Mitigación del riesgo cibernético en la atención médica mediante la gestión de proveedores

Preste atención a estas mejores prácticas para mejorar el programa de gestión de riesgo de los proveedores de su organización

Las asociaciones de proveedores tienen suma importancia en el mundo comercial actual, en especial debido a que la pandemia aceleró la transformación digital de muchas organizaciones, y el traspaso a la modalidad de trabajo remoto, la adopción de la nube y de los servicios virtuales, como aquellos que se ofrecen a través de la telesalud, las aplicaciones médicas y otras plataformas de tecnología y comunicación de atención médica continúa expandiéndose. Esta mayor dependencia en terceros también tiene un precio: mayor exposición a riesgos cibernéticos y vulnerabilidades.

Si bien la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de los EE. UU. está ejerciendo su discreción de cumplimiento para no imponer sanciones por incumplimiento con las estipulaciones de la Ley HIPAA y de la Ley HITECH en lo que se refiere a implementaciones de «buena fe» de tecnologías remotas utilizadas para proporcionar telesalud. Eso no quiere decir que dichas reglamentaciones no sean importantes para los datos de los clientes y la reputación de la organización, así como para la aplicación futura por parte de la OCR y el HHS.

Hay una certeza: las filtraciones de datos de atención médica continúan en aumento en 2022. En lo que va del año, los proveedores de atención médica han informado 96 filtraciones de datos que afectaron a 31.6 millones de personas en los últimos 12 meses en comparación con 39 filtraciones de datos que afectaron a 10.3 millones en los 12 meses anteriores. Algunas filtraciones de datos notables de este año involucraron a terceros.

Recientemente, el Distrito Hospitalario del Norte de Broward (Broward Health) le informó a la OCR sobre una filtración de datos que afectó a 1.3 millones de personas. Según la notificación de enero de 2022, un intruso obtuvo acceso al sistema de salud de Broward a través de un tercero. La información sobre pacientes y personal, incluidos nombres, fechas de nacimiento, información financiera, seguro social, registros de tratamiento y diagnóstico, y otra información confidencial, quedó expuesta.

Más recientemente, Shields Healthcare Group, un proveedor de servicios quirúrgicos ambulatorios y de MRI, PET/CT, informó en mayo de 2022, que los datos de los pacientes se habían visto comprometidos, incluidos los de sus 50 instalaciones asociadas (y potencialmente sus socios), lo que dio como resultado que 2 millones de personas quedaran expuestas.

Mitigar el «riesgo de terceros»

La mayor exposición a través de los proveedores se denomina «riesgo de terceros», o la idea de que una filtración de datos que afecta a su organización puede provenir del proveedor de un proveedor o hasta del proveedor del proveedor de un proveedor. Las filtraciones de datos que implican a terceros cuestan hasta $700,000 más en promedio. Sin embargo, los expertos advierten que alrededor de tres cuartos de las organizaciones todavía no les están exigiendo a sus proveedores que implementen prácticas de seguridad de la información adecuadas.

Mejorar su programa de gestión de riesgo de los proveedores

Las organizaciones deberían adoptar un enfoque holístico para preservar la seguridad de la información de la red de su empresa y sus proveedores.

Para comenzar, designe un equipo (que incluya miembros de gestión ejecutiva y profesionales de TI de su organización) tanto para desarrollar un programa que se ocupe de administrar las relaciones con los proveedores y mitigar los riesgos asociados, así como para evaluar los aspectos de medioambiente, responsabilidad social y gobierno (ESG) y considere la posibilidad de contratar a una empresa de asesoramiento de riesgos con experiencia y conocimientos para que le ayude con estas iniciativas y con la identificación de cualquier brecha.

Los consumidores se están volviendo más conscientes socialmente y las regulaciones relacionadas con ESG están en aumento. Aquellas organizaciones que no cumplan podrían quedarse relegadas. ESG no se relaciona solo con el cambio climático y los estándares laborales. También se refiere a las prácticas de la compañía, las relaciones con la comunidad y la satisfacción del cliente, así como la composición del equipo ejecutivo y directivo. La ciberseguridad juega un papel importante dentro del pilar social de los marcos de ESG y de cómo la organización opera y gestiona los datos que se le han confiado. Esto incluye la gestión de riesgos informáticos provocados por la interacción con los proveedores. Por estas y otras razones más, es fundamental que una organización implemente un programa de gestión de proveedores adecuado que incluya la ciberseguridad.

A continuación se mencionan seis mejores prácticas que pueden mejorar el programa de gestión de proveedores y ayudarle a mitigar el riesgo cibernético de terceros.

1. Establecer el interés y la tolerancia al riesgo en toda la organización.

Cada organización tiene su propio enfoque cuando se trata de riesgos. Sin embargo, cada organización necesita determinar su interés y su tolerancia al riesgo que funcione como guía para el programa de gestión de proveedores. Específicamente, el equipo de liderazgo tiene que decidir qué tipos de riesgos y el porcentaje de cada riesgo que su organización está dispuesta a aceptar al realizar negocios.

– El interés sobre el riesgo es el riesgo general o la exposición a pérdidas que la organización está dispuesta a aceptar o soportar para alcanzar sus objetivos comerciales.

– La tolerancia al riesgo es el nivel específico de riesgo que una organización puede aceptar o soportar en relación con un proyecto individual.

Es posible que su organización tenga un interés bajo sobre el riesgo en términos generales pero una tolerancia al riesgo más alta cuando se trata de un área específica, o viceversa.

2. Evaluar el riesgo de socios comerciales y proveedores.

Cada socio comercial o proveedor expone a su organización a un posible riesgo, y ese riesgo aumenta a medida que aumenta su acceso; así que aplique su debida diligencia. Determine cuán fundamental es el proveedor para el éxito de su empresa y cuáles son los posibles riesgos que presentaría no solo a su funcionamiento sino también a su reputación. Durante el proceso de debida diligencia, la organización también debe revisar el impacto ambiental y social del proveedor, ya que eso a su vez puede afectar a la organización.

Solicite al proveedor un informe de controles de sistemas y organizaciones (SOC). Para evaluar los controles relacionados con la ciberseguridad, usted debería solicitar específicamente un informe SOC 2, el cual que puede incluir una evaluación del cumplimiento de la Ley HIPAA. El informe incluirá una opinión del auditor independiente sobre si los controles de ciberseguridad vigentes están diseñados, implementados en el período de tiempo (Tipo 1) y en correcto funcionamiento por un período de tiempo, por ejemplo, un plazo de 6 o 12 meses (Tipo 2). Es importante que todos los proveedores que gestionan datos de sus clientes cuenten con controles para mitigar los riesgos de amenazas y vulnerabilidades relevantes de la empresa.

Un asesor de riesgos calificado puede realizar una evaluación de riesgos integral para ayudarle a identificar las vulnerabilidades relacionadas con los proveedores, calificar el riesgo de cada proveedor con base en factores como el acceso a datos críticos y actividades operativas, y ayudarle con la elaboración de medidas correctivas para remediar los problemas o brechas de control identificados.

3. Establecer una metodología de calificación de riesgos universal.

Un sistema de calificación de riesgos de los socios comerciales o proveedores le ayudará a asignar recursos a las organizaciones de mayor riesgo. Aplicar la misma metodología a varias evaluaciones de riesgo de la organización, incluidas las evaluaciones de riesgos de TI, ciberseguridad y empresariales, agregaría uniformidad y estandarización a la organización y ayudará al equipo de liderazgo a tener un panorama global de todos los riesgos y a identificar las áreas de riesgo que superan la tolerancia al riesgo de la organización.

Por ejemplo, si elige tres niveles (es decir, alto, moderado, bajo), utilícelos en todas las evaluaciones de riesgos. Además, considere usar un marco existente y reconocido para ayudarlo a identificar los riesgos y gestionarlos. Según el tipo de evaluación de riesgos, otro tipo de marco de trabajo puede ser suficiente.

Como parte de este ejercicio, establecerá un sistema de calificación de riesgos consistente e implementará una metodología de gestión de riesgo adecuada en toda la organización.

4. Establecer límites con los proveedores.

Encamine su empresa hacia el éxito estableciendo límites, o un conjunto mínimo de requisitos para la ciberseguridad, con sus proveedores. Lo más básico sería solicitarles a los proveedores que cuenten con sus propios programas de seguridad de la información, pero también una buena idea es dejar en claro los límites entre su proveedor y sus proveedores o clientes.

Un ejemplo reciente de la importancia de los límites con los proveedores es el incumplimiento por parte de Volkswagen Group of America, anunciado el 2021 de junio, que reveló que uno de sus proveedores había expuesto los datos de más de 3.3 millones de sus clientes. Una de las lecciones principales aprendidas hasta ahora de la investigación en curso es que proporcionarles a los proveedores acceso ilimitado a su red puede tener consecuencias devastadoras.

Si bien a veces esta situación es difícil de evitar, hay maneras de proteger a sus clientes mediante el establecimiento de límites en relación con sus proveedores para ayudar a mitigar el riesgo de que sus proveedores comprometan la capacidad de su organización de mantener un entorno seguro:

– Apartar a sus proveedores de la red

– Disponer de un sistema redundante que trabaje en paralelo

– Utilizar un tercero no relacionado para realizar un monitoreo activo de anomalías

– Definir las responsabilidades de los proveedores en la respuesta y recuperación de incidentes antes de entablar una relación con ellos

Los requisitos de privacidad, seguridad y notificación de filtraciones de datos para las organizaciones de atención médica exigen la celebración de un acuerdo de socio comercial con los proveedores que comparten información de salud protegida (PHI).

5. Desarrollar un programa de gestión de proveedores que abarque a toda la empresa.

El programa de gestión de proveedores también debería incluir otros criterios como:

– Un proceso formal de selección de proveedores

– Requisitos de contrato: requisitos de notificación ante la filtración de datos, cláusulas de terminación, confidencialidad, requisitos mínimos de seguridad de la información y requisitos de ciberseguridad, roles y responsabilidades definidos, monitoreo/derecho a realizar auditorías

– Debida diligencia: revisión financiera, planificación de la continuidad de las operaciones/planificación de la recuperación ante catástrofes, procedimientos de respuesta ante incidentes, revisión del cumplimiento de la Ley HIPAA, programa de seguridad de la información, revisión SOC, revisión OFAC, visita en el lugar, revisión del programa de privacidad y desempeño según la calificación de riesgos

– Monitoreo continuo con base en los riesgos

– Procedimientos de terminación de la relación con los proveedores y seguimiento

6. Mantenerse actualizado.

La gestión de proveedores no es solo una tarea para verificar en una lista. Es fundamental que revise y actualice su programa todos los años. Preste especial atención a los cambios importantes como los relacionados con la gestión dentro de su organización o la tecnología nueva que se ha incorporado y que puede requerir que se tomen medidas para confirmar la adecuación a las políticas de riesgo y cumplimiento de la organización.

El riesgo de los proveedores, si no se gestiona correctamente, puede derivar en pérdida financiera, daño a la reputación, pérdida de negocios y multas reglamentarias. Sin embargo, los riesgos cibernéticos y otros riesgos relacionados con terceros pueden mitigarse al desarrollar, implementar y mantener un programa de gestión de riesgos de los proveedores sólido y sensato.

Lea el artículo completo en HIT Consultant.

 


Daniel Rosenberg, CISA, CPA, is a Cybersecurity & Compliance Director at Kaufman Rossin, one of the Top 100 CPA and advisory firms in the U.S.