Tras los ataques a Anthem y Premera, muchas personas me preguntaron cuáles son las cosas que las empresas médicas deben saber para que sus organizaciones sean más seguras. Después de la filtración de datos de Excellus, el tono cambió y ahora las preguntas están cargadas de exasperación y frustración. Las siguientes son las preguntas que me hicieron con mayor frecuencia sobre la gran cantidad de ataques recientes a seguros médicos y la industria de la salud.
¿Por qué las filtraciones pasan desapercibidas por tanto tiempo?
Una de las "tareas" del atacante es ser sigiloso, ya que el requisito para hacer dinero es mantenerse por debajo del radar durante el mayor tiempo posible. Por un lado, se entiende que se pueda haber pasado por alto una filtración, dados los amplios recursos de los que disponen los atacantes y su fuerte motivación.
Pero por otro lado, permitir que filtraciones tan importantes persistan durante meses o años no es para nada justificable, ya que los datos que manejan las organizaciones sanitarias son extremadamente confidenciales y necesitan estar bien protegidos. El daño causado a los individuos cuyos datos médicos se perdieron puede convertirse en una batalla por el resto de su vida, e incluso atentar contra ella.
A raíz de estas tres filtraciones (y de otras ocurridas en los últimos meses), queda claro que el riesgo que tienen las organizaciones sanitarias de ser víctimas de un ataque es considerable. Con suerte, estos casos al menos les servirán de motivación a las empresas médicas de todos los tamaños para comenzar a tomarse la seguridad más en serio. Pero es probable que incluso aunque comiencen a ponerse al día con la seguridad, en poco tiempo muchos de ellos descubran ataques que ya están en progreso.
¿Cuánto cuesta un buen sistema de seguridad?
Las instituciones de la industria de la salud presentan desafíos adicionales cuando se trata de su seguridad. Por ejemplo, ¿cómo se puede proteger información de modo que aún cuando está protegida se pueda acceder a ella con rapidez, en una emergencia de vida o muerte, en el sentido literal de la expresión? ¿Cómo se hace para manejar máquinas multimillonarias que funcionan con sistemas operativos obsoletos y sin soporte?
Hay un dicho popular que dice que uno debe planificar su seguridad como si ya lo hubieran infiltrado
Las organizaciones médicas tienen que tener mayor determinación cuando planifican sus defensas. Deben ser más rápidas al realizar las evaluaciones de riesgo para asegurarse de que el dinero está bien gastado, y de que los recursos y activos quedaron bien protegidos. Lo ideal es que las evaluaciones de riesgos se realicen en forma continua en vez de periódica. Esto ayuda a asegurar que los nuevos activos, las estrategias y las defensas tanto físicas como digitales se incluyan en los planes lo antes posible.
Hay un dicho popular que dice que uno debe planificar su seguridad como si ya lo hubieran infiltrado. Dado que muchas organizaciones descubrieron importantes filtraciones mientras implementaban mejoras en la seguridad corporativa, este consejo es adecuado y oportuno a la vez.
¿Las organizaciones todavía piensan que nunca van a ser víctimas de una filtración de datos?
Creo que es posible que algunas organizaciones aún sientan que son demasiado pequeñas o poco importantes, pero son más las que consideran que su seguridad es solo cuestión de "tachar de una lista los requisitos a cumplir". Ellos suponen que si siguen una lista arbitraria de procedimientos y protocolos de seguridad, estarán bien. Pero en realidad, no es así.
Si esa lista de especificaciones de seguridad no es el resultado de una evaluación de riesgo pertinente, podría estar pasando por alto vulnerabilidades vitales. Y si las personas no siguen las alertas y los registros generados por el monitoreo interno y externo, no se mantienen actualizadas con los parches necesarios, y no adaptan sus prácticas a medida que surgen nuevas amenazas y defensas, no estarán teniendo en cuenta algunas de las formas en que pueden ingresar los atacantes.
La verdad es que cada institución en sí constituye un objetivo de ataque, y "cumplir" con las normativas no significa que uno esté seguro. Si tus recursos y tus defensas no están actualizados, podrías estar dejando brechas abiertas de oportunidades para el ingreso de atacantes potenciales.
Sigue leyendo: Robo de registros y datos de salud: más que información médica