Durante los últimos cinco años, las instituciones sanitarias han experimentado una transformación digital. Han pasado de procesos internos manuales para compartir información a flujos de trabajo integrados con registros de salud electrónicos, poniendo los dispositivos médicos y la información en línea y en el ecosistema de TI de la salud. Estos conjuntos de aplicaciones han mejorado todo, desde la comunicación hasta la calidad de la atención y la colaboración entre equipos clínicos.
“Por otro lado, la transformación digital también ha hecho que los departamentos de TI de estas organizaciones sean muy conscientes de las nuevas vulnerabilidades en las que incurren estas soluciones y del efecto ascendente / descendente que las brechas de seguridad pueden tener en la organización”, dice Sumit Sehgal, director de marketing de productos estratégicos en Armis, una organización unificada de visibilidad y seguridad de activos.
Las nuevas vulnerabilidades del ecosistema
Desde monitores de glucosa en sangre hasta dispositivos de imágenes médicas y marcapasos, ya hay 430 millones de dispositivos médicos conectados en todo el mundo , repartidos entre departamentos y casos de uso. Y los dispositivos similares están conectados de diferentes maneras. Por ejemplo, un hospital puede implementar cuatro tipos diferentes de marcapasos para mantener constante el ritmo cardíaco de un paciente, pero según la edad y la composición de los dispositivos, la forma en que se comunican e interactúan con la infraestructura de TI puede ser completamente diferente. Lo mismo puede decirse de todos los escáneres de tomografía computarizada, máquinas de resonancia magnética y sistemas de farmacia en uso.
“Cuando hablamos de dispositivos conectados, no se trata tanto de entender qué es el dispositivo”, dice Sehgal. “Se trata de comprender cómo funciona ese dispositivo en el contexto de ese sistema de salud que brinda atención”.
Estos dispositivos han agregado una capa completamente nueva de complejidad para que los departamentos de TI manejen, desde los niveles de parches hasta las configuraciones de seguridad y las actualizaciones, así como también cómo se comunican a través de los sistemas de atención médica y cómo se conectan a otras redes sensibles.
“Ese es probablemente el mayor conjunto de vulnerabilidades con las que tienen que lidiar las organizaciones de atención médica”, dice Sehgal. “Eso se suma al trabajo que ya realiza para el resto de la infraestructura de TI”.
Por ejemplo, las vulnerabilidades del ecosistema de infraestructura se extienden a los controles ambientales que son críticos para la atención médica, como los sistemas de administración de edificios y todo, desde el suministro de agua potable hasta los sensores de control de presión y los mecanismos de control de ascensores.
“El segundo nivel del proceso de evaluación de la vulnerabilidad viene con la comprensión de que hay más que solo dispositivos médicos con los que lidiar”, dice Sehgal. “Es un gran desafío para las instituciones de atención médica y tienen una experiencia limitada sobre cómo lidiar con él”.
El impacto de las vulnerabilidades del ecosistema sanitario
“No se trata solo del impacto de lo que sucede cuando se explotan estas vulnerabilidades. También está ligado a la capacidad de recuperación de los sistemas de salud y su eficacia para tratar de navegar estas situaciones que dictan el resultado ”, dice Sehgal.
Desde una perspectiva de gestión de riesgos de TI, el impacto más obvio de esta digitalización de la atención médica es el riesgo de filtraciones de datos. Dependiendo de cómo fluya la información dentro y fuera de estos dispositivos, y cómo están integrados en la red del hospital, los riesgos van desde fugas hasta acceso no autorizado a información de salud confidencial y protegida. Un estudio del Ponemon Institute encontró que el 54% de los proveedores de atención médica experimentaron al menos una violación de datos de pacientes en los últimos dos años, mientras que el 41% encontró seis o más . Cada una de estas infracciones puede exponer 10.000 registros de pacientes y costar hasta 2,75 millones de dólares en promedio.
Se considera menos comúnmente el impacto de las fallas de la tecnología digital. Los médicos confían cada vez más en estos sistemas para tomar decisiones sobre el tratamiento y las averías afectan directamente su capacidad para brindar atención. Estas fallas también pueden interrumpir la continuidad de las operaciones, retrasando el proceso de atención y entrega de medicamentos y, a menudo, incurriendo en gastos generales financieros porque los flujos de trabajo alternativos no son tan eficientes. Sehgal señala que, si bien a menudo se habla del impacto en la seguridad del paciente, los efectos reales sobre él son raros porque están protegidos por capas de flujos de trabajo; el verdadero dolor es la necesidad de reajustar los flujos de trabajo, los problemas de costos y las demoras en la atención.
Asegurar la prestación de cuidados
Desde el principio, todas las organizaciones que tienen una conversación sobre la seguridad de los dispositivos médicos deben comprender que esta no es una empresa solo de TI o solo clínica, dice Sehgal. La seguridad requiere un proceso de gobernanza que reúna a los equipos clínicos con la seguridad biomédica, de TI y de la información, para conversar sobre cómo se ve el éxito para su propio sistema de salud.
En segundo lugar, debe reorganizar la capacitación de su equipo de seguridad y asegurarse de que los socios que lo ayudan con la respuesta de seguridad o la estrategia de seguridad tengan la capacidad adecuada.
Pero lo más importante es que debe concentrarse en algo más que dispositivos médicos.
“Los dispositivos médicos son el comienzo, pero eso no es todo lo que afecta a su paciente”, explica Sehgal. “Desde el punto de admisión hasta el punto de alta, su información puede pasar a través de unas 30 aplicaciones y ser tocada por un par de cientos de personas”.
Insta a las organizaciones a considerar enfoques de seguridad como la gestión de vulnerabilidades, incluida la gestión de activos, y el modelado de amenazas para calcular los riesgos en función de las vulnerabilidades y la probabilidad de impacto vinculadas al área clínica y al flujo de pacientes.
“Dados los problemas de dinero, tiempo y prioridades que tienen las organizaciones hoy en día, lo que pueden hacer es tomar los procesos que ya tienen e intentar aplicar un enfoque más en tiempo real para la gestión y el modelado de vulnerabilidades”, explica Sehgal. “Ya sea que se trate de cosas como un sistema de gestión de edificios o un escáner de tomografía computarizada, todo está vinculado a un resultado en relación con la forma en que brindan atención a un paciente”.
Las organizaciones también pueden concentrarse en sus simulacros de mesa, pasando por escenarios teóricos y desarrollando respuestas. Los simulacros de mesa son importantes porque ilustran posibles puntos de estrangulamiento o posibles puntos únicos de falla en un proceso de respuesta. Lo que no hacen es en realidad darte la memoria muscular de lo que se necesita para responder a un escenario en tiempo real.
Por ejemplo, un simulacro de mesa podría sugerir reemplazar un activo comprometido en cuatro minutos, pero eso no tiene en cuenta el mundo real, en el que puede tomar diez minutos solo para encontrar un miembro del personal de TI, y luego hay una caminata adicional de diez minutos para ese individuo para llegar al activo comprometido. Eso acaba de agregar 20 minutos por dispositivo por 400 dispositivos afectados, lo que de repente crea un problema masivo que no se explica.
Las instituciones de salud que están haciendo lo correcto en materia de seguridad están colaborando con el equipo de operaciones de seguridad para desarrollar sus funciones de gestión de emergencias, uniendo la respuesta de seguridad y la continuidad de las operaciones.
“Aprovechar las soluciones en este espacio, como las que ofrece Armis, ayuda a las organizaciones de atención médica a identificar muy rápidamente dónde están sus puntos débiles, y luego pueden tomar esa información y asignarla a cómo brindan la atención”, explica Sehgal.
Establecer prioridades para la gestión de riesgos
Sehgal señala que las soluciones de seguridad son muy buenas para que las personas sepan lo que tienen y lo que está mal, pero no saben automáticamente lo que es importante. ¿Qué especialidades son importantes desde la perspectiva de los ingresos para un sistema de salud? ¿Qué flujo de trabajo de ER es más importante?
“Cada sistema de salud tiene su tolerancia al riesgo con respecto a lo que pueden vivir con y sin en el contexto de cómo brindan atención”, dice Sehgal. “Ese no es un problema de solución de TI. Ese es un problema de proceso que debe abordarse “.
Para ayudar a administrar las prioridades, una organización puede identificar un alcance manejable, aislando y enfocándose en un área específica, una especialidad específica o un proyecto específico. Eso les ayuda a adaptarse a la nueva realidad de asegurar más que solo activos de TI, desde una perspectiva de proceso y también desde una perspectiva de capacitación de la fuerza laboral. A partir de ahí, pueden tener la conversación dentro de los equipos de gestión de riesgos empresariales y clínicos apropiados en el entorno hospitalario, para tener lo que Sehgal llama “una conversación introspectivamente honesta” sobre la capacidad de la organización en términos de lidiar con incidentes.
“Deberían preguntar son los umbrales para el tiempo de inactividad y la pérdida de datos con los que nos enfrentamos como organización y por cuánto tiempo”, dice Sehgal. “Además, ¿con qué socios pueden trabajar para asegurar de tener la ayuda que necesitan las cosas van mal”.
Fuente:
Staff, VB (2021, 24 de noviembre). Las sorprendentes vulnerabilidades de seguridad en el cuidado de la salud que deben reforzarse . VentureBeat. Recuperado 30 de noviembre de 2021, de https://venturebeat.com/2021/11/30/the-surprising-health-care-security-vulnerabilities-that-need-shoring-up/