Por: José C. Nieves-Pérez

La seguridad cibernética en los hospitales es de suma importancia, ya que la información confidencial del paciente se almacena y se comparte en línea. Además, los sistemas informáticos también controlan los dispositivos médicos y los equipos de diagnóstico, lo que los convierte en objetivos valiosos para los ciberdelincuentes. En este artículo, discutiremos las mejores prácticas de seguridad cibernética en los hospitales, incluyendo detalles sobre HIPAA y HITECH.

La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) establece estándares de privacidad y seguridad para la información de salud protegida (PHI, por sus siglas en inglés). Cualquier hospital que maneje PHI debe cumplir con las regulaciones de HIPAA, que incluyen la implementación de medidas de seguridad físicas, administrativas y técnicas para proteger la privacidad de la información del paciente. Algunas de estas medidas incluyen:

* Controles de acceso: Los hospitales deben limitar el acceso a la información de salud protegida solo a las personas que necesiten conocerla para realizar su trabajo. Los sistemas deben tener contraseñas fuertes, controles de acceso basados en roles y mecanismos de autenticación de dos factores.

* Encriptación de datos: La encriptación es una técnica que protege los datos en tránsito y en reposo. Los hospitales deben encriptar los datos de salud protegidos que se transmiten a través de redes públicas o privadas, y también deben encriptar los datos almacenados en los dispositivos de almacenamiento.

* Respaldos: Es importante realizar respaldos de la información de salud protegida con regularidad para asegurar que se pueda recuperar la información en caso de una pérdida de datos. Los hospitales también deben tener un plan de recuperación de desastres para poder recuperarse de interrupciones del servicio o ciberataques.

* La Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (HITECH) también establece regulaciones de privacidad y seguridad para la información de salud. Esta ley se enfoca en la seguridad de los registros médicos electrónicos (EHR, por sus siglas en inglés), que son una parte importante de la atención médica moderna. Algunas de las mejores prácticas de seguridad cibernética para cumplir con las regulaciones de HITECH incluyen:

* Capacitación: Los hospitales deben capacitar a su personal sobre cómo proteger la información de salud protegida y los registros médicos electrónicos. Esto debe incluir capacitación en el uso seguro de contraseñas, cómo detectar ataques de phishing y cómo reportar incidentes de seguridad.

* Monitoreo de la actividad: Los hospitales deben monitorear la actividad de los usuarios de EHR y realizar auditorías regulares para detectar actividades sospechosas. Esto puede incluir el monitoreo de inicios de sesión, cambios en los registros médicos y la eliminación de datos.

* Controles de acceso: Al igual que con HIPAA, los hospitales deben limitar el acceso a los registros médicos electrónicos solo a las personas que necesiten conocerlos para realizar su trabajo. Esto incluye la implementación de controles de acceso basados en roles y mecanismos de autenticación de dos factores.

---

Definiciones técnicas de términos del articulo:

1. PHI: Es el acrónimo en inglés de «Protected Health Information» (Información de salud protegida), se refiere a cualquier información relacionada con la salud de un individuo que se almacena, transmite o procesa en cualquier forma electrónica, física o verbalmente. Esta información está protegida por la ley HIPAA y HITECH en los Estados Unidos.

2. Encriptación: Es el proceso de convertir datos en un formato ilegible para cualquier persona que no tenga la clave de desencriptación. Es una técnica utilizada para proteger la privacidad y la confidencialidad de la información durante la transmisión y el almacenamiento.

3. Respaldos: Es el proceso de crear copias de seguridad de los datos para garantizar su recuperación en caso de pérdida de datos debido a fallos en el hardware, errores humanos, desastres naturales o ataques cibernéticos.

4. Registros médicos electrónicos (EHR): Son registros médicos en formato digital que contienen información sobre el historial médico de un paciente, tratamientos, resultados de exámenes, alergias, medicamentos recetados, entre otros. Los EHR se utilizan para mejorar la calidad de la atención médica y permitir el intercambio de información entre proveedores de atención médica.

5. Capacitación: Es el proceso de enseñar a los empleados sobre los procedimientos, políticas y mejores prácticas relacionados con la seguridad cibernética en el entorno hospitalario. La capacitación es esencial para garantizar que los empleados comprendan la importancia de la seguridad cibernética y sepan cómo proteger la información confidencial del paciente.