Según la pesquisa, la mujer tomaba fotos con su teléfono celular de la pantalla de la computadora de información sensitiva de los pacientes, con sus nombres, fechas de nacimiento y números de seguro social. (Archivo)
La OIG llevó a cabo una prueba de penetración de los sistemas MMIS y E&E entre noviembre y diciembre de 2020.

Washington D.C.- La Oficina del Inspector General del Departamento de Salud federal determinó que sistemas administrativos del programa de Medicaid Puerto Rico necesitan mayores controles de seguridad para prevenir ciberataques.

En un breve informe, la OIG de Salud federal indicó que los sistemas de información de gestión (MMIS, por sus siglas en inglés)) y de elegibilidad e inscripción (E&E) tienen controles de seguridad razonables, pero requieren medidas adicionales para evitar ataques cibernéticos.

El análisis federal indica que las autoridades de Puerto Rico no implementaron correctamente cinco controles de seguridad que son requeridos por el Instituto Nacional de Normas y Tecnología.

De todos modos, la OIG del Departamento de Salud federal consideró que “un adversario necesitaría un nivel sofisticado de experiencia, con recursos y oportunidades significativas para respaldar múltiples ataques coordinados exitosos”.

La OIG llevó a cabo una prueba de penetración de los sistemas MMIS y E&E entre noviembre y diciembre de 2020.

Para la OIG, la falta de controles puede deberse a que los desarrolladores de los ‘software’ no siguieron los estándares de codificación segura o que los administradores no estaban informados de los estándares del gobierno federal o las mejores prácticas de la industria.

“Es posible que Puerto Rico tampoco haya tenido en cuenta adecuadamente los riesgos de ciberseguridad durante el diseño y la implementación de la gestión de autenticación para sus sistemas MMIS y E&E. Además, los procedimientos de Puerto Rico para evaluar periódicamente la implementación de los controles de seguridad del NIST mencionados anteriormente no fueron efectivos”, agregó el análisis.

La OIG exhortó a las autoridades de la Isla a corregir las vulnerabilidades y evaluar “las configuraciones criptográficas de los servidores públicos al menos una vez al año y ajuste si los requisitos han cambiado”.

El gobierno de Puerto Rico dijo haber estado de acuerdo con las recomendaciones de la OIG de Salud federal, que aguardará por la documentación para corroborar que las nuevas medidas de control se han puesto en marcha.

💬Ver comentarios