Cómo proteger a los pacientes y su privacidad en sus aplicaciones SaaS

La industria de la salud está bajo un aluvión constante de ciberataques. Tradicionalmente ha sido una de las industrias más atacadas y las cosas no han cambiado en 2023. La Oficina de Derechos Civiles del gobierno de EE. UU. informó 145 violaciones de datos en los Estados Unidos durante el primer trimestre de este año. Esto sigue a 707 incidentes hace un año, durante los cuales se robaron más de 50 millones de registros.

Los registros médicos suelen incluir nombres, fechas de nacimiento, números de seguro social y direcciones. Este tesoro de datos se utiliza en el robo de identidad, el fraude fiscal y otros delitos. Es el alto valor de los datos lo que hace que las aplicaciones sanitarias sean un objetivo tan prometedor.

La industria de la salud dudaba en adoptar aplicaciones SaaS. Sin embargo, las aplicaciones SaaS conducen a una mejor colaboración entre los profesionales médicos, lo que conduce a mejores resultados para los pacientes. Eso, combinado con la capacidad de SaaS para reducir costos y mejorar el desempeño financiero, ha llevado a la industria a adoptar por completo las soluciones SaaS.

Hoy en día, los centros médicos almacenan registros de pacientes, registros de facturación y otros datos confidenciales que contienen tanto PHI (información de salud protegida) como PII (información de identificación personal) y, en muchos casos, se almacenan en Salesforce, Google Workspace y Microsoft 365.

Asegurar el acceso a los datos médicos

En los Estados Unidos, los datos médicos están protegidos por HIPAA, la Ley de Responsabilidad y Portabilidad del Seguro Médico. Los fallos de seguridad que afectan a más de 500 personas son ampliamente difundidos en los medios de comunicación y van acompañados de importantes multas.

Las aplicaciones SaaS como Salesforce, cuando contienen complementos que cumplen con HIPAA, son lo suficientemente seguras como para evitar que los actores de amenazas ingresen a las aplicaciones y accedan a los datos de los pacientes. Las aplicaciones SaaS siempre se actualizan a la última versión y no tienen los mismos tipos de vulnerabilidades que se encuentran en el software local.

Los desarrolladores de SaaS invierten mucho en ofrecer soluciones de software seguras. Mantienen equipos de profesionales de seguridad que monitorean y actualizan constantemente su software para abordar las amenazas emergentes. Estas aplicaciones se ejecutan en una infraestructura avanzada con sólidas medidas de seguridad física, sistemas redundantes y sistemas de recuperación ante desastres. Cumplen estrictos estándares de la industria, lo que garantiza el más alto nivel de seguridad y cumplimiento de los datos de atención médica.

Seguridad de acceso multicapa

En un informe publicado en agosto de 2022 por la Oficina de Seguridad de la Información y el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) sobre el impacto de la ingeniería social en la atención médica, los investigadores encontraron que el 45% de todos los ataques a la industria de la salud comenzaron con un ataque de phishing. Los empleados fueron manipulados para que entregaran sus credenciales de inicio de sesión, lo que permitió a los actores de amenazas entrar por la puerta principal.

Las aplicaciones SaaS tienen múltiples capas de defensa contra ese tipo de infracciones. Por ejemplo, muchas aplicaciones SaaS requieren MFA durante el inicio de sesión. Sin una contraseña de un solo uso, la mayoría de los actores de amenazas se verán frustrados al intentar acceder con solo un nombre de usuario y contraseña. En segundo lugar, muchas organizaciones requieren SSO para acceder a sus aplicaciones. Esta capa adicional de tejido de identidad crea más complejidad para los actores de amenazas cuando intentan violar la aplicación SaaS. Hay más de 100 controles de seguridad dentro de Salesforce y Microsoft 365 que se combinan para formar un sólido perímetro de defensa.

No hace mucho tiempo, cualquiera que lograra violar una aplicación SaaS tenía carta blanca para hacer cualquier cosa dentro de su conjunto de permisos. Si roba las credenciales de un administrador, toda la aplicación podría tener el control del actor de la amenaza en cuestión de minutos. Ese ya no es el caso.

Las principales herramientas de seguridad SaaS han agregado una capa de detección y respuesta a amenazas de identidad (ITDR) a la ecuación. Esta última línea de defensa garantiza que si los actores de amenazas pudieron acceder a la aplicación, los equipos de seguridad reciban alertas cuando los actores de amenazas ingresen a la aplicación SaaS, incluso si acceden a la aplicación con credenciales válidas.

ITDR reconoce anomalías de comportamiento dentro del usuario individual. Si un actor de amenazas ingresa a una pila de SaaS y actúa de manera sospechosa, ITDR señalará esos comportamientos y alertará al equipo de seguridad, quien puede deshabilitar la cuenta del usuario y realizar una investigación.

La industria de la salud ya está familiarizada con el acceso a los registros médicos basado en roles. Aquellos que no necesitan acceso a los registros de los pacientes no pueden revisar los expedientes médicos. Este enfoque es fundamental para la seguridad de SaaS. Siguiendo el Principio de Mínimo Privilegio (POLP), cada usuario solo puede acceder a los materiales necesarios para su función. Si las credenciales de esos usuarios se ven comprometidas, los actores de amenazas no podrán acceder a los datos de PHI que están buscando.

Automatización de la seguridad de las aplicaciones sanitarias

Una plataforma SaaS Security Posture Management (SSPM), como Adaptive Shield, es la herramienta más importante utilizada para defender las aplicaciones de atención médica. Los SSPM realizan un monitoreo automatizado las 24 horas del día, los 7 días de la semana, de la configuración de seguridad, se mantienen al tanto de la configuración y alertan al personal de seguridad cuando se modifican las configuraciones. Si un usuario reduce por error la postura de seguridad de la aplicación, los SSPM ayudan a garantizar que la configuración incorrecta se solucione rápidamente.

Los SSPM también monitorean aplicaciones de terceros que se conectan a las aplicaciones principales de SaaS. Realiza un seguimiento de sus permisos y activa una alerta cuando los permisos concedidos exceden la política corporativa o los estándares HIPAA. Realiza un seguimiento de los usuarios inactivos, los usuarios externos y los usuarios autorizados, garantizando que ellos, al igual que los médicos que tratan a los pacientes, no dañen la aplicación.

Al implementar un SSPM, las organizaciones de atención médica pueden garantizar que los datos confidenciales de los pacientes almacenados en las aplicaciones estén seguros.

Fuente: adaptive-shield.