Un estudio publicado esta semana en el Revista de la Asociación Estadounidense de Informática Médica descubrió que los hospitales con calificaciones bajas de ciberseguridad tenían más probabilidades de sufrir una violación de datos.
La investigación, que también comparó las calificaciones de ciberseguridad de los hospitales con las de las empresas Fortune 1000, encontró que los sistemas de salud siguen siendo estadísticamente más vulnerables a las redes de bots, el spam y el malware.
“Los recientes ataques de piratería y ransomware pueden estar cambiando el panorama de seguridad de los hospitales, con consecuencias potenciales mucho mayores para los hospitales y los pacientes”, escribieron Sung Choi de la Universidad de Florida Central y M. Eric Johnson de la Universidad de Vanderbilt en el estudio.
“Se necesita una evaluación de riesgos continua para mantenerse al día con estas amenazas y probablemente requerirá una mayor inversión en seguridad”, agregaron.
POR QUÉ ES IMPORTANTE
Primero, Choi y Johnson compararon las calificaciones longitudinales de riesgo de ciberseguridad de BitSight de 594 hospitales con las calificaciones de 971 empresas Fortune 1000 en el transcurso de cinco años. (Una divulgación señala que Johnson se desempeñó como asesor en la etapa inicial de BitSight y tiene opciones vigentes para su participación en la empresa de 2012 a 2013).
Descubrieron que, en general, los hospitales tenían calificaciones de seguridad significativamente más bajas que las empresas de Fortune 1000 entre 2014 y 2016, pero la brecha se redujo con el tiempo.
Para 2017 hasta el final del período de estudio en 2019, esa diferencia ya no era estadísticamente significativa.
“La reducción en la brecha en la calificación de seguridad sugiere que los proveedores de atención médica se están poniendo al día con el desempeño general de ciberseguridad de las grandes empresas que cotizan en bolsa”, se lee en el estudio.
Sin embargo, esa puesta al día no ha sido coherente en todos los ámbitos: en lo que respecta a las medidas de vulnerabilidad frente a las redes de bots, el correo no deseado y el malware, los hospitales han mejorado, pero aún están rezagados.
Choi y Johnson también compararon las calificaciones de ciberseguridad de los hospitales que habían experimentado una violación de datos con los que no.
Quizás como era de esperar, los hospitales con calificaciones de seguridad bajas se asociaron con un riesgo significativo de violación de datos.
“Los ejecutivos de los hospitales deben trabajar para reducir los riesgos relacionados con los controles técnicos de seguridad, como el software actualizado y las aplicaciones de seguridad, junto con las vulnerabilidades humanas que pueden abordarse mediante una capacitación mejorada y una cultura de seguridad general”, observaron Choi y Johnson.
LA TENDENCIA MÁS GRANDE
Aunque los hospitales y los sistemas de salud ciertamente no están solos cuando se trata de ser blanco de ataques (los recientes ataques a oleoductos, procesadores de carne y agencias gubernamentales lo dejan claro), el riesgo potencial para la atención del paciente significa que sus incidentes a menudo son noticias importantes.
Recientemente, Scripps Healthcare experimentó un cierre de la red de una semana después de un ataque de ransomware, solo para luego enfrentar una serie de demandas de personas que dicen que el sistema de salud debería haber protegido mejor sus datos.
EN EL REGISTRO
“Los formuladores de políticas deben monitorear el riesgo para el sector de la salud y proporcionar incentivos para que los hospitales inviertan en la gestión de riesgos y la seguridad de la información en general”, dijeron Choi y Johnson en el estudio JAMIA.
Kat Jercich es editora senior de Healthcare IT News.
.: @kjercich
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS Media.