Nuestros amigos de Websense nos envían su nota de prensa, donde nos informan sobre las regulaciones de seguridad en organizaciones de salud.

¿Cree usted que son las instituciones financieras o las organizaciones de salud las que enfrentan más brechas de datos? La respuesta lo sorprenderá: son las organizaciones de salud, y por un factor de tres a uno.

De acuerdo con el reporte 2010 Identity Theft Resource Center® (ITRC), los almacenes de datos comprometidos de las organizaciones de salud superan a los de otros tipos de organizaciones. Según el ITRC, en lo que va del año las organizaciones de salud han revelado 119 brechas, en comparación con las 39 que ha sufrido la industria de servicios financieros. ¿Por qué está sucediendo esto?

Para comenzar, repasemos algo de la historia: la industria de los servicios financieros siempre ha estado protegiendo activos valiosos, como dinero, oro, joyas y documentos. Pero el enfoque tradicional de la salud es el paciente. Asegurar la información de los pacientes es un imperativo relativamente nuevo, y ha sido obligatorio debido a las amplias regulaciones. ¿Entonces están fracasando estas regulaciones en la industria de la salud?

Sí, de cierta forma. Los ciber criminales de hoy son muy ingeniosos y actúan rápidamente utilizando tácticas innovadoras y en constante cambio que las regulaciones simplemente no pueden cubrir. Cuando se identifica una nueva amenaza a la seguridad y se incorpora al cumplimiento obligatorio, ya ha sido explotada, se han perdido datos y se ha causado daño.

El cumplimiento, que es un paso necesario para reducir las brechas de la información confidencial de los pacientes, debe ser parte de un plan de seguridad proactivo y holístico que incluya políticas efectivas, educación para los empleados, y las tecnologías adecuadas.

Cuando se desarrolla un plan de seguridad holístico, hay que comenzar desde sus fundamentos. Todas las organizaciones tienen contenido que es creado, consumido y comunicado.

Desafortunadamente, las tecnologías tradicionales para proteger el contenido operan por separado dentro de sistemas descoordinados que son difíciles de mantener actualizados, son costosos, difíciles de administrar y poco efectivos contra las amenazas más insidiosas.

A continuación, tres pasos que llevan la seguridad más allá del cumplimiento para ayudar a redondear un programa holístico:

• Crear políticas de seguridad de contenido realistas: Es importante saber cómo se mueve la información confidencial dentro de su organización, al tiempo de asegurar que usted esté protegido contra amenazas Web maliciosas. Esa es la primera parte de este paso. Enseguida, necesita políticas que controlen quién está teniendo acceso a los datos, cómo los está usando y adónde están siendo transferidos. Finalmente, determine con qué tecnologías cuenta para evitar la pérdida de datos en tiempo real.

• Educar, educar, educar: Adoptar políticas y programas educativos ayuda a reparar procesos de negocio rotos o riesgosos. Además, ofrecer capacitación a los empleados puede ayudar a educarlos sobre las políticas establecidas y realzar la práctica de seguridad general. Si existen dudas, siga repitiendo las mejores prácticas a sus empleados. Realice un seminario de asistencia obligatoria para sus empleados por lo menos dos veces al año para hablar sobre las ramificaciones de las brechas de datos y las mejores prácticas más recientes.

• Integrar tecnología de seguridad de contenido en tiempo real: Integre tecnología innovadora que proteja proactivamente a su organización contra los métodos más recientes empleados por los ciber criminales. Para contar con protección efectiva y una administración más sencilla, utilice productos de seguridad de contenido que estén integrados – con análisis unificado de amenazas, consolas unificadas de administración y reporteo, y tecnologías de implementación flexibles (software que usted instala en sus servidores, dispositivos para el desempeño pico, o servicios en la nube que no requieren hardware en sus instalaciones). Las amenazas internas y externas están en constante cambio; su tecnología de seguridad también necesita analizar el tráfico Web en tiempo real, categorizar el contenido Web 2.0 dinámico, al tiempo de bloquear malware de día cero y prevenir la pérdida de datos confidenciales. Asimismo, asegúrese de que la tecnología seleccionada cumpla con las regulaciones y genere los reportes adecuados.

El resultado es claro: las regulaciones son necesarias – pero un plan holístico es considerablemente más efectivo para la protección del contenido en tiempo real.

Desafortunadamente, el costo de las brechas de datos, ya sea de un intruso malicioso, un empleado inconforme o un simple error, puede tener repercusiones a largo plazo en la reputación de una institución que se construyó sobre años de prestar excelente atención a los pacientes.