El proveedor de soluciones informáticas y de facturación sanitaria PracticeMax ha anunciado que fue víctima de un ataque de ransomware entre el 17 de abril y el 5 de mayo. PracticeMax es socio comercial de las organizaciones sanitarias Humana y Anthem. Durante la brecha, un actor no autorizado accedió y robó más de 4.000 archivos de pacientes de Humana que contenían información sanitaria protegida (PHI).
Este ataque de ransomware dista mucho de ser el primero dirigido al sector sanitario. De hecho, el año pasado fuimos testigos de cómo Ryuk
extendiéndose activamente por los sistemas hospitalarios. Y los casos de ataques de ransomware relacionados con la sanidad siguen aumentando. La filtración de PracticeMax es sólo el último ejemplo de por qué las organizaciones sanitarias necesitan una mejor prevención para proteger los eslabones más débiles de sus cadenas de suministro: los proveedores externos y los socios comerciales. En este artículo ofrecemos algunos consejos sobre cómo hacerlo.
5 consejos para mejorar la gestión de riesgos de los asociados empresariales
Para obtener visibilidad de los riesgos asociados a las empresas en cada etapa del ciclo de vida del proveedor y estar mejor preparado para un ataque a la cadena de suministro, tenga en cuenta los siguientes consejos:
1. Conozca a sus socios comerciales y los riesgos que plantean
Como primer paso para reducir la superficie de ataque de terceros, realice una evaluación del riesgo inherente de todos los asociados comerciales (BA) antes o durante la incorporación. Una evaluación de riesgos inherentes específica para el ransomware proporcionará información sobre factores como:
- Controles y herramientas de seguridad interna
- Procedimientos de respuesta a incidentes
- Programas de formación sobre seguridad para empleados
A continuación, puede utilizar los resultados, en el contexto del tipo de datos que se manejan, para clasificar a sus socios comerciales y dimensionar correctamente las posteriores actividades de diligencia debida.
Consejo profesional: Para acelerar la incorporación y el proceso inicial de evaluación de riesgos, considere la posibilidad de aprovechar una biblioteca de evaluaciones de riesgos de proveedores completadas. Las evaluaciones de riesgos de estos repositorios deben basarse en un estándar del sector sanitario, como H-ISAC, e incluir actualizaciones dinámicas con los últimos datos sobre riesgos cibernéticos, empresariales, de reputación y financieros.
2. Elaborar perfiles completos de proveedores que incluyan tecnologías de terceros
Es probable que sus perfiles actuales de asociados comerciales incluyan los ingresos anuales, el código del sector, la propiedad, la reputación y otros atributos. Sin embargo, es probable que no ofrezcan visibilidad de los productos y serviciosde terceros utilizados por sus BA. Comprender qué productos y herramientas tienen instalados le ayudará a determinar el riesgo de concentración cuando una tecnología de 4.ª parte haya sido víctima de una filtración de datos (por ejemplo, Kaseya). Busque soluciones de gestión de riesgos de terceros que mapeen automáticamente las relaciones con los proveedores de tecnología de 4ª parte para simplificar el proceso.
3. Realizar evaluaciones de riesgos de los asociados empresariales de forma continua, no sólo durante la renovación de los contratos.
Evaluar a sus proveedores durante la incorporación es un buen comienzo. Sin embargo, si limita las reevaluaciones posteriores a periodos fijos, como las renovaciones de contrato, pasará por alto cualquier riesgo que surja en el ínterin. Hay un par de enfoques para abordar estas lagunas:
- Un enfoque proactivo, en el que las evaluaciones completas se realicen con mayor frecuencia.
- Un enfoque reactivo, en el que las evaluaciones de riesgos se realizan en respuesta a sucesos concretos.
Cada enfoque ofrece ventajas y proporciona información más periódica para ayudarle a estar al tanto de los riesgos de BA. Los enfoques proactivos combinan una evaluación basada en controles y completada por el proveedor con un análisis externo de las amenazas procedentes de Internet y la Web oscura, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. La clave de este enfoque es normalizar y correlacionar los datos de todas las fuentes en un único registro de riesgos para centralizar el contexto, la cuantificación, la gestión y la corrección.
Un enfoque reactivo automatiza la activación, la emisión y el análisis de evaluaciones específicas de eventos (por ejemplo, en respuesta al ataque de SolarWinds) basadas en las relaciones de cuarta parte cubiertas en el Consejo 2 anterior. En cualquiera de los dos casos, obtendrá más información periódica para tomar decisiones más informadas y basadas en el riesgo en relación con su cadena de suministro.
4. Los riesgos pueden persistir cuando finalizan las relaciones con los proveedores.
Aunque el ataque a PracticeMax afectó a un proveedor actual, es importante asegurarse de que se aplica el mismo rigor al proceso de desvinculación que al de incorporación. A medida que vaya cerrando sus relaciones con los BA, debe evaluar si éstos están tomando medidas como la eliminación de la PHI y los activos de sus pacientes de acuerdo con los requisitos normativos y las mejores prácticas del sector. De lo contrario, podría tener que hacer frente a cuantiosas multas (y si no que se lo pregunten a Morgan Stanley). Hemos observado que pocas empresas abordan el riesgo durante la fase de incorporación de sus BA. Busque soluciones que le permitan programar tareas para revisar los contratos con el fin de garantizar que se han cumplido todas las obligaciones y emitir evaluaciones de contratos personalizables para valorar el estado de la incorporación.
5. Automatizar la elaboración de informes para ajustarse eficazmente a la HIPAA y otros requisitos.
La norma de seguridad de la HIPAA exige que las entidades cubiertas suscriban un acuerdo de empresa asociada (Business Associate Agreement, BAA) con cualquier proveedor externo que preste servicios en nombre de la entidad. El acuerdo obliga a los BA a cumplir las mismas normas de la HIPAA que la entidad cubierta, garantizando la seguridad de la PHI de los pacientes. Si tiene que tratar con docenas, cientos o incluso miles de terceros, la tarea de recopilar y analizar manualmente esta información en una hoja de cálculo puede resultar abrumadora. Busque soluciones que no sólo automaticen la recopilación y el análisis de los datos de riesgo de BA, sino que también produzcan informes específicos de HIPAA que muestren el estado de cumplimiento y cualquier punto débil antes de ponerse en contacto con sus auditores externos. Esto acelerará enormemente el proceso de mitigación de riesgos.
Próximos pasos para la gestión de riesgos sanitarios de terceros
Adoptar un enfoque holístico de la seguridad de los asociados comerciales y proteger los datos en cada paso del ciclo de vida de terceros puede ayudarle a mitigar los riesgos y evitar convertirse en la próxima víctima de una filtración de datos por ransomware. Para obtener orientación más específica sobre cómo Prevalent puede ayudarle a cumplir los requisitos de riesgo de asociados comerciales de la norma de seguridad de la HIPAA, descargue la lista de comprobación de cumplimiento de terceros de la HIPAA o póngase en contacto con nosotros hoy mismo para una sesión de estrategia.
Bonificación: Si cree que un socio comercial ha sido víctima de un ataque de ransomware, utilice este cuestionario gratuito para determinar su exposición.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
