Ciberseguridad para HealthTech en Uruguay

HEALTHTECH Y SU INFORMACIÓN

La información es todo en la sociedad actual, los gobiernos utilizan la información como una ventaja competitiva y hasta estratégica, toda persona utiliza la información para tomar decisiones y los delincuentes también sacan provecho de ella. Pero cuando hablamos de información relacionada con la salud o cualquier aspecto médico de las personas, la situación se vuelve más sensible. Las StartUps dedicadas a los servicios relacionados con la salud poseen una responsabilidad crítica con sus clientes, consumidores, aliados comerciales y hasta regulaciones, en todo caso es importante en Uruguay y en cualquier parte del mundo.

¿Qué puede salir mal?

La información médica de las personas ayuda a profesionales de la salud para poder brindar diagnósticos más precisos, adicionalmente se puede utilizar para crear estadísticas, predecir tendencias, organizar el control de tratamientos y muchos otros beneficios que nos puede brindar. Lamentablemente esta información puede utilizarse para situaciones complicadas y hasta peligrosas si llega a caer en las manos incorrectas.

En Estados Unidos por ejemplo existe HIPAA y hay certificaciones como HITRUST especializadas en la protección de lo que consideran como PHI (Información Médica Personal). Los riesgos asociados con la divulgación de información médica pueden causar daños severos no solo en la reputación de las personas, inclusive puede poner en riesgo sus vidas.

Veamos algunos ejemplos de riesgos asociados:

  • Robo de datos sensibles para extorsión.
  • Mal funcionamiento de dispositivos médicos por causa de ataques cibernéticos.
  • Manipulación de las Apps Móviles disponibles de forma pública en las tiendas de Apple y Google.
  • Abuso de los servicios Web a los que las Apps Móviles se conectan.
  • Acceso no autorizado a información médica en las aplicaciones Web.
  • Pérdida de citas para consulta o para la programación de procedimientos médicos.
  • Manipulación de información utilizada para la prescripción de tratamientos médicos.
  • Brechas de ciberseguridad que afectan la privacidad o datos de personas en Uruguay o en otras regiones.
  • Escándalos en medios de comunicación o demandas por causa de brechas de ciberseguridad.

Las HealthTech poseen muchas características similares a las StartUp, justamente por el componente tecnológico (Tech) y con esto heredan los mismos riesgos de las StartUp incluyendo en algunos casos, aspectos de IoT (Internet de Las Cosas), a esto le sumamos algunos cuidados adicionales como lo mencionamos anteriormente, pero siguen siendo empresas basadas en innovación y que buscan crecimiento acelerado. El punto ideal para una Healthtech es el balance entre lo que busca una StartUp (crecer aceleradamente) y la ciberseguridad que garantice la continuidad de su negocio.
Para lograrlo es crítico tener en cuenta la privacidad y protección de datos.

Continuidad del negocio

No vamos a hablar de planes de continuidad de negocio o de recuperación de desastres (esto requiere de una publicación dedicada para cada tema por separado) pero si es importante mencionar algunos puntos que son de suma importancia para cualquier empresa dedicada a brindar servicios relacionados con la salud.

Cuando se realizan pruebas de seguridad para cumplimiento con HIPAA por ejemplo, se debe utilizar una metodología que es diferente a la utilizada en otros casos, principalmente por el acceso potencial a información médica protegida (PHI) o la información personal identificable (PII).
Pensemos en el siguiente caso:

Si una persona con acceso a una plataforma, de alguna forma (legítima o ilegal) puede ver registros médicos de otras personas, esta exposición de datos (intencional o no intencional) puede ser utilizada para sacar provecho o para perjudicar a alguien más, lo que representa una violación a la privacidad o a la protección de la información custodiada por la plataforma.

Existe una característica de la información personal que es muy importante tener presente al crear una plataforma:

La información personal es propiedad de las personas, esto significa que cualquier aplicación o plataforma que almacene esta información, lo que hace es custodiar la propiedad de las personas y no podría compartir o negociar esta información sin tener la autorización de su propietario.

En una HealthTech se pueden tener los cuidados al crear los productos o servicios pero ¿cómo se garantiza esto a sus usuarios, clientes o aliados comerciales?

Aquí es donde entran las medidas que usted puede tomar para proteger la continuidad de su empresa:

  • Realizar pruebas de penetración también conocidas como "Pentest" o "Hacking ético" que se realicen con una metodología enfocada para el sector de la salud y que se realice por personas capacitadas en HIPAA y protección de datos.
  • Tener políticas, estándares y procedimientos alineados con marcos respetados de la industria como HIPAA, HITRUST, NIST CSF, ISO2700X, etc, para brindar tranquilidad a auditores externos de clientes o socios comerciales.
  • Realizar capacitaciones de concientización de seguridad (Security Awareness) que incluyan cuidados para la protección de información médica o personal.
  • Ejercicios de validación proactiva como las campañas de Equipo Rojo (Red Team) ayudan a simular lo que pasaría ante un ataque real. Es como hacer un simulacro de incendio para saber como reaccionar si llega a pasar.
  • Realizar revisiones periódicas de seguridad puede generar una cantidad importante de tareas por resolver (riesgos) y sin un proceso adecuado de gestión de vulnerabilidades, se podría convertir en una bola de nieve difícil de controlar.
  • Particularmente las HealthTech son empresas ágiles que requieren de soluciones ágiles a los problemas y justamente existen tendencias de automatización como DevSecOps que ayudan a reducir costos por medio de automatización de revisiones de seguridad.
  • Especialmente para los negocios basados en aplicaciones Web y/o Móviles, es importante obtener una certificación para brindar confianza a los usuarios, clientes o socios comerciales.

Los modelos tradicionales de consultoría tienen tendencia a ser caros, lentos y complicados por involucrar procesos gestionados manualmente, Las StartUps deben buscar soluciones más ágiles que les permitan cumplir con todo lo que se requiere de la forma más rápida y sencilla posible, las empresas como WhiteJaguars poseen servicios creados justamente para estos escenarios, desde pruebas de penetración, la gestión automatizada de vulnerabilidades basada en plataformas creadas para DevSecOps, certificación de aplicaciones y programas de capacitación y mucho más.

WhiteJaguars está alineada con HIPAA

Ya muchas StartUps en LATAM y Silicon Valley utilizan los servicios de WhiteJaguars para proteger su futuro, cumplir con regulaciones y crear acuerdos comerciales de forma rápida y sencilla. Nuestro equipo es continuamente capacitado en marcos y regulaciones debido a que nuestros reportes son aprobados como evidencia para HIPAA, PCI-DSS, FISMA, SOC2 y otros.

Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.