This website uses cookies. By continuing to browse this website, you accept our use of cookies and our Cookie Policy. Close

Francisco Partners to Acquire Forcepoint from Raytheon Technologies.

Martes, Ago 11, 2020

Cuando la atención de la salud pasa a estar en línea: Cómo mitigar los riesgos de la atención virtual de la salud

Share

Durante los últimos meses, los Centros para el Control de Enfermedades (CDC), la Organización Mundial de la Salud (OMS) y la Asociación Médica Estadounidense (AMA) han abogado por la ampliación del acceso a servicios de telemedicina. Los Centros de Servicios de Medicare y Medicaid (CMS) anunciaron que los programas federales que brindan cobertura de atención de la salud, incluso Medicaid, podrían usarse para pagar visitas digitales. Y algunos estados están flexibilizando la obtención de licencias para tratamientos transfronterizos.

Northwest U.S. Health Provider Story

Todos estos factores han incrementado significativamente la cantidad de servicios de atención de la salud que se prestan de forma virtual y remota. Como resultado, tanto los médicos como los equipos de seguridad de la información responsables de proteger la información médica protegida (PHI) de las poblaciones a las que prestan servicios enfrentan desafíos sin precedentes. 

La adopción masiva por parte de la industria de atención de la salud de nuevas aplicaciones de mensajería y servicios de videoconferencia basados en la nube surgió prácticamente de la noche a la mañana. La telemedicina trae muchos beneficios a los pacientes y proveedores médicos, como ahorros en tiempo y costos, mejor acceso a la atención y un mayor índice de satisfacción de los pacientes, entre otros. 

Pero estos beneficios también traen aparejados riesgos de seguridad. Esto sucede especialmente en las organizaciones de atención de la salud que carecen de las herramientas para monitorear el comportamiento de los usuarios cuando interactúan con aplicaciones en la nube e historias clínicas electrónicas (EMR). Para mitigar estos riesgos, las organizaciones de atención de la salud deben garantizar que los médicos registren y manejen los datos de los pacientes de forma debida, y elegir aplicaciones que admitan la encriptación y otros métodos de protección de la privacidad. 

También deben asegurarse de que los equipos de seguridad establezcan políticas de prevención contra la pérdida de datos (DLP) y procedimientos de monitoreo de la actividad de los usuarios que sean adecuados para el ecosistema de atención de la salud recientemente distribuido de manera digital de hoy en día. Resulta fundamental hacer un seguimiento de los datos regulados y sumamente confidenciales y protegerlos a lo largo de su ciclo de vida: desde el momento en que se crean y cada vez que se accede a ellos, se los modifica o se los comparte. 

Cómo proteger la consulta moderna: Mejores prácticas

Estos nuevos protocolos de atención de la salud generan volúmenes masivos de nuevos tipos de datos, desde la hora en que se hacen las citas a la duración de cada visita, hasta la retención a largo plazo de las notas del registro médico del paciente o las grabaciones de las propias visitas digitales.

Proteger estos datos implica educar a los usuarios sobre los conceptos básicos de la buena higiene de seguridad, lo que incluye alentarlos a seleccionar aplicaciones de videoconferencia y mensajería que ofrezcan una seguridad integral sólida con encriptación de todo el tráfico de las comunicaciones. 

Si bien la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Derechos Humanos (HHS) definió que las penalidades por violar las disposiciones de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) sobre tecnologías de comunicación remotas no se aplicarán durante la crisis, las consecuencias en el mundo real de una fuga de datos siguen existiendo. Además, las futuras auditorías aun así determinarán si los datos recopilados ahora se manejaron y almacenaron de forma segura.  

Con la implementación de una solución de CASB(Cloud Access Security Broker), su equipo de seguridad puede descubrir automáticamente qué aplicaciones en la nube se utilizan para las comunicaciones con los pacientes. Esto incluye a herramientas de videoconferencia que cumplen con la HIPAA, así como aquellas permitidas temporalmente no orientadas para el público.

Para algunas organizaciones, tiene sentido bloquear ciertas aplicaciones, educar a los usuarios sobre alternativas más seguras o limitar ciertas actividades de alto riesgo, como compartir archivos confidenciales con terceros. Una solución de CASB puede implementarse relativamente rápido y es un primer paso sensato en la mitigación de los riesgos de seguridad que surgen de prestar atención de la salud remota a escala.

Cómo proteger datos confidenciales en aplicaciones de telemedicina y productividad

Las aplicaciones de telemedicina especializadas brindan a los pacientes la oportunidad de poder gestionar mejor su salud y entender sus opciones de tratamiento y cuidado. Estas aplicaciones ofrecen a los pacientes acceso en línea directo a parte de sus historias clínicas. Permiten que distintos proveedores en diversos centros compartan información de los pacientes, ofrecen un canal seguro para las comunicaciones entre los pacientes y los equipos de atención, y facilitan el proceso para programar citas. Hace ya tiempo que se usan ampliamente en la industria de atención de la salud pero, dados los eventos recientes, se las ha utilizado mucho más.

Si bien las aplicaciones de telemedicina están diseñadas con la seguridad en mente, los riesgos se multiplican si los usuarios no son concientes de cómo proteger mejor los datos de los pacientes que las utilizan. Con frecuencia ocurren comportamientos riesgosos, como descargar PHI al dispositivo personal de un proveedor médico, porque parecen el método más rápido o conveniente para completar una tarea.  

Para proteger aún más las EMR de las consecuencias de las actividades de usuarios no autorizadas, puede implementar una solución de monitoreo de actividad de los usuarios, como Forcepoint Insider Threat para resguardar los “tesoros” de su base de datos. 

Esto garantizará que lo usuarios no muestren comportamientos de alto riesgo o anómalos (que pueden indicar un abuso deliberado) cuando interactúan con las historias clínicas de los pacientes. Además, esta solución puede integrarse con Forcepoint Data Loss Protection (DLP) para brindarle medidas de contención adicionales como localización (fingerprinting) y bloqueo activo. 

Los desafíos de seguridad que surgieron debido a la ampliación reciente de la atención de la salud para incorporar visitas remotas a proveedores requieren de capas adicionales de protección de datos y gestión de aplicaciones en la nube. Forcepoint puede brindarle estas capacidades de manera asequible y sin generar cargas innecesarias para su equipo.

About the Author

Jason Kemmerer

Jason Kemmerer is a Sales Engineer at Forcepoint located in Pittsburgh, PA specializing in Data Security and Insider Threat.  He graduated with his Bachelors and Master’s degrees from Robert Morris University in Pittsburgh, PA.  Prior to Forcepoint, Jason was responsible for implementing a Data...