top of page
Foto del escritorTeam Inntesec

Violación de Datos Sector Salud Capítulo I



NEWSLETTER 22FEB2020

Brechas de Seguridad y Fuga de Información


La gran mayoría de las instituciones del Sector Salud procesan y almacenan información de la salud de los pacientes, que se compone de datos sensibles de los pacientes como historial médico, fichas, números de seguros, datos financieros personales y más. Sin duda, esta información sensible atrae gran atención de los “Malos Actores” (ciberdelincuentes) que tienen como objetivo explotarlos para obtener un beneficio económico. Según un reporte sobre violaciones (brechas) de seguridad y de datos en el Sector Salud realizado por “Bitglass” analiza los datos del "Muro de la vergüenza" del Departamento de Salud de los Estados Unidos. La base de datos incluye la información de salud de los pacientes y que di- chas violaciones que en conjunto afectaron a más de 27 millones de personas.


Estas violaciones se dividen en las siguientes categorías:

  1. Incidentes de hacking y de TI: Violaciones de seguridad relacionados con “Malos Actores” (hackers) y con una seguridad TI inadecuada.

  2. Acceso no autorizado o exposición: Acceso total no autorizado y divulgación de información médica protegida.

  3. Pérdida o robo: Violaciones de seguridad causados por la pérdida o el robo de dispositivos EndPoint.

Otros: Varias violaciones y fugas relacionadas con elementos como la eliminación inadecuada de los datos.



Hallazgos Claves

  • A pesar de la disminución del número de violaciones por año, el recuento de las violaciones alcanzadas en el Sector Salud llegó a 386 en 2019, un aumento del 33% desde 2018 (290).

  • El promedio de personas afectadas por cada violación alcanzó 71.311 en 2019, casi el doble que en 2018 (39.739).

  • El número total de exfiltración de registros se ha duplicado con creces cada año; de 4,7 millones en 2017 a 11,5 millones en 2018, y a 27,5 millones en 2019.

  • Los incidentes de hacking y de TI (60,6%) fueron la principal causa de violaciones en el Sector Salud en 2019, un aumento dramático desde el 45,8% en 2018.

  • Los dispositivos EndPoint perdidos y robados provocan cada vez menos violaciones cada año, pasando de 148 en 2014 a 42 en 2019.



Análisis de Violación de Datos 2019


En 2019, los incidentes provocados por los “Malos Actores” (hackers) y los incidentes de seguridad TI provocaron el 60,6% de las violaciones en el sector salud. En relación con otras causas de violaciones, esta categoría impactó a un porcentaje excesivo de personas (86,7%), lo que significa que estas fugas fueron mayores en promedio. Cerca de 24 millones de personas afectadas por violaciones en el sector salud vieron su información expuesta por incidentes de hacking y de TI, mientras que todas las demás categorías combinadas afectaron a 3,6 millones. Esto significa que el hecho de no proteger los datos en los entornos de TI puede permitir infracciones a gran escala.



Las Violaciones de Seguridad Aumentan año tras año


Aunque los dispositivos EndPoint perdidos y robados pueden haber sido las principales razones de las violaciones en 2014, las amenazas que prevalecen hoy en día con mayor fuerza son el Hacking y los Incidentes de seguridad TI. Estas categorías, cuyo impacto han ido creciendo cada año, aumentaron exponencialmente en 2019. A medida que las organizaciones sigan adoptando la migración a la nube y la transformación digital, es probable que esta tendencia continúe. Por ello, las organizaciones del Sector Salud deben aprovechar las herramientas adecuadas para proteger con éxito los registros de los pacientes y responder al creciente volumen de amenazas a sus ecosistemas de TI.

23.862.875 fueron los incidentes de Hacking y de TI, afectaron a más personas que cualquier otra causa de violaciones en 2019 (como lo han hecho cada año desde 2015).



El Costo de las Violaciones de Datos en 2019


Según datos del Instituto Ponemon, el costo por registro de una violación de datos en el Sector Salud ascendió a USD 429 en 2019. Este es el costo por registro mas alto de cualquier industria, el Sector Financiero se encuentra en segundo lugar con un costo por registro de USD 210 y el Sector Gobierno se encuentra en el último lugar con un costo por registro de USD 78. Además, USD 429 representan un aumento del 3,5% con respecto a 2018 y un aumento del 11,4% desde 2017.


El problema anterior se agrava por el hecho de que las Instituciones del Sector Salud tardaron un promedio de 236 días en identificar las violaciones de datos (es el tiempo más largo para cualquier industria) y un promedio de 93 días en contenerlas (también el tiempo más largo para cualquier industria).


Combinando el costo por registro de una violación de datos y el número total de registros expuestos, se puede calcular el costo total de violación del Sector Salud para cada año. Como se muestra aquí, se pierden miles de millones de dólares anualmente debido a una ciberseguridad inadecuada en el Sector Salud. Como se puede ver a continuación, el número de violaciones, así como el costo total en 2019 más que se duplicó desde 2018.




Legislación y Realidad Chilena



Modificaciones Posteriores a la Promulgación de la Ley 19.628: La Ley 19.628 ha sido objeto de una serie de modificaciones. La mayoría de estas han tenido por objeto remediar ciertas situaciones de discriminación o vulneración que sufrían las personas debido al tráfico de sus datos personales por parte de empresas. Sin embargo, ninguna de estas modificaciones supuso una reforma integral a la ley, ni se abocó a suplir de manera general algunas de sus falencias estructurales. Es por esto que pueden ser catalogadas como “leyes parche”.


Ley 20.575: promulgada el 14 de febrero de 2012, es quizás la modificación más importante que ha sufrido la Ley 19.628. La ley cuenta con dos partes: los artículos 1o a 6o constituyen un cuerpo normativo independiente, mientras que los artículos 7o y 8o modifican la Ley 19.628. El principal mérito de esta ley fue consagrar en la legislación chilena el principio de finalidad, analizado más adelante. Vale la pena mencionar que esta legislación tuvo el propósito expreso de evitar el abuso en el tratamiento de datos personales por parte de distintas entidades, al punto que la prensa la denominó como “Ley DICOM” (El Mostrador, 2012), en alusión a las prácticas de quienes utilizaban los datos consignados en Equifax, heredera de la antigua empresa dedicada al tratamiento de datos e información de carácter comercial.


Categorías de Datos y Definición de Banco de Datos en la Ley 19.628: Como es común en la legislación comparada sobre datos personales, la Ley 19.628 contempla la definición de ciertos conceptos, incluyendo las distintas acepciones de “datos”. Siguiendo a Cerda (2012), “dato” puede ser entendido como una “unidad básica de información cuando la información que porta el dato es relativa a una persona determinada o susceptible de serlo, se denomina dato personal o dato nominativo, esto es, una unidad de información que se predica de persona determinada o determinable”.


La ley define cuatro categorías de datos:

  1. Dato de carácter personal o datos personales: “son aquellos relativos a cualquier información concerniente a personas naturales, identificadas o identificables”.

  2. Datos sensibles: “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.

  3. Dato caduco: “aquel que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna”.

  4. Dato estadístico: “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable. Este último queda, por tanto, fuera del ámbito de aplicación de la ley”.



Calidad de los Datos

Este principio se encuentra recogido en el inciso segundo del artículo 9 de la Ley 19.628, el que establece que la información los datos personales debe ser exacta, actualizada y responder con veracidad a la situación real de su titular. La contravención a esta obligación da lugar a que este solicite que los datos sean modificados, bloqueados o eliminados.



Protección Especial de los Datos Sensibles

El legislador ha optado por entregar un nivel especial de protección a ciertos datos personales que, en atención a su naturaleza, son considerados de carácter sensible. Entre ellos se encuentran aquellos datos personales que se refieren a las características físicas o morales de las personas, o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Por lo mismo, la definición de dato personal es de carácter amplio y la definición de dato sensible hace referencia a hechos o circunstancias relativas a la intimidad o la vida privada. El tratamiento de los datos sensibles es particularmente propenso a lesionar derechos fundamentales del afectado, situación por la cual el legislador ha optado por otorgarle un nivel de resguardo mayor.

Atendidas estas circunstancias, el legislador decidió invertir la regla aplicable a los datos personales y establecer que el tratamiento de datos de carácter sensible se encuentra, en principio, prohibido. Solo tres excepciones establecidas expresamente por la ley permiten el tratamiento de este tipo de datos, a saber: (i) que la ley lo autorice, (ii) que exista consentimiento del titular, o (iii) que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.



Seguridad de los Datos

Este principio se encuentra recogido en el artículo 11 de la Ley 19.628, que establece la obligación del responsable de los registros o bases donde se almacenen datos personales, de cuidar de ellos con la debida diligencia, haciéndose responsable de los daños causados. Sin embargo, la ley no establece estándares de cuidado o medidas concretas que dichos responsables deban tomar a fin de velar por la seguridad de los datos o prevenir su daño.24 Por consiguiente, son los tribunales los llamados a definir, caso a caso, si se han tomado las medidas suficientes para cumplir con dicho principio.



Que Información Entrega el Sector Salud de Chile


Al navegar por internet y buscar en las mayoría de las clínicas y hospitales los términos como; Ley de Datos Personales, Protección de Datos, Seguridad de los Datos, Ciberseguridad o Seguridad de la Información es muy lamentable que no aparezca información sobre estos temas tan importantes. Por otro lado al revisar el sitio web de Clínicas de Chile y buscar términos relacionados con Ley de Datos Personales, la verdad, es que no hay artículos e información relacionada, tampoco menciona con claridad sobre el Tratamiento que le dan a los Datos Personales o de la Ficha Clínica, la Protección Especial de los Datos Sensibles o la Seguridad de los Datos. Lo único que aparece en materia de Ciberseguridad es una entrevista realizada el 2018 al doctor José Fernández, gerente clínico de Rayen Salud quien explicó las medidas que las clínicas y hospitales pueden tomar para mitigar los riesgos de un ciberataque en salud.


En entrevista con EmolTV, el doctor José Fernandez, médico cirujano y gerente clínico de Rayen Salud, afirmó que, en relación a la Transformación Digital Sanitaria en Chile. “tenemos un gran avance respecto a la región. Por lo menos en salud pública el 90% de los centros de atención primaria están completamente digitalizados, eso quiere decir que cuentan con ficha clínica electrónica”.
Ahora bien, agregó que “obviamente cuando uno va incorporando la ficha clínica electrónica, en donde se guarda información muy sensible, se debe ir incorporando también educación y tecnología, que cuiden la seguridad de lo que allí existe y en eso ha ido un poco más lento”.
Lo anterior se produce, aseguró el especialista, porque “en general los procesos de transformación digital son mas rápidos que los procesos normativos, legislativos o de educación social”.


Nuestra Visión en Materia de Cyber Security & Human Hacking




Identifique a sus Usuarios de Alto Riesgo

Estos incluyen altos ejecutivos (CEO, Presidentes, Gerentes, Directores, Subgerentes, Jefaturas, Médicos), personal de recursos humanos, administrativos(as), enfermeros(as), TI entre otras. Implemente más controles y seguridad en estas áreas, incluya una revisión de los perfiles sociales y públicos para las tareas y descripciones del trabajo, información jerárquica, detalles fuera de la oficina o cualquier otro dato corporativo sensible, e identifique cualquier dirección de correo electrónico disponible públicamente y listas de conexiones.



Controles de Seguridad

La implementación de herramientas como la autenticación de dos factores, los filtros de correo electrónico (ATP) y la gestión de los niveles de acceso y permiso para todos los empleados son algunas de las formas de garantizar que la organización tenga las defensas más altas posibles contra los “Malos Actores” (ciberdelincuentes).



Establezca una Política de Seguridad (ISO 27001/27002, NIST, HIPPA)

Cada organización debe establecer una política de seguridad. La política debe revisarse constantemente con regularidad para identificar brechas (violaciones de datos) y asegurarse de que los empleados sigan la política.

Debe incluir acciones simples como:

  1. No abrir archivos adjuntos o hacer clic en enlaces de una fuente desconocida.

  2. No usar unidades USB en computadores de oficina.

  3. Política de administración de contraseñas (sin reutilizar contraseñas, sin notas adhesivas en las pantallas como recordatorios de contraseña, etc.)

  4. Requerir capacitación en seguridad para todos los empleados.

  5. Revisar la política sobre acceso WiFi. Incluya a los contratistas y socios como parte de esto si necesitan acceso inalámbrico cuando están en el sitio.



Desarrollar Procedimientos Estándar

Los equipos de TI deben tener procedimientos implementados para garantizar que haya un orden dentro de la organización.

Los procedimientos recomendados de la organización deben incluir:

  1. Hacer que el personal estudie la política de seguridad y la haga cumplir.

  2. Establecer cómo se debe informar al liderazgo ejecutivo sobre las ciberamenazas y su resolución.

  3. Establecer un cronograma para probar el plan de respuesta a incidentes de ciberseguridad.

  4. Registrar tantos dominios de la compañía como sea posible que sean ligeramente diferentes al dominio real de la compañía.



Capacitación para Todos los Usuarios

No importa cuán buenos sean sus pasos de prevención, las violaciones de datos son inevitables. La educación del usuario juega un papel importante en minimizar los peligros del Fraude del CEO. Los mejores programas de capacitación aprovechan la educación del usuario para garantizar que se eviten las amenazas.

La educación continua sobre posibles tácticas de fraude de CEO es lo único que puede equipar a los usuarios para mantenerse a salvo de estos ataques. La capacitación sobre la concientización de seguridad de la nueva escuela puede ayudar a sus empleados a identificar estafas de phishing instintivamente.



Inntesec Security Awareness Services


El eslabón más débil e importante en la cadena de seguridad son las personas, donde, los “errores humanos” son una puerta de entrada para los ataques, esta situación advierte sobre la importancia de avanzar con un cambio cultural al interior de las organizaciones. Buscamos crear conciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una organización es clave en esta transformación para llevarlo a un nivel de Human Firewall. Para lograr este objetivo nos basamos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS).


Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más adecuada, ya que los malos “Actores” (ciberdelincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millonarias. “Está demostrado que la tecnología por sí sola no es suficiente”.

Cabe destacar que el costo promedio de pérdidas económicas que provocaron los malos “Actores” (ciberdelincuentes) a las organizaciones en los últimos años superan los USD 2.500.000 y el costo promedio de una violación de datos es de USD 500.000.


A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprenderán a conocer y gestionar mejor los riesgos de seguridad por concepto de Human Hacking con relación a; social engineering, phishing, spear phishing, spoofing, ransomware, ATP. La capacitación de los empleados es el primer paso para prevenir las brechas de seguridad y establecer una estrategia de concientización en ciberseguridad e ingeniería social.

Implementar un Programa de Concientización de Ciberseguridad es clave, nuestra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola desde un 60% de probabilidad real que sea víctima de un fraude, suplantación de identidad o data breach a menos de un 10% totalmente medible, dicho programa incluye:

  1. Charlas de Concientización sobre Cyber Security para altos ejecutivos y usuarios en general.

  2. e-Learning a través de Newsletter, Videos Educativos y Videos de Entrenamiento Interactivos en materia de Cyber Security, con entrega de certificado para los usuarios que han pasado satisfactoriamente el curso e-Learning.

  3. Simulador de Ataques Ethical Phishing, Vishing, USB Attack, Social Engineering y mucho más.


Nos puedes contactar a ventas@inntesec.com o bien llamando al +569-8921-7125 para coordinar una reunión y programar una prueba de concepto (PoC).


Fuente: Bitglass, Derechos Digitales, Clínicas de Chile, Inntesec

27 visualizaciones0 comentarios

Comments


bottom of page