Tan importante como tener equipos modernos es invertir en la seguridad de red.
La tecnología está presente en todas las áreas de atención en diversas empresas, independientemente de la industria a la que pertenezcan. Transporte, educación, administración y salud son algunas áreas donde la tecnología se utiliza cotidianamente. En el caso de la salud, la tecnología enfrenta grandes desafíos, ya sea para mantener el sistema en perfecto estado de funcionamiento o hasta para proteger máquinas y redes de el robo de información.
Pocos tienen noción de que la seguridad de la red en el área de la salud necesita mejorar, tomando en cuenta que la información de los pacientes llama mucho la atención y son víctimas en potencia de búsqueda de invasores. En muchos casos, los profesionales dejan de confiar en la tecnología y buscan otras alternativas para el almacenamiento de datos del paciente, como en archivos físicos. En ese sentido, la industria enfrenta sus mayores desafíos y empieza a destacar lo que puede hacer para prevenir la violación de datos.
En todos los sectores, no solamente el de salud, es 15 veces más probable perder datos almacenados, que el robo virtual de información. El principal desafío es analizar el impacto de los dispositivos perdidos. Eso evidencia que restringir la información no es suficiente, pues hay un gran número de personas que tienen acceso. La empresa Verizon Soluciones Empresariales, que analiza casos de violación de información de datos en 50 organizaciones globales, constata que el 46% de los incidentes en el sector salud son resultado de pérdida o robo; el 15% se debe a un uso indebido de información privilegiada y “diversos errores”, tales como errores de edición o inadecuado manejo; el 12% completa los tres principales motivos de violación.
¿Pero, es posible prevenir contra la violación de datos? La respuesta es positiva y algunas medidas deben ser adoptadas. La más simples es hacer backup y usar la criptografía. En verdad, la investigación constató que la criptografía puede monitorear el acceso de los usuarios y que con eso evitar muchas sorpresas desagradables.
En el 2013, segundo investigaciones de Symantec, el área de salud fue responsable por el 37% de todas las violaciones relatadas. Sin embargo, esos incidentes constituyen solamente el 1% de todas las identidades expuestas en el año, tanto que la empresa lo ha caracterizado como el “Año de la Mega-Breach”, por tener habido un aumento del 62% (comparado con el 2012) en el número de violaciones de datos, resultando en más de 552 millones de identidades expuestas.
Inversiones necesarias
Tan importante como tener equipamientos modernos en el área de salud, las inversiones en tecnología también debe existir. Es hecho que el profesional de la medicina entiende perfectamente la necesidad de comprar una nueva máquina para exámenes complejos, pero desconfía de las inversiones con la seguridad en el área de TI del sector. Para el médico, su trabajo es curar a quien lo necesita, o sea, él no desconfía que en la actualidad un moderno departamento de TI dejará su trabajo menos complejo. Eso porque, el sector de TI en el área de salud tiene por objetivo garantizar el flujo de informaciones correctas: registros, exámenes, diagnósticos, recetas y otros.
Para ayudar a la empresa a entender la necesidad de invertir en seguridad, el director recorre a la gestión de riesgos, a los modelos de calidad (como la ISO) o al diseño de procesos. Muchos médicos consideran elevado invertir en tecnología para empresas de salud. O, si la tecnología es accesible, no es lo suficientemente segura para una empresa cuyo trabajo es de vida o muerte: hasta aplicativos concebidos para empresas de salud necesitan ser revisados, por cuestión de seguridad.
El uso indebido de datos, es la segunda razón más común de violación de datos del área de salud. En la mayoría de las ocasiones resulta del abuso al acceso privilegiado a las computadoras de mesa, bancos de datos y servidores. El informe de Verizon comprueba que la mayoría del uso indebido de información privilegiada ocurre dentro de los límites de confianza necesaria para desempeñar sus funciones normales. Es exactamente eso lo que torna el control de violación difícil y complicado de ser puesto en práctica. Para evitar que eso ocurra, las organizaciones de salud necesitan conocer íntimamente sus datos y quién tiene acceso a ellos. Los profesionales responsables, generalmente técnicos de TI, necesitan prestar atención para el control de datos, revisar regularmente las cuentas de usuario y publicar los resultados de eventuales auditorías.
Junto con las varias medidas de seguridad, las organizaciones de salud necesitan identificar los datos que son más importantes para ellos y certificarse en cuanto a sus políticas de seguridad y privacidad garantizan seguridad al sistema. Es importante resaltar que un gran número de violaciones son motivadas por dispositivos perdidos o robados. Eso podría ser evitado si laptops, teléfonos celulares y USB’s fueran criptografiados. La criptografía es una de las varias formas de tornar la información médica confidencial inutilizable, ilegible o indescifrable.
Fuentes:
http://www.cio.com/article/2448955/vertical-industries/healthcare-it-security-brings-challenges-opportunities-but-no-big-surprises.html
http://mspmentor.net/managed-security-services/041014/symantec-2013-was-year-mega-breach
http://www.informaticahoje.com.br/mesaredonda/mesa34.shtml
