El Centro para el Cáncer MD Anderson ha sido citado ante autoridades por mantener sus dispositivos sin encriptar.
La falta de encriptación de dispositivos, acorde a expertos que imparten cursos de seguridad informática, le costará a un centro de tratamiento contra el cáncer con base en Texas 4.3 millones de dólares en multas ante el Departamento de Salud y Servicios Humanos (HHS).
En un comunicado el lunes, la Oficina de Derechos Civiles del HHS dijo que recibió resumen del juicio de un juez de derecho administrativo de HHS, que dictaminó que el Centro para el Cáncer MD Anderson de la Universidad de Texas violó las normas de privacidad y seguridad establecidas en la Ley HIPAA. El Instituto Internacional de Seguridad Cibernética informa que la Ley HIPAA establece la obligación de las organizaciones hospitalarias a resguardar la información de los pacientes.
El juez aprobó las multas, imponiendo una penalización de 4.3 millones a raíz de sus investigaciones sobre tres infracciones que involucran dispositivos no cifrados.
En una declaración proporcionada a Information Security Media Group, el Centro para el Cáncer MD Anderson dice que planea apelar la sentencia.
“Estamos decepcionados por la decisión del juez, y estamos preocupados de que las pruebas y argumentos clave no hayan sido considerados. MD Anderson planea apelar la decisión, lo que dará como resultado una revisión completa de todos los argumentos y pruebas. Independientemente de la decisión, esperamos que este proceso brinde transparencia, responsabilidad y consistencia al proceso de cumplimiento con la Oficina de Derechos Civiles”.
Un fallo extraño
Este fallo es apenas el segundo juicio sumario en la historia de la agencia para el cumplimiento de la Ley HIPAA. La penalización económica es la cuarta cantidad más grande que se haya impuesto para la Oficina de Derechos Civiles por una autoridad administrativa o que se haya asegurado por incumplimiento de la Ley HIPAA, resalta la ODC.
Investigación del Incumplimiento
La Oficina de Derechos Civiles dice que investigó al MD Anderson después de tres informes separados de violación de datos en 2012 y 2013. Uno involucró el robo de una computadora portátil no encriptada de la residencia de un empleado del MD Anderson; los otros involucraron la pérdida de memorias USB sin cifrar que contenían la información de salud electrónica no encriptada de más de 33,500 personas, datos expuestos ante expertos en cursos de seguridad informática y resguardo de información.
“La investigación descubrió que el MD Anderson había establecido políticas de encriptación desde 2006 y que los propios análisis de riesgo del MD Anderson habían descubierto que la falta de encriptación a nivel de dispositivo suponía un alto riesgo para el resguardo de información”, dice la Oficina de Derechos Civiles en un comunicado.
“A pesar de las políticas de cifrado y los hallazgos de los fallos de seguridad, el MD Anderson no comenzó a adoptar una solución empresarial para implementar el cifrado hasta 2011, e incluso entonces, no cifró su inventario de dispositivos electrónicos”, agrega la declaración.
“La Oficina de Derechos Civiles se toma en serio la protección de la privacidad de la información de salud y perseguirá litigios, si es necesario, para hacer que las entidades sean responsables de las faltas a la Ley HIPAA”, dice el Director de la Oficina, Roger Severino.
Por su parte, el Centro MD Anderson argumentó que las multas son una medida inapropiada, estableciendo además que “se están tomando medidas sustanciales para asegurar la información privada de los pacientes. En los tres casos que involucran la pérdida o robo de los dispositivos que revisó la autoridad administrativa, no se encontró evidencia de que la información haya sido vista por terceros ni de ningún daño causado a los pacientes”.
Una lección para los demás
¿Qué es lo que otros negocios y organizaciones podrían aprender del caso del Centro MD Anderson?
Acorde a especialistas en cursos de seguridad informática, este es otro ejemplo de cómo tomar un enfoque antagónico para una revisión de cumplimiento de la Oficina de Derechos Civiles es una apuesta perdedora. El Centro MD Anderson tuvo diferentes oportunidades para colaborar con el órgano regulador de manera voluntaria para establecer protocolos de seguridad y resguardo de la información; en lugar de eso, eligieron gastar dinero en costosos abogados para defender lo indefendible respecto a sus políticas de seguridad informática.
El consejo principal para los demás es actuar conforme a la Ley HIPAA y establecer sus propios protocolos para su cumplimiento.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad