Desde 2020, la necesidad de una salud más digital pasó a ocupar un lugar cada vez más importante en Latinoamérica (y en el resto del mundo) a partir de la búsqueda de soluciones eficaces para enfrentar la pandemia de la Covid-19. De hecho, según un estudio del MIT Technology Review llamado “La transformación en el sector salud en Latinoamérica” realizado a partir de 30 entrevistas a más de 70 empresas, un 60% de las compañías afirma que más de la mitad de sus clientes ya hacen uso de medios digitales en el sector. A partir de esta realidad, las compañías de la industria tienen que redoblar los esfuerzos en materia de tecnología: los archivos de salud son una mina de oro para el ciberdelincuente. Asegurar documentos es una tarea esencial, ya que la información se encuentra mayoritariamente en archivos que, de no estar protegidos, pueden llevar no solo a la exposición de datos sensibles de clientes, sino también a multas y problemas legales y de reputación muy costosos.
Francisco Larez, VP de Progress para Latinoamérica Francisco Larez, VP de Progress para Latinoamérica
Los retos de la seguridad tecnológica para la salud son tan altos que se necesita diferentes estrategias para superarlos. En el día a día de las clínicas, hospitales y laboratorios, el punto más determinante sigue siendo la protección de los datos de los pacientes, que circulan constantemente entre diferentes profesionales.
Otro punto de atención es que los correos electrónicos pueden ser agujeros para filtraciones. Si bien muchas empresas aún confían en esta herramienta para compartir información - adjuntar un archivo es algo que todos pueden hacer -, esta práctica puede ser riesgosa cuando se trata de enviar documentos confidenciales.
Además de los riesgos operativos - que los archivos sean interceptados, enviados al destinatario equivocado o incluso a un grupo de distribución completo -, el correo electrónico no está diseñado para transferir archivos grandes (muchos servicios limitan el tamaño de los archivos adjuntos a 10 MB o menos). La capacidad disponible es insuficiente para transportar formatos como video, audio e imágenes.
En el mismo sentido, la transferencia de archivos grandes a través de servidores de correo electrónico genera problemas de rendimiento que afectan la confiabilidad y la entrega de los documentos. Tener muchas copias de adjuntos grandes consume espacio y crea problemas de administración de almacenamiento. Como resultado, el departamento de TI pierde visibilidad de las ubicaciones de los archivos, lo que puede ser un problema durante las auditorías.
Alternativamente, las soluciones de transferencia de archivos (FTP) son mejores que el correo electrónico, pero tienen límites que también comprometen las operaciones. El principal desafío es la falta de un método automático de cifrado de archivos en reposo. A esto se suma el hecho de que las soluciones FTP, basadas en procesos manuales sin medios nativos de automatización e integración con los procesos de negocio, no son escalables. Por último, los archivos almacenados en un servidor FTP permanecen allí para siempre o hasta que alguien los elimine.
Leyes de privacidad y secuestro de datos
En este contexto, es fundamental señalar que las filtraciones en el sector de la salud en diferentes países pueden costar más de nueve millones de dólares por incidente (datos de IBM/Ponemon, publicados en Beckers Hospital Review), la cifra más alta en comparación con cualquier industria. Según el estudio, en casi la mitad (44 %) de los incidentes se expusieron datos personales de los clientes, incluida información de salud, nombres, correos electrónicos y contraseñas. Entre los datos sensibles que se deben proteger están: recordatorios de citas, big data (imágenes médicas, por ejemplo), información de facturación y pago, informes de cumplimiento normativo, entre otros.
Las leyes de privacidad de datos también son un desafío que enfrentan los profesionales de TI y seguridad, ya que pueden incluir multas muy costosas en diferentes países. Las empresas deben ser conscientes de los principales desafíos, entre los que figuran:
· Autenticación: verificar que los usuarios son quienes dicen ser.
· Control de acceso: que no se permita el acceso a los datos sin la debida autorización.
· Seguridad en la transmisión y almacenamiento: incluir encriptación en las transmisiones de datos y en reposo.
· Integridad: que la información de salud protegida no se altere sin permiso o detección.
· Control de auditoría: visibilidad completa de las transferencias de archivos.
Zero Trust
Todos estos problemas se pueden controlar asegurándose de que los datos se cifren durante la transmisión y almacenamiento, que se detecten los cambios en el archivo y que el traqueo de auditoría muestre todo lo que le sucedió a un archivo durante el proceso de movimiento.
Entre las estrategias de protección de datos más efectivas, muchos profesionales de TI adoptan el concepto de Zero Trust, lo que significa que la mejor manera de proteger todos los datos y activos es no confiar en nada hasta que se demuestre que las áreas de la red son confiables.
En la política de confianza cero, los documentos necesitan un alto nivel de protección y no se confía en nadie sin un permiso explícito y una autenticación validada. Según Microsoft, este modelo asume el riesgo de incumplimiento y verifica cada solicitud como si se originara desde una red abierta. Independientemente de dónde proviene el pedido, Zero Trust implica “nunca confiar y siempre verificar”.
Una clave para hacer cumplir la política de Zero Trust es garantizar una sólida gestión y protección de la identidad, principalmente a través de la autenticación, que debe aplicarse en todo el entorno, limitando los derechos de los usuarios solo a lo que es absolutamente necesario. Es decir, sólo podrán acceder quienes necesiten abrir, transferir o recibir un archivo.
Hoy, en el sector salud, la tecnología es la encargada de conectar a todos los actores. Por lo tanto, medidas de seguridad eficientes son indispensables para garantizar la integridad de los procesos. La adopción de políticas de control de acceso a la información ayuda a mantener la seguridad y la privacidad de los datos críticos, aprovechando las bondades de la salud digital y contribuyendo a ampliar el alcance de la atención. En este contexto, el mayor beneficiado debe ser siempre el paciente, y el objetivo es mantener siempre la seguridad de sus datos.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |