Violaciones de datos de proveedores de atención médica: tres pasos para mitigar el riesgo de los socios comerciales

Ante el número cada vez mayor de violaciones de datos de proveedores de atención médica, utilice esta guía para ser más proactivo a la hora de reducir la probabilidad y el impacto de un incidente.

Personal de Mitratech
Personal de Mitratech 18 de julio de 2022 5 minutos de lectura
Decorative image

Professional Finance Company (PFC), una empresa de gestión de cuentas por cobrar, notificó en mayo a los proveedores de atención médica que los datos de 1,9 millones de sus pacientes quedaron expuestos en un ataque de ransomware perpetrado en febrero. Según PFC, la información médica protegida (PHI) y la información de identificación personal (PII) comprometidas en el ataque podrían incluir nombres, información de contacto, saldos de cuentas por cobrar, información de pago de cuentas, fechas de nacimiento, números de la Seguridad Social, información sobre seguros médicos y tratamientos médicos.

Sin embargo, la violación de PFC es solo el tercer incidente de seguridad más grave relacionado con socios comerciales del sector sanitario registrado hasta ahora en 2022, después del incidente de Shields Health Care Group, que afectó a 2 millones de pacientes, y la violación de Eye Care Leaders, que afectó a más de 2,9 millones de pacientes (y sigue aumentando).

Teniendo en cuenta su creciente magnitud e impacto, ¿cómo pueden los profesionales de la seguridad sanitaria y la gestión de riesgos mitigar el impacto de infracciones de terceros como estas?

1. Únase a una comunidad de proveedores de atención médica que comparten información sobre riesgos de socios comerciales.

Las redes de inteligencia compartida son bibliotecas de perfiles de riesgo de proveedores bajo demanda que se pueden «consultar» cuando se necesita evaluar a un socio comercial. Los perfiles de riesgo se basan en contenido estándar del sector y se actualizan automáticamente de forma periódica con información continua sobre ciberseguridad, negocios, finanzas y reputación, que se añade para contextualizar y cubrir las lagunas entre las evaluaciones anuales.

Sin embargo, el valor de una red de inteligencia compartida va más allá del simple aprovechamiento de los perfiles de riesgo ya completados para evaluar el riesgo de un socio comercial. Las redes ofrecen una ventaja añadida: el análisis comunitario, que permite visualizar las tendencias generales de riesgo en un sector utilizando datos de múltiples proveedores de la red.

Por ejemplo, si uno de los principales riesgos entre los proveedores de una red es una política de gestión de contraseñas deficiente, puede centrar sus esfuerzos de gestión de riesgos en la higiene de las contraseñas de los socios comerciales para reducir de forma proactiva la probabilidad de que un pirata informático pueda aprovechar las contraseñas para acceder a los datos gestionados por el socio comercial. A continuación, puede validar los controles de gestión de contraseñas del socio comercial utilizando información integrada de supervisión cibernética continua para determinar si sus contraseñas están a la venta en la Dark Web.

Prevalent gestiona la Red de Proveedores Sanitarios (HVN), la solución exclusiva del Centro de Análisis e Intercambio de Información Sanitaria (H-ISAC) para la evaluación compartida de riesgos de terceros basada en los estándares industriales de seguridad, privacidad de datos y evaluación de riesgos del H-ISAC. Cientos de empresas confían cada día en los miles de perfiles de riesgo de proveedores completados en la HVN para gestionar el riesgo de sus socios comerciales.

2. Desarrollar y probar un plan de respuesta ante incidentes de terceros.

Si un incidente de ciberseguridad afectara a un socio comercial, ¿sería capaz de comprender rápidamente sus implicaciones para su negocio y activar un plan de respuesta ante incidentes? El tiempo es fundamental en la respuesta ante incidentes, por lo que ser más proactivo con un plan de respuesta ante incidentes definido acortará el tiempo necesario para descubrir y mitigar los posibles problemas de los socios comerciales. Un plan programático de respuesta ante incidentes de terceros podría incluir:

  • Un inventario gestionado de forma centralizada de los socios comerciales, incluida su importancia para la organización.
  • Evaluaciones preestablecidas de resiliencia, continuidad y seguridad empresarial para medir el impacto de un incidente.
  • Puntuación y ponderación para ayudar a centrarse en los riesgos más importantes.
  • Recomendaciones integradas para remediar posibles vulnerabilidades.
  • Informe específico para las partes interesadas con el fin de responder a la inevitable solicitud de la junta directiva.

El servicio Prevalent Third-Party Incident Response Service le permite identificar y mitigar rápidamente el impacto de los incidentes de ciberseguridad de los socios comerciales mediante la gestión centralizada de terceros, la automatización de las evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

3. Simplificar los informes de cumplimiento para la inevitable auditoría.

La HIPAA exige que las organizaciones sanitarias se aseguren de que sus socios comerciales y otros terceros cuenten con los controles de seguridad y privacidad necesarios para evitar accesos no deseados que puedan afectar a la confidencialidad, integridad o disponibilidad de la información médica protegida (PHI). Para ello, las empresas deben llevar a cabo evaluaciones exhaustivas de los riesgos de los proveedores antes de la auditoría. Incluso si su organización no sufre ningún incidente de seguridad por parte de terceros, los auditores acabarán evaluando su programa de gestión de riesgos de socios comerciales.

Una solución de gestión de riesgos de terceros puede ayudar a simplificar el proceso de recopilación y análisis de los riesgos de los socios comerciales mediante:

  • Evaluar los riesgos inherentes que los socios comerciales aportan a la relación, lo que ayuda a reducir aún más los esfuerzos de diligencia debida.
  • Ofrecer un cuestionario específico que recopile respuestas a requisitos específicos de la HIPAA.
  • Aumentar y puntuar automáticamente los riesgos a partir de las evaluaciones para priorizarlos según la tolerancia al riesgo de la organización.
  • Incluye recomendaciones de corrección integradas.
  • Creación de informes HIPAA personalizados para auditores y partes interesadas internas que visualizan el porcentaje de cumplimiento y las áreas destacadas que deben mejorarse.

Asegúrese de descargar la lista de verificación de cumplimiento de la HIPAA para obtener un análisis completo de cómo la plataforma de gestión de riesgos de terceros de Prevalent puede ayudar a simplificar las auditorías de la HIPAA.

Los incidentes de seguridad de los socios comerciales son inevitables. Sin embargo, puede ser más proactivo compartiendo información sobre riesgos con sus compañeros, preparando un plan de respuesta ante incidentes y preparándose para la inevitable auditoría. Solicite una demostración hoy mismo para descubrir cómo nuestra solución avalada por H-ISAC puede ayudarle.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.