¿Debería la ciberseguridad formar parte de la formación periódica sobre cumplimiento de HIPAA?

Con el aumento de las violaciones de la seguridad de los datos, surge la pregunta. ¿Deberían los proveedores de atención médica priorizar la capacitación en ciberseguridad junto con la privacidad y seguridad de HIPAA?

Vivimos en una era en la que no siempre se puede garantizar la privacidad o la seguridad de la información en línea. Las entidades de atención médica han sufrido enormes pérdidas por violaciones de datos en. Y la mayoría de las violaciones de datos reportadas corresponden a incidentes relacionados con la ciberseguridad.

De hecho, desde enero de hasta noviembre de, el 79% de las infracciones notificadas en el sector sanitario han estado relacionadas con la ciberseguridad. Y el volumen de ciberataques ha aumentado de noviembre de a enero de un 45%. Es una preocupación alarmante para los profesionales de la salud.

¿Por qué la atención sanitaria es el objetivo más importante?

El sector sanitario ha sido el principal objetivo de los ciberdelincuentes desde hace bastante tiempo. Los datos de atención médica son muy buscados porque contienen información muy valiosa sobre las personas, como números de seguro social, información financiera, fecha de nacimiento, nombres, detalles del seguro y mucho más. Esta información se puede vender por hasta 362 dólares en el mercado negro, según el Instituto InfoSec. Los ciberdelincuentes también utilizan esta información para realizar facturas fraudulentas y obtener muchos otros beneficios personales.

No puede simplemente dejar de utilizar Internet para proteger su organización de los ciberataques. Hoy en día, millones de datos de salud se comparten a través de Internet, y millones de personas, incluidos médicos y enfermeras, utilizan Internet para diversos fines, incluidas actividades relacionadas con PHI (Información de salud protegida). Esto hace que las organizaciones sean propensas a intentos de piratería, ya que los datos están presentes en línea, aunque sean paredes seguras.

Impulso a prácticas sólidas de ciberseguridad

Muy recientemente, Estados Unidos ha tomado la iniciativa de mejorar la ciberseguridad en la atención sanitaria. Los proveedores de atención médica víctimas de una serie de ataques cibernéticos podrían enfrentar sanciones y acciones de cumplimiento reducidas.

El 5 de enero, el presidente Trump promulgó un nuevo proyecto de ley, conocido como HIPAA Safe Harbor (HR 7898), que modifica la Ley HITECH.

Este cambio podría ayudar a las entidades cubiertas y a los socios comerciales a defenderse de las investigaciones de HIPAA si emplean prácticas de ciberseguridad adecuadas. La ley tiene como objetivo incentivar a los proveedores de atención médica para que adopten las mejores prácticas de seguridad estándar de la industria al reducir las multas y acortar el alcance de las auditorías.

Sin embargo, esta ley no garantiza que los proveedores de atención médica eviten toda responsabilidad. En cambio, estos proveedores pueden protegerse contra multas sustanciales o reducir la duración de una auditoría.

La Oficina de Derechos Civiles (OCR) ahora debe tener en cuenta las medidas de ciberseguridad que estaban vigentes 12 meses antes de la infracción antes de imponer multas y acciones coercitivas. Esto solo será aplicable si una organización ha adoptado y seguido prácticas sólidas de ciberseguridad reconocidas previamente por las autoridades legales.

¿Quién necesita formación en ciberseguridad?

En resumen, todos. En el entorno actual altamente digitalizado, cualquiera que utilice una computadora para los negocios de la empresa debe saber cómo mantener seguros los datos de la empresa. Hoy en día damos por sentado los sistemas de seguridad informática. Pero además del mayor volumen, los ciberataques se han vuelto más sofisticados.

No se puede enfatizar más la importancia de la capacitación en ciberseguridad en la industria de la salud. Aunque algunos proveedores incluyen la ciberseguridad como parte de su capacitación en seguridad HIPAA, la gran mayoría de ellos no brinda ninguna capacitación relacionada con la ciberseguridad.

Según un informe de Kaspersky , casi un tercio de los empleados de atención médica encuestados (32%) afirmaron que nunca recibieron capacitación en ciberseguridad por parte de su empleador. Es más, 1 de cada 10 directivos no era consciente de que su empresa contaba con una política de ciberseguridad. Y alrededor del 40% de los trabajadores de la salud en EE. UU. no tenían idea de las medidas de ciberseguridad que protegen los dispositivos de TI en su lugar de trabajo.

Cumplimiento de HIPAA y ciberseguridad

La mayoría de las filtraciones de datos en los últimos tiempos se debieron a incidentes relacionados con la ciberseguridad. Y desafortunadamente, los proveedores de atención médica que fueron víctimas de tales ataques fueron acusados ​​de multas HIPAA. Un fuerte indicio de que el cumplimiento de HIPAA y la ciberseguridad son dos caras de la misma moneda.

Los ciberataques suelen ser inevitables. Pero es posible reducir las consecuencias o la probabilidad de infracciones con la capacitación y la implementación adecuadas. Si carece de las herramientas y recursos adecuados, busque terceros que tengan experiencia en ciberseguridad y capacitación para ayudarlo en esta área. O también podría utilizar el software de cumplimiento de HIPAA como lo hacen algunos de los principales proveedores.

Incluir la ciberseguridad como parte de su capacitación en seguridad HIPAA es esencial. Especialmente ahora que la industria de la salud se ha vuelto más dependiente de los dispositivos de TI y la conectividad a Internet debido a la pandemia de COVID-19, lo que hace que la seguridad de los datos sea más vulnerable que nunca.

Con la formación adecuada, los empleados serán conscientes de algunas de las amenazas cibernéticas que pueden encontrar a diario. Algunas áreas clave en las que centrarse podrían incluir:

• Fomentar una cultura de seguridad
• Cómo proteger los dispositivos móviles
• Alentar a los empleados a utilizar contraseñas únicas y cambiarlas periódicamente
• Cómo responder cuando sucede lo inesperado
• Controlar el acceso a la información de salud protegida
• Cómo reconocer intentos de piratería, ataques de phishing, ransomware y malware.
• Alentar a los empleados a mantener y actualizar su software antivirus.
• Cómo mantener buenos hábitos informáticos

Tu defensa es tan fuerte como tu eslabón más débil

A menudo, sus empleados son el eslabón más débil de la seguridad de su organización. Por lo tanto, es su responsabilidad brindarles el conocimiento adecuado para que puedan aplicarlo a la seguridad de su organización y garantizar el cumplimiento. Si tiene demasiado entre manos, utilice el software de cumplimiento de HIPAA para agilizar la capacitación. No debe dejar ninguna excusa si sufre una infracción.

La ley HIPAA Safe Harbor no podría haber llegado en mejor momento. No sólo podrá defenderse de una auditoría o investigación, sino que también podrá reducir la probabilidad de sufrir ciberataques dañinos si sólo emplea prácticas de seguridad adecuadas.