Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porVeronica Caballero Herrero Modificado hace 8 años
1
You’ve been hacked! Your Worst Nightmare! 1
2
HIPAA y la Regla de Privacidad Todos los que estamos aquí conocemos que tenemos unos deberes de preservar la privacidad de los expedientes médicos de los pacientes que manejamos en las oficinas e instituciones donde se brindan servicios de Salud. Este deber emana de la Regla de Privacidad establecida en lo que conocemos como el Health Insurance Portability and Accountability Act (HIPAA), codificada bajo 45 CFR Part 160 and Subparts A and E of Part 164. 2
3
HIPAA y la Regla de Privacidad Esta disposición legal establece que existen estándares nacionales de protección de los récords médicos de las personas, así como otra información pertinente que las entidades cubiertas por la ley tengan bajo nuestra custodia. La encuentran en 45 CFR Part 160 and Subparts A and E of Part 164. 3
4
HIPAA y la Regla de Seguridad Pero HIPAA dispone algo más en torno a la protección de la información del paciente. HIPAA establece unos requisitos para salvaguardar la SEGURIDAD de la información, incluyendo seguridad física y tecnológica de la información que mantenemos. Esta la pueden encontrar en 45 CFR Part 160 and Subparts A and C of Part 164. 4
5
HIPAA: Entidades Cubiertas ¿Y cuáles son las entidades cubiertas? Los planes médicos, clearinghouses, y todo proveedor de servicios médicos, individuales o institucionales. Por tanto, aplica a planes médicos?; a oficinas médicas?; hospitales?; a farmacias?; a los laboratorios?; a procesadores de reclamaciones (“clearing houses”)? 5
6
HIPAA: Asociados de Negocios Y les pregunto: ¿Aplica a los abogados de un hospital que manejan casos de impericia? ¿Y a los facturadores externos de una oficina médica? Si, por virtud de lo que conocemos como Asociados de Negocios o Business Associates Rule, todo contratista que advenga en contacto con información protegida en el curso del desempeño de sus funciones delegadas, debe sujetarse a los mismos requerimientos que tiene la entidad cubierta. Las definiciones de Asociado de Negocio y Entidad Cubierta están en 45 CFR 160.103. 6
7
HIPAA: HITECH & ACA Para un resumen combinado de las disposiciones de HIPAA: http://www.hhs.gov /hipaa/for-professionals/privacy/laws- regulations/combined-regulation-text/index.html http://www.hhs.gov /hipaa/for-professionals/privacy/laws- regulations/combined-regulation-text/index.html Pero además existen otras disposiciones que enmiendan HIPAA, como es HITECH, o ACA, que son igualmente complicadas e imponen deberes y obligaciones en el manejo de la información del individuo que manejamos. 7
8
HIPAA y la Regla de Privacidad Basta decir que existe un deber legal de proteger la información de salud de los pacientes. No cumplir con la ley conlleva serias consecuencias. Y usted, como miembro del grupo financiero de la institución, es parte del equipo que viene llamado a velar por el manejo de riesgo institucional, para identificar posibles vulnerabilidades y prevenirlas. Si no, pasa lo que veremos a continuación: 8
9
Hacking Nuevos Retos Tecnológicos 9
10
Hacking: Comercio 2014-Target- Target Corp. Durante el periodo navideño de 2013, hubo acceso no autorizado a los sistemas de información de Target, resultando en divulgación de información de las tarjetas de crédito de la mega tienda, que a su vez resultó en el robo de información personal de más de 110 millones de personas, incluyendo dirección y teléfonos de los afectados. Target estimó el costo en $252 Millones. Descontando el recobro del seguro, la pérdida neta se “redujo” a $162 Millones. 10
11
Hacking: Comercio Home Depot también fue objeto de un hacking de 53 millones de data sobre tarjetas de crédito de la mega tienda en 2014. Las pérdidas se estimaron en $43 millones, o el 0.1% del total de ventas del año 2014. Finalmente, Sony Pictures, fue objeto de un hacking alegadamente perpetrado por el gobierno de Corea del Norte. Eso impactó los réditos esperados de la película “The Interview”. Pérdidas netas directas de $35-40 millones, sin considerar lo que dejaron de ganar al decidir distribuir la película a través del dominio público mediante YouTube. 11
12
Hacking: Salud 12
13
Hacking: Salud Anthem El mayor evento de hacking en el área de Salud hasta la fecha con más de 78 millones de personas afectadas. Perpetrado por un grupo conocido como “Deep Panda”, reconocido por su habilidad de apropiarse de data ajena en las industria de tecnología, industria aeroespacial y la de energía. Esta vez hicieron un ataque doble, pues poco después hicieron lo mismo con Premera, otro mega asegurador de la costa oeste de Estados Unidos. La cubierta de seguros de Anthem para este tipo de incidentes de cyber seguridad era de $150-$200 millones pero aún no han terminado de determinar el costo final del evento. La multa de HHS fue de $1.78 millones por no hacer un análisis de riesgo de su sistema de seguridad cibernética. 13
14
Hacking: Salud Premera 11 millones de personas afectadas. Ataque similar al de Anthem pero se extendió por casi 7 meses. (Mayo 5, 2014 a Enero 29, 2015 No se ha determinado aún la pérdida, ni se han impuesto multas o penalidades. Se han radicado varios pleitos de clase con la aseguradora. 14
15
Hacking: Salud Feb. 2016- Hollywood Presbyterian Medical Center: Sistemas se afectaron por más de una semana. El personal se vio forzado a realizar sus tareas en papel. “Ransomware” es un tipo de ataque cibernético que infecta los sistemas tecnológicos de su víctima y restringe el acceso, requiriendo un pago a modo de extorción o rescate para volver a permitir el acceso al sistema. Muchas veces este pago se requiere en “bitcoins” o moneda cibernética, que hace más dificil la identificacion del hacker. Aunque originalmente se habló de un pago de $3.4 millones, lo cierto que se pagaron 40 bitcoins, equivalentes a $17,000. 15
16
Otras instituciones afectadas por el “hacking” en 2016 Marzo 21, 2016: Methodist Hospital en Henderson, KY., fue atacado por ransomware y declaró un estado interno de emergencia al no poder acceder ninguno de sus sistemas operativos. El ataque aisló toda comunicación basada en el sistema electrónico del hospital así como todo lo que utiliza el web para comunicarse. Los atacantes utilizaron una herramienta conocida como Locky que infecta el sistema, copia los records y encripta los originales. Se transmite por email. El Hospital pudo utilizar su sistema de resguardo (“backup”) y levantó la data. Eso enfatiza el uso efectivo de los resguardos y sistemas de defensa contra ataques cibernéticos. Marzo 23, 2016: Otros dos hospitales fueron atacados por ransomware en California, El Chino Valley Medical Center y el Victorville’s Desert Valley Hospital, subsidiarias de Prime Healthcare. Las instituciones también pudieron resolver la situacion utilizando su sistema de resguardo. 16
17
Tendencias Actuales de Hacking * “ Criminal attacks are the number-one root cause of healthcare data breaches, with a 125% growth in these attacks over the last five years—a huge net change. Employee negligence and lost or stolen devices still result in many data breaches. However, one of the trends we are seeing is a shift of data breaches—from accidental to intentional—as criminals are increasingly targeting and exploiting healthcare data. Cyber criminals recognize two critical facts about the healthcare industry: 1) healthcare organizations manage a treasure trove of financially lucrative personal information and 2) they do not have the resources, processes, and technologies to prevent and detect attacks and adequately protect healthcare data.” *Criminal Attacks: The New Leading Cause of Data Breach in Healthcare, Ponemon Institute, May 7, 2015, 17
18
Costo del Hacking Estudio de IBM/Ponemon reflejó los siguientes datos respecto a data breaches (accesos no autorizados) durante el 2015 en Estados Unidos* : El costo promedio por récord accesado ilegalmente es de $217, pero en la industria de salud es de $398/por record El costo promedio de cada incidente es de $6.5 millones, pero casi el doble en la industria de salud Aumento de 11% en el costo por incidente y de 8% por cada récord accesado ilegalmente. *2015 Cost of Data Breach Study: United States, Ponemon Institute, May 2015 18
19
Costos del Hacking Directos: Investigaciones, informes y notificaciones sobre el incidente Acciones de contingencia y remediales Aumento en personal Llamadas y visitas de personas afectadas Informes de Crédito a personas afectadas Gastos legales generales relacionados Investigación o imposición de multas o penalidades Litigios individuales o de clase Cancelaciones de Contratos Renegociación de contratos de confidencialidad o de Asociados de Negocio 19
20
Costos del Hacking Indirectos: Perdida de Negocio y de ingresos Perdida de Ventaja Competitiva y de Confiabilidad en el mercado Daños a la reputación e imagen institucional Readiestramiento del Personal Revisión de Políticas y Procedimientos 20
21
Costo del Hacking El Office of Civil Rights (OCR) de HHS, que es quien reglamenta el cumplimiento con HIPAA y HITECH, tiene autoridad para imponer penalidades hasta la suma de $1,500,000 por tipo de violación, por año en que la violación permaneció al descubierto. A modo de ejemplo, OCR impuso las siguientes penalidades: CVS pagó penalidades por $2,250,000 (2009) New York-Presbyterian Hospital y Columbia University recibieron una multa solidaria de $4.8 millones (2014) Anthem pagó $1,78 millones (2015). Major HIPAA Data Breaches Make 2014 a Landmark Year, Dec 30, 2014 | HIPAA JournalDec 30, 2014HIPAA Journal 21
22
Pandemia del Hacking " The growing sophistication and collaboration of cybercriminals ties directly with the historic costs we're seeing for data breaches. The industry needs to organize at the same level as hackers to help defend themselves from these continuing attacks. The use of advanced analytics, sharing threat intelligence data and collaborating across the industry will help to even the playing field against attackers while helping mitigate the cost to commerce and society.“ Marc van Zadelhoff, Vice President of Strategy, IBM Security 22
23
You’ve been Hacked! Tecnologías de Cyber Seguridad y Hacking 23
24
Medidas de Seguridad “Double entry” o “double check of data” Controles de acceso Contraseñas “pin numbers” “Encrypting” Auditorías periódicas Adiestramientos relacionados a la privacidad y su importancia Establecer y comunicar las sanciones por este tipo de violación 24
25
Ransom-ware Nueva modalidad de ataques. Comprometen el Sistema a cambio de pago de dinero. 25
26
“Phishing” Suplantación de identidad Abuso informático que se que comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta. Tipos de información: Contraseñas Detalles de Tarjetas de Crédito Dinero Método: El cibercriminal “phisher” se hace pasar por una persona o empresa de confianza en una aparente comunicación electrónica oficial, a través de su correo electrónico; sistema de mensajería instantánea; o Llamadas telefónicas 26
27
“Phishing” (Cont.) Ejemplos: Transacción no Autorizada: “We suspect an unauthorized transaction on your account. To ensure that your account is not compromised, please click the link below and confirm your identity.“ Verificación de Información: “During our regular verification of accounts, we couldn't verify your information. Please click here to update and verify your information.“ Sobrecargo a su cuenta: “Our records indicate that your account was overcharged. You must call us within 7 days to receive your refund.” 27
28
“ Social Hacking” Ingeniería Social El acto o intento de manipular el comportamiento social resultante a través de acciones pre planificadas con el fin de conseguir acceso a información restringida sin el debido permiso. Métodos: Hacerse pasar por un individuo o grupo que sea directa o indirectamente conocido para las victimas; o Hacerse pasar por alguien con un puesto de autoridad o un superior. 28
29
“ Social Hacking” (Cont.) Técnicas: “Dumpster Diving”: Buscar documentos en la basura que puedan señalar hábitos, actividades, interacción de organizaciones e individuos. “Role Playing” Haciéndose pasar por alguien para lograr confianza con victima Personal de mantenimiento Doctor o practicante de la salud en un hospital “Spear Phishing” 29
30
Contraseñas Alfanuméricas Alfanuméricas: Contraseñas que incluyen ambos letras y números. Tiempo de procesamiento Longitud de la contraseña Problemas: Es habitual poner las palabras mas fáciles para poder recordar su acceso a sus datos 30
31
Contraseñas Alfanuméricas (Cont.) Métodos para descifrar: Ingeniería social Phishing “Pin Pushing” Ej. Robots y Programas: Combinación de 4 dígitos: 10,000 posibles combinaciones Importancia: La facilidad de programas computadorizados en descifrar contraseñas basadas en letras o números Juego de probabilidad: aumentan las posibilidades si hay mas elementos para combinar y por lo tanto dificulta el acceso automatizado. 31
32
Contraseñas Alfanuméricas (Cont.) Recomendaciones: Nunca debería utilizar únicamente letras o sólo números en una contraseña. No utilice palabras reconocibles No utilice palabras en idiomas extranjeros No utilice terminología de hackers No utilice información personal No invierta palabras reconocibles No escriba su contraseña No utilice la misma contraseña para todas las máquinas 32
33
Las peores contraseñas Ej. 12345 Password Welcome Login Abc123 000000 starwars (Su nombre) (Su número de teléfono) (Sus gustos evidentes) (Su fecha de cumpleaños) 33
34
Las mejores contraseñas Mezcla de números, letras y símbolos Mientras más caracteres mejor Mayúsculas y minúsculas Cambio constante Combinación de palabras Hogar, Perro, Luis [ho][Pe][lu] [gar][rro][is] De la que te acuerdes… 34
35
Medidas adicionales de seguridad Security tokens Two-Step Authentication Se le requiere al usuario confirmar acceso a través de otro dispositivo o computadora independiente. 35
36
Tecnologías de Cyber seguridad y Hacking Cada dólar que se invierta en medidas preventivas de seguridad representa cientos o miles de dólares que una empresa se ahorrará en caso de que sea objeto de un hacking. Qué, cuándo, y cuánto?, son preguntas que sólo la empresa debe contestar. 36
37
La curiosidad mató al gato… 37
38
Los empleado y el manejo de la Información de Salud De acuerdo a un informe de Caliptixk de Diciembre 2015: “Top Three Causes of Health Data Breaches”, estas son las causas internas más frecuentes de acceso no autorizado a PHI: A. Pérdida o robo de equipo (laptops, smartphones, y otras) B. Acceso indebido aunque autorizado: Averiguando C. Errores en el manejo de la información. 38
39
HIPAA- Regla de Privacidad La regla de privacidad restringe a cualquier entidad cubierta de revelar información de salud protegida a terceros a menos que exista una autorización válida firmada por el paciente o la liberación de información se enmarque dentro de una de las excepciones. Un empleado que viole la política de confidencialidad será sujeto a sanciones que puede incluir el despido inmediato. Una violación puede dar lugar a la terminación inmediata de todos los contratos. 39
40
Despidos por filtración de información médica Ley de Despido Injustificado - Ley Núm. 80 de 30 de mayo de 1976, según enmendada Despido puede ser con o sin causa Despido significa: terminación del empleo o cesantía, suspensión indefinida de empleo, despido tácito o constructivo o suspensión que exceda tres meses. En Puerto Rico para que un patrono pueda despedir a un empleado sin tener responsabilidad legal y económica tiene que mediar justa causa El propósito de la Ley 80 es proteger a empleados de actuaciones arbitrarias del patrono Ni el que se hace sin razón relacionada con el buen y normal funcionamiento del establecimiento No se considera despido por justa causa el que se hace por el mero capricho del patrono 40
41
Ley de Despido Injustificado Regla general - “Justa causa” atribuible al empleado: Patrón de conducta impropia o desordenada; Actitud del empleado de no rendir su trabajo en forma eficiente o de hacerlo tardía y negligentemente, o en violación de las normas de calidad del producto que se produce o maneja en el establecimiento; Violación reiterada del empleado de las reglas y reglamentos razonables establecidos por la empresa, siempre que copia escrita de los mismos se le haya dado al empleado. Siempre debe existir justa causa para tomar acción disciplinaria o correctiva La medida debe estar basada en razones legítimas No discriminatorias (por razones protegidas) No por represalias No difamatorias ni falsas 41
42
Ley de Despido Injustificado Excepción - despido por primera ofensa -Como regla general, no se favorece La Ley Núm. 80 no excluye despido en primera ofensa o única ofensa Falta cuya intensidad de agravio requiere despido en protección de la buena marcha de la empresa y la seguridad de las personas que allí laboran. Acción u omisión que pone en riesgo el orden o la eficiencia para el funcionamiento del negocio. Ofensa de tal seriedad que revele una actitud tan lesiva a la paz y al buen orden de la empresa que constituiría una imprudencia esperar que se repita. Consulte siempre antes de actuar Departamento de Recursos Humanos; Personas con conocimiento o necesidad de saber, División Legal 42
43
Casos recientes de Hacking: Farrah Fawcett UCLA Medical Center Tratamientos para el cáncer Información vendida a revistas Información fue “hacked” por segunda ocasión 43
44
Casos recientes de Hacking: Dr. Richard Sacra Nebraska Medical Center Paciente de ébola Curiosidad de dos empleados Acceso no autorizado descubierto por auditorías realizadas 44
45
Casos recientes de Hacking: Britney Spears UCLA Medical Center Hospitalización en la unidad psiquiátrica 13 empleados despedidos No fue la primera vez 45
46
Casos recientes de Hacking: Kim Kardashian-West Cedars-Sinai Medical Center Parto de su hija North 6 empleados despedidos Violación de política del hospital 46
47
Consecuencias Imposición de multas por el HHS 1.7 millones (centro de terapia física en Missouri) $865,500 (caso de Kim Kardashian) Terminación inmediata de contratos con hospitales y/o proveedores Pérdida de confianza en el hospital 47
48
Contratación de Empleados: Verificación de Antecedentes 56% de los candidatos proveen información falsa En Puerto Rico aplica la doctrina de contratación negligente. Relación de empleo Empleado no estaba cualificado Patrono lo sabía o debió saberlo Empleado causó daño a tercero Pre-empleo Récords Judiciales Cláusulas que se deben incluir en contratos con empleados Protección de información confidencial, propiedad intelectual, etc. 48
49
Pandemia del Hacking Como vemos, esta tendencia se ha convertido en una pandemia que nos amenaza a todos por igual. Un estudio reciente demostró que el 48% de las organizaciones de cuidado de la salud han sido objeto de ataques cibernéticos durante el 2015.* Sus consecuencias, incalculables. Por ello debemos conocerla, y prevenirla, mejor que remediarla. *http://www.hipaajournal.com/ponemon-48-healthcare-organizations- suffered-phi-breach-past-year-3349/ 49
50
50
51
CONTACT INFORMATION: Robert F. Nater Lebrón, Esq. Jean Vidal-Font, Esq. Luis O. Rodriguez-López, Esq. 221 Plaza, 5th Floor Ponce de León Avenue San Juan, PR 00918 (787) 766-7000 ferraiuoli.com 51
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.