SlideShare una empresa de Scribd logo

Violación de Datos - Sector Salud (Capitulo I)

Giovani Becerra
Giovani Becerra

NEWSLETTER 22FEB2020 "Brechas de Seguridad y Fuga de Información" La gran mayoría de las instituciones del Sector Salud procesan y almacenan información de la salud de los pacientes, que se compone de datos sensibles de los pacientes como historial médico, fichas, números de seguros, datos financieros personales y mas. Sin duda, esta información sensible atrae gran atención de los “Malos Actores” (ciberdelincuentes) que tienen como objetivo explotarlos para obtener un beneficio económico.

1 de 15
Descargar para leer sin conexión
Giovani Becerra Violación de Datos Sector Salud Capítulo I
Brechas de Seguridad y Fuga de Información NEWSLETTER 22FEB2020 Giovani Becerra Cerda CEO & Owner | Inntesec M : +569 8921 7125 E  : gbecerra@inntesec.com W : www.inntesec.com
La gran mayoría de las instituciones del Sector Salud procesan y almacenan infor- mación de la salud de los pacientes, que se compone de datos sensibles de los pa- cientes como historial médico, fichas, nú- meros de seguros, datos financieros perso- nales y más. Sin duda, esta información sensible atrae gran atención de los “Ma- los Actores” (ciberdelincuentes) que tie- nen como objetivo explotarlos para obte- ner un beneficio económico. Según un reporte sobre violaciones (bre- chas) de seguridad y de datos en el Sec- tor Salud realizado por “Bitglass” analiza los datos del "Muro de la vergüenza" del Departamento de Salud de los Estados Unidos. La base de datos incluye la infor- mación de salud de los pacientes y que di- chas violaciones que en conjunto afecta- ron a más de 27 millones de personas. Estas violaciones se dividen en las siguien- tes categorías: 1. Incidentes de hacking y de TI: Viola- ciones de seguridad relacionados con “Malos Actores” (hackers) y con una seguridad TI inadecuada. 2. Acceso no autorizado o exposición: Acceso total no autorizado y divulga- ción de información médica protegida. 3. Pérdida o robo: Violaciones de seguri- dad causados por la pérdida o el robo de dispositivos EndPoint. Otros: Varias violaciones y fugas relaciona- das con elementos como la eliminación inadecuada de los datos. Hallazgos Claves A pesar de la disminución del número de violaciones por año, el recuento de las violaciones alcanzadas en el Sector Sa- lud llegó a 386 en 2019, un aumento del 33% desde 2018 (290). El promedio de personas afectadas por cada violación alcanzó 71.311 en 2019, casi el doble que en 2018 (39.739). El número total de exfiltración de regis- tros se ha duplicado con creces cada año; de 4,7 millones en 2017 a 11,5 millo- nes en 2018, y a 27,5 millones en 2019. Los incidentes de hacking y de TI (60,6%) fueron la principal causa de viola- ciones en el Sector Salud en 2019, un au- mento dramático desde el 45,8% en 2018. Los dispositivos EndPoint perdidos y ro- bados provocan cada vez menos violacio- nes cada año, pasando de 148 en 2014 a 42 en 2019. 2
En 2019, los incidentes provocados por los “Malos Acto- res” (hackers) y los incidentes de seguridad TI provoca- ron el 60,6% de las violaciones en el Sector Salud. En rela- ción con otras causas de violaciones, esta categoría impactó a un porcentaje excesivo de personas (86,7%), lo que signifi- ca que estas fugas fueron mayores en promedio. Cerca de 24 millones de personas afectadas por violaciones en el sector salud vieron su información expuesta por incidentes de hacking y de TI, mientras que todas las demás categorías combinadas afectaron a 3,6 millones. Esto significa que el he- cho de no proteger los datos en los entornos de TI puede per- mitir infracciones a gran escala. Análisis de Violación de Datos 2019 3
Aunque los dispositivos EndPoint perdidos y robados pueden haber sido las principales razones de las violaciones en 2014, las amenazas que prevalecen hoy en día con mayor fuerza son el Hacking y los Incidentes de seguridad TI. Estas cate- gorías, cuyo impacto han ido creciendo cada año, aumenta- ron exponencialmente en 2019. A medida que las organizacio- nes sigan adoptando la migración a la nube y la transforma- ción digital, es probable que esta tendencia continúe. Por ello, las organizaciones del Sector Salud deben aprovechar las herramientas adecuadas para proteger con éxito los regis- tros de los pacientes y responder al creciente volumen de amenazas a sus ecosistemas de TI. 23.862.875 fueron los incidentes de Hacking y de TI, afecta- ron a más personas que cualquier otra causa de violaciones en 2019 (como lo han hecho cada año desde 2015). Las Violaciones de Seguridad aumentan año tras año 4
Según datos del Instituto Ponemon, el costo por registro de una violación de datos en el Sector Salud ascendió a USD 429 en 2019. Este es el costo por registro mas alto de cual- quier industria, el Sector Financiero se encuentra en segundo lugar con un costo por registro de USD 210 y el Sector Go- bierno se encuentra en el último lugar con un costo por regis- tro de USD 78. Además, USD 429 representan un aumento del 3,5% con respecto a 2018 y un aumento del 11,4% desde 2017. El problema anterior se agrava por el hecho de que las Insti- tuciones del Sector Salud tardaron un promedio de 236 días en identificar las violaciones de datos (es el tiempo más largo para cualquier industria) y un promedio de 93 días en conte- nerlas (también el tiempo más largo para cualquier industria). Combinando el costo por registro de una violación de datos y el número total de registros expuestos, se puede calcular el costo total de violación del Sector Salud para cada año. Co- mo se muestra aquí, se pierden miles de millones de dóla- res anualmente debido a una ciberseguridad inadecuada en el Sector Salud. Como se puede ver a continuación, el nú- mero de violaciones, así como el costo total en 2019 más que se duplicó desde 2018. El Costo de las Violaciones de Datos en 2019 5
Legislación y Realidad Chilena Modificaciones posteriores a la promulgación de la Ley 19.628 La Ley 19.628 ha sido objeto de una serie de modificaciones. La mayoría de estas han tenido por objeto remediar ciertas si- tuaciones de discriminación o vulneración que sufrían las personas debido al tráfico de sus datos personales por parte de em- presas. Sin embargo, ninguna de estas modificaciones supuso una reforma inte- gral a la ley, ni se abocó a suplir de mane- ra general algunas de sus falencias estruc- turales. Es por esto que pueden ser catalo- gadas como “leyes parche”. Ley 20.575 Promulgada el 14 de febrero de 2012, es quizás la modificación más importante que ha sufrido la Ley 19.628. La ley cuen- ta con dos partes: los artículos 1o a 6o constituyen un cuerpo normativo indepen- diente, mientras que los artículos 7o y 8o 7
modifican la Ley 19.628. El principal méri- to de esta ley fue consagrar en la legisla- ción chilena el principio de finalidad, anali- zado más adelante. Vale la pena mencio- nar que esta legislación tuvo el propósito expreso de evitar el abuso en el tratamien- to de datos personales por parte de distin- tas entidades, al punto que la prensa la de- nominó como “Ley DICOM” (El Mostrador, 2012), en alusión a las prácticas de quie- nes utilizaban los datos consignados en Equifax, heredera de la antigua empresa dedicada al tratamiento de datos e infor- mación de carácter comercial. Categorías de datos y defini- ción de banco de datos en la Ley 19.628 Como es común en la legislación compara- da sobre datos personales, la Ley 19.628 contempla la definición de ciertos concep- tos, incluyendo las distintas acepciones de “datos”. Siguiendo a Cerda (2012), “da- to” puede ser entendido como una “uni- dad básica de información cuando la infor- mación que porta el dato es relativa a una persona determinada o susceptible de ser- lo, se denomina dato personal o dato nomi- nativo, esto es, una unidad de información que se predica de persona determinada o determinable”. La ley define cuatro categorías de datos: 1. Dato de carácter personal o datos personales: “son aquellos relativos a cualquier información concerniente a personas naturales, identificadas o identificables”. 2. Datos sensibles: “aquellos datos per- sonales que se refieren a las caracte- rísticas físicas o morales de las perso- nas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen ra- cial, las ideologías y opiniones políti- cas, las creencias o convicciones reli- giosas, los estados de salud físicos o psíquicos y la vida sexual”. 3. Dato caduco: “aquel que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma ex- presa, por el cambio de los hechos o circunstancias que consigna”. 4. Dato estadístico: “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable. Este último queda, por tanto, fuera del ámbito de aplicación de la ley”. 8
Calidad de los Datos Este principio se encuentra recogido en el inciso segundo del artículo 9 de la Ley 19.628, el que establece que la informa- ción los datos personales debe ser exac- ta, actualizada y responder con veracidad a la situación real de su titular. La contra- vención a esta obligación da lugar a que este solicite que los datos sean modifica- dos, bloqueados o eliminados. Protección especial de los da- tos sensibles El legislador ha optado por entregar un ni- vel especial de protección a ciertos datos personales que, en atención a su naturale- za, son considerados de carácter sensi- ble. Entre ellos se encuentran aquellos da- tos personales que se refieren a las carac- terísticas físicas o morales de las perso- nas, o a hechos o circunstancias de su vi- da privada o intimidad, tales como los há- bitos personales, el origen racial, las ideo- logías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Por lo mismo, la definición de dato perso- nal es de carácter amplio y la definición de dato sensible hace referencia a hechos o circunstancias relativas a la intimidad o la vida privada. El tratamiento de los datos sensibles es particularmente propenso a lesionar derechos fundamentales del afec- tado, situación por la cual el legislador ha optado por otorgarle un nivel de resguar- do mayor. Atendidas estas circunstancias, el legisla- dor decidió invertir la regla aplicable a los datos personales y establecer que el trata- miento de datos de carácter sensible se encuentra, en principio, prohibido. Solo tres excepciones establecidas expresa- mente por la ley permiten el tratamiento de este tipo de datos, a saber: (i) que la ley lo autorice, (ii) que exista consentimiento del titular, o (iii) que dichos datos sean necesa- rios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Seguridad de los datos Este principio se encuentra recogido en el artículo 11 de la Ley 19.628, que estable- ce la obligación del responsable de los re- gistros o bases donde se almacenen da- tos personales, de cuidar de ellos con la debida diligencia, haciéndose responsa- ble de los daños causados. Sin embargo, la ley no establece estándares de cuidado o medidas concretas que dichos responsa- bles deban tomar a fin de velar por la se- guridad de los datos o prevenir su daño. Por consiguiente, son los tribunales los lla- mados a definir, caso a caso, si se han to- 9
mado las medidas suficientes para cum- plir con dicho principio. Que información entrega el Sector Salud de Chile Al navegar por internet y buscar en las ma- yoría de las clínicas y hospitales los térmi- nos como; Ley de Datos Personales, Pro- tección de Datos, Seguridad de los Datos, Ciberseguridad o Seguridad de la Informa- ción es muy lamentable que no aparezca información sobre estos temas tan impor- tantes. Por otro lado al revisar el sitio web de Clínicas de Chile y buscar términos rela- cionados con Ley de Datos Personales, la verdad, es que no hay artículos e informa- ción relacionada, tampoco menciona con claridad sobre el Tratamiento que le dan a los Datos Personales o de la Ficha Clínica, la Protección Especial de los Datos Sensi- bles o la Seguridad de los Datos. Lo único que aparece en materia de Ciberseguri- dad es una entrevista realizada el 2018 al doctor José Fernández, gerente clínico de Rayen Salud quien explicó las medidas que las clínicas y hospitales pueden tomar para mitigar los riesgos de un ciberataque en salud. En entrevista con EmolTV, el doctor José Fernandez, médico cirujano y gerente clíni- co de Rayen Salud, afirmó que, en rela- ción a la Transformación Digital Sanitaria en Chile. “tenemos un gran avance respec- to a la región. Por lo menos en salud públi- ca el 90% de los centros de atención pri- maria están completamente digitalizados, eso quiere decir que cuentan con ficha clí- nica electrónica”. Ahora bien, agregó que “obviamente cuan- do uno va incorporando la ficha clínica electrónica, en donde se guarda informa- ción muy sensible, se debe ir incorporan- do también educación y tecnología, que cuiden la seguridad de lo que allí existe y en eso ha ido un poco más lento”. Lo anterior se produce, aseguró el espe- cialista, porque “en general los procesos de transformación digital son mas rápidos que los procesos normativos, legislativos o de educación social”. 10
Nuestra Visión de Cyber Security & Human Hacking Identifique a sus usuarios de alto riesgo Estos incluyen altos ejecutivos (CEO, Presi- dentes, Gerentes, Directores, Subgeren- tes, Jefaturas, Médicos), personal de recur- sos humanos, administrativos(as), enferme- ros(as), TI entre otras. Implemente más controles y seguridad en estas áreas, inclu- ya una revisión de los perfiles sociales y públicos para las tareas y descripciones del trabajo, información jerárquica, deta- lles fuera de la oficina o cualquier otro da- to corporativo sensible, e identifique cual- quier dirección de correo electrónico dis- ponible públicamente y listas de conexio- nes. Controles de seguridad La implementación de herramientas como la autenticación de dos factores, los filtros de correo electrónico (ATP) y la gestión de los niveles de acceso y permiso para to- dos los empleados son algunas de las for- 11
mas de garantizar que la organización ten- ga las defensas más altas posibles contra los “Malos Actores” (ciberdelincuentes). Establezca una política de se- guridad (ISO 27001/27002, NIST, HIPPA) Cada organización debe establecer una política de seguridad. La política debe revi- sarse constantemente con regularidad pa- ra identificar brechas (violaciones de da- tos) y asegurarse de que los empleados sigan la política. Debe incluir acciones simples como: 1. No abrir archivos adjuntos o hacer clic en enlaces de una fuente descono- cida. 2. No usar unidades USB en computa- dores de oficina. 3. Política de administración de contra- señas (sin reutilizar contraseñas, sin notas adhesivas en las pantallas como recordatorios de contraseña, etc.) 4. Requerir capacitación en seguridad para todos los empleados. 5. Revisar la política sobre acceso Wi- Fi. Incluya a los contratistas y socios como parte de esto si necesitan acce- so inalámbrico cuando están en el si- tio. Desarrollar procedimientos estándar Los equipos de TI deben tener procedi- mientos implementados para garantizar que haya un orden dentro de la organiza- ción. Los procedimientos recomendados de la organización deben incluir: 1. Hacer que el personal estudie la polí- tica de seguridad y la haga cumplir. 2. Establecer cómo se debe informar al liderazgo ejecutivo sobre las ciberame- nazas y su resolución. 3. Establecer un cronograma para pro- bar el plan de respuesta a incidentes de ciberseguridad. 4. Registrar tantos dominios de la com- pañía como sea posible que sean lige- ramente diferentes al dominio real de la compañía. Capacitación para todos los usuarios No importa cuán buenos sean sus pasos de prevención, las violaciones de datos 12
son inevitables. La educación del usuario juega un papel importante en minimizar los peligros del Fraude del CEO. Los me- jores programas de capacitación aprove- chan la educación del usuario para garanti- zar que se eviten las amenazas. La educación continua sobre posibles tác- ticas de fraude de CEO es lo único que puede equipar a los usuarios para mante- nerse a salvo de estos ataques. La capaci- tación sobre la concientización de seguri- dad de la nueva escuela puede ayudar a sus empleados a identificar estafas de phishing instintivamente. Inntesec Security Awareness Services El eslabón más débil e importante en la ca- dena de seguridad son las personas, don- de, los “errores humanos” son una puer- ta de entrada para los ataques, esta situa- ción advierte sobre la importancia de avan- zar con un cambio cultural al interior de las organizaciones. Buscamos crear con- ciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una or- ganización es clave en esta transforma- ción para llevarlo a un nivel de Human Fi- rewall. Para lograr este objetivo nos basa- mos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS). Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más ade- cuada, ya que los “Malos Actores” (ciber- delincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millona- rias. “Está demostrado que la tecnología por sí sola no es suficiente”. Cabe destacar que el costo promedio de pérdidas económicas que provocaron los “Malos Actores” (ciberdelincuentes) a las organizaciones en los últimos años supe- ran los USD 2.500.000 y el costo prome- dio de una violación de datos es de USD 500.000. A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprende- rán a conocer y gestionar mejor los ries- gos de seguridad por concepto de Hu- man Hacking con relación a; social engi- neering, phishing, spear phishing, spoo- fing, ransomware, ATP. La capacitación de los empleados es el primer paso para pre- venir las brechas de seguridad y estable- 13
cer una estrategia de concientización en ciberseguridad e ingeniería social. Implementar un Programa de Concienti- zación de Ciberseguridad es clave, nues- tra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola desde un 60% de probabilidad real que sea víctima de un fraude, suplan- tación de identidad o data breach a me- nos de un 10% totalmente medible, dicho programa incluye: 1. Charlas de Concientización sobre Cyber Security para altos ejecutivos y usuarios en general. 2. e-Learning a través de Newsletter, Vi- deos Educativos y Videos de Entrena- miento Interactivos en materia de Cyber Security, con entrega de certifi- cado para los usuarios que han pasa- do satisfactoriamente el curso e-Lear- ning. 3. Simulador de Ataques Ethical Phishing, Vishing, USB Attack, Social Engineering y mucho más. Nos puedes contactar escribiéndonos a ventas@inntesec.com o bien llamando al +569-8921-7125 para coordinar una reu- nión y programar una prueba de concepto (PoC). Fuente: Bitglass, Derechos Digitales, Clíni- cas de Chile, Inntesec. 14

Recomendados

Las implicaciones jurídicas de la mHealth
Las implicaciones jurídicas de la mHealthLas implicaciones jurídicas de la mHealth
Las implicaciones jurídicas de la mHealth
COM SALUD
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
Jhon Jairo Hernandez
 
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
genesismarialyortiz
 
Seminario 5
Seminario 5Seminario 5
Seminario 5
macagr2
 
Hacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidadHacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidad
Fabián Descalzo
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datos
ezegn
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacion
KeinerDuvanMirandaPi
 
Ponencia XIII Congreso Derecho Informatico, Lima
Ponencia XIII Congreso Derecho Informatico, LimaPonencia XIII Congreso Derecho Informatico, Lima
Ponencia XIII Congreso Derecho Informatico, Lima
RominaGarrido
 

Recomendados

Las implicaciones jurídicas de la mHealth
Las implicaciones jurídicas de la mHealthLas implicaciones jurídicas de la mHealth
Las implicaciones jurídicas de la mHealth
COM SALUD
 
Ley 1581 swat
Ley 1581 swatLey 1581 swat
Ley 1581 swat
Jhon Jairo Hernandez
 
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
GenesisOrtiz-DI.pptx.Aplicación de la ley contra delitos informáticos en el S...
genesismarialyortiz
 
Seminario 5
Seminario 5Seminario 5
Seminario 5
macagr2
 
Hacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidadHacia un modelo de seguridad y privacidad
Hacia un modelo de seguridad y privacidad
Fabián Descalzo
 
Protección de Datos
Protección de DatosProtección de Datos
Protección de Datos
ezegn
 
Manual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacionManual procedimiento politica_y_tratamiento_de_la_informacion
Manual procedimiento politica_y_tratamiento_de_la_informacion
KeinerDuvanMirandaPi
 
Ponencia XIII Congreso Derecho Informatico, Lima
Ponencia XIII Congreso Derecho Informatico, LimaPonencia XIII Congreso Derecho Informatico, Lima
Ponencia XIII Congreso Derecho Informatico, Lima
RominaGarrido
 
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Propertyrights de Colombia Ltda.
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
Marrugo Rivera & Asociados
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
Juan Carlos Carrillo
 
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
Hernando Bernal Algecira
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat Webinar
CISObeat
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
anettnegreiros
 
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Emisor Digital
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Karla Pamela Galán Santana
 
Acta seguridad Lecturas
Acta seguridad LecturasActa seguridad Lecturas
Acta seguridad Lecturas
virydiana tellez hernandez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Perla Dguez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Seguridad y privacidad
Seguridad y privacidadSeguridad y privacidad
Seguridad y privacidad
montserrat bermudez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Sheccid Teresa Ibañez Rivas
 
Seguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosSeguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticos
Fatima Velazquez Gonzalez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
julissa casas
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
sinai flores
 
Las tics
Las ticsLas tics
Las tics
Kenia Amador
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Margarita Silva Reina
 
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
ROCIORUIZQUEZADA
 

Más contenido relacionado

Similar a Violación de Datos - Sector Salud (Capitulo I)

Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...
Propertyrights de Colombia Ltda.
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
Marrugo Rivera & Asociados
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
Juan Carlos Carrillo
 
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
Hernando Bernal Algecira
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat Webinar
CISObeat
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
anettnegreiros
 
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Emisor Digital
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Karla Pamela Galán Santana
 
Acta seguridad Lecturas
Acta seguridad LecturasActa seguridad Lecturas
Acta seguridad Lecturas
virydiana tellez hernandez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Perla Dguez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Seguridad y privacidad
Seguridad y privacidadSeguridad y privacidad
Seguridad y privacidad
montserrat bermudez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Sheccid Teresa Ibañez Rivas
 
Seguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosSeguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticos
Fatima Velazquez Gonzalez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Majo Lopez
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
julissa casas
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
sinai flores
 
Las tics
Las ticsLas tics
Las tics
Kenia Amador
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
Margarita Silva Reina
 

Similar a Violación de Datos - Sector Salud (Capitulo I) (20)

Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...Marco legal de la privacidad, identidad digital y la protección de datos pers...
Marco legal de la privacidad, identidad digital y la protección de datos pers...
 
Sancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en ColombiaSancion por Habeas Data a Colmedica en Colombia
Sancion por Habeas Data a Colmedica en Colombia
 
Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2Ley y ofrecimiento de privacidad de datos v2
Ley y ofrecimiento de privacidad de datos v2
 
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
HB_La importancia_de_la protección_de_datos_personales_y_la_confidencialidad_...
 
Ciberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat WebinarCiberseguridad en el Sector Salud | CISObeat Webinar
Ciberseguridad en el Sector Salud | CISObeat Webinar
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
Presentación del abogado Fernando Fernández en Websense Data Protection Roads...
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad Lecturas
Acta seguridad LecturasActa seguridad Lecturas
Acta seguridad Lecturas
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Seguridad y privacidad
Seguridad y privacidadSeguridad y privacidad
Seguridad y privacidad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Seguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticosSeguridad y privacidad en los sistemas informaticos
Seguridad y privacidad en los sistemas informaticos
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 
Las tics
Las ticsLas tics
Las tics
 
Acta seguridad
Acta seguridadActa seguridad
Acta seguridad
 

Último

Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
EleNoguera
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
ROCIORUIZQUEZADA
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
Mónica Sánchez
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
VeronicaCabrera50
 
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxSEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
Osiris Urbano
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
saradocente
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
ginnazamudio
 
Presentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdfPresentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdf
eleandroth
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
JAVIER SOLIS NOYOLA
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
ViriEsteva
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
Demetrio Ccesa Rayme
 
La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
JonathanCovena1
 
Power Point: El conflicto inminente (Bosquejo)
Power Point: El conflicto inminente (Bosquejo)Power Point: El conflicto inminente (Bosquejo)
Power Point: El conflicto inminente (Bosquejo)
https://gramadal.wordpress.com/
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
JimmyDeveloperWebAnd
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
shirherrer
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
israelsouza67
 
Business Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business TechBusiness Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business Tech
johnyamg20
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
acgtz913
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
karlafreire0608
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
josseanlo1581
 

Último (20)

Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdfCarnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
Carnavision: anticipa y aprovecha - hackathon Pasto2024 .pdf
 
1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos1° T3 Examen Mtro JP 23-24.pdf completos
1° T3 Examen Mtro JP 23-24.pdf completos
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
 
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdfAPUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
APUNTES UNIDAD I ECONOMIA EMPRESARIAL .pdf
 
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptxSEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
SEMIOLOGIA DE HEMORRAGIAS DIGESTIVAS.pptx
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
 
Presentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdfPresentación simple corporativa degradado en violeta blanco.pdf
Presentación simple corporativa degradado en violeta blanco.pdf
 
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...
 
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdfMundo ABC Examen 1 Grado- Tercer Trimestre.pdf
Mundo ABC Examen 1 Grado- Tercer Trimestre.pdf
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
 
La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
 
Power Point: El conflicto inminente (Bosquejo)
Power Point: El conflicto inminente (Bosquejo)Power Point: El conflicto inminente (Bosquejo)
Power Point: El conflicto inminente (Bosquejo)
 
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdfCompartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
Compartir p4s.co Pitch Hackathon Template Plantilla final.pptx-2.pdf
 
200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural200. Efemerides junio para trabajar en periodico mural
200. Efemerides junio para trabajar en periodico mural
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
 
Business Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business TechBusiness Plan -rAIces - Agro Business Tech
Business Plan -rAIces - Agro Business Tech
 
efemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptxefemérides del mes de junio 2024 (1).pptx
efemérides del mes de junio 2024 (1).pptx
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
 

Violación de Datos - Sector Salud (Capitulo I)

  • 1. Giovani Becerra Violación de Datos Sector Salud Capítulo I
  • 2. Brechas de Seguridad y Fuga de Información NEWSLETTER 22FEB2020 Giovani Becerra Cerda CEO & Owner | Inntesec M : +569 8921 7125 E  : gbecerra@inntesec.com W : www.inntesec.com
  • 3. La gran mayoría de las instituciones del Sector Salud procesan y almacenan infor- mación de la salud de los pacientes, que se compone de datos sensibles de los pa- cientes como historial médico, fichas, nú- meros de seguros, datos financieros perso- nales y más. Sin duda, esta información sensible atrae gran atención de los “Ma- los Actores” (ciberdelincuentes) que tie- nen como objetivo explotarlos para obte- ner un beneficio económico. Según un reporte sobre violaciones (bre- chas) de seguridad y de datos en el Sec- tor Salud realizado por “Bitglass” analiza los datos del "Muro de la vergüenza" del Departamento de Salud de los Estados Unidos. La base de datos incluye la infor- mación de salud de los pacientes y que di- chas violaciones que en conjunto afecta- ron a más de 27 millones de personas. Estas violaciones se dividen en las siguien- tes categorías: 1. Incidentes de hacking y de TI: Viola- ciones de seguridad relacionados con “Malos Actores” (hackers) y con una seguridad TI inadecuada. 2. Acceso no autorizado o exposición: Acceso total no autorizado y divulga- ción de información médica protegida. 3. Pérdida o robo: Violaciones de seguri- dad causados por la pérdida o el robo de dispositivos EndPoint. Otros: Varias violaciones y fugas relaciona- das con elementos como la eliminación inadecuada de los datos. Hallazgos Claves A pesar de la disminución del número de violaciones por año, el recuento de las violaciones alcanzadas en el Sector Sa- lud llegó a 386 en 2019, un aumento del 33% desde 2018 (290). El promedio de personas afectadas por cada violación alcanzó 71.311 en 2019, casi el doble que en 2018 (39.739). El número total de exfiltración de regis- tros se ha duplicado con creces cada año; de 4,7 millones en 2017 a 11,5 millo- nes en 2018, y a 27,5 millones en 2019. Los incidentes de hacking y de TI (60,6%) fueron la principal causa de viola- ciones en el Sector Salud en 2019, un au- mento dramático desde el 45,8% en 2018. Los dispositivos EndPoint perdidos y ro- bados provocan cada vez menos violacio- nes cada año, pasando de 148 en 2014 a 42 en 2019. 2
  • 4. En 2019, los incidentes provocados por los “Malos Acto- res” (hackers) y los incidentes de seguridad TI provoca- ron el 60,6% de las violaciones en el Sector Salud. En rela- ción con otras causas de violaciones, esta categoría impactó a un porcentaje excesivo de personas (86,7%), lo que signifi- ca que estas fugas fueron mayores en promedio. Cerca de 24 millones de personas afectadas por violaciones en el sector salud vieron su información expuesta por incidentes de hacking y de TI, mientras que todas las demás categorías combinadas afectaron a 3,6 millones. Esto significa que el he- cho de no proteger los datos en los entornos de TI puede per- mitir infracciones a gran escala. Análisis de Violación de Datos 2019 3
  • 5. Aunque los dispositivos EndPoint perdidos y robados pueden haber sido las principales razones de las violaciones en 2014, las amenazas que prevalecen hoy en día con mayor fuerza son el Hacking y los Incidentes de seguridad TI. Estas cate- gorías, cuyo impacto han ido creciendo cada año, aumenta- ron exponencialmente en 2019. A medida que las organizacio- nes sigan adoptando la migración a la nube y la transforma- ción digital, es probable que esta tendencia continúe. Por ello, las organizaciones del Sector Salud deben aprovechar las herramientas adecuadas para proteger con éxito los regis- tros de los pacientes y responder al creciente volumen de amenazas a sus ecosistemas de TI. 23.862.875 fueron los incidentes de Hacking y de TI, afecta- ron a más personas que cualquier otra causa de violaciones en 2019 (como lo han hecho cada año desde 2015). Las Violaciones de Seguridad aumentan año tras año 4
  • 6. Según datos del Instituto Ponemon, el costo por registro de una violación de datos en el Sector Salud ascendió a USD 429 en 2019. Este es el costo por registro mas alto de cual- quier industria, el Sector Financiero se encuentra en segundo lugar con un costo por registro de USD 210 y el Sector Go- bierno se encuentra en el último lugar con un costo por regis- tro de USD 78. Además, USD 429 representan un aumento del 3,5% con respecto a 2018 y un aumento del 11,4% desde 2017. El problema anterior se agrava por el hecho de que las Insti- tuciones del Sector Salud tardaron un promedio de 236 días en identificar las violaciones de datos (es el tiempo más largo para cualquier industria) y un promedio de 93 días en conte- nerlas (también el tiempo más largo para cualquier industria). Combinando el costo por registro de una violación de datos y el número total de registros expuestos, se puede calcular el costo total de violación del Sector Salud para cada año. Co- mo se muestra aquí, se pierden miles de millones de dóla- res anualmente debido a una ciberseguridad inadecuada en el Sector Salud. Como se puede ver a continuación, el nú- mero de violaciones, así como el costo total en 2019 más que se duplicó desde 2018. El Costo de las Violaciones de Datos en 2019 5
  • 7.
  • 8. Legislación y Realidad Chilena Modificaciones posteriores a la promulgación de la Ley 19.628 La Ley 19.628 ha sido objeto de una serie de modificaciones. La mayoría de estas han tenido por objeto remediar ciertas si- tuaciones de discriminación o vulneración que sufrían las personas debido al tráfico de sus datos personales por parte de em- presas. Sin embargo, ninguna de estas modificaciones supuso una reforma inte- gral a la ley, ni se abocó a suplir de mane- ra general algunas de sus falencias estruc- turales. Es por esto que pueden ser catalo- gadas como “leyes parche”. Ley 20.575 Promulgada el 14 de febrero de 2012, es quizás la modificación más importante que ha sufrido la Ley 19.628. La ley cuen- ta con dos partes: los artículos 1o a 6o constituyen un cuerpo normativo indepen- diente, mientras que los artículos 7o y 8o 7
  • 9. modifican la Ley 19.628. El principal méri- to de esta ley fue consagrar en la legisla- ción chilena el principio de finalidad, anali- zado más adelante. Vale la pena mencio- nar que esta legislación tuvo el propósito expreso de evitar el abuso en el tratamien- to de datos personales por parte de distin- tas entidades, al punto que la prensa la de- nominó como “Ley DICOM” (El Mostrador, 2012), en alusión a las prácticas de quie- nes utilizaban los datos consignados en Equifax, heredera de la antigua empresa dedicada al tratamiento de datos e infor- mación de carácter comercial. Categorías de datos y defini- ción de banco de datos en la Ley 19.628 Como es común en la legislación compara- da sobre datos personales, la Ley 19.628 contempla la definición de ciertos concep- tos, incluyendo las distintas acepciones de “datos”. Siguiendo a Cerda (2012), “da- to” puede ser entendido como una “uni- dad básica de información cuando la infor- mación que porta el dato es relativa a una persona determinada o susceptible de ser- lo, se denomina dato personal o dato nomi- nativo, esto es, una unidad de información que se predica de persona determinada o determinable”. La ley define cuatro categorías de datos: 1. Dato de carácter personal o datos personales: “son aquellos relativos a cualquier información concerniente a personas naturales, identificadas o identificables”. 2. Datos sensibles: “aquellos datos per- sonales que se refieren a las caracte- rísticas físicas o morales de las perso- nas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen ra- cial, las ideologías y opiniones políti- cas, las creencias o convicciones reli- giosas, los estados de salud físicos o psíquicos y la vida sexual”. 3. Dato caduco: “aquel que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma ex- presa, por el cambio de los hechos o circunstancias que consigna”. 4. Dato estadístico: “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable. Este último queda, por tanto, fuera del ámbito de aplicación de la ley”. 8
  • 10. Calidad de los Datos Este principio se encuentra recogido en el inciso segundo del artículo 9 de la Ley 19.628, el que establece que la informa- ción los datos personales debe ser exac- ta, actualizada y responder con veracidad a la situación real de su titular. La contra- vención a esta obligación da lugar a que este solicite que los datos sean modifica- dos, bloqueados o eliminados. Protección especial de los da- tos sensibles El legislador ha optado por entregar un ni- vel especial de protección a ciertos datos personales que, en atención a su naturale- za, son considerados de carácter sensi- ble. Entre ellos se encuentran aquellos da- tos personales que se refieren a las carac- terísticas físicas o morales de las perso- nas, o a hechos o circunstancias de su vi- da privada o intimidad, tales como los há- bitos personales, el origen racial, las ideo- logías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Por lo mismo, la definición de dato perso- nal es de carácter amplio y la definición de dato sensible hace referencia a hechos o circunstancias relativas a la intimidad o la vida privada. El tratamiento de los datos sensibles es particularmente propenso a lesionar derechos fundamentales del afec- tado, situación por la cual el legislador ha optado por otorgarle un nivel de resguar- do mayor. Atendidas estas circunstancias, el legisla- dor decidió invertir la regla aplicable a los datos personales y establecer que el trata- miento de datos de carácter sensible se encuentra, en principio, prohibido. Solo tres excepciones establecidas expresa- mente por la ley permiten el tratamiento de este tipo de datos, a saber: (i) que la ley lo autorice, (ii) que exista consentimiento del titular, o (iii) que dichos datos sean necesa- rios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Seguridad de los datos Este principio se encuentra recogido en el artículo 11 de la Ley 19.628, que estable- ce la obligación del responsable de los re- gistros o bases donde se almacenen da- tos personales, de cuidar de ellos con la debida diligencia, haciéndose responsa- ble de los daños causados. Sin embargo, la ley no establece estándares de cuidado o medidas concretas que dichos responsa- bles deban tomar a fin de velar por la se- guridad de los datos o prevenir su daño. Por consiguiente, son los tribunales los lla- mados a definir, caso a caso, si se han to- 9
  • 11. mado las medidas suficientes para cum- plir con dicho principio. Que información entrega el Sector Salud de Chile Al navegar por internet y buscar en las ma- yoría de las clínicas y hospitales los térmi- nos como; Ley de Datos Personales, Pro- tección de Datos, Seguridad de los Datos, Ciberseguridad o Seguridad de la Informa- ción es muy lamentable que no aparezca información sobre estos temas tan impor- tantes. Por otro lado al revisar el sitio web de Clínicas de Chile y buscar términos rela- cionados con Ley de Datos Personales, la verdad, es que no hay artículos e informa- ción relacionada, tampoco menciona con claridad sobre el Tratamiento que le dan a los Datos Personales o de la Ficha Clínica, la Protección Especial de los Datos Sensi- bles o la Seguridad de los Datos. Lo único que aparece en materia de Ciberseguri- dad es una entrevista realizada el 2018 al doctor José Fernández, gerente clínico de Rayen Salud quien explicó las medidas que las clínicas y hospitales pueden tomar para mitigar los riesgos de un ciberataque en salud. En entrevista con EmolTV, el doctor José Fernandez, médico cirujano y gerente clíni- co de Rayen Salud, afirmó que, en rela- ción a la Transformación Digital Sanitaria en Chile. “tenemos un gran avance respec- to a la región. Por lo menos en salud públi- ca el 90% de los centros de atención pri- maria están completamente digitalizados, eso quiere decir que cuentan con ficha clí- nica electrónica”. Ahora bien, agregó que “obviamente cuan- do uno va incorporando la ficha clínica electrónica, en donde se guarda informa- ción muy sensible, se debe ir incorporan- do también educación y tecnología, que cuiden la seguridad de lo que allí existe y en eso ha ido un poco más lento”. Lo anterior se produce, aseguró el espe- cialista, porque “en general los procesos de transformación digital son mas rápidos que los procesos normativos, legislativos o de educación social”. 10
  • 12. Nuestra Visión de Cyber Security & Human Hacking Identifique a sus usuarios de alto riesgo Estos incluyen altos ejecutivos (CEO, Presi- dentes, Gerentes, Directores, Subgeren- tes, Jefaturas, Médicos), personal de recur- sos humanos, administrativos(as), enferme- ros(as), TI entre otras. Implemente más controles y seguridad en estas áreas, inclu- ya una revisión de los perfiles sociales y públicos para las tareas y descripciones del trabajo, información jerárquica, deta- lles fuera de la oficina o cualquier otro da- to corporativo sensible, e identifique cual- quier dirección de correo electrónico dis- ponible públicamente y listas de conexio- nes. Controles de seguridad La implementación de herramientas como la autenticación de dos factores, los filtros de correo electrónico (ATP) y la gestión de los niveles de acceso y permiso para to- dos los empleados son algunas de las for- 11
  • 13. mas de garantizar que la organización ten- ga las defensas más altas posibles contra los “Malos Actores” (ciberdelincuentes). Establezca una política de se- guridad (ISO 27001/27002, NIST, HIPPA) Cada organización debe establecer una política de seguridad. La política debe revi- sarse constantemente con regularidad pa- ra identificar brechas (violaciones de da- tos) y asegurarse de que los empleados sigan la política. Debe incluir acciones simples como: 1. No abrir archivos adjuntos o hacer clic en enlaces de una fuente descono- cida. 2. No usar unidades USB en computa- dores de oficina. 3. Política de administración de contra- señas (sin reutilizar contraseñas, sin notas adhesivas en las pantallas como recordatorios de contraseña, etc.) 4. Requerir capacitación en seguridad para todos los empleados. 5. Revisar la política sobre acceso Wi- Fi. Incluya a los contratistas y socios como parte de esto si necesitan acce- so inalámbrico cuando están en el si- tio. Desarrollar procedimientos estándar Los equipos de TI deben tener procedi- mientos implementados para garantizar que haya un orden dentro de la organiza- ción. Los procedimientos recomendados de la organización deben incluir: 1. Hacer que el personal estudie la polí- tica de seguridad y la haga cumplir. 2. Establecer cómo se debe informar al liderazgo ejecutivo sobre las ciberame- nazas y su resolución. 3. Establecer un cronograma para pro- bar el plan de respuesta a incidentes de ciberseguridad. 4. Registrar tantos dominios de la com- pañía como sea posible que sean lige- ramente diferentes al dominio real de la compañía. Capacitación para todos los usuarios No importa cuán buenos sean sus pasos de prevención, las violaciones de datos 12
  • 14. son inevitables. La educación del usuario juega un papel importante en minimizar los peligros del Fraude del CEO. Los me- jores programas de capacitación aprove- chan la educación del usuario para garanti- zar que se eviten las amenazas. La educación continua sobre posibles tác- ticas de fraude de CEO es lo único que puede equipar a los usuarios para mante- nerse a salvo de estos ataques. La capaci- tación sobre la concientización de seguri- dad de la nueva escuela puede ayudar a sus empleados a identificar estafas de phishing instintivamente. Inntesec Security Awareness Services El eslabón más débil e importante en la ca- dena de seguridad son las personas, don- de, los “errores humanos” son una puer- ta de entrada para los ataques, esta situa- ción advierte sobre la importancia de avan- zar con un cambio cultural al interior de las organizaciones. Buscamos crear con- ciencia y provocar un cambio disruptivo a través de una nueva visión que estamos promoviendo, donde el usuario que es el eslabón más débil e importante en una or- ganización es clave en esta transforma- ción para llevarlo a un nivel de Human Fi- rewall. Para lograr este objetivo nos basa- mos en nuestro Programa conocido como Inntesec Security Awareness Services (Inn-SaS). Hoy el 90% de las inversiones y el gasto TI es en tecnología y menos del 10% en los usuarios. Esta estrategia no es la más ade- cuada, ya que los “Malos Actores” (ciber- delincuentes) siguen infiltrándose en las redes y sistemas a través del Human Hacking, provocando fraude, violaciones de datos y generando pérdidas millona- rias. “Está demostrado que la tecnología por sí sola no es suficiente”. Cabe destacar que el costo promedio de pérdidas económicas que provocaron los “Malos Actores” (ciberdelincuentes) a las organizaciones en los últimos años supe- ran los USD 2.500.000 y el costo prome- dio de una violación de datos es de USD 500.000. A través de Inntesec Security Awareness Services (Inn-SaS) los usuarios aprende- rán a conocer y gestionar mejor los ries- gos de seguridad por concepto de Hu- man Hacking con relación a; social engi- neering, phishing, spear phishing, spoo- fing, ransomware, ATP. La capacitación de los empleados es el primer paso para pre- venir las brechas de seguridad y estable- 13
  • 15. cer una estrategia de concientización en ciberseguridad e ingeniería social. Implementar un Programa de Concienti- zación de Ciberseguridad es clave, nues- tra visión disruptiva, es llevar al usuario que es el eslabón más débil e importante de una organización a un nivel de Human Firewall a través de un programa anual de Inntesec Security Awareness Program, que mide el nivel de madurez de cada usuario y a su vez de toda la organización llevándola desde un 60% de probabilidad real que sea víctima de un fraude, suplan- tación de identidad o data breach a me- nos de un 10% totalmente medible, dicho programa incluye: 1. Charlas de Concientización sobre Cyber Security para altos ejecutivos y usuarios en general. 2. e-Learning a través de Newsletter, Vi- deos Educativos y Videos de Entrena- miento Interactivos en materia de Cyber Security, con entrega de certifi- cado para los usuarios que han pasa- do satisfactoriamente el curso e-Lear- ning. 3. Simulador de Ataques Ethical Phishing, Vishing, USB Attack, Social Engineering y mucho más. Nos puedes contactar escribiéndonos a ventas@inntesec.com o bien llamando al +569-8921-7125 para coordinar una reu- nión y programar una prueba de concepto (PoC). Fuente: Bitglass, Derechos Digitales, Clíni- cas de Chile, Inntesec. 14