Como as organizações de saúde estão aumentando a segurança em TI


Manter a informação segura é um tópico que realmente pode causar insônia, especialmente na sequência de WannaCry, Petya e outros recursos usados em ataques cibernéticos globais. tendo isso em vista, onde está o mercado de saúde em seu esforço para melhorar a segurança da informação?

Para descobrir, a KLAS fez uma parceria com o College of Healthcare Information Management Executives (CHIME) para avaliar o status e as aspirações da indústria. As ações, planejadas e não planejadas, das quase 200 organizações entrevistadas indicam movimentos significativos em direção a um ambiente mais seguro para todos os tipos de informações de saúde.

Em geral, de acordo com o levantamento, as organizações de saúde estão colocando muito mais recursos para a segurança da informação. As áreas que garantam mais apoio incluem liderança, desenvolvimento de programas, prontidão de violação e financiamento de programas de segurança.

Liderança
Mais de 95% das organizações declararam que existe um indivíduo especificamente designado para supervisionar seu programa de segurança. Esses designados variam em nível e autoridade de analistas dedicados a vice-presidentes e líderes de nível C. Mais de 81% dos provedores de programas de segurança líderes são diretores ou superiores. Para garantir esforços concentrados para manter um ambiente de dados seguro e seguro, a necessidade de liderança dedicada está se tornando a norma para a maioria das organizações de saúde.

Como representantes e membros da comunidade, os conselhos de organizações de fornecedores se preocupam com informações seguras. Organizações pesquisadas afirmaram que a segurança da informação de saúde é uma discussão no nível do conselho regularmente, com pelo menos discussões anuais sobre a diretoria em 93% dos casos; 62 por cento dos provedores declararam que eles discutiam a segurança com seu conselho pelo menos trimestralmente. Esses resultados sugerem que o interesse e o apoio a medidas de segurança efetivas cresceram. Sem dúvida, o aumento do número de brechas de informações muito públicas influenciou o crescente interesse e apoio.

Desenvolvimento de Programas
Dado que os recursos são limitados, saber onde você possui vulnerabilidades de segurança da informação e o nível de risco associado a essas vulnerabilidades é primordial. Pouco mais de três quartos dos entrevistados completam avaliações de risco externas pelo menos uma vez por ano. Essas avaliações geralmente são realizadas por meio de uma empresa terceirizada e resultam em um plano interno de acompanhamento para abordar preocupações identificadas. Este nível de informações detalhadas é fundamental para priorizar os esforços para melhorar a segurança da informação.

Organizações com forte planejamento de segurança no local, incluindo avaliações de risco, também têm um programa de educação focado para usuários de informações de saúde. Destacando a necessidade de uma educação forte e regular, um líder de segurança de TI compartilhou esse desafio comum: “As pessoas são nossa fraqueza. Começamos as campanhas de phishing para que as pessoas deixem de clicar em links em e-mails. “Talvez um desafio aparentemente simples a superar, a tendência para os usuários clicarem antes de pensar é uma ameaça real para a informação confidencial em todos os lugares. Mais uma evidência da necessidade crítica de educação efetiva para funcionários é representada neste comentário: “A maior exposição é os funcionários que realmente têm acesso a dados. Há uma pequena porcentagem de pessoas que podem abusar do seu acesso ou ter intenções maliciosas. Mas a educação da força de trabalho é provavelmente a melhor coisa que podemos fazer para garantir que os procedimentos de segurança sejam seguidos pelos nossos funcionários “.

Os quadros de segurança estão se tornando mais padrão, com uma grande maioria de organizações de saúde escolhendo seguir o quadro do Instituto Nacional de Padrões e Tecnologia (NIST) para a segurança cibernética. Na verdade, 75 por cento desses KLAS falaram com estão seguindo a estrutura NIST. Após o NIST, a estrutura mais comumente mencionada foi a de HITRUST. Várias organizações de provedores indicaram o uso de mais de uma estrutura, sugerindo o desejo de cobrir as bases na criação de um ambiente seguro de compartilhamento de informações.

Preparação para violações
Mesmo as organizações com os melhores programas de segurança, com a prevenção como foco, ainda têm a chance de serem violadas. É por isso que mais de dois terços das organizações inquiridas compartilhavam que criaram uma política de violação e um livro didático, incluindo a organização de uma equipe de incidentes de infração. Quase quatro em cinco organizações tiveram responsabilidade cibernegurança e violação de seguro como uma proteção contra a invejável, mas potencialmente inevitável, exposição e abuso. Embora a esperança de que tal cobertura nunca seja necessária, uma ação crítica para executivos de saúde preocupados com possíveis ataques de segurança cibernética é ter um plano bem desenvolvido para lidar com o impacto de uma violação.

Para realmente entender, se preparar e, em última instância, prevenir ameaças à segurança da informação, as organizações devem ter sistemas de detecção eficazes e confiáveis ​​com planos para responder às violações identificadas.

A proliferação de ferramentas para ajudar os cuidadores e outros profissionais de saúde na prestação de cuidados e na gestão dos processos de negócios é tanto uma benção quanto uma maldição. Manter as informações seguras, dado uma miríade de pontos de entrada para obter informações, é um desafio sem fim para os administradores de dados. Considere o esforço necessário para manter as informações que entram e saem de uma organização – por meio de laptops, desktops, tablets, smartphones, drives flash e de forma segura em firewalls e fora das mãos daqueles que abusariam e abusariam. A criptografia necessária, a proteção por senha e outras medidas de proteção continuam a desafiar e, às vezes, frustrar os usuários finais, mas eles permanecem críticos para estabelecer um ambiente seguro para o compartilhamento das informações necessárias para o cuidado.

Financiamento do Programa
Tal como acontece com a maioria das estratégias de sucesso, o financiamento adequado é fundamental para a realização de iniciativas de segurança cibernética. Provavelmente não há resposta correta em termos da quantidade de investimento necessário. Mas em termos do estado atual do investimento, a maioria das organizações prestadoras (68% dos entrevistados) estão gastando menos de 4% do orçamento total de TI em segurança; 14 por cento estão dedicando 5 por cento a 6 por cento do seu orçamento; e 18 por cento estão cometendo cerca de 7 por cento. Os líderes de segurança reconhecem o desafio ao equilibrar as demandas de recursos. No entanto, eles são rápidos em notar os problemas com que são encarregados; Aquisição segura, armazenamento e troca de informações requer investimento.

Embora a maioria dos líderes de segurança sinta que o financiamento está se movendo na direção certa, continua a haver oportunidade de reunir os diretores do sistema e líderes de segurança para entender e apropriadamente financiar medidas ofensivas e defensivas adequadas. A perspectiva de um líder de segurança com a qual falamos representa a necessidade de se juntar: “O orçamento de segurança operacional é muito pequeno. É sempre difícil convencer os executivos para financiar coisas que não trazem valor imediato. A segurança, a recuperação de desastres e os backups não fazem sentido; Essas são vendas difíceis de fazer para a liderança. Até que uma organização cometa infrações graves com freqüência, a equipe de segurança não recebe financiamento apropriado do conselho. ”

Então, onde você começa? Comece com a liderança. Certifique-se de ter alguém claramente designado para criar e executar um plano de segurança HIT efetivo e evolutivo. Obtenha seu conselho envolvido; deixe-os saber que você está falando sério sobre a garantia de informações seguras e precisa de seu apoio para dedicar recursos adequados para fazê-lo. Em seguida, sob a direção de seu líder de segurança, desenvolva um plano abrangente para criar um ambiente mais seguro para informações confiáveis. Execute avaliações de risco regularmente, estabeleça um programa de treinamento e siga uma estrutura de segurança recomendada e respeitável. Dedique recursos financeiros suficientes para pessoal e software para permitir e garantir o desenvolvimento e execução do plano. Priorize e cuide primeiro as necessidades mais críticas.

Bob Cash é VP de relações com fornecedores da KLAS Research.
Russ Branzell é presidente e CEO do College of Healthcare Information Executives (CHIME).
Artigo Anterior Prefeito inaugura reforma e reabre Hospital de São José de Piranhas
Próximo Artigo Grupo Mídia assume controle de feira premium na Saúde