El sector sanitario se enfrenta a una amenaza cada vez mayor de ciberataques procedentes de sus relaciones con los proveedores. La rápida adopción de los registros médicos electrónicos para digitalizar la información de los pacientes, la adopción de dispositivos del Internet de las cosas (IoT), como pulseras de actividad y marcapasos, y la dependencia de socios comerciales para funciones críticas agravan aún más el problema. Es probable que las organizaciones sanitarias se enfrenten a más riesgos derivados de los rápidos cambios tecnológicos y en las relaciones comerciales, que no harán más que aumentar.
Varias violaciones de seguridad recientes y muy sonadas ilustran claramente este riesgo, como los incidentes de la American Medical Collection Agency (AMCA) y HCA Healthcare, en los que los controles de seguridad inadecuados entre los socios comerciales provocaron el compromiso de millones de registros de pacientes.
A pesar de la existencia de normativas establecidas como la HIPAA y marcos de gestión de riesgos como el NIST SP 800-66, las organizaciones sanitarias siguen lidiando con infracciones cometidas por terceros, lo que se traduce en multas sustanciales y escrutinio regulatorio. Además, los equipos modernos de seguridad y gestión de riesgos en el sector sanitario se enfrentan a complejos retos de TPRM, como la información aislada de los proveedores y los métodos de evaluación insuficientes.
En esta publicación, abordaremos los ocho pasos que deben seguir las organizaciones sanitarias para identificar, gestionar y reducir los riesgos asociados a los socios comerciales externos. Además, analizaremos los posibles resultados de implementar un enfoque proactivo y basado en procesos para la seguridad sanitaria y la gestión de riesgos de socios externos (TPRM).
Ocho pasos para mejorar la gestión de los riesgos de terceros
Hay una serie de medidas claras que las organizaciones deben tomar para identificar, gestionar y reducir los riesgos asociados a los socios comerciales. Estas medidas ayudarán a su organización a ser más proactiva en su programa de gestión de riesgos asociados a los socios comerciales a lo largo del ciclo de vida del proveedor.
1. Incorporar los requisitos de gestión de riesgos en los contratos con los socios comerciales.
Para mejorar de forma proactiva su programa de gestión de riesgos de terceros (TPRM) en el sector sanitario, automatice el ciclo de vida de los contratos. Esto garantiza el cumplimiento y el seguimiento de cláusulas cruciales de seguridad y privacidad de los datos desde el principio. Al adoptar un enfoque de gestión automatizada del ciclo de vida de los contratos, se garantiza que el contrato del socio comercial describa explícitamente las responsabilidades y las cláusulas de derecho de auditoría. Además, este enfoque facilita el seguimiento y la gestión de los acuerdos de nivel de servicio (SLA), los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) de una manera optimizada. Una consideración importante en este paso es asegurarse de que sus capacidades de gestión del ciclo de vida de los contratos estén totalmente integradas con su plataforma de gestión de riesgos de terceros. De este modo, dispondrá de una gestión fluida de los proveedores, desde la contratación hasta la evaluación de riesgos, y todas las partes internas podrán ver y gestionar los contratos y los riesgos de acuerdo con sus funciones.
2. Desarrollar un inventario centralizado de todos los terceros
Centralice su inventario de proveedores externos y distribuidores para lograr una gestión eficaz de los riesgos asociados a los socios comerciales del sector sanitario, minimizando el riesgo de que las relaciones con proveedores no autorizados afecten a sus operaciones de TI. Realice el inventario de proveedores en un sistema centralizado, en lugar de en hojas de cálculo, de modo que varios equipos internos puedan participar en la gestión de proveedores y el proceso se pueda automatizar en beneficio de todos.
Comience importando proveedores a una solución de gestión de riesgos de terceros mediante una plantilla de hoja de cálculo o una conexión API a su sistema de compras existente. Permita a los equipos de la empresa introducir los datos clave de los proveedores de forma sencilla mediante un formulario de admisión centralizado y personalizable con un flujo de trabajo de aprobación asociado. Esta función fácil de usar es accesible mediante una invitación por correo electrónico y no requiere formación especializada.
Una vez consolidados todos los proveedores de servicios, cree perfiles completos que contengan información demográfica de los socios comerciales, tecnologías de terceros, puntuaciones ESG, información comercial reciente, detalles sobre la reputación, historial de violaciones de datos y rendimiento financiero. Este enfoque centralizado mejora la concienciación sobre los riesgos en toda la empresa y proporciona a los equipos de compras un contexto valioso para tomar decisiones informadas sobre el abastecimiento y la selección. Este enfoque tiene la ventaja añadida de ahorrar costes, ya que la organización ya no tiene que mantener sistemas discretos que proporcionan datos en silos.
3. Crear un mapa de socios comerciales para determinar el riesgo de concentración tecnológica.
Durante el proceso de creación del inventario, identifique las tecnologías de terceros dentro del ecosistema de socios comerciales para descubrir relaciones adicionales que podrían suponer riesgos de concentración para su organización. Este paso es crucial para visualizar las posibles vías de ataque que los adversarios podrían aprovechar para atacar a su empresa, lo que permite mitigar o corregir de forma proactiva las vulnerabilidades. Consíguelo mediante evaluaciones específicas o análisis pasivos.
Por ejemplo, si dispone de un mapa de socios comerciales que utilizan una herramienta de software comprometida, puede priorizar los proveedores para su evaluación, centrándose especialmente en los de primer nivel o los que son críticos para el negocio. Esta priorización garantiza que se evalúe exhaustivamente cualquier posible exposición a malware, con un énfasis estratégico en los proveedores cuyas interrupciones operativas podrían tener un impacto más pronunciado en su organización.
4. Realizar una evaluación detallada de los riesgos inherentes para priorizar a los socios comerciales.
Una vez que los socios comerciales estén centralizados y mapeados, realice evaluaciones de puntuación de riesgo inherente. Los criterios utilizados para calcular el riesgo inherente incluyen:
- Tipo de contenido necesario para validar los controles (por ejemplo, privacidad de los datos, solvencia financiera, etc.).
- Ubicaciones y consideraciones legales o normativas relacionadas (por ejemplo, RGPD, HIPAA, etc.).
- Importancia crítica para el rendimiento y las operaciones empresariales
- Exposición a procesos operativos o de atención al paciente
- Interacción con datos sanitarios protegidos
- Nivel de dependencia de terceros
- Situación financiera y salud
- Reputación
A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas en función de los riesgos que suponen para su negocio.
5. Evaluar los planes de resiliencia y continuidad de los socios comerciales.
Como parte de su proceso habitual de diligencia debida en materia de seguridad y privacidad de datos, evalúe también a sus socios comerciales mediante cuestionarios específicos sobre riesgos de los proveedores que se ajusten a las normas conocidas del sector en materia de seguridad de la cadena de suministro, como NIST 800-161 e ISO 27036. Los resultados de estas evaluaciones le ayudarán a determinar las medidas correctivas necesarias. Opte por soluciones que ofrezcan automatización de los flujos de trabajo, revisión y análisis exhaustivos, apoyo a la gestión de pruebas y recomendaciones de medidas correctivas integradas para abordar de manera eficiente las deficiencias de seguridad.
Durante el proceso de evaluación, exija a los proveedores de software que elaboren una lista de materiales de software (SBOM). Las SBOM no solo detallan los componentes que conforman un software, sino que también pueden explicar los procesos de control de calidad (QA) y evaluación de seguridad utilizados durante el proceso de desarrollo del software. Esto resultará útil durante el proceso de respuesta a incidentes descrito en el paso 7 a continuación.
6. Supervisar continuamente a los socios comerciales para detectar ciberataques.
Gestionar de forma proactiva los riesgos de los socios comerciales significa estar continuamente alerta ante el próximo ataque, y eso requiere que su equipo busque señales de un incidente de seguridad inminente. Las áreas clave que hay que vigilar incluyen foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado de credenciales filtradas, comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades y hackeos/violaciones.
Para agilizar este proceso, considere la posibilidad de adoptar soluciones que consoliden la información sobre todos los riesgos y la presenten a toda la empresa. Este enfoque consolidado facilita la correlación de los datos de supervisión con los resultados de la evaluación y establece un registro de riesgos unificado para cada proveedor. Esta integración mejora la eficiencia de las iniciativas de revisión, notificación y respuesta a los riesgos, al tiempo que reduce los costes al eliminar las licencias de software redundantes.
Además, asegúrese de integrar los datos operativos, reputacionales y financieros de terceros en la supervisión de los socios comerciales. Esta inclusión proporciona contexto a los hallazgos cibernéticos y permite medir el impacto comercial de los incidentes a lo largo del tiempo.
7. Pruebe su plan de respuesta ante incidentes de terceros.
La automatización de la respuesta ante incidentes es clave para reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), lo que puede reducir el impacto de los incidentes de terceros en sus operaciones. Considere la posibilidad de seguir estos pasos para adoptar un modelo de respuesta ante incidentes de terceros más proactivo:
- Aproveche un cuestionario centralizado de gestión de eventos e incidentes para reducir los tiempos de respuesta y simplificar y estandarizar las evaluaciones.
- Realice un seguimiento del progreso de la cumplimentación del cuestionario en tiempo real para reducir el impacto potencial.
- Permitir a los socios comerciales informar de forma proactiva sobre incidentes para añadir contexto y acelerar los tiempos de respuesta.
- Utilice reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
- Proporcione orientación sobre la corrección de problemas a los proveedores, ayudándoles a trabajar para alcanzar un nivel de riesgo aceptable para su organización.
Al centralizar la respuesta a incidentes de terceros en un único proceso de gestión de incidentes empresarial, sus equipos de TI, seguridad, legal, privacidad y cumplimiento normativo pueden trabajar juntos de forma eficaz para mitigar los riesgos.
8. Considere los riesgos de los socios comerciales externos
Los socios comerciales que ya no trabajan con su organización pueden seguir representando riesgos importantes si no se les ha dado de baja correctamente. Sea proactivo y cree procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato.
Los pasos clave a seguir incluyen:
- Programa tareas para revisar los contratos y asegurarte de que se hayan cumplido todas las obligaciones, y usa evaluaciones de contratos personalizables para ver cómo van las cosas.
- Aproveche las encuestas y los flujos de trabajo personalizables para informar sobre el acceso al sistema, la destrucción de datos, la gestión del acceso, el cumplimiento de todas las leyes pertinentes y los pagos finales.
- Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
- Aplicar las medidas correctivas necesarias para proteger a la empresa.
- Visualice y aborde cualquier requisito de cumplimiento restante mediante la asignación automática de los resultados de la evaluación a las normativas o marcos existentes.
Asegúrese de utilizar listas de verificación de salida probadas y comprobadas para garantizar que todas las tareas se aborden de acuerdo con las prioridades de gestión de riesgos de su organización.
Resultados de un programa saludable de gestión de riesgos de terceros asociados comerciales
Ser más proactivo en su programa de gestión de riesgos de socios comerciales reporta varias ventajas.
Reconocimiento más rápido de los síntomas
Al automatizar los procesos de contratación, incorporación, evaluación de riesgos y supervisión de los socios comerciales, su equipo reduce el tiempo que normalmente se requiere para recopilar, analizar y actuar sobre la información de forma manual. Esto significa comprender los riesgos potenciales de los socios comerciales en una fase más temprana de la relación o durante un ciberataque activo, de modo que pueda tomar las medidas adecuadas para mitigar los resultados negativos.
Diagnóstico preciso de las causas subyacentes
Al centralizar la inteligencia cibernética, operativa, reputacional y financiera de terceros, ya sea durante la incorporación o la supervisión continua, su equipo puede correlacionar la inteligencia de múltiples fuentes con los resultados de la evaluación, ver el potencial de más riesgos y actuar sobre los riesgos de alta prioridad. Además, esto simplifica los informes de auditoría.
Camino prescrito hacia el bienestar
Mediante correcciones automatizadas, revisión de pruebas y controles compensatorios, un enfoque más proactivo de la gestión de riesgos de los socios comerciales garantiza que los terceros actúen ante sus riesgos a un nivel aceptable para su organización y que cuenten con prácticas de resiliencia empresarial para responder eficazmente a las interrupciones.
Las organizaciones sanitarias suelen depender de cientos de terceros para prestar servicios de apoyo fundamentales. Las vulnerabilidades de terceros pueden poner en grave peligro la atención al paciente, por lo que es esencial que los hospitales cuenten con un proceso para identificar, analizar y mitigar dichos riesgos.
Próximos pasos para la gestión de riesgos de terceros en el sector sanitario
Recopilar la información adecuada para analizar la postura de seguridad de los socios comerciales de su organización es clave para un programa eficaz de gestión de riesgos de terceros. Para obtener más información sobre cómo Prevalent puede ayudar a su organización sanitaria a diseñar un programa de TPRM que mitigue el riesgo a lo largo del ciclo de vida del proveedor, descargue el informe técnico«8 pasos para el éxito de la gestión de riesgos de terceros en el sector sanitario» o solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
