Mensajería instantánea y P2P vulnerabilidades para las Organizaciones de Salud

Posted by admin on June 4, 2012

Debido a la legislación de HIPAA, las organizaciones de salud tienen que tener un cuidado especial por la vulnerabilidad de los datos de los pacientes que mantienen. La exposición de los datos del paciente a Internet a través de intercambios de mensajería instantánea o de intercambio de archivos P2P pueden poner en peligro el cumplimiento de una serie de regulaciones estatales y federales. La popularidad de la mensajería instantánea y protocolos P2P ha penetrado en cada aspecto de nuestra sociedad, incluyendo a las organizaciones encargadas de los datos sensibles, tales como los registros de salud. La oportunidad de que los datos sean expuestos a los ojos fuera de la organización se ha incrementado como si la exposición es intencional o no, y las organizaciones vinculadas por las regulaciones de HIPAA están obligados a proteger sus datos del paciente o sufrir las consecuencias.
A menudo, en situaciones hospitalarias, los empleados en diferentes turnos están compartiendo estaciones de trabajo. Muchos de ellos pueden comunicarse con sus familiares y amigos, fuera de la organización, a través de mensajería instantánea o P2P, y sin saberlo, puede descargar un agente malicioso que puede dañar no sólo las estaciones de trabajo individuales, sino redes enteras. Debido a que muchas personas pueden tener acceso al mismo equipo, esta actividad es difícil de rastrear y pueden ocurrir con una facilidad alarmante.
Cuando un programa malicioso que se descarga, se puede explotar una puerta trasera en el sistema y proliferan en la red. Dependiendo de la naturaleza del código parasitaria, la información del paciente se puede acceder y se transmite por detrás del cortafuegos a una dirección IP designado o puede lanzar un ataque contra la red de acogida. Este tipo de ataques puede traer abajo la red. Incluso el tiempo de inactividad corto puede causar importantes financiera y la pérdida de datos.

Comunicaciones Públicas

La adición de más complejidad a la situación, la Comisión de Bolsa y Valores (SEC) y la Asociación Nacional de Distribuidores de Valores Inc. (NASD) identificar el tráfico de mensajería instantánea como las comunicaciones con el público que las empresas deben guardar y vigilar. La Ley Sarbanes-Oxley requiere que incluso los mensajes instantáneos que son informales y personales que se guardan y se registran como correspondencia formal.

Muchas empresas capturar y almacenar los datos como lo exige la ley. Debido a que esta información puede ser usada como evidencia legal, hay varios casos en que los datos contenidos en los foros ya través de mensajes instantáneos se presentaron para apoyar o derrotar a un caso se han de dirimir. Imagínese si al médico se incluyeron en un mensaje instantáneo, incluso algo tan inocuo como Tylenol para asesorar a un niño con fiebre. Esta correspondencia puede ser utilizado para hacer un caso de negligencia médica en contra de una enfermera o un médico.

Red de Seguridad

IM y P2P también exponen a los usuarios finales de equipos de gusanos, virus y otros programas de puerta trasera de otro tipo que, una vez introducido, puede infectar a una red y causar daños a gran escala. El abuso de los privilegios de los empleados de sus computadoras puede ser el destructor silencioso de las redes. Ya se trate de un problema dramático como la denegación de servicio o la descarga de los gusanos y los virus de puerta trasera, el uso indebido puede ser peligroso y perjudicial, y en última instancia, socava la seguridad de la red.

Los administradores de seguridad de la red necesitan para tomar ventaja de las soluciones de dispositivos de hardware con el fin de proteger plenamente sus redes de abuso de los empleados y el uso indebido. El daño a la productividad y los beneficios de una empresa son sólo la punta del iceberg. La introducción de una opción de filtrado que no tenga un punto único de fallo, o hacer que la latencia en el tráfico de red es fundamental. Igualmente importante, una solución que no tiene por qué compartir el poder de procesamiento de la memoria o con otro dispositivo es la mejor opción para proteger las redes contra las violaciones de seguridad y responsabilidad legal y para ayudar a preservar la buena reputación de la corporación.

Responsabilidades legales

Intercambio de archivos P2P y la mensajería instantánea pueden ser aplicaciones peligrosas que rápidamente se devoran ancho de banda y poner en peligro las finanzas de la compañía porque las empresas pueden ser consideradas responsables de las acciones de los empleados, tales como la descarga de material con derechos canción. Además, P2P y mensajes instantáneos pueden contener software malicioso que se descarga y se instala en la red de acogida; ordenadores de una empresa y las redes se pueden utilizar para ataques de denegación de servicio (DoS) ataques a otras compañías y redes.

Existe un precedente legal establecido que la llevará a cabo una empresa responsable, en parte, por los daños infligidos a otra empresa si sus equipos o redes se utilizan para organizar el ataque. Debido a este precedente jurídico, el peligro de una red de acogida no es sólo la pérdida de ancho de banda y posterior ruptura de las comunicaciones, sino también las obligaciones jurídicas que pueden resultar en daños a la reputación de una empresa o organización, e incluso poner en peligro su estabilidad financiera.

Es importante tener en cuenta que el daño a la reputación de una organización puede ser más costoso en el largo plazo, especialmente si la organización se supone que es inteligente y seguro de Internet o si las vulnerabilidades de seguridad pueden poner en peligro la exposición de datos sensibles, tales como los registros de salud. Para los hospitales, los seguros de salud y dedicados profesionales de la salud, tal daño puede resultar en una pérdida de negocio a través del tiempo que destroza sus perspectivas a largo plazo y cuando se combinan con las multas-a corto plazo, incluso puede significar salir de los negocios o de experimentar una toma de control por otro salud de la empresa de atención.

Categories: Software

Comments are closed.