En estos tiempos en que el smartphone parece estar por todas partes, la presión de las empresas para otorgarles acceso corporativo a los empleados desde sus dispositivos móviles personales puede ser sobrecogedora. Esto presenta una diversidad de problemas potenciales que resultan especialmente preocupantes tras la infiltración de datos de Anthem; entonces, ¿qué pueden hacer los encargados de TI y de seguridad de las industrias de la salud para equilibrar estas fuerzas opuestas y otorgar un mejor acceso sin por ello regalarles a los criminales la llave del reino?
La respuesta a esta pregunta puede tener consecuencias importantes en la disminución de la tendencia actual de aumento de infiltraciones en instituciones médicas.
¿Qué buscan los criminales?
Muchos consultorios médicos no suelen comprender fundamentalmente qué es lo que buscan los criminales. Mientras que algunos intentan obtener detalles específicos de problemas de la salud que les sirvan para hacer chantaje, en la mayoría de las infiltraciones de datos, el propósito del malhechor es obtener una cantidad considerable de datos que sirvan para venderse y utilizarse en fraudes médicos o financieros.
Esta lista de datos valiosos incluye varias de las cosas que se perdieron en las infiltraciones de Premera y Anthem, así como otras infiltraciones recientes importantes a instituciones sanitarias:
- Nombres de pacientes y de empleados
- Dirección postal y de correo electrónico
- Números de identificación en instituciones médicas
- Números de Seguro Social
- Datos de tarjetas de pago
Esta información se puede vender a granel; los paquetes cuyos registros son más completos obtienen mejores precios, ya que permiten que se lleven a cabo fraudes más lucrativos sin la necesidad de robarle datos adicionales a la víctima. Los números de identificación en instituciones médicas y los números de Seguro Social son especialmente valiosos para los criminales, dado que el fraude de tarjetas de pago se identifica y se bloquea con mucha más rapidez: la mayoría de los bancos cuentan con sólidos programas de detección de fraudes y los clientes controlan sus tarjetas de pago con más frecuencia y en forma más exhaustiva que a sus informes de crédito o sus resúmenes médicos.
Aunque a veces los criminales intenten acceder directamente a las bases de datos, pueden encontrar otras formas de entrar a la red con la misma facilidad. En general, los atacantes intentan acceder a las máquinas que consideran menos sensibles a los ataques (las que tengan una seguridad menos estricta) y, una vez allí, se van abriendo paso por la red hasta sus objetivos más lucrativos.
También pueden robar las credenciales de inicio de sesión de los empleados para hacerse pasar por una persona autorizada y así acceder a los recursos necesarios para llegar a la base de datos. En este caso, se eliminan los efectos favorables de cifrar los datos confidenciales, ya que el criminal obtiene los permisos necesarios para acceder a la información no cifrada.
Por este motivo, las organizaciones del cuidado de la salud deben implementar defensas en capas. De esta forma, aunque un criminal obtenga acceso a una de las máquinas o robe las credenciales de un usuario con permiso para entrar en la red, se podrán detener los ataques por otros medios. Esto también significa que las empresas deben tener cierta cantidad de control sobre el entorno informático de sus usuarios. Pero, ¿cómo se puede lograr esto cuando los usuarios traen sus propios dispositivos, en particular dispositivos móviles, cuyo riesgo de robo o pérdida es significativamente mayor?
Hay una variedad de cosas que los equipos de TI de las instituciones médicas pueden hacer para reducir los riesgos inherentes a la aplicación de la política que les permite a los empleados traer sus propios dispositivos al trabajo (también conocida por sus siglas en inglés como "BYOD").
Elección del dispositivo móvil
Cuando los empleados están a cargo de actualizar y renovar sus dispositivos (así como de elegir las aplicaciones que van a instalar) es posible que se incrementen los costos de soporte porque los problemas pueden ser más difíciles de resolver.
Y si esos usuarios son quienes deciden qué opciones de seguridad se van a habilitar o deshabilitar, es probable que terminen abriendo las puertas a mayores riesgos de seguridad si alguien roba ese dispositivo, accede a él, o si éste se pierde. Es posible que sea más rentable ofrecerles a los empleados dispositivos móviles que ya tengan un software para la administración de dispositivos móviles, porque de esta manera se pueden estandarizar las aplicaciones y las configuraciones en toda la empresa.
Restricciones claras
La decisión de permitirles a los empleados acceder a los recursos corporativos desde sus dispositivos móviles supone un delicado equilibrio entre los derechos del empleado y y la obligación legal de la empresa de proteger los datos. Esto es particularmente cierto en las instituciones del cuidado de la salud, donde entran en juego los estándares HIPAA (Ley de portabilidad y responsabilidad de seguros médicos). Esta excelente ficha técnica creada por el Privacy Rights Clearinghouse (el Centro de documentación sobre derechos de privacidad de California) trata estos temas legales con mayor detalle.
En estos tiempos en que la mensajería de texto o instantánea es tan masiva como los dispositivos móviles que los transmiten, es importante dejarles en claro a los empleados que no es aceptable evadir los protocolos de seguridad cuando almacenan o transmiten datos de los pacientes. Los empleadores pueden optar por proporcionarles a los empleados servicios para mandar mensajes seguros o protección en la nube, de modo de que les resulte más fácil cumplir con las normativas corporativas.
Mitigación de los riesgos de los dispositivos perdidos o robados
La seguridad perfecta no existe. Lo mejor que podemos hacer es tratar de reducir los riegos y mitigar los daños si en algún momento ocurre un incidente de seguridad. El aspecto primario que deben considerar las empresas ante un dispositivo perdido o robado son los datos que contiene y a qué recursos de la empresa dicho dispositivo tiene permisos de acceso.
Las dos soluciones más evidentes para ambos problemas son requerir el ingreso de una clave especial para acceder al dispositivo, y borrar su contenido apenas se informe que está extraviado. Muchas empresas eligen implementar una política que le permita al equipo de TI tener acceso al dispositivo para poder implementar estos pasos.
Una manera de limitar el valor de los datos robados es cifrar la mayor cantidad posible de ellos, tanto los que se transfieren como los que están almacenados, en forma remota o en el mismo dispositivo. Si un ladrón obtiene acceso a un dispositivo que tiene todos sus datos codificados, los datos pierden cualquier valor que pudieran haber tenido para el atacante. Recuerda que si el ladrón, además de tener el dispositivo, tiene las credenciales de acceso del usuario, podrá visualizar igualmente los datos en su forma descifrada.
Otros métodos para proteger las conexiones
Una forma importante para proteger los datos que no deben ser vistos por más de una persona, como las contraseñas, es agregarles bits aleatorios para dificultar aún más el descifrado y asignarles valores de hash. Al hacer esto, la contraseña no se almacena y no se puede robar; también disminuye la posibilidad de que se pueda descifrar mediante ingeniería inversa.
Además, es más fácil simplemente restablecer la contraseña y solicitarle al usuario que la cambie durante su primer inicio de sesión. Esta publicación de Crack Station explora los detalles de cómo usar el salting y hashing en forma efectiva.
Limitar la cantidad de intentos incorrectos de inicio de sesión sirve de ayuda ante los ataques por fuerza bruta; asimismo, capacitar al personal en cuanto a las medidas de seguridad ayuda a disminuir la eficacia de la Ingeniería Social. Otro factor para limitar los daños en caso del robo de contraseñas es restringir el permiso de los usuarios para que solo tengan acceso a los datos que realmente necesitan para realizar sus tareas cotidianas.
Asimismo, si se les pide a los usuarios que accedan a los recursos en forma periódica (en vez de otorgarles un acceso de tiempo ilimitado), se restringe la cantidad de daño que puede llegar a provocar un atacante.
Si se requiere que los empleados utilicen una VPN para acceder en forma remota a los recursos de red, también se puede disminuir en gran medida el riesgo de ataques de espionaje, en especial si los empleados usan una red Wi-Fi pública para acceder a los recursos de red. Según el sistema operativo que tenga el dispositivo del usuario, también puede ser conveniente suministrarles a los empleados productos antimalware que exploren los vínculos y archivos maliciosos.
La política BYOD como beneficio
Aunque los pasos para proteger el acceso mediante dispositivos móviles puedan parecer potencialmente costosos y complicados, vale la pena el esfuerzo dado el incremento en productividad y capacidad de respuesta de los empleados. Tanto ellos como los clientes lo verán como un beneficio que mejora los resultados del cuidado de la salud dada la mayor participación de los pacientes.
Y a medida que más y más organizaciones médicas son víctimas de infiltraciones a gran escala, esta atención a los detalles puede cambiar la seguridad de los datos y el futuro de la seguridad en instituciones médicas. Podrán encontrar en nuestro blog una Guía para afrontar los retos en seguridad de BYOD.