¿Por qué son tan caras las filtraciones de datos sanitarios?

Jun 04, 2023

Fuente: Getty Images

31 de agosto de 2023: las filtraciones de datos sanitarios pueden tener impactos de gran alcance en las operaciones, la seguridad e incluso la seguridad del paciente. Y para colmo de males, es más que probable que las infracciones afecten los resultados de una organización de atención médica.

Los incidentes de ciberseguridad en el sector sanitario han sido un problema pernicioso en los últimos años. Según IBM Security, el costo promedio de una filtración de datos de atención médica aumentó a 11 millones de dólares en 2023, lo que significa un aumento de 1 millón de dólares con respecto al informe del año anterior y un aumento del 53 por ciento desde 2020. El costo promedio global de una filtración de datos en todos los sectores en En 2023 fue de 4,45 millones de dólares: un aumento del 15 por ciento con respecto a los últimos tres años, pero todavía solo una fracción de los costos de incumplimiento de la atención médica.

Estas cifras plantean la pregunta: ¿por qué son tan caras las filtraciones de datos sanitarios?

Para Gina Bertolini, socia de K&L Gates que se especializa en seguridad y privacidad de la atención médica, la respuesta a esta pregunta es multifactorial.

Los datos de salud son "más difíciles de proteger, es más complicado detectar un incidente y es más costoso implementar medidas de cumplimiento después del hecho", dijo Bertolini durante una entrevista con HealthITSecurity.

La complejidad y el volumen de los datos de salud, junto con la naturaleza altamente regulada de la industria, hacen que la recuperación de violaciones sea una tarea costosa, pero las organizaciones de atención médica proactivas pueden tomar medidas para reducir estos costos.

A medida que el sector de la salud continúa transformándose digitalmente, los datos de salud se vuelven más complejos. Por ejemplo, la pandemia de COVID-19 impulsó la atención médica hacia un entorno digital con la creciente popularidad de la telesalud y la monitorización remota de pacientes.

Si bien estas tecnologías han permitido una mayor eficiencia operativa y acceso a la atención, también han abierto a las organizaciones de atención médica a nuevos riesgos de seguridad y a más sistemas y dispositivos que proteger.

No se puede subestimar el enorme volumen de datos que las entidades de atención médica están creando, recibiendo y procesando y puede estar contribuyendo a mayores costos de vulneración.

"Hemos creado esta superautopista de información digitalizada y eso ha aumentado el riesgo en relación con posibles violaciones", sugirió Bertolini.

Es más, añadió Bertolini, la Ley de Curas del Siglo XXI y los estándares de interoperabilidad han fomentado el flujo de datos de salud, lo que significa una victoria para los proveedores y los pacientes, pero una complejidad adicional de cumplimiento inicial para los equipos legales y de seguridad.

"Los riesgos son tan grandes que los hospitales y los proveedores de atención médica deben invertir significativamente para mantener esas puertas cerradas y esas cerraduras seguras", continuó Bertolini.

“Existe tal diversidad de datos que hace que eso sea difícil de hacer. Se necesita mucha gente inteligente para descubrir cómo se reúne toda esta información y cómo se incorpora a los registros y cómo implementar los sistemas adecuados para proteger todas esas áreas de entrada y salida que puedan existir. Los datos son muy complicados y hay un volumen enorme”.

A medida que los datos de salud se vuelven más complejos y variados, es posible que los equipos de seguridad de la atención médica necesiten implementar varias herramientas y estrategias para mitigar el riesgo.

El informe de IBM encontró que las organizaciones con altos niveles de complejidad del sistema de seguridad reportaron costos de violación de datos más altos en promedio, lo que representa un aumento del 31,6 por ciento en comparación con organizaciones con baja o ninguna complejidad del sistema de seguridad.

Además, los datos de salud son muy valiosos para los actores de amenazas, quienes son conocidos por exfiltrar datos de pacientes y ofrecerlos a la venta en la web oscura. El volumen, el alcance, el valor y la naturaleza siempre cambiante de los datos de salud complican la tarea de protegerlos de los malos actores. Como tal, una filtración de estos datos puede generar millones en costos de detección y recuperación.

Además del volumen y la complejidad de los datos de salud, se sabe que la atención médica es una industria altamente regulada en lo que respecta a seguridad y privacidad. Regulaciones como HIPAA y la Regla de notificación de infracciones de salud de la Comisión Federal de Comercio brindan a los pacientes ciertas garantías sobre cómo se pueden usar o divulgar sus datos personales y garantizan que serán informados si se produce una infracción.

Otras industrias, como el sector financiero, también están estrictamente reguladas y es posible que tengan que pagar más para recuperarse de una infracción. De hecho, según los cálculos de IBM, el sector financiero estaba justo detrás del sector sanitario en términos de costes de infracción más altos.

Además, la atención médica es uno de los 16 sectores de infraestructura crítica designados por el gobierno de Estados Unidos. IBM descubrió que las entidades de infraestructura crítica, incluidas aquellas en los sectores de servicios financieros, atención médica, industrial, tecnología, comunicaciones y energía, incurrieron en costos de vulneración de datos que fueron 1,26 millones de dólares más altos que el costo promedio de las vulneraciones en otras industrias.

“Cuando se produce una infracción, se realiza un análisis forense para determinar qué elementos de datos se vieron afectados y quiénes se vieron afectados. Luego está el costo de cumplir no sólo con HIPAA sino con una serie de leyes estatales”, señaló Bertolini.

"Si opera en varios estados, debe comprender cómo le afectan todas esas leyes y cómo cumplirlas, y debe asegurarse de contar con los mecanismos establecidos para cumplir con esos requisitos de cumplimiento".

El proceso de respuesta a incidentes cibernéticos de atención médica es muy complejo, ya que requiere la colaboración entre los equipos legales, de seguridad y de privacidad.

“Realmente necesita analizar en toda la empresa sus medidas y políticas de seguridad y privacidad en toda la empresa para asegurarse de que cumple con HIPAA y con las leyes estatales relevantes porque sabe que estará sujeto a una investigación. “, añadió Bertolini.

"Y por eso se dedica tiempo y esfuerzo a asegurarse de contar con políticas de seguridad y privacidad, de que la fuerza laboral esté educada y de que se estén implementando las políticas de la manera correcta".

Por supuesto, las empresas ajenas al sector sanitario y más allá de la infraestructura crítica también deben poner un esfuerzo significativo en la respuesta a incidentes y la notificación de infracciones. Pero con la privacidad y la seguridad de los pacientes en riesgo, lo que está en juego para las organizaciones de atención médica sigue siendo particularmente alto.

El cumplimiento de un mosaico de leyes estatales y federales puede contribuir a mayores costos para el sector de la salud en comparación con otras industrias.

Los costos de la filtración de datos pueden estar aumentando, pero las organizaciones de atención médica aún pueden tomar medidas para reducir el riesgo. Centrarse en la prevención y la detección puede ayudar a reducir las posibilidades y el impacto de una violación de datos.

Bertolini sugirió que la colaboración interdepartamental y una cultura de cumplimiento son fundamentales para reducir estos costos, en lugar de tener equipos aislados.

“Hacer que TI interactúe con su fuerza laboral clínica, la gestión de riesgos y comprender realmente cómo se utilizan los datos y dónde podrían estar las vulnerabilidades desde una perspectiva de proceso, así como invertir en las herramientas de seguridad que mejor mitigarán el riesgo, son todos cruciales. ”, señaló Bertolini.

La investigación de IBM sugirió que un ciclo de vida de infracción más corto también iba acompañado de una reducción de costos.

"Otros factores que mitigaron los costos incluyeron la planificación y pruebas de respuesta a incidentes, la capacitación de los empleados y el alto uso de un enfoque DevSecOps", señala el informe. "Por otro lado, la escasez de habilidades en seguridad, los altos niveles de complejidad de los sistemas de seguridad y el incumplimiento de las regulaciones provocaron un aumento de los costos".

IBM recomendó que las organizaciones consideren aprovechar la inteligencia artificial (IA) y la automatización para identificar y contener las infracciones más rápidamente, lo que podría conducir a una reducción de costos.

Cuando se trata de tratar con los reguladores federales después de una infracción, Bertolini sugirió que “no hay nada bueno que pueda surgir de esconder la cabeza en la arena”.

“El mejor enfoque al tratar con los reguladores estatales y federales es comprender lo que hay que hacer antes de que suceda algo malo para poder cumplir. Tenga las políticas implementadas y la fuerza laboral implementada y tome medidas para demostrar que comprende lo que es el cumplimiento”, señaló Bertolini.

"Entonces, cuando algo malo sucede, puedes responder de inmediato, reconocerlo y abordarlo de una manera que sea consistente con las regulaciones".

Aunque los costos de prevenir, detectar y recuperarse de una filtración de datos de atención médica aún pueden ser elevados, implementar salvaguardas clave para mitigar el riesgo y optimizar los procesos puede ser de gran ayuda.