Por Revista Seguros
La industria de la salud ha experimentado un aumento en ataques cibernéticos en los últimos años. No solo los hospitales están expuestos a estos ataques, sino también las oficinas médicas, proveedores de facturación, laboratorios y aseguradoras de planes de salud, entre otros.
En el campo de la salud se almacena mucha información personal no pública, condiciones de salud protegidas por la Ley HIPAA y, en algunos casos, hasta información financiera, que resulta atractiva para los llamados «hackers» que buscan la manera de utilizar esta información para lucrarse ilegalmente o venderla en el mercado negro.
Comenzar el año evaluando la exposición o vulnerabilidad de tu práctica profesional a ataques cibernéticos es una excelente iniciativa de manejo de riesgo y planificación. Para poder manejar estos riesgos adecuadamente, debemos conocer a qué nos enfrentamos, ya que los grandes beneficios que ofrecen las tecnologías emergentes también nos traen ciertas exposiciones que cada día son más complejas y sofisticadas.
Ransomware: Llegas a tu oficina médica y te encuentras con la situación de que no tienes acceso a tu sistema operativo y no logras tener acceso a la información de tus pacientes. El sistema ha sido «hackeado» y te solicitan $50,000 para liberar el mismo y restaurar el acceso. ¿Tienes un plan establecido para manejar esta situación en caso de que se presente? ¿Sabes qué hacer y dónde llamar para atender esta situación?
Malware: Digamos que a través de un software malicioso un «hacker» tuvo acceso a información no pública de tus pacientes almacenada en tu sistema operativo, por ejemplo, información médica, fecha de nacimiento, métodos de pago, etc. ¿Conoces tus responsabilidades legales y los procesos a seguir para mitigar la exposición de tu práctica profesional y evitar el riesgo reputacional y financiero que esto conlleva?
Phishing: Probablemente el riesgo más común al que nos enfrentamos constantemente. Recibimos correos engañosos para tratar de tener acceso a las credenciales, información personal, contraseñas y robar datos de los pacientes y/o información financiera para realizar transacciones no autorizadas.
Otros riesgos: Robo de identidad médica con el propósito de presentar reclamaciones fraudulentas a planes médicos, adquirir medicamentos ilegalmente, recibir atención médica haciéndose pasar por otro paciente, entre otras.
Recomendaciones
- Adiestramiento continuo a todos los empleados sobre cómo identificar intentos de phishing o actividades sospechosas.
- Actualización constante de los sistemas y softwares para asegurar que mantienen el nivel más alto de seguridad.
- Mantener «firewalls» y antivirus actualizados.
- Realizar auditorías de seguridad de información periódicamente.
- Tener backups de información y hacer pruebas de estos regularmente.
- Realizar pruebas de vulnerabilidad y simular intentos de acceso a los servidores.
- Tener un plan de contingencia estructurado para reaccionar en caso de un ataque cibernético.
- Adquirir una póliza de seguros ataques cibernéticos «Cyber Liability Policy».
Víctor J. Santiago, Presidente y Principal Oficial Ejecutivo de Puerto Rico Medical Defense Insurance Company (“PRMD”), comentó que un ataque cibernético en cualquiera de sus modalidades puede tener un impacto financiero significativo y envuelve muchos gastos legales y acciones afirmativas de mitigación de daños. Es por esto que se recomienda tener un buen plan de contingencia y considerar adquirir una póliza de responsabilidad contra ataques cibernéticos.
“Lo más importante es estar conscientes de que no importa el tamaño de nuestra oficina o práctica médica, estamos expuestos a ataques cibernéticos y que tener una póliza de responsabilidad cibernética es un excelente mecanismo de transferencia de riesgo para proteger nuestra estabilidad financiera. Una póliza de responsabilidad cibernética te provee la asesoría legal, cumplimiento regulatorio, análisis forense y la dirección necesaria en cuanto a las notificaciones que se deben realizar a los afectados, agencias de crédito, recuperación de los sistemas, entre otros servicios. El tiempo de respuesta ante un evento de ataque cibernético es de vital importancia para mitigar los daños”, puntualizó Santiago.
Puerto Rico Medical Defense Insurance Company (“PRMD”) ofrece a sus médicos la alternativa de adquirir un endoso de su póliza de responsabilidad profesional que les provee una cobertura Cyber Liability con un límite básico de $25,000. También tenemos la alternativa de póliza «stand alone» para médicos y corporaciones médicas con límites de hasta $500,000 sujeto a requisitos de suscripción y evaluación de la infraestructura tecnológica de la oficina médica o entidad corporativa. Para información adicional, puede llamar al 787.999.7763.
