Profesional médico usando una tableta. Concepto de tecnología médica.

La cruda realidad de la seguridad de los datos de la salud

Las organizaciones de la salud siempre necesitarán almacenar y transferir datos de salud personales, a menudo denominados Información Sanitaria Protegida o Protected Health Information (PHI). Seguirá siendo crucial dar prioridad a la seguridad de los datos para protegerse de los ciberataques y de la pérdida de datos con el fin de mantener a salvo la PHI. De hecho, una encuesta de la American Medical Association reveló que el 92% de los pacientes cree que la privacidad de sus datos sanitarios es un derecho y que debe protegerse. Esto es más fácil de decir que de hacer con datos que tienen que ser portátiles y compartibles en cualquier momento.

Aunque la protección de la PHI pueda parecer trivial, una infracción puede tener consecuencias reales. Por ejemplo, Scripps Health llegó a un acuerdo de 3.5 millones de dólares tras un ataque de ransomware en el 2021.

Sin alarmismos, seamos claros y reconozcamos que el volumen de filtraciones que afectan a entidades sanitarias va en aumento. Los actores con malas intenciones comprenden el valor de comprometer los datos sanitarios, y los ataques de ransomware están creciendo rápidamente, lo que convierte al área de la salud en el mundo en un objetivo estratégico.

Entonces, ¿qué se puede hacer para garantizar la seguridad de los datos?

Entonces, ¿qué se puede hacer para garantizar la seguridad de los datos?

Abordemos estos retos únicos y la necesidad de cumplir con las normativas en constante cambio simplificando las cosas, con el simple requisito de hacer el encriptado de datos una parte clave de la estrategia de seguridad de cualquier organización de la salud.

Al fin y al cabo, lo que se ve se ataca o se protege. Esto es importante tenerlo en cuenta a la hora de plantearse un plan de seguridad de datos.

En Kingston, sabemos que la protección adecuada de los datos de la salud es un asunto serio. Hay varias cosas a tener en cuenta a la hora de implementar la seguridad de encriptación para los datos sanitarios. En primer lugar, es importante comprender el valor del encriptado de datos para el cumplimiento de las regulaciones. La HIPAA y otras normativas internacionales como la GDPR y la CCPA exigen el encriptado de los datos personales. Al utilizar el encriptado, las organizaciones de la salud pueden protegerse de las consecuencias de una filtración de datos y mantener el cumplimiento de estas regulaciones.

Pero incluso el encriptado es complicado, ya que suele haber dos tipos: Encriptado basado en hardware y encriptado basado en software.

Entender la diferencia entre encriptado por software y por hardware tiene implicaciones para la seguridad de los datos de salud de los pacientes. El encriptado por software suele ser más barato de implementar, pero su seguridad depende del sistema huésped. En consecuencia, es mucho más vulnerable a los ataques si las contraseñas o las claves de recuperación se encuentran en la memoria del sistema, en los archivos de paginación y de hibernación. Además, muchos formatos de archivos encriptados pueden ser atacados utilizando herramientas de software que se encuentran en Internet de forma gratuita o a un coste mínimo y que pueden ejecutar ataques de fuerza bruta de contraseñas para romper el proceso de autenticación. Las computadoras actuales pueden intentar adivinar 1,000 millones de contraseñas por segundo o más. Los archivos encriptados por software también pueden ser copiados y atacados en paralelo por una red de computadoras, lo que reduce aún más el tiempo necesario para realizar ataques de fuerza bruta a las contraseñas.

El encriptado por hardware es un ecosistema de seguridad dedicado y completamente contenido en el dispositivo de almacenamiento, ya sea un dispositivo USB o un SSD externo. El encriptado basado en hardware está siempre activo, protegiendo los datos en todo momento, mientras que cualquiera puede eliminar el encriptado por software de una unidad con sólo reformatearla. Para los profesionales de la salud, esto significa que un empleado sin escrúpulos puede desactivar la protección y convertir una unidad encriptada por software en un débil dispositivo de almacenamiento.

En consecuencia, el encriptado por hardware en general es exponencialmente más seguro, ya que no expone las contraseñas ni las claves de encriptado al sistema huésped. Sin embargo, esta seguridad añadida tiene un coste adicional en comparación con las unidades de almacenamiento sin encriptar. Teniendo en cuenta que el coste promedio de una violación de seguridad superó los 4.35* millones de dólares en Estados Unidos en el 2022, el ahorro que supone el encriptado por software puede ser ilusorio cuando existe una opción mejor para los datos móviles: los dispositivos USB y SSD externos encriptados por hardware con cifrado XTS-AES de 256 bits que incorporan protecciones contra ataques de fuerza bruta y BadUSB. Si se pierde una unidad encriptada por hardware, cabe suponer razonablemente que seguirá siendo segura y seguirá protegiendo los datos PHI con su inquebrantable seguridad.

La línea de dispositivos encriptados por hardware Kingston IronKey XTS-AES de 256 bits incluye unidades fáciles de usar que abordan las frustraciones de los usuarios con la seguridad. La compatibilidad con varias contraseñas permite a los usuarios o proveedores recuperar el acceso a los dispositivos en caso de que se olvide una contraseña. Ahora existe una alternativa a las contraseñas complejas que nadie puede recordar, una frase de contraseña de hasta 64 caracteres que puede ser el título de un libro favorito o una canción, una lista de palabras, una frase de una poesía o canción, u otras frases que son fáciles de recordar para los médicos y otros profesionales de la salud, pero casi imposible de adivinar para un atacante durante el ataque limitado de contraseña de fuerza bruta y reintentos de cripto-erase.

Las frases de contraseña están disponibles en las unidades SSD externas Vault Privacy 50, 50C y Vault Privacy 80. Las unidades de teclado como Vault Privacy 80ES y Keypad 200 se basan en PIN y son similares al uso de un teléfono celular para los casos en los que las personas prefieren un PIN. La unidad VP80ES también admite frases de contraseña mediante un teclado alfanumérico fácil de usar en una pantalla táctil.

Imagen de las distintos dispositivos encriptados por hardware IronKey de Kingston. Dispositivos USB y SSD encriptados por hardware

Todas los dispositivos IronKey incorporan una sólida protección contra ataques de fuerza bruta mediante contraseña. Cuando un atacante trata de adivinar las contraseñas, la unidad cuenta los intentos inválidos y bloquea las contraseñas de usuario; cuando se agotan los intentos de contraseña de administrador, la unidad se borra automáticamente y todos los datos se pierden para siempre. El encriptado por software no tiene la capacidad de proteger de forma contundente contra este tipo de ataques.

Las unidades independientes del sistema operativo, como la Vault Privacy 80ES y la Keypad 200, son ideales para proteger los datos transferidos entre máquinas médicas y computadoras, que suelen ser necesario para muchos dispositivos utilizados en los servicios de salud. Por ejemplo, muchas máquinas de laboratorio requieren la transferencia manual de datos por parte de los técnicos al sistema informático del proveedor.

Aydınlık bir ofiste dizüstü bilgisayarlarıyla toplantı yapan beş sağlık çalışanı. Arkada beyaz tahta var. Çalışanlar masanın etrafında. Biri ayakta, diğerleri oturuyor. Biri kameraya gülümsüyor.

Además de los dispositivos con encriptado por hardware, las organizaciones de la salud deberían considerar otras medidas de higiene de datos en materia de ciberseguridad, como la formación de los empleados en las mejores prácticas, la implantación de la autenticación multifactor y la actualización periódica del software y los sistemas. Incluso para los pequeños proveedores de salud, las copias de seguridad periódicas en unidades SSDs externas encriptadas por hardware pueden marcar la diferencia entre ser víctima de ataques de ransomware y poder recuperar los sistemas rápidamente.

Adoptando un enfoque de seguridad por capas e inculcando la protección de datos en los hábitos diarios de los empleados, las organizaciones de la salud pueden proteger eficazmente los datos de los pacientes. Integrar las unidades encriptadas por hardware IronKey de Kingston como parte de la estrategia de seguridad de datos es una forma eficaz de garantizar el cumplimiento de la HIPAA y otras normativas de protección de datos del sector de la salud.

Puede encontrar más productos IronKey de Kingston para satisfacer las necesidades de seguridad de los datos sanitarios o Pregunte a un experto en IronKey de Kingston que pueda ayudarle a mantener a salvo los datos de sus pacientes.

#KingstonIsWithYou #KingstonIronKey

Icono de pregunte a un experto de Kingston en un chipset de placa de circuito

Pregunte a un experto

La planificación de la solución correcta requiere una comprensión de los objetivos de seguridad de su proyecto. Permita que los expertos de Kingston lo orienten.

Pregunte a un experto

Videos Relacionados

Artículos relacionados