El 21 de febrero de 2024, Change Healthcare, el mayor proveedor de pagos sanitarios y gestión del ciclo de ingresos del país, cerró más de 100 servicios en respuesta a un ataque de ransomware de BlackCat/ALPHV. Desde entonces, los proveedores de atención sanitaria, desde las consultas médicas más pequeñas hasta los sistemas hospitalarios más grandes, no han podido cobrar sus ingresos ni, en algunos casos, prestar asistencia a los pacientes. Este ataque de ransomware es nada menos que catastrófico para los proveedores de servicios sanitarios, ya que 1 de cada 3 transacciones relacionadas con pacientes pasa por los sistemas de Change.
Los últimos acontecimientos han llevado a UnitedHealthcare Group, la empresa matriz de Change, a restablecer todas las funciones de reclamaciones antes del 29 de abril de 2024, devolviendo así la normalidad a las operaciones. Hasta entonces, los clientes de Change Healthcare que utilicen los servicios afectados deberán buscar alguna vía alternativa para tramitar las reclamaciones del seguro médico y recibir las autorizaciones previas. También deberán lidiar con la comprensión del impacto de los datos que fueron robados como parte del ataque.
Este ataque de ransomware es una catástrofe no solo para Change Healthcare, sino también para toda su base de clientes. También es una lección objetiva sobre por qué los gestores de riesgos de terceros deben incluir la planificación para catástrofes en sus estrategias de respuesta a incidentes.
Por qué es importante la planificación para catástrofes en la respuesta a incidentes de terceros
Change Healthcare es solo el ejemplo más reciente de un ciberataque cuyas repercusiones van mucho más allá de una sola empresa. La violación de Okta a finales de 2023 provocó el robo de datos del sistema de atención al cliente de Okta. Aún no se ha cuantificado el impacto total de ese incidente en los clientes de Okta. En otro ejemplo, Perry Johnson & Associates, un proveedor de transcripciones sanitarias, sufrió una violación de datos que afectó a casi 13 millones de historiales de pacientes y dio lugar a múltiples demandas colectivas.
Estos y otros ciberataques de terceros hacen que la planificación de la respuesta ante incidentes sea una necesidad para un programa sólido de gestión de riesgos de terceros. Saber qué hacer cuando se produce un ciberataque en uno de sus proveedores, independientemente de su gravedad, puede contribuir en gran medida a garantizar la continuidad del negocio.
Parte de su planificación de respuesta ante incidentes de terceros debería consistir en desarrollar manuales para casos de catástrofes. Afortunadamente, catástrofes como el ataque a Change Healthcare, en el que algunos proveedores de atención médica perdieron más de un millón de dólares al día en ingresos, son poco frecuentes. Eso no significa que pueda ignorar la posibilidad de que un ciberataque masivo derribe a un proveedor crítico.
Como parte de su planificación para catástrofes, también conocida como recuperación ante desastres, es importante conocer la respuesta a algunas preguntas:
- ¿Qué alternativas hay si un proveedor crítico deja de funcionar?
- ¿Con qué rapidez podemos implementar una de estas alternativas?
- ¿Qué herramientas necesitamos para reaccionar rápidamente ante una catástrofe?
- ¿Quién es responsable de decidir cuándo cambiar a una alternativa?
La planificación para catástrofes es esencial no solo para los ciberataques. Un desastre natural puede afectar a una relación comercial con la misma facilidad que un ataque masivo de ransomware. Integrar la planificación para catástrofes en su manual de respuesta a incidentes de terceros significa que probablemente estará más preparado cuando se produzca un evento importante.
Mejores prácticas para la planificación ante catástrofes de terceros
Contar con un plan en caso de que una catástrofe afecte a uno de sus proveedores críticos es una parte fundamental de la respuesta a incidentes de terceros. Al igual que con el desarrollo de un manual de respuesta a incidentes de terceros, la creación y la implementación de un plan eficaz para catástrofes tiene algunos pasos clave:
1. Forme un equipo multifuncional. Una planificación eficaz ante catástrofes requiere un equipo multifuncional dentro de la organización. Este podría ser el mismo equipo responsable de la respuesta ante incidentes o incluir miembros del equipo de niveles superiores, ya que la respuesta ante una catástrofe puede requerir decisiones ejecutivas. Considere la posibilidad de incluir equipos de seguridad informática, gestión de riesgos, asuntos legales y gestión de adquisiciones o de la cadena de suministro.
2. Defina funciones y responsabilidades. Los eventos catastróficos requieren líneas claras de responsabilidad y comunicación. Ya debería contar con un plan de continuidad del negocio y recuperación ante desastres en caso de un ciberataque grave o un evento relacionado con su propia empresa. Las funciones y responsabilidades del equipo multifuncional en ese plan también podrían estar relacionadas con un evento catastrófico en uno de sus proveedores.
3. Cree una lista de soluciones alternativas. Un evento catastrófico en uno de sus proveedores podría obligarle a recurrir a una solución alternativa. Por ejemplo, algunos proveedores de atención médica solicitaron préstamos para pagar a su personal cuando Change Healthcare dejó de funcionar. Disponer de una lista de otras opciones en caso de que uno de sus proveedores o distribuidores críticos deje de operar puede garantizar la continuidad de su negocio. También es necesario para dar una respuesta más eficaz.
4. Realizar simulacros de respuesta ante catástrofes. Una de las cosas más importantes que hay que hacer en la planificación ante catástrofes es realizar simulacros periódicos para el equipo de respuesta. Esto va más allá de un manual de respuesta ante incidentes en el que todos conocen sus funciones. Las catástrofes son tan poco frecuentes que no practicar los pasos para responder a ellas podría suponer una pérdida de tiempo de respuesta muy valioso. Esto es lo que hace la Agencia Federal para el Manejo de Emergencias (FEMA) con sus equipos de respuesta a crisis y lo que hace el Equipo de Intervención en Crisis del Departamento de Policía de Nueva York para prepararse para incidentes en la ciudad de Nueva York. Aunque un evento catastrófico en un proveedor puede no poner en peligro la vida o la integridad física, sigue siendo necesario realizar ejercicios prácticos para que el equipo de respuesta sepa qué hacer.
5. Supervisar continuamente los posibles eventos catastróficos. Las organizaciones no pueden confiar en que los proveedores o distribuidores comprendan qué es o qué no es catastrófico, ni que lo comuniquen con prontitud. Por lo tanto, es esencial supervisar continuamente a los terceros críticos en busca de amenazas nuevas y emergentes. Aunque esto pueda parecer obvio, puede suponer una tarea monumental para las organizaciones con grandes ecosistemas de proveedores. En lugar de intentar mantenerse al día manualmente de las noticias sobre seguridad y las publicaciones de la comunidad, busque proveedores de inteligencia sobre amenazas que puedan automatizar y ampliar el proceso de supervisión por usted.
Próximos pasos para mejorar la continuidad del negocio de terceros
Un plan eficaz de continuidad del negocio de terceros requiere la colaboración entre las partes interesadas internas y externas. Solo trabajando en conjunto con sus proveedores para desarrollar estrategias coherentes, las empresas podrán garantizar que seguirán operativas durante un evento catastrófico.
Los procedimientos de continuidad del negocio incorporan las siguientes actividades:
- Detección de incidentes
- Supervisión de incidentes
- Comunicación interna
- Interacción con los sistemas y/o grupos nacionales y/o regionales pertinentes de asesoramiento sobre riesgos.
- Comunicación con los servicios de emergencia o las fuerzas del orden
- Garantizar los medios de comunicación durante un incidente disruptivo.
- Registro de información relevante y vital sobre el incidente, incluidas las decisiones y medidas relacionadas.
Las organizaciones deben desarrollar procesos relacionados con la continuidad del negocio, así como un plan coherente que seguir en caso de que se produzca un evento catastrófico que afecte a los proveedores.
Cómo ayuda Prevalent
La plataforma de gestión de riesgos de terceros Prevalent desempeña un papel fundamental en ese plan de continuidad del negocio. Gracias a nuestras capacidades de supervisión continua de riesgos, así como de elaboración de perfiles y clasificación, Prevalent garantiza que los equipos de seguridad y adquisiciones puedan visualizar los riesgos, comunicarse con los proveedores afectados y evaluar los riesgos de trabajar con cada tercero.
La solución de supervisión de amenazas de proveedores de Prevalent garantiza que empresas de todos los tamaños puedan realizar un seguimiento preciso de los posibles riesgos a los que se enfrentan sus proveedores críticos. Esto les permite determinar a qué tipo de riesgo se enfrentan, así como comprender las primeras señales de un posible evento catastrófico.
Prevalent también ha desarrollado una plantilla de plan de continuidad del negocio para ayudar a definir las políticas y prácticas que se aplicarán durante un evento catastrófico que afecte a los proveedores. Contar con este plan con antelación es fundamental en un entorno en el que es imposible predecir la próxima catástrofe que podría afectar al ecosistema de proveedores.
Para obtener más información sobre cómo Prevalent puede ayudar a su organización a desarrollar un plan integral de continuidad del negocio para terceros, solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
