e-health
¿Cómo garantizamos una sólida seguridad de los datos de salud?
Los datos de salud deben ser reconocidos como un activo muy importante y su seguridad debe ser una prioridad máxima. Su valor es inmenso. Los datos de salud estructurados y de alta calidad mejoran la comprensión de las enfermedades, permiten una detección y un diagnóstico más rápidos, proporcionan las bases para el apoyo a la toma de decisiones en el tratamiento de enfermedades, son la base para la gestión de la salud de la población y la medicina personalizada, por nombrar solo algunos ejemplos.
Health
Los datos de salud también tienen un alto valor financiero. Según EY, “los 55 millones de registros de pacientes en poder del NHS en la actualidad pueden tener un valor de mercado indicativo de varios miles de millones de libras esterlinas para una organización comercial. También estimamos que el valor del conjunto de datos seleccionados del NHS podría ascender a 5 000 millones de GBP al año y brindar alrededor de 4 600 millones de GBP de beneficios a los pacientes al año, en posibles ahorros operativos para el NHS, mejores resultados para los pacientes y generación de una economía más amplia. beneficios para el Reino Unido.”[1]
Debido a lo anterior, los datos de salud a menudo son objeto de grupos no autorizados y de aquellos que buscan beneficiarse ilegalmente de su valor. Algunos de los mayores riesgos de datos de salud relacionados con el acceso no autorizado incluyen:
Ataques de ransomware son las amenazas de ciberseguridad más apremiantes de los últimos años. Según el Informe de investigación de violación de datos de Verizon de 2019, "los incidentes de ransomware representaron más del 70 % de todos los brotes de malware en esta vertical".[2] Los pequeños hospitales y centros de salud son los objetivos más frecuentes porque tienen un presupuesto y recursos limitados para la seguridad. [3]
Robo de datos al obtener acceso físico al sistema de almacenamiento de datos. IBM estimó que el costo de las filtraciones de datos de salud en el Reino Unido solo estuvo cerca de los 3 millones de libras esterlinas el año pasado. [4]
Acceso no autorizado a datos a través de ataques de phishing. Para prevenir estos ataques, las organizaciones de salud y atención deben capacitar a su personal en medidas básicas de ciberseguridad e identificar señales de advertencia de un posible ataque.
Nuestras medidas de seguridad
La plataforma Better proporciona varias características y medidas que permiten a los clientes y socios establecer la mayor seguridad posible para los datos de sus pacientes. La plataforma tiene un repositorio central de datos clínicos, lo que significa que los datos se almacenan en un solo lugar para que la seguridad y el acceso a ellos se puedan administrar de forma centralizada.
En las soluciones alojadas en la nube, Better utiliza las mejores soluciones en la nube para mejorar la seguridad de los datos, como:
- SIEM (Security Information Event Management)
- Centro de seguridad
- Encriptado de fin a fin
- Segmentación de red
- Copias de seguridad periódicas en una ubicación en la nube en otra región
- Norma ISO 27001: Better cumple totalmente con la norma ISO 27001: Gestión de la seguridad de la información. Seguimos los requisitos de la norma para establecer, implementar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información (ISMS) con el objetivo de hacer que los activos de información sean más seguros.
- Kit de herramientas de protección y seguridad de datos digitales del NHS del Reino Unido: Better realiza evaluaciones periódicas para medir nuestro desempeño con respecto a los 10 estándares de seguridad de datos del National Data Guardian del Reino Unido. Además, Better sigue la seguridad en la nube de NHS Health and social care - una guía de buenas prácticas para garantizar que estamos al día con las medidas de seguridad de datos. Se adhiere mejor a estos requisitos no solo desde los aspectos técnicos, sino también dentro de nuestros procesos de trabajo internos (por ejemplo, la política traiga su propio dispositivo). Seguimos los requisitos necesarios en todos los mercados.
- Control de acceso basado en roles (RBAC) y controles de acceso basados en atributos (ABAC): con estas características, las mejores soluciones brindan acceso a los datos de manera controlada y claramente definida de acuerdo con las políticas de la organización.
- RBAC define el acceso a cierta aplicación o datos o permite ciertas acciones de acuerdo con una función específica de un usuario. Por ejemplo, sólo un médico autorizado para la prescripción de medicamentos puede prescribir medicamentos.
- ABAC define además el acceso a datos o acciones de acuerdo con la política de la organización. Por ejemplo, los médicos solo pueden recetar medicamentos o acceder a los datos de los pacientes que se encuentran en una sala específica del hospital.
- Pista de auditoría: nuestras soluciones proporcionan una pista de auditoría completa para cada usuario: todos los accesos y acciones se rastrean y almacenan de forma segura en un servidor separado y se pueden revisar.
Medidas de seguridad en los procesos de desarrollo: Better sigue medidas y políticas adicionales que aumentan la seguridad de nuestras soluciones:
- En la fase de desarrollo, todo el código se evalúa en busca de riesgos de seguridad que se mitigan de inmediato.
- Revisiones de código: los desarrolladores senior evalúan todas las soluciones antes de la fase de producción.
- Las pruebas de penetración se realizan periódicamente con un proveedor externo para garantizar mejoras de seguridad adicionales.
- Protocolos internos para correcciones de seguridad de soluciones en vivo.
1: Chris Wayman, PhD and Natasha Hunerlach, CFA, CFE, MRICS: Realising the value of health care data: a framework for the future, EY, 2019, accessed 26 April at: https://www.ey.com/en_gl/life-sciences/how-we-can-place-a-value-on-health-care-data
2: Verizon: 2019 Data Breach Investigations Report, accessed 25 May at: https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
3: RISKIQ I3 INTELLIGENCE BRIEF: Ransomware in Health Sector 2020, Accessed 25 May at: https://www.riskiq.com/wp-content/uploads/2020/04/Ransomware-in-Health-Sector-Intelligence-Brief-RiskIQ.pdf
4: IBM Security Cost of a Data Breach Report 2020, accessed 25 May at: https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/
content here…