Mejores prácticas de gestión de riesgos de datos para la atención médica

Por qué la gestión del riesgo de datos es fundamental en la atención médica impulsada por IA

Las organizaciones de atención médica que trabajan para aprovechar las herramientas de IA y el análisis predictivo a menudo están ampliando el uso de la nube, el acceso remoto y los servicios digitales, todo lo cual aumenta la complejidad de proteger los datos de los pacientes.

“La IA no puede funcionar eficazmente sin acceso a conjuntos de datos fiables y de alta calidad”, afirma Shannon Murphy, gerente sénior de seguridad global y estrategia de riesgos de Trend Micro . “Pero cuantos más datos se le proporcionen, mayor será la superficie de riesgo que se genere”.

Advierte que las estrategias de gestión de riesgos deben evolucionar al mismo ritmo que estas ambiciones, porque la IA crea más oportunidades de exposición con cada nueva herramienta o punto final.

Henry Vernov, gerente principal de productos de atención médica en Citrix , refuerza la urgencia de reducir los puntos de exposición, en particular en entornos donde los médicos y el personal acceden a sistemas sensibles desde múltiples dispositivos o ubicaciones.

“Cuando los datos de los pacientes se mueven entre dispositivos, aplicaciones y nubes, cada paso introduce un riesgo si no está protegido a nivel del espacio de trabajo”, afirma.

Para las organizaciones de atención médica que implementan IA en múltiples flujos de trabajo clínicos , la integridad y la protección de esos intercambios de datos son primordiales.

LEER MÁS: Aproveche los datos y la IA para obtener mejores resultados en materia de atención médica.

Desafíos de datos que enfrentan las organizaciones de atención médica

Las organizaciones sanitarias se enfrentan a cuatro desafíos fundamentales en lo que respecta a los datos, afirma Nicholas Jackson, director de servicios de ciberseguridad de Bitdefender . Estos incluyen sistemas heredados fragmentados, realidades operativas que generan riesgos inusuales, datos altamente sensibles y una gran carga de cumplimiento normativo.

“Los entornos sanitarios se basan en una combinación de infraestructura obsoleta y herramientas más modernas de diversos proveedores”, afirma. Estos sistemas a menudo no se comunican bien, lo que crea silos de datos y estándares inconsistentes que dificultan la integración y la gobernanza.

Jackson señala que en un entorno crítico como un quirófano, a menudo resulta poco práctico que cada médico inicie sesión en sus cuentas personales en medio de un procedimiento.

“El acceso compartido o genérico a veces se utiliza por necesidad, lo que aumenta los riesgos en torno a la integridad de los datos, las amenazas internas y la rendición de cuentas”, afirma.

Mientras tanto, la HIPAA, el Reglamento General de Protección de Datos y otros mandatos exigen un control estricto sobre los datos de salud.

“Aplicarlos de manera consistente en sistemas fragmentados en entornos locales y en la nube, junto con las diversas prácticas de los usuarios, es un desafío continuo e importante”, afirma Jackson.

Adam Winston, director de tecnología de campo de WatchGuard , dice que las políticas que rigen el uso de aplicaciones de IA deben implementarse internamente dentro de las organizaciones.

“Las herramientas de propósito general que emplean los usuarios finales no deben utilizarse para procesar o cargar información médica protegida o propiedad intelectual; en su lugar, busque productos diseñados específicamente que cumplan con las normas HIPAA o estén diseñados para automatizar algunas de estas tareas”, afirma.

Jackson dice que las organizaciones deberían comenzar por clasificar y mapear sus datos: "Si no sabes qué tienes o dónde residen, estás operando a ciegas".

“A partir de ahí, integre la privacidad y la seguridad (como la protección de endpoints y la detección y respuesta extendidas ) en sus sistemas desde el principio, no como una idea de último momento”, afirma.

Las evaluaciones de riesgos periódicas, los controles de acceso estrictos , el cifrado y la capacitación continua del personal (no una vez al año) deberían ser prácticas estándar.

“Estos no son opcionales; deberían considerarse obligatorios para proteger datos de salud confidenciales y son elementos clave de la gestión de la seguridad”, afirma Jackson.

RELACIONADO: Esto es lo que los líderes de TI en el sector de la salud necesitan saber sobre la gestión de riesgos de terceros.

Alineando la gestión de riesgos con la innovación y el cumplimiento

Desde la perspectiva de Murphy, los beneficios del ingenio y la adopción de la IA en la industria de la salud parecen superar los riesgos.

“Me siento sumamente alentada por la innovación que se está produciendo en mi segmento de clientes del sector salud, incluyendo hospitales de investigación y hospitales afiliados a universidades”, afirma. “Estas instituciones no están siendo arrogantes en su adopción, pero sí están siendo increíblemente agresivas”.

Desde el punto de vista operativo y teniendo en cuenta la ciberseguridad, contar con una gestión de la postura de seguridad de los datos durante todo el ciclo de vida genera dos resultados positivos: menor potencial de infracciones y experiencias de IA más fluidas.

“La gestión de riesgos es una estrategia proactiva, y la proactividad permite mantenerse a la vanguardia”, afirma Murphy. “Es una estrategia filosófica que puede extenderse a las prácticas de seguridad y cumplimiento desde las prácticas de innovación”.

De esta manera, afirma, la seguridad es un facilitador masivo de la innovación, permitiendo a las organizaciones avanzar con rapidez y seguridad, con menos deuda técnica.

Jackson agrega que cuando los marcos de riesgo se integran temprano en las fases de diseño y desarrollo, favorecen una innovación más rápida y segura.

“El cumplimiento se convierte en un resultado natural, no en un lío de última hora, lo que reduce los dolores de cabeza y los desafíos a largo plazo”, afirma. “El objetivo siempre debe ser que la seguridad, la gestión de riesgos y el cumplimiento trabajen en conjunto sin problemas, no como operaciones separadas”.