Uso compartido de archivos compatible con HIPAA

La industria de la salud es un objetivo valioso para los ciberdelincuentes debido a la información recopilada, que incluye números de seguro social, historiales médicos, información de seguros, direcciones de correo electrónico y más. Los estándares de cumplimiento de HIPAA y HITECH garantizan la privacidad de la información de identificación personal (PII).Compartir archivos Cumplimiento de HIPAA

Los objetivos valiosos incluyen aseguradoras de salud, proveedores de atención médica, varias entidades que son proveedores de servicios y personas aseguradas porque en el mercado negro los precios son más altos para los registros de salud que solo para los números de tarjetas de crédito. Los ataques cibernéticos de la industria de la salud dan como resultado el robo de identidad de los archivos compartidos donde se pueden robar más datos, la información de su seguro puede ser rehén y los principales ataques de fuerza bruta y los ataques de phishing son fáciles de llevar a cabo porque con más información, los ataques pueden parecer más legítimos y más fáciles de ejecutar.

Del mismo modo, cuando se trata de correspondencia de datos médicos, es fácil que personas desprevenidas abran la correspondencia o respondan a una solicitud maliciosa sin saberlo.

La industria de la salud se centra más que nunca en la transformación digital total. La ciberseguridad y la prevención del robo de datos de PII almacenados en sistemas de intercambio de archivos deben estar a la vanguardia de las prioridades comerciales de una empresa operativa y deben planificar en consecuencia como cualquier gran empresa y no llevar a cabo iniciativas como un proveedor de servicios menor.

Para la mayoría de las empresas que brindan beneficios médicos a los empleados, la mayor parte de la interacción es con el corredor real y el proveedor o agregador de seguros, incluidas las principales HMO que tienen sus propias aplicaciones para compartir archivos de información de salud que pueden verse comprometidas fácilmente.

La prevención del robo de datos para cumplir con HIPAA y HITECH debe comenzar con la decisión de qué archivos se conservarán y migrarán a servidores de archivos críticos. Al igual que con cualquier esfuerzo de transformación digital, la primera etapa es decidir qué archivos guardar, cómo categorizar esa información y, finalmente, priorizar todo.

Considere este escenario de paciente típico: a menos que pueda visitar a su médico de cabecera que lo ha tratado desde que era un niño, sabe que su relevancia depende de la última información médica cargada e ingresada en su 'archivo' e incluso entonces hay siempre correcciones necesarias. Es posible que su última visita al médico haya incluido el registro en el departamento y el edificio apropiados al pasar su tarjeta médica, lo que luego le brindó una gran cantidad de información a la persona administrativa que dirige la recepción. Cualquier saldo adeudado al proveedor y cualquier pago de copago se realizó de inmediato antes de esperar para ver al médico. En este punto, está insertando o deslizando una tarjeta de crédito o débito en una terminal de pago e ingresando un número PIN si es necesario y aprobando la transacción. Luego lo trasladan a la sala de examen correspondiente y luego espera nuevamente a que ingrese otra persona, confirma su información en una computadora portátil montada en la pared y luego procede a tomar sus signos vitales e ingresarlos en el cuadro digital abierto frente a ellos. Todos los medicamentos se confirman y se reordenan según sea necesario para surtirlos en la farmacia de su elección y luego espera nuevamente a que el médico real realice el examen para el que hizo la cita.

Su expediente e historial médico e información personal se confirman una vez más y se ingresa más información sobre usted, incluida una dirección de correo electrónico donde se le puede comunicar y contactar. Si tiene un proveedor médico HMO como Kaiser, visite la farmacia en el mismo edificio y pase toda su información personal una vez más.

Además, ha hecho varios puntos de contacto y les ha dado todo menos una pinta de sangre o su primogénito. ¡Pero espera! ¿Qué pasaría si tuviera un hijo en este hospital? Tienen la información de su primer hijo y probablemente su tipo de sangre y luego los resultados de laboratorio de cualquier sangre extraída. Tal vez también le ordenaron una determinada prueba genética para la prevención del cáncer. En este punto, literalmente toda su vida, sus cromosomas, su sangre, sus recetas, todo lo que lo compone a USTED está almacenado en una computadora o computadoras y su única protección o garantía de que todo esto permanecerá privado es qué tan bien esta empresa de atención médica en particular ha puesto una especie de cortafuegos entre tu información crítica y cualquier ciberdelincuente con teclado que se gana la vida en el mercado negro del ransomware, los ataques de fuerza bruta, el phishing y la explotación de cualquier debilidad posible. Una juerga de gastos de números de tarjetas de crédito robados no tiene nada que ver con que un proveedor de atención médica sea víctima de un ciberataque calculado de intercambio de archivos dirigido a información de identificación personal (PII).

Además de decidir qué datos se deben migrar y conservar, el problema se convierte en monitoreo, control y vigilancia constante. La prevención del robo de datos y la planificación de la recuperación ante desastres se convierten en un trabajo de tiempo completo, ya sea empleando personal y/o involucrando recursos y proveedores para estar listos para soluciones que mitiguen cualquier amenaza pendiente conocida o imprevista. Los profesionales de la salud, las aseguradoras, los médicos, las enfermeras y el personal médico están capacitados para ser el epítome de la confianza. Sin embargo, ¿qué le sucede a una institución o marca de atención médica afectada por un ataque importante como lo que sucedió con las compañías de calificación crediticia como Experian? Perderán clientes. En los Estados Unidos, los pacientes son clientes y los clientes tienen opciones de proveedores.

Para los intercambios de atención médica asequibles, un simple pirateo del sitio web de inscripción dejaría a algunos gobiernos estatales en un completo estado de caos y un sistema ya sobrecargado no es demasiado grande para fallar y si la inscripción disminuye, los costos se disparan. Las salas de emergencia se convierten en la principal fuente de atención médica y aun así, no hay garantía de una atención adecuada. En otras palabras, la industria de la salud en este país está lista para un gran ataque y no se trata de si, sino de cuándo.

¿Entonces lo que hay que hacer? En primer lugar, no se asuste y luego debe involucrar a socios confiables para ayudarlo a navegar por el atolladero de la prevención de pérdida de datos, el robo de datos y la protección de datos. Ya existen leyes que rigen la privacidad médica, incluida la conocida HIPAA, que es el estándar de oro para todo lo relacionado con la privacidad del paciente. HIPAA significa Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996. También conocida como Ley HIPAA para abreviar. Es una ley de privacidad de EE. UU. establecida para proteger la información médica, incluidos los registros de los pacientes, y permitir la comunicación confidencial entre pacientes y profesionales médicos. La Ley HIPAA tiene muchos componentes, incluida la portabilidad de la cobertura médica en caso de cambio de estado laboral y para prevenir el fraude y el abuso, y exige un conjunto de estándares universales sobre los que tiene jurisdicción el Departamento de Salud y Servicios Humanos. El componente principal que es más conocido en el negocio de seguridad de datos y las normas y reglamentos de empleo empresarial es el derecho a la información y el historial médico de los pacientes, pase lo que pase.

Cumplir con HIPAA es comprensiblemente el objetivo número uno y ese cumplimiento está regulado, por lo que debe controlarse y monitorearse constantemente y deben implementarse controles y equilibrios y usarse regularmente. No hay tal cosa como ser principalmente Cumple con HIPAA o HITECH. Inmediatamente después de la regulación, los proveedores de servicios adicionales han avanzado para llenar el vacío de seguridad de datos donde la necesidad de la mayoría de las instituciones de atención médica es tratar a los pacientes, no la protección de los archivos compartidos de privacidad de datos. La industria de la salud ya está plagada de obstáculos críticos y ahora está explotando a medida que todos intentan optimizar y volverse totalmente digitales y compartir información fácilmente en múltiples plataformas o esas múltiples plataformas se fusionan en un solo proveedor de almacenamiento. Las nuevas empresas relacionadas con la atención médica están apareciendo en todas partes y son omnipresentes y abundantes dondequiera que se reúnan los inversores de capital de riesgo y las partes interesadas debido a la necesidad urgente de una gran disrupción en el gigante de la industria. Las aplicaciones y las cuentas en línea están reemplazando a las enfermeras asesoras y los recordatorios de citas con tarjetas postales. Varias empresas emergentes de aplicaciones en el sector de la atención de la salud buscan ser el agregador de datos o telas tejidas que se una al ecosistema del historial médico de un paciente y la atención continua a través de varios proveedores y plataformas.

Pero, ¿quién almacena estos archivos de la empresa y evita que estos datos caigan en las manos equivocadas? Varios proveedores de almacenamiento en la nube han dado a conocer sus servicios apuntando a esta industria con campañas publicitarias muy caras. El almacenamiento en la nube y los servidores de archivos compartidos basados en la nube son más populares que nunca, pero solo porque la tecnología se ha simplificado, organizado y centralizado, eso significa que varias industrias deben hacer lo mismo y entregar sus activos digitales críticos para la propiedad y el almacenamiento externo solo porque es más fácil ahora?

Da un paso atrás e imagina el consultorio del médico de días no tan antiguos. Filas y filas y filas de carpetas manila llenas de papel y resultados de pruebas y notas meticulosas apiladas desde el piso hasta el techo y clasificadas por año y ordenadas alfabéticamente por los apellidos de los pacientes. Imagínese si un camión se detuviera y se llevara todos esos archivos y luego se alejara miles de millas y los cargara en un almacén y luego le dijera que no se preocupe, que tienen cerraduras industriales en las puertas y un ambiente climatizado y que no son guardias en servicio 24/7. La única forma en que puede acceder a los archivos es abriendo la pantalla de una computadora y escribiendo algunas palabras o números en un cuadro de búsqueda y esperando que el resultado de búsqueda correcto arroje la mejor información. Ahora imagine que se va la luz, el almacén tiene un incendio desastroso, o ladrones armados irrumpen y se escapan con todas las carpetas manila y las venden al mejor postor que nunca puede ser rastreado, ¿entonces qué?

Los proveedores de servicios de atención médica, las aseguradoras y las instituciones médicas están en el negocio de brindar la mejor atención posible a los clientes que califican según el costo y los servicios prestados. Están en el negocio de hacer que las personas estén bien y prevenir enfermedades y curar a los enfermos y realizar investigaciones para combatir los últimos virus del mundo real. No están en el negocio de mantener, transferir y compartir archivos constantemente en todo el país de la manera más segura posible y tener que preocuparse por los virus informáticos, hasta ahora. No hay excusa para que ningún especialista moderno en PPO, HMO, EPO, POS o práctica privada no tenga un sistema de recuperación de desastres y prevención de robo de archivos compartidos que cumpla con HIPAA y HITECH. Eso incluye a los gobiernos estatales y federales que supervisan y administran los intercambios en virtud de la Ley del Cuidado de Salud a Bajo Precio.

Las principales empresas, incluidas las HMO y las entidades gubernamentales que administran los intercambios de atención médica, necesitan desesperadamente consolidar sistemas y tener una herramienta de seguridad de datos que permita a los usuarios locales acceder y compartir datos de forma remota según sea necesario con acceso seguro garantizado y precauciones de privacidad obligatorias de HIPAA y HITECH. . Si ocurre un desastre y se piratea un proveedor de almacenamiento en la nube, o se violan los datos de alguna manera, estos usuarios deben ser redirigidos a un servidor local y/o servidor de reserva que ha estado respaldando y almacenando datos. Con una herramienta segura encriptada, los usuarios pueden acceder instantáneamente a esos datos mediante un inicio de sesión web seguro, una unidad mapeada de directorio activo local o una aplicación móvil y al instante continuar en el negocio y tener la información de los pacientes lista mientras se mantiene la seguridad. MyWorkDrive.com proporciona esta capa adicional de protección, privacidad y recuperación. Un ejército de personal de TI no tiene que emplearse de manera continua y desplegarse en cada instancia o problema de tiempo de inactividad o pérdida de datos. MyWorkDrive ha sido certificado recientemente como socio de autenticación DUO, Skyhigh Cloud Trust Enterprise Cloud Ready y los estándares de cifrado FIPS del gobierno federal de EE. UU. y ahora ofrece vista cifrada y marca de agua de todos los archivos, lo que evita que los usuarios descarguen, copien o impriman archivos como una capa adicional de prevención del robo de datos. Nunca se almacenan, migran o Procesado por MyWorkDrive: todos los archivos permanecen almacenados en los propios recursos compartidos de archivos seguros de los clientes.

Hay muchas opciones para el almacenamiento en la nube y el intercambio de archivos, incluidos grandes proveedores como AWS y Google Drive y jugadores más pequeños, como Egnyte y Sharecloud. Ninguno de estos proveedores puede garantizar el cumplimiento total absoluto y por su propia naturaleza de estar basados en la nube y depender del almacenamiento compartido en la nube y la gestión de usuarios móviles para proteger los archivos. Si está en el negocio de proveedores de atención médica o en una institución gubernamental que ordena y supervisa la industria de la atención médica, necesita una herramienta de seguridad de datos que hará lo que nadie más puede hacer, incluidos OneDrive, Dropbox y la nube de Azure. Necesita un control total sobre el almacenamiento, el acceso, la propiedad, la privacidad, la gestión y la recuperación de datos. MiTrabajoDrive permite flexibilidad, menor costo de propiedad, agilidad, más productividad y privacidad garantizada para que pueda concentrarse en la competencia central de su práctica. No hay necesidad de comprometerse e ir con una solución de almacenamiento de archivos basada en la nube con MiTrabajoDrive. Si va a optar por una solución basada en la nube, debe analizar detenidamente el mejor plan de acción para la recuperación ante desastres, la seguridad de los archivos, la propiedad y el control. Una vez más, no se trata de si se filtra información personal identificable, sino de cuándo. En el cuidado de la salud, la prevención es el mantra como debe ser. La información médica y la privacidad de los datos de sus pacientes no deberían ser una excepción.

Daniel, fundador de MyWorkDrive.com, ha trabajado en varios roles de gestión de tecnología al servicio de empresas, gobierno y educación en el área de la bahía de San Francisco desde 1992. Daniel está certificado en tecnologías de Microsoft y escribe sobre tecnología de la información, seguridad y estrategia y ha sido galardonado con el premio US Patente #9985930 en Redes de Acceso Remoto