más.

En abril de 2014, la Oficina de Administración de Personal de EE. UU. (OPM) advirtió a Premera que “encontró numerosas fallas de seguridad durante una auditoría rutinaria de los sistemas de Premera” justo un mes antes de que se revelara el incidente. Como resultado, Premera Blue Cross enfrentó una demanda colectiva sustancial, que argumentaba que Premera no protegió adecuadamente la información personal de sus clientes y no les notificó sobre la violación de datos de manera oportuna. Además, según documentos judiciales revelados en 2018, ahora se acusa a Premera de destruir intencionalmente una computadora y registros de software que podrían haber proporcionado evidencia de que los hackers robaron datos de sus sistemas después de que se presentara la demanda colectiva.

Interrupción del sistema

Una interrupción del sistema (o interrupción del servicio) es el fallo de ciertos sistemas para proporcionar o realizar su función principal durante un período de tiempo. Las razones comunes incluyen fallos del sistema (incluyendo cortes de energía), desastres naturales, técnicas maliciosas utilizadas tanto por externos como por internos (por ejemplo, ataques DDoS, sabotaje y ransomware), y errores humanos. Para las organizaciones de atención médica, el tiempo de inactividad no planificado significa que no pueden funcionar eficazmente, ya que la interrupción podría afectar cada aspecto de sus operaciones, desde la atención al paciente hasta las admisiones, la cadena de suministro y más. Por ejemplo, una interrupción del sistema podría impedir que una organización que depende de sistemas de registro electrónico de salud (EHR) registre pacientes, programe citas y acceda a resultados de pruebas. Las interrupciones del sistema también crean problemas para las organizaciones que proporcionan atención médica clínica a pacientes a distancia mediante TI (telemedicina), y para las compañías farmacéuticas, que podrían no ser capaces de continuar con su investigación y por lo tanto perder tiempo y dinero valiosos.

Una vez más, las expectativas no coinciden con la realidad aquí. Aunque los errores humanos (72%) se consideran la principal causa de interrupción del sistema, la mayoría de los incidentes son en realidad el resultado de cortes de energía (48%); los errores humanos ocupan el segundo lugar (45%). Y mientras que las organizaciones de salud culpan a los hackers por la mayoría de las interrupciones del sistema, informan que son los miembros del equipo de TI quienes son responsables de la mayoría de los incidentes reales (36%); los hackers quedan rezagados en sexto lugar, mencionados por el 29% de los encuestados.

Estudio de caso: NHS sufre el mayor ataque de ransomware jamás registrado

Aunque el ransomware no fue la principal causa de interrupciones reales del sistema, un caso bien conocido que ilustra las consecuencias de la interrupción del sistema en la industria de la salud está relacionado con el ransomware. Debido a que afectó a varios hospitales a la vez, hubo una gran protesta pública. Lo adivinaste — es el caso WannaCry NHS en el Reino Unido.

Cuando el ciberataque WannaCry se extendió por todo el mundo en 2017, el British NHS fue el más afectado. Hospitales y cirugías de médicos generales en Inglaterra y Escocia estuvieron entre al menos 16 organizaciones de servicios de salud afectadas por el ataque de ransomware, que utilizó un malware llamado Wanna Decryptor para cifrar datos. La demanda de pagos de $300 a $600 para restaurar el acceso fue lo de menos — el ataque causó grandes interrupciones en los horarios de cirugías en el Reino Unido. Dado que el ataque afectó sistemas clave, incluidos los teléfonos, el personal se vio obligado a volver al uso de papel y lápiz y utilizar sus propios móviles para las operaciones diarias. También tuvieron que rechazar pacientes y cancelar citas; se aconsejó a los pacientes buscar atención médica solo en casos de emergencia.

Sanciones de cumplimiento

Las sanciones por incumplimiento no son exactamente un riesgo de TI, pero son una gran preocupación para las organizaciones de atención médica. Los estándares de cumplimiento se vuelven más estrictos y aparecen nuevos regularmente, por lo que adherirse a todos los requisitos es cada vez más desafiante. Las organizaciones de atención médica deben cumplir no solo con estándares específicos de su industria (por ejemplo, HIPAA y la Ley HITECH), sino también con estándares como PCI DSS si aceptan pagos con tarjeta de crédito. La consecuencia más obvia del incumplimiento son las enormes multas: por ejemplo, las multas por violaciones de HIPAA pueden alcanzar los $50,000, o hasta $1.5 millones por violaciones reiteradas.

Las normas de cumplimiento exigen que las organizaciones demuestren que la PHI y otros datos personales de pacientes y empleados están completamente protegidos en todo momento. Nuestra encuesta encontró que las organizaciones de salud se consideran preparadas en un 74 % para una revisión de cumplimiento inesperada. Alrededor de un tercio (31 %) de las organizaciones dicen que planean aumentar el número de empleados responsables del cumplimiento en algún momento; sin embargo, otros (24 %) dicen que no planean contratar personal adicional para tareas de cumplimiento en el futuro.

Estudio de caso: Anthem acuerda pagar la mayor indemnización en la historia por violación de HIPAA

En diciembre de 2014, hackers comprometieron una base de datos propiedad de Anthem, el segundo mayor asegurador de salud en EE. UU. El compromiso no fue descubierto hasta el 27 de enero de 2015, después de que un administrador de base de datos descubriera que sus credenciales se estaban utilizando para ejecutar una consulta sospechosa. Mientras tanto, los hackers robaron los datos de 78 millones de miembros del plan, incluyendo sus nombres, direcciones, fechas de nacimiento, números de identificación médica, información laboral, direcciones de correo electrónico y números de Seguridad Social.

En 2018, Anthem acordó pagar una multa de $16 millones por la violación de datos de 2015 y llevar a cabo un sólido plan de acción correctiva para abordar los problemas de cumplimiento descubiertos por la Oficina de Derechos Civiles (OCR) durante la investigación. Esta multa es más del triple del monto del acuerdo de liquidación por violación de HIPAA anterior, que fue de $5.55 millones, impuesto a Advocate Health Care en 2016.

Resumen y planes futuros

Los resultados de la encuesta muestran que las expectativas de las organizaciones de salud no necesariamente coinciden con la realidad. De hecho, los errores humanos o las acciones maliciosas de los usuarios de negocios suelen causar más daño que las infiltraciones de malware y otras actividades de hackers.

Las violaciones de datos encabezan la lista de riesgos de TI que más influyen en la industria, lo cual no es una sorpresa, considerando las graves consecuencias a las que se enfrentan las organizaciones si sufren una violación de datos. Estas pueden involucrar litigios, daño a la reputación, pérdida de lealtad del cliente, suspensión o pérdida de licencia y, por supuesto, daño financiero — el estudio Ponemon Cost of Data Breach Study de 2018 dice que la industria de la salud tiene el costo por violación de datos per cápita más alto de todas las industrias (alrededor de $408 por cada registro perdido o robado).

Las organizaciones de salud toman estos riesgos en serio. Planean aumentar sus inversiones en seguridad en un 141% en el futuro, y consideran la detección de incidentes de seguridad como la forma clave para mejorar la ciberseguridad.

Vea la infografía completa con los resultados de la Encuesta de Riesgos de TI 2018 para la industria de la salud aquí:

Preguntas frecuentes

¿Cómo prevenir violaciones de datos en el sector salud?

Prevenir las brechas de datos en el sector sanitario requiere un enfoque de defensa en profundidad que comienza con la seguridad de identidad. La estrategia más efectiva combina controles de acceso, monitoreo continuo y planificación de respuesta ante incidentes. Implemente los principios de least privilege access – los trabajadores de la salud solo deben acceder a los datos del paciente necesarios para su rol específico. Despliegue sistemas de monitoreo en tiempo real que puedan detectar patrones de acceso inusuales, como una enfermera que de repente accede a cientos de registros de pacientes fuera de su departamento. La formación regular en conciencia de seguridad es crucial, ya que el error humano contribuye a la mayoría de las brechas en el sector sanitario. No olvide lo básico: gestión de parches, cifrado de datos en reposo y en tránsito, y procedimientos de respaldo seguros. La clave que la mayoría de las organizaciones sanitarias pasan por alto: prevenir brechas no se trata de una seguridad perfecta – se trata de hacer que su organización sea un objetivo más difícil que los competidores.

¿Qué es el cumplimiento de HIPAA y por qué es importante?

La conformidad con HIPAA es el marco de la industria de la salud para proteger la privacidad de los pacientes y asegurar la información de salud protegida (PHI). Es importante porque la conformidad va más allá de evitar multas (que pueden alcanzar millones de dólares). La conformidad con HIPAA construye la confianza del paciente, reduce la responsabilidad legal y crea una cultura consciente de la seguridad en toda su organización. La regulación cubre tres áreas principales: la Regla de Privacidad (quién puede acceder a PHI), la Regla de Seguridad (cómo proteger la PHI electrónica) y la Regla de Notificación de Brechas (qué hacer cuando las cosas salen mal). Las organizaciones de atención médica con visión de futuro ven a HIPAA como una ventaja competitiva en lugar de una carga – los pacientes cada vez eligen más a los proveedores en los que confían con su información más sensible.

¿Por qué es importante la ciberseguridad en la atención médica?

La ciberseguridad en el sector de la salud es crítica porque la seguridad del paciente y la data privacy son inseparables en la medicina moderna. Cuando los ataques cibernéticos interrumpen los sistemas hospitalarios, no solo comprometen datos – pueden retrasar tratamientos críticos, cancelar cirugías y obligar a los departamentos de emergencia a desviar pacientes. Las organizaciones de salud almacenan algunos de los datos más valiosos en la web oscura: historiales médicos completos, números de Seguro Social, información de seguros y datos financieros, todo en un solo lugar. A diferencia de los números de tarjetas de crédito que pueden cancelarse rápidamente, el robo de identidad médica puede tardar años en resolverse y puede ser mortal si los registros médicos falsificados conducen a tratamientos incorrectos. El auge de los dispositivos médicos conectados y la telemedicina ha expandido exponencialmente la superficie de ataque, haciendo que la ciberseguridad robusta no solo sea importante – es esencial para el cuidado del paciente y la supervivencia organizacional.

¿Cuáles son los mayores riesgos de TI en el sector salud?

Los mayores riesgos de TI en el sector de la salud combinan amenazas cibernéticas tradicionales con vulnerabilidades específicas de la industria. Insider threats encabezan la lista: trabajadores de la salud con acceso legítimo que intencional o accidentalmente hacen un mal uso de los datos de los pacientes representan la mayoría de los incidentes. Los ataques de ransomware dirigidos específicamente a los sistemas de salud han crecido exponencialmente, sabiendo los atacantes que los hospitales no pueden permitirse tiempos de inactividad prolongados. Las vulnerabilidades de los dispositivos médicos representan una amenaza emergente a medida que más dispositivos se conectan a las redes hospitalarias sin controles de seguridad adecuados. Los ataques a la cadena de suministro a través de proveedores tercerizados proporcionan a los atacantes puertas traseras en las redes de salud. No hay que pasar por alto el factor humano: los ataques de phishing que engañan al personal para que proporcione credenciales o descargue malware siguen siendo devastadoramente efectivos. El riesgo más peligroso es la complacencia organizacional: asumir que las buenas intenciones y el cumplimiento normativo por sí solos son suficientes para prevenir atacantes sofisticados y motivados.

¿Cómo implementar las mejores prácticas de ciberseguridad en el sector salud?

La implementación de las mejores prácticas de ciberseguridad en el ámbito de la salud requiere equilibrar la seguridad con las realidades operativas de la atención al paciente. Comience con la gestión de identidad y acceso: asegúrese de que cada usuario tenga credenciales únicas e implemente la autenticación multifactor en todos los sistemas. Despliegue la segmentación de red para aislar los dispositivos médicos críticos y los sistemas de datos de pacientes de la infraestructura general de TI. Establezca un monitoreo continuo que pueda detectar anomalías sin generar fatiga de alerta en equipos de TI ya ocupados. Cree planes de respuesta a incidentes específicamente adaptados a escenarios de atención médica donde el tiempo de inactividad del sistema afecta directamente la seguridad del paciente. Las evaluaciones de vulnerabilidad y las pruebas de penetración regulares deben centrarse tanto en los sistemas de TI como en los dispositivos médicos. Lo más importante es fomentar una cultura consciente de la seguridad a través de la formación continua que ayuda al personal a comprender cómo la ciberseguridad se conecta directamente con la calidad y la seguridad de la atención al paciente.