Lakshmi
Lakshmi

Especialista en marketing de productos.

El HIPAA Journal informó que "2020 fue el peor año de la historia de las violaciones de datos de la industria de la salud". Solo en los EE. UU., Se notificaron 642 violaciones de datos  en las que el número de registros robados superó los 500 y, en total, se expusieron casi 29,3 millones de registros de atención médica.


Las mayores amenazas para los datos sanitarios

En un año en el que el mundo estaba centrado en la industria de la salud, también lo estaban los actores maliciosos. Si bien hubo numerosas causas para las violaciones de datos de atención médica reportadas en 2020, las tres principales fueron:

  • Incidentes de ransomware y phishing.
  • Acceso o divulgación no autorizados.
  • Robo de datos.

Los incidentes de TI, como el ransomware y el phishing, contribuyeron a la friolera de 91,99 por ciento de los registros de salud violados. Hubo un aumento del 25 por ciento en la cantidad de ataques de ransomware dirigidos a la atención médica en 2020. De hecho, en octubre de 2020, el FBI, CISA y el HHS emitieron conjuntamente una advertencia de alto nivel sobre un aumento en el ransomware TrickBot, Ryuk y BazarLoader. variantes destinadas a hospitales y proveedores de atención médica de EE.

Estos ataques llevaron a la exposición de información médica protegida electrónica (ePHI), como historiales médicos, información del paciente, números de seguro social, detalles del seguro médico e información financiera.


Plan de 6 pasos de ManageEngine para proteger los datos de atención médica

El Informe sobre el costo de la filtración de datos de 2020 encontró que un registro de atención médica perdido o robado cuesta $ 429, muy por encima del promedio de la industria de $ 150. Al estar en el sector más afectado por las violaciones de datos, las organizaciones de atención médica deben seguir este plan de seis pasos para proteger sus datos.

1. Escanee en busca de ePHI en su almacenamiento
Utilice métodos como la concordancia de palabras clave y la concordancia de patrones para escanear sus repositorios de almacenamiento de archivos en busca de ePHI. Cree y mantenga un inventario detallado de los datos más confidenciales de su organización programando escaneos de descubrimiento de datos a intervalos regulares.
2. Evaluar los riesgos asociados con la ePHI almacenada
Analizar la sensibilidad, la ubicación y el riesgo de los datos; los permisos que los usuarios tienen sobre él; y otros parámetros críticos para evaluar su vulnerabilidad. Corrija donde sea necesario para seguir los modelos de privilegios mínimos y asegúrese de que la información se almacene solo en ubicaciones seguras.
3. Clasificar los archivos que contienen datos sanitarios
Mejore la eficacia de sus sistemas de seguimiento y respuesta a incidentes clasificando los archivos que contienen ePHI. Recomendamos implementar una herramienta que realice la clasificación junto con el descubrimiento de datos.
4. Auditar todos los accesos a archivos confidenciales
Informe sobre los usuarios que acceden a archivos críticos para saber quién accedió a los datos de atención médica, cuándo y desde dónde. Detecte ataques de ransomware utilizando perfiles de alerta basados ​​en umbrales y una biblioteca actualizada de tipos de archivos de ransomware conocidos. Ejecute scripts personalizados para apagar las máquinas infectadas y detener el progreso del malware, mitigando así el daño.
5. Supervisar las cargas y descargas de datos
Supervise el uso de aplicaciones en la nube en los puntos finales y realice un seguimiento de las cargas, descargas y otras actividades de los usuarios en las plataformas de almacenamiento en la nube.
6. Implementar una estrategia de prevención de pérdida de datos (DLP)
Utilice políticas de DLP personalizadas para detectar y bloquear intentos de transferencia de archivos dañinos a dispositivos de almacenamiento externos y aplicaciones web. Este libro electrónico gratuito contiene información sobre cómo elegir una herramienta de DLP y perfeccionar su estrategia de DLP.

Lo más importante es analizar los incidentes identificados por su herramienta de DLP y ajustar sus políticas de detección de datos y respuesta de DLP según sea necesario. Es posible que deba limitar las reglas de descubrimiento de datos para reducir los falsos positivos, ampliar el alcance de sus políticas de prevención de fugas para reducir los falsos negativos o ajustar otros parámetros para asegurarse de que se mantengan en línea con los escenarios de amenazas cambiantes.

Plan de 6 pasos de ManageEngine para proteger los datos de atención médica

Cómo ManageEngine puede ayudar a garantizar la seguridad de los datos sanitarios

ManageEngine DataSecurity Plus es una plataforma de seguridad y visibilidad de datos unificada que realiza auditorías de archivos, análisis de archivos, evaluación de riesgos de datos, prevención de fugas de datos y protección en la nube. 

Ayuda a los usuarios a localizar y clasificar automáticamente archivos que contienen ePHI. También identifica vulnerabilidades de permisos de archivos, audita la actividad del usuario en archivos críticos y previene fugas de datos confidenciales a través de terminales.

Juntas, estas capacidades garantizan una protección completa de los datos de atención médica en reposo, en uso y en movimiento.

Obtenga más información sobre ManageEngine DataSecurity Plus, descarga gratis tu prueba gratuita por 30 días.

Visitas: 5

COMENTARIOS