Ante el aumento de incidentes y violaciones de datos en la industria, las organizaciones de salud están respondiendo fortaleciendo sus defensas cibernéticas proactivas para abordar los controles de privacidad y seguridad ya requeridos por HIPAA.
Si bien se ha convertido en práctica estándar para las organizaciones de salud centrarse en identificar y detener amenazas externas a la privacidad y seguridad de los datos, un riesgo a menudo pasado por alto puede estar justo dentro de sus oficinas: empleados curiosos y amenazas internas maliciosas.
A pesar de la capacitación efectiva y rutinaria de los empleados que aborda métodos comunes de ataque como la ingeniería social y el phishing, los datos de salud siguen siendo vulnerables. De hecho, casi el 70% de las violaciones de datos involucran un elemento humano. Este riesgo, además del riesgo regulatorio, es por qué es tan importante mantener un ojo cercano en la actividad de los usuarios en toda su organización, y en su cadena de suministro, siempre que sea posible, para cualquier persona que acceda a datos sobre pacientes, así como otros datos protegidos.
¿Qué es el monitoreo de la actividad del usuario (UAM)?
El Instituto Nacional de Normas y Tecnología (NIST) define el monitoreo de la actividad del usuario (UAM) como la capacidad de “observar y registrar las acciones y actividades de un individuo, en cualquier momento, en cualquier dispositivo”. Continúa diciendo que UAM puede “detectar amenazas internas y apoyar investigaciones autorizadas”.
Tipos de UAM
El monitoreo de la actividad del usuario puede ayudar a las organizaciones de salud a rastrear e identificar de manera protectora accesos sospechosos o no autorizados a datos protegidos como ePHI dentro de los sistemas de registros de salud electrónicos (EHR).
Los controles de UAM reconocidos por la industria también ayudan a garantizar el cumplimiento de los estándares de HIPAA para proteger la confidencialidad, integridad y disponibilidad de los datos de salud.
Hay muchos tipos de monitoreo de la actividad del usuario, por ejemplo:
Registros de acceso y monitoreo
Transferencias de datos y archivos, descargas o exportaciones
Autenticación de usuario (autenticación multifactor y otros controles para proteger credenciales)
Acceso basado en roles
Alertas en tiempo real
Acceso de privilegio mínimo (el usuario solo accede a lo necesario según el rol)
Registro de pulsaciones de teclas
Seguimiento de internet
Protección de endpoint y seguimiento de exportación de datos
Auditoría de acceso rutinario
Análisis conductual
¿Por qué las organizaciones de salud necesitan UAM?
Las organizaciones de salud pueden utilizar UAM para detectar de manera proactiva amenazas internas y actividades maliciosas de usuarios y para guiar no solo la planificación y actividades de respuesta a incidentes, sino también el proceso de análisis de riesgos empresariales. Esto es especialmente importante porque la industria de la salud enfrenta ciberataques implacables y cada vez más sofisticados, que pueden incluir ingeniería social para obtener credenciales de miembros de la fuerza laboral con acceso válido a datos, así como verdaderas amenazas internas.
Los actores de amenazas apuntan a la salud porque las entidades cubiertas y sus asociados comerciales manejan grandes cantidades de datos sensibles e identificables. Y estos actores no solo buscan información de salud. Una violación exitosa puede resultar en la extracción de otra información valiosa de identificación personal (PII) que se encuentra en los registros médicos, como números de seguro social, números de tarjetas de crédito, cuentas bancarias, fechas de nacimiento, direcciones y más.
Por lo tanto, no es sorprendente que la salud tenga el costo promedio de violación de datos más alto, alcanzando casi $10 millones en 2023, superando el Informe sobre el Costo de una Violación de Datos de IBM durante más de una década.
Los actores malintencionados trabajan las 24 horas del día para explotar vulnerabilidades y debilidades de seguridad, sabiendo que tienen la capacidad de robar o secuestrar datos, impactar negativamente en la atención al paciente y la prestación de servicios, y, peor aún, incluso causar daño directo, incluida la pérdida de vidas.
Los controles de UAM, especialmente cuando se implementan para monitorear el acceso dentro del EHR, pueden ayudar a las organizaciones de salud a mitigar parte de este riesgo, así como los gastos relacionados con la respuesta y la reputación, mientras también garantizan el cumplimiento de HIPAA y otros estándares, como el Marco de Ciberseguridad de NIST. Algunos otros beneficios de implementar UAM incluyen:
Detección proactiva de amenazas
Monitoreo y alertas en tiempo real
Respuesta a incidentes más rápida y efectiva
Disminución del tiempo de inactividad y aumento de la resiliencia operativa
Disminución de costos de cumplimiento
Mejora de la confianza del paciente en la prestación de servicios
Mejora de la marca y la reputación (tomamos la privacidad y la seguridad en serio)
Oportunidad para superar a los competidores que no utilizan controles de UAM
…
Análisis de riesgos y UAM
HIPAA requiere que las entidades cubiertas y los asociados comerciales implementen controles razonables y apropiados para proteger la confidencialidad, integridad y disponibilidad de los datos del paciente, incluida la realización de análisis de riesgos compatibles con HIPAA.
…
Ir más allá del análisis de riesgos
…
El monitoreo de la actividad del usuario es vital para la estrategia de ciberseguridad y privacidad de datos de cada organización de salud. Estos controles pueden desempeñar un papel importante en la protección de su negocio contra amenazas internas y posibles violaciones de datos, al tiempo que garantizan el cumplimiento continuo de HIPAA.
…