¬ŅEst√°n nuestros datos realmente seguros?

Los casos de violaciones de datos de terceros solo van a ir a peor, ya que las organizaciones se están volviendo cada vez más dependientes de los proveedores de servicios externos para los aspectos críticos de su operación cotidiana.

 

Chris Vickery, director de investigación de riesgo cibernético en UpGuard, ya advirtió sobre las infracciones de terceros después de un reciente anuncio de que el sector sanitario de los Estados Unidos había sido golpeado por otro incidente importante de seguridad de datos.

 

El mes pasado, Atrium Health publicó detalles de una infracción que resultó en la filtración de  la información personal de más de 2,5 millones personas.

 

Atrium, con sede en Carolina del norte, que opera m√°s de 40 hospitales y 900 centros de salud en los Estados Unidos, dijo que el incumplimiento fue el resultado de que los atacantes obtuvieron acceso no autorizado a una base de datos de pacientes alojada por AccuDoc Solutions, un proveedor externo de soluciones de procesamiento de pagos.

 

El incidente lleg√≥ a los titulares regionales y fue ampliamente reportado por las compa√Ī√≠as especializadas en seguridad y salud. Sin embargo, un aspecto del incidente que fue pasado por alto fue el hecho de que esta brecha impact√≥ no a una, sino a dos organizaciones.

 

‚ÄúAccuDoc tuvo dos clientes afectados ", dijo un portavoz de la compa√Ī√≠a a The Daily Swig por correo electr√≥nico el mes pasado.

 

"Además de Atrium Health, el cliente de Accudoc Baylor Scott White Medical Center-Frisco también se vio afectado. Atrium Health tenía 2.650.000 pacientes afectados, y Baylor-Frisco tenía 40.000 pacientes afectados. "

 

La informaci√≥n a la que se pudo acceder inclu√≠a nombres de pacientes, direcciones, fecha de nacimiento, informaci√≥n de la p√≥liza de seguro, n√ļmero de expediente m√©dico, n√ļmero de factura, saldo de la cuenta y, en algunos casos, n√ļmeros de seguro social.

 

Mientras que el portavox de AccuDoc se apresur√≥ a declarar que "no se descarg√≥ ning√ļn dato utilizable y no se involucr√≥ informaci√≥n bancaria o de tarjeta de cr√©dito" en las bases de datos, el incidente sirve para resaltar los riesgos a los que se enfrentan las organizaciones al encomendar su informaci√≥n a proveedores de servicios externos.

 

Desafortunadamente, sin embargo, hay pocas posibilidades de que los incidentes de seguridad de datos de terceros desaparezcan.

 

Encriptación

"Las violaciones de datos de terceros son actualmente una preocupaci√≥n muy grande para las empresas y organizaciones de todos los tama√Īos", dijo Vickery a The Daily Swig.

 

"Vamos a ver m√°s y m√°s complicaciones e incertidumbres de responsabilidad en torno a la creciente calamidad de las violaciones de datos de terceros a medida que pasa el tiempo".

 

Por supuesto, las infracciones de terceros no est√°n aisladas s√≥lo en el sector sanitario. Incidentes de seguridad de este tipo se han reportado en varios sectores en los √ļltimos meses, impactando a minoristas, aerol√≠neas, empresas de venta de entradas de eventos, aplicaciones de acondicionamiento f√≠sico y sitios geneal√≥gicos.

 

Vickery y el equipo que compone UpGuard han continuado resaltando algunos de los riesgos de seguridad asociados con los proveedores de servicios de terceros.

 

Investigaciones recientes de la firma de seguridad revelaron que la información confidencial de más de 123 millones hogares estadounidenses fue expuesta después de que el partner de Experian, Alteryx, no lograse asegurar un servicio de almacenamiento en la nube de Amazon S3.

 

Y en septiembre, la información personal de 14 millones clientes de Verizon se filtró después de que la supervisión de la seguridad fallase en una nube similar a la ya citada.

 

"Una desafortunada realidad del entorno empresarial de hoy en día es que habitualmente las entidades se ven obligadas a depender de proveedores externos para muchos aspectos críticos de sus operaciones", dijo Vickery.

 

"A veces esto se combina con un intento de ahorrar dinero a través del proceso, pero muchas veces se debe a la falta de recursos internos de la empresa con un determinado software o proceso empresarial".

 

Aunque es imposible que una organización garantice que los datos de sus clientes son 100% seguros una vez que se ha compartido con un tercero, se pueden tomar ciertas medidas para ayudar a minimizar los riesgos.

 

Estos incluyen una investigación completa de las empresas asociadas (potenciales); garantizar que solo comparta los datos necesarios para cumplir una determinada tarea; y el uso de la tokenización, especialmente cuando se trata de manejar los detalles de la tarjeta de crédito.

Product Slider

Comparte en redes sociales