Seguridad de los datos sanitarios: Guía práctica para equipos de seguridad

En sanidad gestiona algunos de los datos más sensibles y valiosos del mundo, desde historiales médicos de pacientes hasta datos genómicos e información financiera. A medida que aumentan el volumen, la variedad y la velocidad de estos datos, también lo hacen las ciberamenazas. 88% de hackers que atacan a entidades sanitarias lo hacen por motivos económicos. Además, la sanidad es el sector con el mayor coste anual por violación de datos de Estados Unidos, con $7,13 millones. Para los profesionales de la seguridad que trabajan en la sanidad, proteger estos datos no es solo un requisito normativo, sino una cuestión de confianza de los pacientes y de resistencia operativa.

Tipos habituales de datos sanitarios

Más filtraciones de datos sanitarios incluyen información sanitaria protegida (PHI), las historias clínicas electrónicas (HCE), la información personal identificable (PII) como nombres, direcciones, correos electrónicos y números de la seguridad social, datos sensibles de pacientes y médicos, detalles de seguros, información de facturación, resultados de pruebas de laboratorio, recetas, archivos de imágenes y datos de investigación clínica. Cabe mencionar que la PHI gestionada por los hospitales suele estar en formato electrónico, también conocido como información sanitaria protegida electrónica (ePHI).

El sector sanitario debe hacer frente a la evolución del panorama de las amenazas aplicando estrategias de seguridad por diseño para proteger los datos confidenciales en los puntos finales, los entornos en la nube y durante todo su ciclo de vida: en tránsito, en reposo y en uso. Para lograrlo, se requiere una estrategia de seguridad inteligente y por capas centrada en los datos.

Normativa que regula el sector sanitario

Los sistemas sanitarios, hospitales y proveedores de cuidados posagudos (PAC), como centros de rehabilitación para pacientes ingresados, hospitales de cuidados de larga duración, centros de enfermería y agencias de atención sanitaria a domicilio, se enfrentan a la abrumadora tarea de cumplir una normativa cada vez más estricta. Marcos normativos como HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios), HITECHlegislación sobre IA, GDPRy, cada vez más, las leyes estatales sobre privacidad, como la CCPA, establecen expectativas estrictas sobre cómo deben gestionarse y protegerse los datos sanitarios.

El incumplimiento puede acarrear multas elevadas, acciones legales y daños a la reputación. Por ejemplo, las infracciones de la HIPAA pueden dar lugar a sanciones civiles que oscilan entre $141 y más de $2,1 millones por infracción, en función de la gravedad y la intención. En los casos de mala conducta intencionada pueden aplicarse cargos penales, que conllevan multas adicionales y posibles penas de cárcel.

Para proteger los datos sanitarios y evitar costosas sanciones, los equipos de seguridad deben garantizar una clasificación precisa de los datos, impedir el acceso no autorizado mediante la aplicación de medidas de seguridad. control de acceso basado en funciones (RBAC), realizar evaluaciones de riesgos periódicas y desarrollar un plan detallado de respuesta a la violación de datos ante incidentes de seguridad y adherirse a las normativas pertinentes como HIPAA, HITRUST y GDPR, garantizando el mantenimiento de la privacidad y la seguridad de los datos.

Principales retos para la seguridad de los datos en la sanidad

• Dispersión de datos: El auge de la atención sanitaria orientada al consumidor ha ampliado las interacciones directas con los pacientes a través de dispositivos conectados. Mientras que los servicios digitales y móviles impulsan el crecimiento, generan más datos de los consumidores a través de los sistemas de HCE, dispositivos médicos, bases de datos de investigación, canales en línea y aplicaciones de terceros, lo que aumenta la exposición, el riesgo y la superficie de ataque.
• Riesgo de terceros: Las organizaciones sanitarias dependen de vendedores, proveedores y socios para todo, desde la facturación hasta la telesalud, y cada conexión introduce un riesgo. La gestión eficaz de los proveedores es vital para proteger los datos sanitarios y reducir el riesgo que supone para la PHI una filtración por parte de terceros.
• Amenazas internas: El sector sanitario presenta elevados índices de amenazas internas, ya sean por negligencia o malintencionadas. Acerca de 78% de violaciones de datos sanitarios proceden de piratas informáticos o de incidentes informáticos relacionados con la divulgación de información sanitaria protegida.
• Falta de visibilidad: Identificar la información sanitaria protegida (PHI) sensible y crítica para la empresa puede llevar algún tiempo. Muchos proveedores sanitarios carecen de una visibilidad completa de dónde residen los datos confidenciales, quién tiene acceso a ellos y cómo se utilizan.
• Infraestructura heredada: Los sistemas obsoletos y los dispositivos médicos con capacidad limitada de aplicación de parches aumentan la vulnerabilidad a las ciberamenazas y los ataques.
• Ransomware y ataques selectivos: El sector sanitario sigue siendo uno de los principales objetivos del ransomware, con 60% de ataques que conducen a la exposición de datos o a la interrupción de las operaciones.
• Migraciones a la nube: Las organizaciones sanitarias que transfieren activos digitales de entornos locales a entornos basados en la nube se enfrentan a una tarea compleja con problemas de privacidad, seguridad y gestión de datos que pueden dar lugar a incumplimientos. Como 93% de los servicios en la nube en la sanidad conllevan un riesgo de seguridad de medio a alto.
• Incumplimiento: El sector sanitario debe demostrar el cumplimiento de diversas normativas gubernamentales y específicas del sector de forma automatizada, centrada en los datos y rentable. El incumplimiento de la normativa puede acarrear cuantiosas multas y sanciones para las organizaciones y los directivos.
• Seguridad de la IA: La IA está transformando la forma en que las organizaciones sanitarias utilizan los datos, pero debe identificar si se trata de datos sensibles, personales, confidenciales o regulados, lo que puede dejar al descubierto lagunas críticas en los controles tradicionales. A medida que se acelera la adopción de la IA, los responsables de seguridad deben replantearse su enfoque de seguridad de datos, privacidad y cumplimiento normativo para evitar amenazas emergentes, brechas, fugas de datos y sanciones normativas.

Cómo una multinacional farmacéutica protege los datos sanitarios de pacientes e I+D con BigID

Esta empresa farmacéutica recurrió a BigID para que le ayudara a descubrir todos los datos sensibles y críticos (incluidos los de I+D, pacientes, ensayos, fórmulas de medicamentos, etc.) con el fin de crear una única fuente de verdad que permitiera reforzar los controles de seguridad internos y cumplir los requisitos normativos y de conformidad.

• Descubrimiento de todos los historiales médicos: Escaneado de todos los registros relacionados con la atención sanitaria, incluidos ensayos clínicos, I+D, fórmulas de medicamentos, etc., para abordar los puntos ciegos de los datos sensibles.
• Minimizar los riesgos de los datos en Collibra: Ampliación de los metadatos para enriquecer Collibra mediante la incorporación de metadatos técnicos, empresariales y operativos, lo que ayuda a reducir el riesgo de los datos y a mantener prácticas de gobernanza respetuosas con la privacidad.
• Establecer una fuente única de datos: Establecer una única fuente de verdad sobre su entorno de datos, allanando el camino para una toma de decisiones mejor y más coherente en torno a sus iniciativas de datos por primera vez.
• Mantener el cumplimiento de la HIPAA: Descubrir todos los datos confidenciales PHI y ePHI en todo el entorno, garantizando el cumplimiento de la HIPAA y la aplicación coherente de la política de datos.

Cómo BigID ayuda a la sanidad a proteger los datos de los pacientes, reducir riesgos y cumplir la normativa

La plataforma de gestión de datos de BigID, líder en el sector de la privacidad, la seguridad, el cumplimiento normativo y la IA, ayuda a encontrar, comprender, gestionar, proteger y actuar sobre datos de alto riesgo y valor mediante un enfoque de seguridad centrado en los datos y consciente de los riesgos.

Conozca sus datos PHI

Con BigID, las empresas pueden buscar, gestionar y catalogar toda la información de sus pacientes en todo el entorno, sin importar lo aislada que esté, y aplicar políticas en todos sus datos.

Aprovechar la clasificación basada en ML

BigID clasifica automáticamente la información sanitaria protegida (PHI) mediante una clasificación de última generación que aprovecha el descubrimiento basado en patrones, la clasificación ML basada en NLP y NER, la visión AI basada en el aprendizaje profundo y la clasificación patentada de análisis de archivos.

Limpie sus datos y minimice los riesgos

Identificar y remediar datos duplicados, similares, redundantes y derivados, estructurados y no estructurados, que contengan datos confidenciales de pacientes, y aplicar una gestión de la conservación basada en políticas.

Impulsar la interoperabilidad efectiva

BigID es una plataforma que da prioridad a las API, lo que garantiza que la integración y la orquestación con otras infraestructuras empresariales sean sencillas y de gran impacto. Gestione, supervise y valide las transferencias de datos de terceros y cumpla los requisitos normativos.

Integrar la gestión de consentimientos y preferencias

La capacidad de BigID para correlacionar el conocimiento granular de los datos con los sujetos de los datos transforma captación del consentimiento en una herramienta práctica de inspección y validación para la recogida y el tratamiento de datos de pacientes.

Acelerar la seguridad y la gobernanza de la IA

BigID crea de forma eficiente políticas para gobernar la IA basadas en la privacidad, la sensibilidad, la regulación y el acceso para controlar los datos compartidos con los LLM y las aplicaciones de IA. Utilice la IA con guardarraíles responsables para gestionar y proteger la información privada, la propiedad intelectual y los secretos comerciales.

Cumplir la normativa sobre privacidad y protección

Proteja de forma proactiva los datos PHI, desde los almacenes heredados hasta los entornos en la nube, para cumplir con las leyes HIPAA, HITECH, AI, GDPR y, cada vez más, leyes de privacidad a nivel estatal como la CCPA. Con BigIDLas organizaciones sanitarias obtienen visibilidad y cobertura completa de sus datos sensibles, regulados y de alto riesgo.

BigID permite a los profesionales de la seguridad sanitaria controlar los datos confidenciales, reducir los riesgos y cumplir las obligaciones normativas con precisión y confianza. Reserve una demostración para ver BigID en acción.

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.