Future Proof Your Healthcare Organization With an Information Security Management Program

violações de dados, malware e outros truques de segurança estão aumentando nas organizações de saúde. Acontecendo em paralelo está a adoção de novas tecnologias, como as ferramentas de nuvem, inteligência artificial e envolvimento do paciente que buscam aumentar a eficiência, melhorar a acessibilidade dos dados e reduzir o custo. Embora esses avanços ofereçam muitos benefícios, se as medidas de segurança apropriadas não forem estabelecidas desde o início, eles deixam as organizações de saúde vulneráveis ​​a ataques cibernéticos que expõem os dados do paciente, afetam a reputação da marca de uma organização e resultam em milhões de dólares em perdas, eliminando essencialmente todas as economias de custo potencial que essas tecnologias prometem.

Em vez de simplesmente reagir a essas ameaças de segurança cibernética, adote uma abordagem proativa, aplicando as descobertas da sua análise de risco de segurança à criação de um programa abrangente de gerenciamento de segurança que atenua o risco e aborda vulnerabilidades antes de serem exploradas.

Embora uma análise de risco de segurança seja um requisito federal para uma série de áreas de conformidade, como MOMELATIVIDADE e LETA ATIMABILIDADE EMMANTA), FELIMENTAÇÃO FELIMENTANTE), RECUTABILIDADE), RECUTABILIDADE AMISTA), (HIPAA) ou 52. ser fundamental na mitigação de ataques de segurança cibernética, independentemente dos mandatos de conformidade. No entanto, eles são tão valiosos quanto o que você coloca. Simplesmente verificando as caixas na avaliação não torna sua organização de saúde mais segura, nem a criação de políticas de gerenciamento de segurança da informação que se alinham à análise, mas fazendo pouco para aplicá -las. (HIPAA) or Federal Information Security Modernization Act (FISMA), it can be foundational in mitigating cybersecurity attacks regardless of compliance mandates. However, they’re only as valuable as what you put in. Simply checking the boxes on the assessment doesn’t make your healthcare organization any more secure, nor does creating information security management policies that align to the analysis but doing little to enforce them.

Uma análise completa que abrange toda a sua organização e todas as áreas de gerenciamento de informações e tecnologias de ativação identificará onde estão as vulnerabilidades e seu grau de gravidade. Isso fornece uma imagem clara do que precisa ser melhorado e a rapidez com que você precisa reagir, que pode ser incorporado a um programa de gerenciamento de segurança da informação. Assim como é fundamental fazer algo com seus resultados de análise de risco de segurança, o mesmo acontece com a estrutura do seu programa. Você deve usá -lo como uma plataforma para abordar lacunas e vulnerabilidades em sua organização. Isso envolve alinhar políticas, processos, tecnologia e pessoas.

Como parte do seu programa de gerenciamento de segurança, considere o seguinte:

• Não apenas escreva uma política, aplique -a. Muitas organizações escreveram políticas, mas não as aplicavam. Como resultado, os da organização têm pouco incentivo para segui -los, deixando a organização em risco. Put policy measures in place and hold staff accountable to them. Many organizations have written policies, but they don’t enforce them. As a result, those in the organization have little incentive to follow them, leaving the organization at risk.
• Otimize seus investimentos em tecnologia de segurança existentes. Uma resposta comum a uma violação de segurança é um investimento em tecnologia de segurança cibernética. Embora a tecnologia seja essencial para mitigar uma violação, não é a solução. Para obter soluções de tecnologia de informação e segurança cibernética para cumprir sua promessa, elas devem ser bem projetadas, bem implementadas e bem estabelecidas como parte de um processo de melhoria contínua, especialmente quando as organizações integram novas tecnologias e processos à organização. Para garantir que isso ocorra, coloque a equipe em funções em que eles estão gerenciando seu risco relacionado à tecnologia, caso contrário, esses investimentos não terão tanto impacto ou benefício quanto deveriam.
• Capacite seu diretor de segurança da informação (CISO) com a autoridade de tomada de decisão e alinhe-os à conformidade: O papel de um CISO está na interseção da segurança de TI e gerenciamento de riscos. Isso é muito diferente do papel de um diretor de informações que está focado em obter serviços de TI novos ou alterados para os clientes mais baratos e mais rápidos, com ganhos cada vez maiores em eficiências tecnológicas. E, às vezes, essas funções não se vêem de olho, especialmente quando os protocolos de segurança dificultam as melhorias do processo ou o tempo para o mercado. No entanto, é comum um CISO reportar ao CIO - tornando -o difícil para um CISO realizar seu trabalho ideal. Uma abordagem de relatório alternativa é alinhar mais um CISO com os responsáveis ​​pela conformidade, regulamentos ou gerenciamento de riscos corporativos.
• Contratar analistas de segurança. Isso permitirá que eles se concentrem no monitoramento dos dados gerados por controles técnicos e garantirão que os protocolos de segurança (por exemplo, controles cibernéticos e internos) sejam implementados corretamente sem a complexidade adicional das operações de controle de segurança diária. Instead of having existing IT staff responsible for managing security technology and managing the information security management program, dedicate individuals strictly to audits, policies, procedures and managing your security program. This will allow them to focus on monitoring data generated by technical controls and make sure security protocols (e.g. cyber and internal controls) are implemented correctly without having the added complexity of day-to-day security control operations.
• Envolva médicos, enfermeiros e funcionários em melhorias contínuas. Verifique se a equipe sabe por que as políticas e procedimentos de segurança da informação estão em vigor. Ao dar a eles uma melhor compreensão de por que eles precisam executar certas medidas de segurança que podem parecer redundantes ou trabalhadoras, você pode obter compra. Ao mesmo tempo, ouvindo seus comentários, você pode identificar áreas de melhoria.

Ao colocar seu programa de gerenciamento de segurança da informação, siga as seguintes etapas para gerar resultados sustentáveis:

• Comunicar os resultados de sua análise de risco de segurança ao seu plano e avançar para obter financiamento. Em seguida, solicite financiamento para fazer melhorias como você faria para financiar qualquer outro programa. É importante enfatizar que este é um investimento contínuo e de longo prazo e é separado do financiamento de outros projetos relacionados à tecnologia. Share the results along with your plan to move forward with your leadership and board. Then request funding to make improvements just like you would do for funding for any other program. It’s important to emphasize that this is a continuous, long-term investment and it is separate from the funding of other technology-related projects.
• Comunique -se com sua equipe. Mantenha -os intimamente envolvidos ao longo de sua jornada de segurança cibernética. Compartilhe os resultados da análise de risco de segurança, a estrutura que você implementou, novas iniciativas que você está lançando para mitigar o risco e buscar o feedback deles. Isso aumentará o engajamento nas políticas que você colocou no lugar.
• Implemente o programa e busque a melhoria contínua. Se novas tecnologias forem implementadas, abordem proativamente possíveis lacunas de segurança desde o início e abordem -as durante a implementação. Se ocorrer conformidade ou outras alterações regulatórias, reavalie rapidamente e compreenda suas lacunas. Once you’ve established a path forward, execute on it and periodically reassess progress. If new technologies are implemented, proactively address potential security gaps at the outset and address them during implementation. If compliance or other regulatory changes occur, quickly reassess and understand your gaps.

À medida que a tecnologia se torna mais vital para gerenciar operações de saúde e melhorar os resultados da saúde, as organizações não podem pagar uma violação de hackear ou dados. Esses incidentes de segurança não são apenas caros de abordar, mas afetam negativamente a reputação da sua marca. Um programa abrangente de gerenciamento de segurança deve encontrar um delicado equilíbrio entre mitigar riscos e permitir que as pessoas façam seu trabalho de maneira eficaz. Ele deve usar sua análise de risco como uma base crítica para a construção do programa que aumentará a segurança em sua organização hoje e impulsionar sua organização para o futuro.