Los datos impulsan la atención médica moderna. Los dispositivos portátiles pueden monitorear continuamente a los pacientes que viven en casa, mientras que las tecnologías médicas de punto de atención transmiten datos a las bases de datos. Mientras tanto, los sistemas conectados crean vistas holísticas de las operaciones de atención médica, brindando a los administradores información basada en datos para mejorar la productividad.
Sin embargo, los datos de salud son una espada de doble filo. Por cada beneficio, existe el riesgo de que sistemas ineficientes y poco protegidos conduzcan a resultados negativos para el paciente o la institución.
No quieres que tus desarrolladores de software médico aumenten estos riesgos. Pero, ¿cómo sabes si un proveedor maneja los datos adecuadamente? No tienes los recursos para auditar la infraestructura de IT de cada proveedor, y mucho menos sus prácticas de ciberseguridad. Afortunadamente, las certificaciones auditadas de forma independiente pueden aliviar tus preocupaciones sobre la confiabilidad de un desarrollador.
Principales conclusiones
Los desarrolladores de software de terceros podrían aumentar los riesgos de ciberseguridad, productividad y cumplimiento de tu institución de salud.
Evalúa a los proveedores potenciales por su capacidad para proteger la privacidad, seguridad e integridad de los datos, mientras garantizas la interoperabilidad con tus sistemas de salud y la calidad de sus productos.
Las certificaciones facilitan la evaluación de los posibles desarrolladores al demostrar su conformidad con normas y mejores prácticas.
Riesgos de datos en el software de salud
Gestionar riesgos en tu arquitectura de red ya es lo suficientemente difícil, pero agregar aplicaciones de terceros magnifica tu exposición a riesgos de ciberseguridad, productividad y cumplimiento.
El ataque a principios de 2024 al Change Healthcare de UnitedHealth Group mostró lo amplias que pueden ser las violaciones de terceros. Los actores de amenazas apuntan a los desarrolladores de software para infiltrarse en objetivos más lucrativos como hospitales y laboratorios.
Los ataques a los desarrolladores pueden utilizar técnicas conocidas como phishing. También pueden utilizar técnicas más sutiles como comprometer el código fuente abierto que el desarrollador utiliza en su software. Las prácticas de ciberseguridad de un desarrollador impactan directamente en tus riesgos cibernéticos.
Las prácticas de desarrollo de un proveedor también pueden introducir riesgos operativos. Si el software no intercambia datos de manera confiable con tu infraestructura existente, socavará la calidad de los datos y puede desinformar a los administradores o personal en el punto de atención.
Estos riesgos de ciberseguridad y operativos podrían poner en riesgo a tu institución de violar regulaciones de datos con las consiguientes implicaciones financieras, legales y de reputación.
Criterios de riesgo para elegir desarrolladores de software de salud
Para gestionar tu riesgo de terceros, debes comprender cinco formas en que un desarrollador de software gestiona sus propios riesgos.
Privacidad: Un desarrollador debe entender la importancia que asignas a preservar la privacidad del paciente. Si maneja alguna información de salud protegida (PHI), entonces debe tener sistemas para prevenir el acceso no autorizado. Además, los programadores de los desarrolladores deben entender cómo construir protecciones de privacidad en el software.
Ciberseguridad: La infraestructura de IT de un desarrollador de software debe tener sistemas adecuados de ciberseguridad para prevenir el acceso no autorizado y responder rápidamente a las brechas. Al igual que con la privacidad, el software del desarrollador debe tener controles de seguridad internos e integraciones con tu pila de seguridad existente.
Integridad de los datos: El seguimiento de los cambios protege la integridad de los datos de salud. El software de terceros debe tener características de gestión de cambios que documenten las alteraciones y quién realiza los cambios.
Interoperabilidad: El software de terceros debe integrarse con tus sistemas existentes mediante la adopción de protocolos estándar y convenciones de formato de datos. Esta es la única forma de garantizar la calidad de los datos para que los administradores y médicos puedan tomar decisiones efectivas.
Calidad del software: Finalmente, debes tener confianza en el compromiso de un desarrollador con la calidad a lo largo del ciclo de vida del producto de software. Esto significa saber que tiene prácticas de desarrollo y mantenimiento que garantizan la privacidad, seguridad, integridad e interoperabilidad.