Ciberseguridad para HealthTech en Chile
- Inicio
- Pruebas de Penetración (Pentest)
- HealthTech
La información es todo en la sociedad actual, los gobiernos utilizan la información como una ventaja competitiva y hasta estratégica, toda persona utiliza la información para tomar decisiones y los delincuentes también sacan provecho de ella. Pero cuando hablamos de información relacionada con la salud o cualquier aspecto médico de las personas, la situación se vuelve más sensible. Las StartUps dedicadas a los servicios relacionados con la salud poseen una responsabilidad crítica con sus clientes, consumidores, aliados comerciales y hasta regulaciones, en todo caso es importante en Chile y en cualquier parte del mundo.
La información médica de las personas ayuda a profesionales de la salud para poder brindar diagnósticos más precisos, adicionalmente se puede utilizar para crear estadísticas, predecir tendencias, organizar el control de tratamientos y muchos otros beneficios que nos puede brindar. Lamentablemente esta información puede utilizarse para situaciones complicadas y hasta peligrosas si llega a caer en las manos incorrectas.
En Estados Unidos por ejemplo existe HIPAA y hay certificaciones como HITRUST especializadas en la protección de lo que consideran como PHI (Información Médica Personal). Los riesgos asociados con la divulgación de información médica pueden causar daños severos no solo en la reputación de las personas, inclusive puede poner en riesgo sus vidas.
Veamos algunos ejemplos de riesgos asociados:
Las HealthTech poseen muchas características similares a las StartUp, justamente por el componente tecnológico (Tech) y con esto heredan los mismos riesgos de las StartUp incluyendo en algunos casos, aspectos de IoT (Internet de Las Cosas), a esto le sumamos algunos cuidados adicionales como lo mencionamos anteriormente, pero siguen siendo empresas basadas en innovación y que buscan crecimiento acelerado. El punto ideal para una Healthtech es el balance entre lo que busca una StartUp (crecer aceleradamente) y la ciberseguridad que garantice la continuidad de su negocio.
Para lograrlo es crítico tener en cuenta la privacidad y protección de datos.
No vamos a hablar de planes de continuidad de negocio o de recuperación de desastres (esto requiere de una publicación dedicada para cada tema por separado) pero si es importante mencionar algunos puntos que son de suma importancia para cualquier empresa dedicada a brindar servicios relacionados con la salud.
Cuando se realizan pruebas de seguridad para cumplimiento con HIPAA por ejemplo, se debe utilizar una metodología que es diferente a la utilizada en otros casos, principalmente por el acceso potencial a información médica protegida (PHI) o la información personal identificable (PII).
Pensemos en el siguiente caso:
Si una persona con acceso a una plataforma, de alguna forma (legítima o ilegal) puede ver registros médicos de otras personas, esta exposición de datos (intencional o no intencional) puede ser utilizada para sacar provecho o para perjudicar a alguien más, lo que representa una violación a la privacidad o a la protección de la información custodiada por la plataforma.
Existe una característica de la información personal que es muy importante tener presente al crear una plataforma:
La información personal es propiedad de las personas, esto significa que cualquier aplicación o plataforma que almacene esta información, lo que hace es custodiar la propiedad de las personas y no podría compartir o negociar esta información sin tener la autorización de su propietario.
En una HealthTech se pueden tener los cuidados al crear los productos o servicios pero ¿cómo se garantiza esto a sus usuarios, clientes o aliados comerciales?
Aquí es donde entran las medidas que usted puede tomar para proteger la continuidad de su empresa:
Los modelos tradicionales de consultoría tienen tendencia a ser caros, lentos y complicados por involucrar procesos gestionados manualmente, Las StartUps deben buscar soluciones más ágiles que les permitan cumplir con todo lo que se requiere de la forma más rápida y sencilla posible, las empresas como WhiteJaguars poseen servicios creados justamente para estos escenarios, desde pruebas de penetración, la gestión automatizada de vulnerabilidades basada en plataformas creadas para DevSecOps, certificación de aplicaciones y programas de capacitación y mucho más.
Ya muchas StartUps en LATAM y Silicon Valley utilizan los servicios de WhiteJaguars para proteger su futuro, cumplir con regulaciones y crear acuerdos comerciales de forma rápida y sencilla. Nuestro equipo es continuamente capacitado en marcos y regulaciones debido a que nuestros reportes son aprobados como evidencia para HIPAA, PCI-DSS, FISMA, SOC2 y otros.