Incumplimiento de datos: un problema creciente en las organizaciones de atención médica

Muchas organizaciones sanitarias permiten que los empleados traigan teléfonos inteligentes, tabletas y otros dispositivos sofisticados de recopilación de datos a sus oficinas y se conecten a sus redes o sistemas empresariales, según revela el tercer estudio anual sobre Privacidad del Paciente y Seguridad de Datos.
Los autores se preguntan si BOYD (traiga su propio dispositivo) es un peligro para la seguridad que la organización de atención médica simplemente desconoce.
El informe, publicado por el Ponemon Institute y Health Information Trust Alliance, reveló que la industria de la salud continúa a la zaga de la mayoría de los demás sectores de la economía en lo que respecta a detener las infracciones de datos.
El informe de 2012 indica que el 94% de las 80 organizaciones de salud que participaron en una encuesta admitieron al menos una violación de datos durante los 24 meses anteriores; El 45% dijo que conocía al menos cinco infracciones de datos, en comparación con el 29% en el informe anterior.
Más de la mitad de todas las organizaciones encuestadas dijeron que tenían al menos un incidente de robo de identidad médica. Solo el 18% dijo que estaba seguro de que el robo fue el resultado de una violación de datos: el 32% dijo que no estaba seguro.
Más de la mitad de todas las organizaciones de salud dijeron que tenían poca o ninguna confianza en su capacidad para detectar infracciones. Solo el 40% dijo que puede prevenir o detectar con confianza toda la pérdida o robo de datos del paciente.
Las infracciones de datos le han costado a la organización de salud de EE. UU. $ 6.78 mil millones cada año.
BOYD sí ayuda a los expertos en productividad, tiempo y movimiento. Las tecnologías actuales que prometen una mayor productividad y comodidad incluyen dispositivos móviles, aplicaciones para compartir archivos y servicios basados ??en la nube, todo muy difícil de asegurar. Existe el riesgo de que alguien en la empresa pueda tomar parte de la información en otro lugar, incluida la información confidencial del paciente, donde podría terminar en las manos equivocadas.
Los autores escribieron:

"Otra preocupación presentada en esta investigación es que los ataques sofisticados y furtivos de los delincuentes han estado aumentando constantemente desde 2010.
El precio para lidiar con estas infracciones puede ser asombroso. Si bien el costo puede variar de $ 10,000 a más de $ 1 millón, calculamos que el costo promedio para las organizaciones representadas en este estudio de referencia es de $ 2.4 millones durante un período de dos años. Esto subió levemente de $ 2.2 millones en 2011 y $ 2.1 millones en 2010 ".

Causa principal de negligencia personal por violaciones de datos

En el 46% de las infracciones de datos, el dispositivo informático del empleado se perdió o fue robado, lo que los autores atribuyen a la falta de cuidado.
En el 42% de los casos, la violación fue causada por errores de los empleados o acciones no intencionales.
El SNAFUS de terceros también es una causa relativamente común de violaciones de datos.
El número de ataques criminales dirigidos a las bases de datos de organizaciones de salud también ha aumentado.

¿Qué tan seguros son estos dispositivos?

Los autores explicaron que cuando preguntaron a las organizaciones de atención médica qué tan seguros estaban de que los dispositivos que sus empleados traen a la oficina y llevar a casa son seguros, la respuesta más típica fue que no tenían confianza en absoluto.
Entre las organizaciones de atención médica que se cubrieron en este informe están:

• Hospitales / clínicas que forman parte de una red: 46%
• Sistemas de entrega integrados: 36%
• Hospitales / clínicas independientes: 18%

Los investigadores llevaron a cabo 324 entrevistas: los entrevistados incluyeron a aquellos que trabajan en administración, seguridad, privacidad, cumplimiento, asuntos clínicos y finanzas.

¿Qué deben hacer los hospitales para frenar las violaciones de datos?

Los autores dicen que deberían:

• Llevar a cabo una evaluación de riesgos de privacidad


• Identificar brechas organizacionales


• Cree una política que incluya pautas detalladas en todos los dispositivos móviles para todos los contratistas y empleados.


• Cuando crean la política, debe abordar los riesgos de seguridad y explicar claramente qué procedimientos se deben seguir


• La política de dispositivos móviles de la organización de salud debe educar a los empleados sobre por qué sus dispositivos móviles deben estar seguros y protegidos, y qué comportamientos riesgosos deben evitarse.

Los expertos creen que la cantidad de infracciones de datos es varias veces más de lo que se informa actualmente, simplemente porque la mayoría de las organizaciones de atención médica no tienen los medios para detectarlos.
Lo que más preocupa es la baja prioridad que muchos líderes dan a las violaciones de datos, dijo el Instituto Ponemon. En comparación con otros sectores de la economía, como la banca, la atención médica parece relativamente despreocupada.
Los dispositivos médicos, como las bombas de insulina, las máquinas de imágenes de mamogramas y las bombas cardíacas inalámbricas, tienen una gran cantidad de datos confidenciales para el paciente, la mayoría de ellos están conectados de forma inalámbrica a PC comerciales y son vulnerables a los ciberataques. La mayoría de las organizaciones de atención médica no protegen sus dispositivos médicos. Los autores piensan que esto se debe a que las organizaciones creen que es responsabilidad del vendedor del dispositivo médico proteger los productos, y no los suyos.
Escrito por Christian Nordqvist