El proveedor de soluciones informáticas y de facturación sanitaria PracticeMax anunció que había sido víctima de un ataque de ransomware entre el 17 de abril y el 5 de mayo. PracticeMax es socio comercial de las organizaciones sanitarias Humana y Anthem. Durante la violación de seguridad, un agente no autorizado accedió y robó más de 4000 archivos de pacientes de Humana que contenían información sanitaria protegida (PHI).
Este ataque de ransomware no es ni mucho menos el primero que tiene como objetivo el sector sanitario. De hecho, el año pasado fuimos testigos de cómo el ransomware Ryuk
se propagaba activamente por los sistemas hospitalarios. Y los casos de ataques de ransomware relacionados con la sanidad siguen aumentando. La brecha de seguridad de PracticeMax es solo el último ejemplo de por qué las organizaciones sanitarias necesitan una mejor prevención para proteger los eslabones más débiles de sus cadenas de suministro: los proveedores externos y los socios comerciales. En este artículo ofrecemos algunos consejos sobre cómo hacerlo.
5 consejos para mejorar la gestión de riesgos de los socios comerciales
Para obtener visibilidad sobre los riesgos de los socios comerciales en cada etapa del ciclo de vida del proveedor y estar mejor preparado para un ataque a la cadena de suministro, tenga en cuenta los siguientes consejos:
1. Conozca a sus socios comerciales y los riesgos que representan.
Como primer paso para reducir la superficie de ataque de terceros, realice una evaluación de riesgos inherentes a todos los socios comerciales (BA) antes o durante su incorporación. Una evaluación de riesgos inherentes específica para el ransomware proporcionará información sobre factores como:
- Controles y herramientas de seguridad interna
- Procedimientos de respuesta ante incidentes
- Programas de formación en materia de seguridad para empleados
A continuación, puede utilizar los resultados, en el contexto del tipo de datos que se están manejando, para clasificar a sus socios comerciales y dimensionar adecuadamente las actividades de diligencia debida posteriores.
Consejo profesional: para acelerar el proceso de incorporación y evaluación inicial de riesgos, considere la posibilidad de aprovechar una biblioteca de evaluaciones de riesgos de proveedores ya completadas. Las evaluaciones de riesgos de estos repositorios deben basarse en un estándar del sector sanitario, como H-ISAC, e incluir actualizaciones dinámicas con la información más reciente sobre riesgos cibernéticos, empresariales, reputacionales y financieros.
2. Crear perfiles completos de proveedores que incluyan tecnologías de terceros.
Es probable que los perfiles actuales de sus socios comerciales incluyan información sobre ingresos anuales, código industrial, propiedad, reputación y otros atributos. Sin embargo, es probable que no proporcionen visibilidad sobre los productos y servicios deterceros utilizados por sus socios comerciales. Comprender qué productos y herramientas utilizan le ayudará a determinar el riesgo de concentración cuando una tecnología de terceros haya sido víctima de una violación de datos (por ejemplo, Kaseya). Busque soluciones de gestión de riesgos de terceros que asignen automáticamente las relaciones con los proveedores de tecnología de terceros para simplificar el proceso.
3. Realizar evaluaciones de riesgo de los socios comerciales de forma continua, no solo durante la renovación del contrato.
Evaluar a sus proveedores durante la incorporación es un buen comienzo. Sin embargo, si limita las reevaluaciones posteriores a períodos fijos, como las renovaciones de contratos, pasará por alto cualquier riesgo que surja en el intervalo. Hay un par de enfoques para abordar estas deficiencias:
- Un enfoque proactivo, en el que se realizan evaluaciones completas con mayor frecuencia.
- Un enfoque reactivo, en el que las evaluaciones de riesgos se llevan a cabo en respuesta a acontecimientos específicos.
Cada enfoque ofrece ventajas y proporciona información más regular para ayudarle a controlar los riesgos de BA. Los enfoques proactivos combinan una evaluación basada en controles y realizada por el proveedor con un análisis externo de las amenazas procedentes de Internet y la web oscura, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. La clave de este enfoque es normalizar y correlacionar los datos de todas las fuentes en un único registro de riesgos para obtener un contexto centralizado, cuantificación, gestión y corrección.
Un enfoque reactivo automatiza la activación, emisión y análisis de evaluaciones específicas de eventos (por ejemplo, en respuesta al ataque SolarWinds) basadas en las relaciones con terceros cubiertas en el consejo 2 anterior. En cualquier caso, obtendrá información más regular para tomar decisiones más informadas y basadas en el riesgo con respecto a su cadena de suministro.
4. No ignore la salida: los riesgos pueden persistir cuando finalizan las relaciones con los proveedores.
Aunque el ataque a PracticeMax afectó a un proveedor actual, es importante asegurarse de aplicar el mismo rigor al proceso de salida que al proceso de incorporación. A medida que se reducen las relaciones con los BA, se debe evaluar si estos están tomando medidas como la eliminación de la información médica protegida (PHI) y los activos de los pacientes de acuerdo con los requisitos normativos y las mejores prácticas del sector. De lo contrario, se podría acabar enfrentándose a cuantiosas multas (pregúntele a Morgan Stanley). Hemos observado que pocas empresas abordan el riesgo durante la fase de salida de sus relaciones con los socios comerciales. Busque soluciones que le permitan programar tareas para revisar los contratos y asegurarse de que se han cumplido todas las obligaciones, y emitir evaluaciones de contratos personalizables para evaluar el estado de la salida.
5. Automatizar la generación de informes para una adaptación eficiente a la HIPAA y otros requisitos.
La norma de seguridad HIPAA exige a las entidades cubiertas que firmen un acuerdo de socio comercial (BAA) con cualquier proveedor externo que preste servicios en nombre de la entidad. El acuerdo obliga a los socios comerciales a cumplir las mismas normas HIPAA que la entidad cubierta, lo que garantiza la seguridad de la información médica protegida (PHI) de los pacientes. Si trata con docenas, cientos o incluso miles de terceros, la tarea de recopilar y analizar manualmente esta información en una hoja de cálculo puede convertirse rápidamente en una tarea abrumadora. Busque soluciones que no solo automaticen la recopilación y el análisis de los datos de riesgo de los socios comerciales, sino que también generen informes específicos de la HIPAA que muestren el estado de cumplimiento y cualquier deficiencia antes de contratar a sus auditores externos. Esto acelerará en gran medida el proceso de mitigación de riesgos.
Próximos pasos para la gestión de riesgos de terceros en el sector sanitario
Adoptar un enfoque holístico de la seguridad de los socios comerciales y proteger los datos en cada etapa del ciclo de vida de los terceros puede ayudarle a mitigar los riesgos y evitar convertirse en la próxima víctima de una violación de datos por ransomware. Para obtener orientación más específica sobre cómo Prevalent puede ayudarle a cumplir los requisitos de riesgo de los socios comerciales de la norma de seguridad HIPAA, descargue la lista de verificación de cumplimiento de terceros de la HIPAA o póngase en contacto con nosotros hoy mismo para una sesión estratégica.
Bonificación: Si cree que un socio comercial ha sido víctima de un ataque de ransomware, utilice este cuestionario gratuito para determinar su exposición.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
