En los últimos meses ha habido varios informes que demuestran que las violaciones de la seguridad sanitaria no son sólo un problema externo. Las amenazas internas son reales y crecientes, y desempeñan un papel cada vez más importante en la forma en que las HDO y las HCE evalúan y abordan la seguridad digital.
Todas las amenazas son preocupantes, sea cual sea su magnitud. Ya se trate de piratear los datos de los pacientes, infiltrarse en el funcionamiento de los hospitales o hacerse con dispositivos médicos, los HDO deben tomar medidas preventivas "siempre activas". La buena noticia es que hay medidas que se pueden tomar hoy mismo para evitar que el problema se extienda. Alinear las inversiones en seguridad con procesos bien pensados, educación y gobernanza es una gran fórmula para hacer todo lo posible para prevenir ataques desde dentro.
¿Qué está pasando?
Con el crecimiento del uso de la tecnología digital, los presupuestos y la gobernanza restringidos y los recursos limitados, las HDO se enfrentan a menudo al reto de encontrar el tiempo, el dinero y el personal necesarios para optimizar sus inversiones en seguridad digital. Aunque robos como el de un portátil o el secuestro de credenciales para obtener datos importantes suelen estar motivados por oportunidades financieras, a veces una amenaza puede venir de un empleado que simplemente comete un error. Independientemente de cómo se produzcan, las infracciones dañan la reputación y los resultados de una HDO.
Empujar hacia atrás
Es probable que haya invertido en la tecnología adecuada para combatir estos problemas. Pero siempre es un buen momento para realizar una auditoría y asegurarse de que se está haciendo algo más que lo mínimo, y de que la gestión y la gobernanza continuas no solo están en marcha, sino que funcionan.
Conceptos básicos
La autenticación, la autorización y el cifrado son el alma del éxito de la seguridad de la identidad digital. Los certificados digitales únicos validan que un dispositivo es auténtico y afirman con gran seguridad que sus mensajes son genuinos. El cifrado es seguridad digital 101 para mantener a los malos alejados de los datos buenos.
Pero el cifrado de datos es un paso de muchos para lograr una seguridad completa. El cifrado debe apoyarse en la gestión de claves. A menudo, los informáticos se centran en la calidad del cifrado y los algoritmos utilizados, pero no prestan suficiente atención a las propias claves. El éxito de la gestión de claves es una combinación de gestión de todo: productos, políticas, auditorías y personal que sepa qué buscar.
Automatización
Los procesos manuales son propensos a errores. La automatización impulsa el alto nivel de seguridad y proporciona la tranquilidad de no dejar que caduquen los certificados digitales de seguridad. Permite la redistribución de lo que probablemente sea un equipo pequeño, y le permite asumir otras iniciativas de TI importantes. Los flujos de trabajo se perfeccionan y la ejecución resulta más sencilla. Cuando adopta medidas proactivas mediante la automatización, puede reducir el riesgo de infracciones de seguridad tanto por parte del personal interno como de agentes externos.
Firma de códigos
Es probable que utilice un sistema de historia clínica electrónica (HCE) para recopilar, compartir y mantener los datos de los pacientes. A medida que las HCE desarrollan aplicaciones para su uso, la software necesita ser firmada antes de su despliegue. Los certificados de firma de código son unos de los más valiosos para los ciberdelincuentes. Alguien que posea un certificado de firma puede utilizarlo para firmar programas maliciosos y distribuirlos fácilmente en grandes redes hospitalarias. Es esencial gestionar de forma segura estos certificados de firma antes de que se vuelvan en su contra.
No deje huecos
Personas, dispositivos, aplicaciones: todos forman parte de su ecosistema y deben estar cubiertos por su programa de seguridad digital. Muchos HDO están limitados por el presupuesto y creen que tienen que tomar decisiones difíciles sobre qué identidades cubrir. Lagunas = oportunidad para una brecha. Invertir en una cobertura que no utilice un modelo de cuota por certificado puede ayudar a disipar las preocupaciones presupuestarias y garantizar que cada nueva identidad que entre en su entorno sea digitalmente segura.
Supervisión del cumplimiento y la gobernanza
A pesar de la complejidad del cumplimiento y de lo que a menudo son peticiones dispares de disciplina, los organismos reguladores de la sanidad existen realmente para impulsar la excelencia. Al seguir las directrices y las expectativas del sector, debería estar reduciendo el riesgo tanto dentro como fuera de su organización. Las cadencias y auditorías periódicas de los archivos de registro, las caducidades pendientes de los certificados digitales, los cambios de personal y las actualizaciones normativas ayudan a detectar problemas y pueden proporcionar la pista de aterrizaje que necesita para evitar catástrofes.
Garantizar que su personal cumple la normativa es más que un trabajo a tiempo completo. Pero las consecuencias de no alcanzar el objetivo son demasiado grandes como para no hacer la inversión.
Formación
Una vez establecidas todas esas normas y reglamentos sólidos, hay que formar a la gente para que les preste atención. Si tienes la suerte de contar con un departamento o personal centrado en la formación y el aprendizaje, haz que impulsen un programa específico que obligue a toda la organización a cumplir las normas.
Incorpore una cadencia significativa para reiterar el mensaje. Una vez al año puede ser suficiente; sin duda, es imprescindible implicar a los nuevos empleados a medida que se incorporan.
¿Busca más orientación? Descargue una copia de nuestro nuevo libro electrónico, "Your Playbook for Driving Digital Security in Healthcare:"
