LeadingAge 2025: Asegurando una industria vulnerable en medio de amenazas emergentes
Muchos de los ciberataques y filtraciones de datos que acaparan los titulares tienden a destacar el impacto en los proveedores de atención médica tradicionales, pero las organizaciones de atención a personas mayores también son blanco de ataques.
En 2024, una organización de atención a personas mayores con sede en Nueva York informó que el acceso no autorizado a su sistema había comprometido potencialmente los datos de más de 104 000 personas . Asimismo, según un informe del Wall Street Journal , una organización de atención a personas mayores del sur de California tardó meses en notificar a más de 26 000 personas sobre una filtración de datos ocurrida en 2023.
Por eso, la seguridad de los datos y el cumplimiento normativo fueron temas prioritarios para los ponentes en la Reunión Anual de LeadingAge 2025 en Boston, especialmente para los líderes de Eliza Jennings , una organización de atención a personas mayores con sede en Ohio, que suelen tratar estos temas en la conferencia anual.
La vicepresidenta y directora jurídica, Jennifer Griveas, destacó la importancia de un análisis de riesgos actualizado de la norma de seguridad HIPAA . Las organizaciones suelen pasar por alto este fundamento esencial para la protección de datos confidenciales.
“Primer paso: Si no ha realizado un análisis de riesgos de las normas de seguridad de HIPAA , debe realizar un análisis de riesgos de las normas de seguridad de HIPAA”, dijo Griveas.
Afirmó que muchas de las sanciones impuestas por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. a los proveedores de atención médica que sufrieron una infracción se debían a menudo a la falta de ese análisis de riesgos específico.
Las organizaciones más pequeñas pueden completarlo por sí mismas utilizando recursos disponibles gratuitamente, pero una asociación puede ser útil para aquellas que no cuentan con personal dedicado a la seguridad informática o para departamentos que ya están sobrecargados atendiendo otras prioridades.
También es algo que requiere mantenimiento regular, ya que en este panorama de seguridad, un ciberataque es inevitable. Si a esto le sumamos el auge de las herramientas y los procesos basados en inteligencia artificial, las organizaciones de atención a personas mayores tienen más factores a considerar en lo que respecta a la protección de la información personal de salud .
“Si se da esa situación y luego se produce esta brecha de seguridad, y la OCR quiere revisar su evaluación de riesgos de seguridad, y usted dice: 'Aquí está, de 2019', no hay manera de que su evaluación de riesgos esté actualizada, especialmente antes de la pandemia y ahora, después de la introducción de la IA. Todo lo que hemos hecho está cambiando”, dijo Griveas.
Este análisis de riesgos es algo que las organizaciones de alto nivel no deben ignorar, y sirve como una base útil a medida que se incorporan nuevas tecnologías al entorno. Puede ayudar a los miembros del equipo a comprender qué forma parte de su entorno de TI y quién tiene acceso a él.
“Creo que a veces la gente piensa que una norma de seguridad HIPAA es muy técnica, y no lo es. Se trata de estructuras”, añadió.
Haz clic en el banner de abajo para suscribirte al boletín semanal de HealthTech.
El vicepresidente de TI y director de cumplimiento normativo, Michael Gray, también hizo hincapié en la importancia de mantenerse al día sobre los distintos ciberataques. Hace cinco o seis años, señaló, pocos levantaban la mano cuando se preguntaba a los asistentes si sabían qué era un ataque de ransomware. Hoy en día, son un tema muy conocido en todo el sector.
“Si no somos conscientes de esos riesgos, y nuestro personal no sabe cuáles son esos riesgos, realmente no podemos defendernos de ellos”, dijo.
Los ciberdelincuentes intentarán permanecer en el entorno de la organización objetivo el mayor tiempo posible e incluso podrían lanzar múltiples ataques . También existen intermediarios de acceso inicial que, una vez dentro de la red de la organización, venden sus credenciales a terceros. Y dado que los intentos de ingeniería social son cada vez más sofisticados, la autenticación multifactor está evolucionando para ser más resistente al phishing .
Aunque una organización de atención a personas mayores crea estar preparada para afrontar un ciberataque, Gray afirmó que los largos tiempos de recuperación son inevitables, lo que implica que los equipos de todos los departamentos deben saber cómo mantener la operatividad cuando los sistemas estén fuera de servicio. En un ejercicio práctico al que asistió, comentó que una de las preocupaciones giraba en torno a si los empleados más jóvenes sabían cómo registrar información en papel, por lo que era necesario considerar quién podría impartir una formación rápida en este método.
“Aunque estés extremadamente bien preparado, se necesita mucho tiempo para volver a poner en marcha tus sistemas. Tu aseguradora cibernética y la empresa forense que utilizan deben estar 100% seguras de que tu entorno está limpio antes de volver a poner tus sistemas en línea”, dijo Gray.
No se trata solo de tener el mejor conjunto de herramientas de seguridad ; las personas que conforman una organización deben estar bien versadas en la estrategia de seguridad y recibir capacitación periódica .
“Somos firmes defensores de contar con personas con el conocimiento adecuado en la mesa de decisiones, ya sea que ocupen un puesto de liderazgo o interactúen con la junta directiva, asesoren a la alta dirección o formen parte de ella, para poder evaluar plenamente si estamos haciendo lo necesario para contar con la protección que necesitamos”, dijo Griveas.
Guarda esta página en tus marcadores para estar al tanto de nuestra cobertura de la Reunión y Exposición Anual LeadingAge 2025. Síguenos en X en @HealthTechMag y participa en la conversación con el hashtag #LeadingAge25 .
healthtechmagazine
