• Tweet

Health Net Inc. anunció el miércoles que se encuentra investigando una violación en la seguridad de la información que dio como resultado la perdida de datos de los pacientes, lo cual afectó aproximadamente 1.5 millones de clientes.

Woodland Hills, proveedor de servicios de salud dijo que los archivos perdidos es una mezcla entre los datos médicos, número de seguridad social y otra información personal, todos estos datos fueron recogidos de los registros de los últimos siete años y estaban contenidos es una unidad externa la cual fue perdida hacer seis meses. La compañía dijo que los datos médicos no fueron cifrados, pero el formato de imágenes requiere una aplicación de software específica para ser vista. El disco duro contenía datos de 446,000 pacientes.

La compañía reportó la violación de los datos el miércoles en las oficinas generales de Abogados del Estado de Arizona, Nueva Jersey y Nueva York, Health Net informó que estaba comenzando el proceso de notificación sobre la violación de la información a sus clientes por medio de envíos de cartas. La compañía dijo que espera enviar las cartas de notificación a más tardar el día 30 de noviembre.

El fiscal general de Connecticut, Richard Blimenthal dijo que estaba investigando el asunto y porqué se tomó Health Net seis meses en reportar la violación de la información.

“Mi investigación tratará de establecer que sucedió y porqué la compañía mantiene a sus clientes en un estado de obscuridad por tanto tiempo,” Blumenthal dijo en un comunicado. “La falla de la empresa en salvaguardar información sensible e informar a sus clientes de la perdida de la información, deja en desnudo el robo de identidad, podrían haber violado leyes estatales y federales.

Blumenthal dijo que los discos duros también contenían información financiera, incluidos números de cuentas bancarias. Él está tratando buscar una cobertura integran sobre la protección en cuanto al robo de información para los clientes afectados.

Health Net ofrece una cobertura médica aproximadamente de 6.6 millones de personas y sus filiales operan en los 50 estados. En un comunicando, la compañía dijo que el robo de información tuvo lugar en las oficinas de Connecticut. Hasta ahora no ha habido ningún reporte de fraude vinculado con los datos faltantes.

“Health Net ofrecerá un monitoreo de crédito por más de dos años, gratuitamente, a todos los miembros quienes elijan este servicio y prestarán asistencia a cualquier miembro informen sobre alguna actividad sospechosa, robo de identidad o fraude médico entre mayo del 2009 a la fecha de suscripción con el servicio de protección de identidad,” dijo la compañía.

Es la segunda ocasión en un mes que un proveedor de servicios de salud pierde los datos de sus clientes. Anthem Blue Cross y Blue Shield of Connectictut reporte un equipo portátil robado el cual fue el culpable de una violación de seguridad personal de 850,000 doctores, terapeutas y otros profesionales de la salud.

Expertos en seguridad han sido durante mucho tiempo defensores de las empresas y tratan de implementar el cifrado en equipos portátiles y otros dispositivos que contienen datos sensibles. Sin embargo, con toda la tecnología del mundo no acabarán los errores de los empleados y la falta de cuidado, dijo Mike Rothman analista de Security Incite.

“Puedes hacer un cifrado del disco completo y todo tipo de cosas para proteger tus dispositivos, pero siguen siendo procesos sofisticados para un usuario común, “ dijo Rothman. “Hay que iniciar haciendo preguntas desde el punto de vista de procesos, primero el porqué este material estaba en una unidad externa en primer lugar.”

En realidad podrías desactivar todos los dispositivos USB de los equipos pero podría obstaculizarse la productividad de los empleados, dijo Rothman. La seguridad regresa haciendo seguros los procesos y políticas, así como la sensibilización de los empleados para entender que políticas existen y que procesos hay para una auditoría, dijo.

Expertos dicen que el cifrado debería ser utilizado como último recurso, cuando todas las políticas y procesos fallan. Aunque muchas empresas se han centrado sobre el cifrado de equipos portátiles al final, el cifrado puede ser un poco más complicado para equipos portátiles y otros medios removibles. Si la unidad está siendo compartida por diferentes sistemas las personas necesitan tener alguna forma de acceder a la clave, dijo Ramon Krikken, analista de Burton Group.

“Muchos de estos discos duros portátiles son más antiguos por lo tanto carecen de cifrado integrado y a medida que esto se extiendo el cifrado sigue siendo un reto para las empresas”, dijo Krikken.

Algunos fabricantes de dispositivos USB incorporan un software de cifrado. En el 2008 Seate Technology agregó la tecnología de cifrado en todos los discos duros de la empresa. La compañía además comenzó a presionar con normas de cifrado en discos duros de almacenamiento.

Nagraj Seshadri, director de marketing de Ultimaco división de software de cifrado de Sophos Plc, dijo que las organizaciones de salud necesita ser tan responsables como las empresas financieras cuando se trata de protección de datos.

Health Insurance Portability y Accoutability Act a principios de esta año con la promulgación de la tecnología de la información en salud por la clínica Heath Act, impuso requisitos de notificación en las empresas de salud la cual incluye multas por no notificar a las posibles víctimas de una violación de información. El departamento de Salud y Servicios Humanos publicó también un guía para el cifrado de información de salud.

Mientras el cifrado llega a ser complicado en los centros de datos donde la velocidad es lo más importante, las organizaciones de riesgo están invirtiendo en el cifrado como nunca antes, dijo Seshadri.

“Cualquier compañía responsable podría haber hecho algún tipo de evaluación de riesgo y determinar donde se almacena la información de salud la cual necesita tener un plan de seguridad, pues es un paso fundamental,” dijo Seshadri. “Este incidente refleja que algo esta pasando a través de grietas.”