viernes, 4 de enero de 2013

Informe: 94% de los hospitales de Estados Unidos sufrieron violaciones de datos, y el 45% tenía quintillizos

Los proveedores de salud competentes son grandes en cosas sanitarios, utilizados para medir el azúcar en sangre en ayunas para diagnosticar la diabetes, frotando la espalda de la garganta, o eliminar el sarro de los molares sucias.
Proteger los dispositivos electrónicos o registros de salud? No tanto.
Esa es la comida para llevar de un estudio del Instituto Ponemon, que encuestó a 80 organizaciones de la salud en los EE.UU. y encontró que el 75% no asegurar los dispositivos médicos que contienen datos confidenciales de pacientes, mientras que el 94% se han filtrado de datos en los dos últimos años (sobre todo debido a personal negligencia).
Datos infracción que implique la pérdida de datos de los pacientes en los dos últimos años
Oportunamente suficiente, el estudio, el Tercer Estudio de Referencia Anual sobre Privacidad del Paciente y seguridad de datos [PDF] , fue pagado por expertos de identidad, una empresa dedicada a la venta de robo de identidad, servicios de protección.
El estudio también encontró que el 69% de las organizaciones encuestadas no asegura aprobados por la FDA dispositivos médicos, tales como las bombas de insulina o bombas sin hilos del corazón.
El pensamiento es, probablemente, que la seguridad de estos dispositivos simplemente no es el trabajo de atención médica, el informe sugiere:
"Este hallazgo puede reflejar la posibilidad de que ellos creen que es la responsabilidad del vendedor - no el médico -. Para proteger a estos dispositivos"
De hecho, la preocupación por la seguridad de dispositivos médicos recientemente llevó al Gobierno de los EE.UU. Oficina de Contabilidad (GAO), bajo la presión del Congreso, para emitir un informe recomendando que los EE.UU. Food and Drug Administration (FDA) de empezar a pensar acerca de cómo proteger las bombas de insulina y los desfibriladores implantables de siendo vulnerable a los ataques dirigidos.
Mientras tanto, como proveedores de servicios médicos se mueven hacia registros electrónicos y el intercambio de información de salud donde puedan compartir archivos, el estudio revela que los ataques cibernéticos contra las organizaciones de salud están aumentando en frecuencia.
Eso es subrayada por los titulares frecuentes detallando las violaciones de datos en las instalaciones médicas.
Éstos son sólo tres de los titulares de salud incumplimiento que han aparecido desde el 30 de Noviembre de 2012:
  • Alere Home Monitoring en Waltham, Mass., que informó de que más de 100.000 pacientes se vieron afectados por una violación que implica un portátil robado.
  • La infusión de la Universidad de Virginia Medical Center Home Continuum también informó que cerca de 2.000 pacientes fueron afectados por el incumplimiento resulte de un farmacéutico perder una memoria USB.
  • Por su parte, Christus St. John Hospital en Houston dijo a un número no determinado de pacientes que participaron en el programa de San Juan de Medicina del Deporte que sin cifrar una unidad USB que contenga información sensible había desaparecido, según HealthcareInfoSecurity.com.
Obviamente, como en muchas industrias, el error humano está en el corazón de la mayoría de las violaciones de datos, ya sean ordenadores portátiles robados, extraviados memorias USB, o fuera de lugar fill-in-the-blank dispositivos.
Como ocurre con los científicos de cohetes, así también fue con los proveedores de salud: estudio de Ponemon Institute encontró que las tres principales causas de las violaciones de datos de los proveedores de salud, de hecho, la pérdida o robo de dispositivos informáticos, errores de empleados y meteduras de pata de terceros .
El precio de todas estas violaciones está aumentando. Ponemon calcula que el costo promedio de un incumplimiento organización llegará a $ 2,4 millones en el transcurso de dos años, un poco más de $ 2,2 millones en 2011 y $ 2,1 millones en 2010.
 
Ordenador con estetoscopio. Imagen de Shutterstock
El estudio se basa en 324 entrevistas con 80 organizaciones de salud, incluidos los hospitales o clínicas que forman parte de una red de salud (46%), los sistemas integrados de entrega (36%) y los hospitales o clínicas independientes (18%).
Los participantes procedían de diversos departamentos: seguridad, administrativas, privacidad, cumplimiento, las finanzas y la clínica.
Aquí hay más hallazgos del informe:
  • 94% de las organizaciones tenían al menos una violación de los datos en los últimos dos años. El número promedio de cada organización participante tenía cuatro incidentes de violación de datos en los últimos dos años.
  • El impacto económico medio de una fuga de datos en los últimos dos años para que las organizaciones de salud que respondieron fue de $ 2,4 millones. Eso depende casi 400.000 dólares ya que el estudio se llevó a cabo por primera vez en 2010.
  • El número promedio de registros perdidos o robados por violación era 2.769. Los tipos de pérdida o robo de los datos del paciente con mayor frecuencia incluyeron los expedientes médicos y de facturación y los registros de seguros.
  • 52% descubrió la fuga de datos como resultado de una auditoría o evaluación, el 47% descubrió la fuga de datos a través de los empleados.
  • Más de la mitad (54%) de las organizaciones tienen poca o ninguna confianza de que su organización tiene la capacidad de detectar cualquier pérdida de datos del paciente o robo.
  • 81% empleados y personal médico del permiso para utilizar sus propios dispositivos móviles como smartphones o tabletas para conectarse a las redes de su organización o de los sistemas de la empresa. Sin embargo, el 54% de los encuestados dicen que no están seguros de que estos dispositivos móviles son de propiedad privada segura.
  • 91% de los hospitales encuestados están utilizando servicios basados ​​en cloud, y sin embargo el 47% no tienen confianza en la capacidad de mantener los datos seguros en la nube.
  • A pesar de los recientes ataques a dispositivos médicos, el 69% de los encuestados dicen que su organización de TI de seguridad y / o las actividades de protección de datos no incluyen la seguridad de los aprobados por la FDA dispositivos médicos.
Es interesante observar que mientras que el 94% de los encuestados tenían al menos una violación de los datos en los dos años anteriores, el informe que el 45% tenían más de cinco incidentes. Eso es un aumento de sólo el 29% informó que dar a luz quintillizos violación de datos (lo siento! No se ha podido resistir!) En 2010.
¿Qué pasa con eso? Ponemon sugiere que esta apreciación particular, subraya la importancia de la "determinación de la causa del incumplimiento y las medidas que deben tomarse para abordar las áreas potencialmente vulnerables a los incidentes en el futuro."
Me parece justo.
Traducir esto en Inglés, y es probable que llegar a una serie de conclusiones, entre las que la NASA se le ocurrió, después de una serie de violaciones de datos.
A saber: después de que la agencia espacial de EE.UU. sufrió aún otra no cifrada robo de portátiles en noviembre de 2012, se apresuró a exigir encriptación de disco completo en toda la agencia.
General Manchester Police
 
 O tal vez, del mismo modo, estas cadenas de datos sanitarios incumplimiento dará lugar a las reglas que conducen a la aplicación de cifrado de llaves USB.
Esa es una lección que los policía de Manchester aprendido a la fuerza después de una llave USB sin cifrar fue robado de la casa de un oficial - una violación de los datos para que la Oficina del Comisionado de Información del Reino Unido les impuso una multa £ 150.000.
Por desgracia, las competencias sanitarias no pueden ser entregados en un vacío en la actualidad. Ellos no se puede entregar sin preocupación por la seguridad.
Aquí está la esperanza de que nuestros muy inteligentes y muy capaces organizaciones de salud pueden frenar esta epidemia de balones de seguridad.

Fuente: by Lisa Vaas on January 3, 2013 - nakedsecurity.sophos.com