COVID-19
Regístrese
Nursing
Buscar en
Nursing
Toda la web
Inicio Nursing Concienciación en materia de ciberseguridad: protección de datos y de paciente...
Información de la revista
Vol. 35. Núm. 1.
Páginas 62-64 (Enero - Febrero 2018)
Exportar referencia
Compartir
Compartir
Imprimir
Descargar PDF
Más opciones de artículo
Estadísticas
Vol. 35. Núm. 1.
Páginas 62-64 (Enero - Febrero 2018)
NOTAS TÉCNICAS
DOI: 10.1016/j.nursi.2018.02.017
Acceso a texto completo
Concienciación en materia de ciberseguridad: protección de datos y de pacientes
Visitas
3906
Descargar PDF
Lee Kim1
Este artículo ha recibido
3906 Visitas
Información del artículo
Texto completo
Bibliografía
Descargar PDF
Estadísticas
Figuras (1)
Texto completo

EN EL MUNDO ACTUAL cada vez más “conectado”, donde gran parte de la información sobre el paciente que manejamos está en formato electrónico, no podemos mantener la privacidad del paciente sin contar con la seguridad de la información. La información del paciente debe estar protegida en todas las fases del tiempo de vida de la información, es decir, cuando se crea, se recibe, se transmite, se mantiene y se destruye información. La Norma de Seguridad de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA, Health Insurance Portability and Accountability Act) exige la protección de la información sanitaria electrónica con medidas de protección físicas, técnicas y administrativas1. También exige que las entidades cubiertas y los socios comerciales generen concienciación e implementen formación en ciberseguridad para todos los miembros del personal, incluida la dirección1. Además, la Norma de Privacidad HIPAA regula la autorización o permiso de uso, y las divulgaciones de información sanitaria protegida, independientemente del medio que se haya utilizado para crearla2.

La protección de la información no es solo una función del departamento de tecnologías de la información, sino que es responsabilidad compartida de todos los que trabajan en una organización. Esta responsabilidad se extiende a los usuarios finales, como enfermeras, médicos, personal auxiliar, técnicos y otros miembros del personal, incluidos becarios, voluntarios, asesores, contratistas e investigadores. Las medidas de protección tecnológicas por sí solas no pueden lograr que una organización sea segura; sin embargo, unos empleados bien informados pueden conseguir reducir los riesgos3. Este artículo analiza lo que las enfermeras deben hacer para fomentar la ciberseguridad y mantener la confidencialidad del paciente.

Aprenda los términos fundamentales

Ciberhigiene: el proceso de garantizar que uno está protegiendo y manteniendo los sistemas y dispositivos de manera apropiada y utilizando las mejores prácticas de ciberseguridad10

Concienciación en materia de ciberseguridad: enfoque que permita una comprensión amplia de la seguridad de la información de toda la organización y motive a los empleados a practicar una buena ciberhigiene para lograr proteger la información valiosa y confidencial9

Incumplimiento: uso o divulgación no permitida de información médica protegida que compromete la seguridad o confidencialidad de la información14

Ingeniería social: método utilizado para convencer a alguien de hacer algo o divulgar información (p. ej., hacer clic en un enlace malicioso, visitar un sitio web malicioso o divulgar información del paciente u otra información sensible) que a menudo implica engaño, influencia o manipulación12

Ransomware: tipo de software malicioso (malware) que utiliza el cifrado para denegar a los usuarios autorizados el acceso a sistemas o datos; se exige un rescate para acceder13

Suplantación de identidad ophising: un correo electrónico o sitio web fraudulento que se utiliza para solicitar información personal o confidencial bajo falsos pretextos11

Proteger la información

Todos los días, cada uno de nosotros toma decisiones que influyen de manera importante en la seguridad o falta de seguridad de los datos de nuestra organización; por ejemplo, hacer clic en un enlace malicioso de un sitio web de “suplantación de identidad o phising”, abrir un archivo adjunto de un correo electrónico malicioso, divulgar información confidencial a un “ingeniero social” o permitir el acceso de personal no autorizado a áreas restringidas puede tener consecuencias negativas graves. Cualquier filtración de información sobre el paciente puede implicar un riesgo para la seguridad de aquel4.

Las personas acostumbran a ser el eslabón más débil en el programa de seguridad de la información de una organización y esto es especialmente cierto si los empleados desconocen los riesgos que ello puede presentar. Las infracciones pueden producirse con mucha rapidez debido a las rápidas velocidades de la red y al fácil acceso a los datos, incluso a través de dispositivos móviles o aplicaciones de internet en la nube.

En consecuencia, a los empleados se les debe formar regularmente sobre lo que es una buena “ciberhigiene”, es decir, qué hacer, qué no hacer y por qué, participando en simulacros de ejercicios que recrean la suplantación de identidad y la ingeniería social. Además de recrear ataques cibernéticos, estos ejercicios pueden ayudar a determinar la efectividad del programa actual de concienciación y formación en ciberseguridad e identificar a los empleados que pueden necesitar más formación.

Entre los puntos clave pueden citarse educar a los demás sobre la conciencia de ciberseguridad para evitar la pérdida de datos; pensar antes de comunicarse o revelar información por correo electrónico, redes sociales u otros medios, y evitar compartir sus nombres de usuario y contraseñas con cualquier persona o dejar que otra persona utilice su ordenador una vez que se ha iniciado sesión.

Otra parte integral del programa de concienciación y formación en ciberseguridad es el concepto de “ver algo, decir algo”. Si un empleado recibe un correo electrónico, una llamada telefónica o un mensaje de texto sospechoso, o un ordenador muestra un comportamiento extraño, como parada o fallo del sistema, la presencia de correos electrónicos enviados que no recuerda haber enviado o la existencia de programas instalados que no recuerda haber instalado, asegúrese de notificarlo al departamento de tecnologías de la información de su organización de inmediato. Retrasar el informe de un incidente puede ocasionar daños, como violación, corrupción o cifrado de datos, y la exigencia de un rescate (lo que se conoce como ransomware).

Los programas de concienciación sobre ciberseguridad deben llevarse a cabo cuando el personal se incorpora a la empresa y, al menos, una vez al año. Además, los empleados pueden recibir recordatorios y sugerencias más frecuentes a través de protectores de pantalla, boletines electrónicos, mensajes de intranet y otros medios. Cuando se produzcan incidentes de seguridad, los programas de concienciación y formación, así como el programa de seguridad de la información en su totalidad, deberán ser reevaluados para identificar cualquier violación. Si se detectan violaciones, se debe desarrollar un plan para abordarlas tanto a corto como a largo plazo.

De manera ideal, el programa de formación y concienciación sobre ciberseguridad debería ofrecer una perspectiva híbrida tanto desde el punto de vista clínico como de las tecnologías de la información, incluidas las lecciones aprendidas de incidentes de seguridad recientes y pasados. También debería ser fácil de comprender e implementar, independientemente de los niveles de sofisticación técnica de los miembros del personal. Tanto si una organización inicia un nuevo programa de concienciación y formación sobre ciberseguridad, implementando un programa existente o renovando un programa, la Healthcare Information and Mangement Systems Society (HIMSS) ofrece materiales que pueden incorporarse5. Véase el cuadro Infografía del HIMSS para el día de la privacidad de los datos a modo de ejemplo.

Además de las herramientas de concienciación de la HIMSS, la National Cyber Security Alliance (NCSA) ofrece recursos gratuitos en línea para quienes deseen saber más sobre cómo mantenerse seguros en línea6. La NCSA también ofrece plantillas y otros materiales para conseguir que las organizaciones refuercen su conciencia sobre ciberseguridad y programas de formación con iniciativas como STOP.THINK.CONNECT (DETENER.PENSAR.CONECTAR.), el mes nacional de concienciación sobre ciberseguridad, el día de la privacidad de los datos y RE: Cyber6.

No es necesario que espere al próximo programa de formación y concienciación sobre ciberseguridad de su organización para implementar buenas prácticas de ciberhigiene. No importa dónde se encuentre, su ordenador y sus dispositivos móviles siempre deben estar protegidos físicamente7. Nunca deje los ordenadores portátiles, tabletas, teléfonos inteligentes o dispositivos móviles sin supervisión y no se conecte a redes inalámbricas públicas poco seguras7. Utilice siempre contraseñas complejas que sean difíciles de adivinar para otros, pero que le resulten fáciles de recordar; modifique regularmente sus contraseñas, y utilice una contraseña diferente para cada cuenta8.

Ser el guardián

En el “mundo cibernético” de hoy día, el uso seguro y responsable de la tecnología ayuda a proteger la información del paciente. Las enfermeras pueden lograr este objetivo si se forman sobre concienciación respecto a la ciberseguridad y buena ciberhigiene. Al trabajar con otras personas involucradas en la atención al paciente, las enfermeras pueden reforzar las organizaciones sanitarias donde desarrollan su trabajo y lograr que se vuelvan más resistentes a los ciberataques y las filtraciones siguiendo estos pasos de manera proactiva. ■
BIBLIOGRAFÍA
[1]
U.S. Department of Health and Human Services. HIPAA security rule. https://www.hhs.gov/hipaa/for-professionals/security/index.html.
[2]
U.S. Department of Health and Human Services. HIPAA privacy rule. https://www.hhs.gov/hipaa/for-professionals/privacy/index.html.
[3]
Healthcare Information and Management Systems Society. HIMSS cybersecurity position statement. www.himss.org/sites/himssorg/files/Tab%2001%20Cybersecurity%20Position%20Statement%20UPDATED.pdf.
[4]
Independent Security Evaluators. Hacking hospitals. www.securityevaluators.com/hospitalhack.
[5]
Healthcare Information and Management Systems Society. Privacy and security awareness initiatives. www.himss.org/library/healthcareprivacy-security/initiatives.
[6]
National Cyber Security Alliance. Get involved. https://staysafeonline.org/get-involved.
[7]
Healthcare Information and Management Systems Society. The healthcare industry's guide to keeping information safe and secure when you are mobile. www.himss.org/ncsam/keeping-information-safeand-secure-when-mobile.
[8]
Healthcare Information and Management Systems Society. 2016 Healthcare organization's guide to keeping passwords safe and secure. www.himss.org/library/healthcare-privacy-security/passwords-secure-safe.
[9]
(ISC)2 blog. The true meaning of “security awareness training.” http://blog.isc2.org/isc2_blog/2010/12/the-true-meaning-of-securityawareness-training.html.
[10]
Center for Internet Security. Cyber hygiene. www.cisecurity.org/cyber-pledge.
[11]
U.S. Computer Emergency Readiness Team. Report phishing sites. https://www.us-cert.gov/report-phishing.
[12]
FBI.gov. Social engineering. https://www.fbi.gov/audio-repository/ftw-podcast-socialengineering-101416.mp3/view.
[13]
FBI.gov. Incidents of ransomware on the rise. https://www.fbi.gov/news/stories/incidents-ofransomware-on-the-rise.
[14]
U.S. Department of Health and Human Services. Breach notification rule. https://www.hhs.gov/hipaa/for-professionals/breachnotification.
1

Lee Kim es directora de privacidad y seguridad de HIMSS North America.

La autora declara no tener ningún conflicto de intereses económico relacionado con este artículo.

Suscríbase a la newsletter

Contenido especial sobre COVID-19
Opciones de artículo
Herramientas
es en pt

¿Es usted profesional sanitario apto para prescribir o dispensar medicamentos?

Are you a health professional able to prescribe or dispense drugs?

Você é um profissional de saúde habilitado a prescrever ou dispensar medicamentos