Con el auge de las tendencias modernas, como la computación en la nube y el trabajo remoto, las instituciones de atención médica se esfuerzan por equilibrar la accesibilidad, la comodidad y la seguridad sólida.
En esta entrevista de Help Net Security, Ken Briggs, Consejero general de Salucro, analiza cómo fomentar una cultura de concienciación sobre la seguridad se ha convertido en algo fundamental para las organizaciones sanitarias. Comprender los próximos cambios y tendencias tecnológicas es crucial para la preparación preventiva a medida que miramos hacia el futuro.
La industria de la salud enfrenta desafíos de seguridad únicos, especialmente con la creciente interconectividad de los sistemas. ¿Qué tan importante es para las organizaciones obtener proveedores que comprendan los requisitos de seguridad específicos de la atención médica?
Supervisar los requisitos de seguridad específicos de la atención médica es un trabajo de tiempo completo. La cantidad de datos procesados en las instituciones de atención médica crece exponencialmente, pero sigue siendo parte de la información más valiosa para los pacientes y, lamentablemente, para los malos actores. Estos factores requieren que el proveedor domine los requisitos de seguridad específicos de la atención médica si las empresas de atención médica utilizan la tecnología de alguna manera.
Si un proveedor no respeta adecuadamente la red compleja y en evolución de las obligaciones de seguridad en las que operan las instituciones de atención médica, es posible que el proveedor no pueda desarrollar tecnología que sea adecuada para el uso de empresas de atención médica sofisticadas.
Las organizaciones no deben rehuir exigir a los proveedores una expectativa muy alta de familiaridad con los requisitos de seguridad dentro de la industria de la salud. Estas organizaciones deben buscar proveedores específicos de atención médica que tengan un conocimiento profundo de los estándares, la complejidad y la sensibilidad de estos pagos en comparación con los proveedores que no son específicos de atención médica.
¿Cómo abordaría la implementación de un programa de seguridad dentro de una organización de atención médica que cumpla con los requisitos legales y los estándares de la industria y vaya más allá de ellos para garantizar la máxima protección? ¿Qué elementos o componentes clave deberían incluirse en dicho programa?
Un programa de seguridad bien diseñado debe ser solo eso: hecho a la medida. Muchos marcos legales de seguridad están pasando de la especificidad en los controles a un enfoque discrecional. Este estándar «discrecional» es interpretado por órganos rectores que interpretan los desarrollos de vanguardia en la industria.
Una organización debe rastrear qué datos se almacenan o procesan y garantizar que los controles de seguridad se asignen internamente a una organización y externamente a todos los proveedores. Las organizaciones de atención médica deben dedicar tiempo para garantizar que se implementen los controles administrativos, técnicos y físicos adecuados en la organización y sus proveedores para proteger los datos almacenados y procesados.
El dicho «talla única» nunca se aplica a la forma en que se administra y aplica un programa de seguridad en la industria de la tecnología de la salud o en cualquier otra industria. Sin embargo, los principios fundamentales son los mismos: comprender qué datos procesa una organización, identificar los riesgos reales (internos y externos) de los datos, evaluar los impactos de esos riesgos y si los controles existentes son adecuados para reducir esos riesgos a un nivel aceptable. estándar.
Teniendo en cuenta las tendencias recientes en ciberseguridad, como el aumento de la computación en la nube y el trabajo remoto, ¿qué consideraciones deben tener en cuenta las organizaciones de atención médica para mantener una sólida postura de seguridad? ¿Cómo pueden equilibrar la comodidad y la accesibilidad con la necesidad de medidas de seguridad sólidas?
La computación en la nube y el trabajo remoto son ciertamente tendencias únicas, pero siempre hay tendencias de una forma u otra, ya sea que ocurran dentro de la organización, el mercado o geográficamente.
Las organizaciones de seguridad sofisticadas trabajan arduamente para crear programas de seguridad flexibles, pero es importante revisar el programa con una cadencia fluida para garantizar que los cambios externos o internos, pequeños o grandes, estén incluidos en los controles de seguridad. Por ejemplo, en respuesta al COVID-19, muchos equipos de ciclo de ingresos y facturación de atención médica hicieron la transición al trabajo remoto. ¿Cómo afecta eso a la seguridad de aceptación de pagos? ¿Es más importante adoptar dispositivos remotos para aceptar pagos P2PE seguros o hacer la transición a un enfoque sin dispositivos que priorice la seguridad y la participación del paciente en línea? Todas estas son preguntas que los proveedores han tenido que responder en los últimos tres años y resaltan la importancia de un enfoque de las medidas de seguridad que acoja en lugar de evitar la adaptación.
La evaluación de la idoneidad de un control de seguridad no debe realizarse en un silo ya que debe considerar los objetivos comerciales para no sobrecargar el negocio innecesariamente. Esta evaluación puede incluso garantizar una carga reducida mediante la descarga de obligaciones a un proveedor calificado o la utilización de servicios adicionales de un proveedor existente. Por ejemplo, en los pagos, el paso al cifrado punto a punto en los sistemas de pago puede descargar cargas de seguridad muy complicadas para un proveedor al tiempo que reduce las barreras administrativas. Las empresas pueden sorprenderse de lo bien que las nuevas tecnologías que se están adaptando dentro de las organizaciones de atención médica pueden proteger los datos con más transparencia, al mismo tiempo que promueven la accesibilidad y la conveniencia amigables para el consumidor (que son inquilinos de un buen programa de gobierno de datos).
¿Cómo pueden las organizaciones de atención médica fomentar una cultura de conciencia de seguridad entre sus empleados?
Todo comienza con un liderazgo que compra el programa de seguridad y entiende que invertir en una cultura de seguridad es invertir en minimizar el riesgo. Hay tres formas en que el liderazgo de una empresa puede acelerar una cultura centrada en la seguridad:
- Establezca un programa de comunicación de concientización constante, con capacitaciones amigables y recordatorios breves sobre los controles de seguridad.
- Asegúrese de que la seguridad se considere en las primeras etapas de cualquier iniciativa importante que tenga que ver con datos o tecnología (estos son principios operativos de «seguridad por diseño»). Su equipo de seguridad debe ser un socio en la habilitación empresarial.
- Asegúrese de que el equipo de seguridad sea proactivo y esté disponible para otros departamentos para garantizar una línea de visión clara donde puedan surgir preguntas. Espere que su departamento de seguridad esté disponible y responda.
¿Cómo ve el futuro de la ciberseguridad en la industria de la salud? ¿Qué tecnologías o tendencias emergentes cree que darán forma al panorama y qué pasos deben tomar las organizaciones para prepararse para estos cambios?
La ciberseguridad en la industria de la salud será impulsada a niveles más altos en al menos dos formas. Primero, los marcos legales que permiten una aplicación discrecional de los controles de seguridad harán referencia a los estándares de seguridad publicados por organizaciones de seguridad no gubernamentales como «estándares de la industria». Estas organizaciones tienen los recursos y la experiencia para ayudar a establecer los estándares de la industria. Si bien esto puede significar una mayor transparencia de lo que se considera estándares aceptables, es posible que las organizaciones de atención médica deban estar sujetas a auditorías externas de terceros. En segundo lugar, los controles de ciberseguridad seguirán estando vinculados a los estándares de privacidad.
Aunque muchas leyes tratan la privacidad y la seguridad como conceptos independientes, los marcos más nuevos tratan uno como dependiente del otro. Las organizaciones de atención médica sofisticadas ya están logrando estas predicciones al eliminar los silos entre las operaciones de privacidad y seguridad, y garantizar un programa de seguridad bien documentado desde las políticas hasta las acciones.