Proteger la Información Personal de la Salud, la segunda más buscada por hackers

Martes, 09/02/2016

Por Alessandro Porro, Vicepresidente de Ventas de Ipswitch.

El pasado jueves 28 de enero fue celebrado el día de la Privacidad de Datos (también conocido en Europa como Día de la Protección de Datos). El propósito de estas fechas es crear conciencia y promover las mejores prácticas de privacidad y protección de datos. Para honrar el aniversario, aquí especificamos algunas formas de proteger la Información Personal de la Salud (IPS), un área de enfoque para los equipos de TI que cuidan la salud de los usuarios.

La Información Personal de Salud es el sueño de todo hacker

La IPS se considera la más buscada en el 2016, después de los datos que poseen los ciber delincuentes. Los hackers se están alejando de otras formas de delitos cibernéticos como el que se dirige a las cuentas bancarias. En su lugar, se están centrando más en IPS debido a la cantidad de datos valiosos que contiene: números de seguro social, información de la póliza de seguro, información de la tarjeta de crédito y más.

La falta de un enfoque coherente para la seguridad de los datos en toda la industria de la salud también genera que los datos de salud sean más fáciles de obtener. Cuanto más sencillos sean para robar, más lucrativos se hacen los datos para los piratas informáticos. La industria de la salud ha tenido menos tiempo que otras para adaptarse a las crecientes vulnerabilidades de seguridad, y los criminales en línea no llevan mucho tiempo para tomar nota.

RGPD (Regulación General de Protección de Datos) y el fin de la Safe Harbor

No es novedad que los gobiernos estén haciendo su parte para promover la privacidad de los datos. Hay una búsqueda por legislar la protección de los datos personales y el refuerzo con importantes sanciones en caso de incumplimiento. Puede echarse un vistazo al acuerdo sobre el Reglamento Europeo de Protección de Datos como el ejemplo más reciente.

Lo que está cambiando, sin embargo, es el rápido crecimiento de la integración de datos a través del Internet abierto entre hospitales, proveedores de servicios como los procesadores de pago, compañías de seguros, agencias gubernamentales, aplicaciones en la nube y los intercambios de información en salud. La empresa sin fronteras es un hecho de la vida.

El uso del cifrado para cumplir con las normas de privacidad de datos   

Es bien sabido que una estrategia de seguridad centrada en la defensa del perímetro no es lo suficientemente buena. Existe una razón para esto: los datos de salud deben moverse fuera de la red de confianza. El cifrado es el mejor medio para limitar el acceso a los datos protegidos, ya que sólo los que tienen la clave del cifrado puede leerlo.

Pero hay otros factores a tener en cuenta al considerar la tecnología para proteger los datos en movimiento, sobre todo cuando el cumplimiento de la Ley de Responsabilidad y Portabilidad del Seguro de Salud y otras regulaciones de privacidad de datos gubernamentales son un problema.

En pocas palabras, cuando evaluamos el sistema para el cifrado de archivos, descripto en el FIPS 197, es importante tener en cuenta el tamaño de la clave, por ejemplo, 128, 192 o 256 bits, que lo que afecta a la seguridad. También vale la pena considerar productos con cifrados certificados FIPS 140-2, acreditados para su uso por el gobierno de Estados Unidos como una medida adicional de confianza.

alessandro_final_72dpi_1-2

Aquí hay varias cosas a considerar para proteger los datos en movimiento y asegurar el cumplimiento:

*Cifrado de un extremo a otro: cifrado de archivos, mientras que en tránsito y en reposo protege los datos de acceso en los servidores de confianza a través de agentes de malware o maliciosos con acceso seguro a la red de confianza.

*Visibilidad para auditoría: informes y cuadros de mando para proporcionar acceso centralizado a toda la actividad de transferencia a través de la organización, pueden reducir el tiempo de auditoría y mejorar el cumplimiento.

La integración con directorios de usuarios de la organización: implementación del Protocolo Ligero de Acceso a Directorios o el SAML 2 para directorios de usuario o soluciones de proveedores de identidad, no sólo mejora el control de acceso y reduce las tareas administrativas, sino que también puede proporcionar capacidad de autenticación única de inicio de sesión y de múltiples factores.

*Integración con otros controles de TI: si bien la integración de datos se extiende más allá de los sistemas de defensa del perímetro, hay que considerar la integración con sistemas de escaneo de datos. El antivirus protege su red de malware de los archivos entrantes y el software de Prevención de Pérdida de Datos (DLP) detiene la data protegida de escaparse.

*Acceso al punto final de los servicios de integración de datos: en la actualidad hay más integrantes que participan en el intercambio de datos. Cada uno tiene necesidades únicas y probablemente requieren uno o más de los siguientes servicios:

+Transferencia segura de archivos desde cualquier dispositivo o plataforma.

+Estado de acceso de movimiento de datos para gestionar acuerdos de nivel de servicio (SLA).

+Programar o supervisar las actividades de transferencia automatizadas.

*Control de acceso: con el creciente número de participantes, incluyendo los que están fuera de la empresa, es más importante que nunca gestionar cuidadosamente el acceso con seguridad basada en roles. Asegurar que cada uno tenga un acceso adecuado a la información y servicios necesarios.

*Automatización de transferencia de archivos: la automatización puede eliminar las transferencias mal dirigidas por empleados y el acceso externo a la red de confianza. Utilizando una herramienta de automatización de la transferencia de archivos también se puede reducir significativamente el tiempo de administración de TI.

Comentarios