A Importância da Gestão de Riscos de Terceiros em Saúde

Views: 616
0 0
Read Time:6 Minute, 36 Second

Seja para reforçar a segurança das informações de saúde protegidas (PHI) ou para agilizar o atendimento ao paciente, os prestadores de cuidados de saúde estão cada vez mais contando com fornecedores terceirizados para realizar suas operações diárias. Embora trabalhar com fornecedores tenha benefícios indubitavelmente para instalações médicas, também pode introduzir riscos de segurança da informação e conformidade. É por isso que é essencial que os prestadores de cuidados de saúde tenham sistemas em vigor que lhes permitam monitorar e gerenciar riscos de terceiros.

Com um sistema de gerenciamento de riscos estabelecido, as organizações de saúde são mais capazes de identificar e remediar ameaças dentro de seu ecossistema de fornecedores. Isso ajuda as unidades de saúde a maximizar suas relações com os fornecedores e garantir que informações valiosas dos pacientes sejam protegidas o tempo todo.

Por que a gestão de riscos de terceiros é importante na área da saúde?

À medida que a indústria da saúde continua a sofrer transformação digital, as instalações médicas com sistemas de gestão de risco inadequados ou inexistentes tornam-se sujeitas a passivos de terceiros. Isso é destacado no relatório Are Risk Assessments do Ponemon Institutes, que não conseguiu garantir o relatório do Ecossistema de Saúde de Terceiros, que constatou que 54% dos entrevistados de terceiros tiveram pelo menos uma violação de dados envolvendo o PHI nos últimos dois anos. O mesmo relatório também constatou que 41% dos entrevistados de terceiros relataram ter seis ou mais violações de dados durante o mesmo período de dois anos.

Devido ao valor das informações dos pacientes, a indústria da saúde é um alvo consistente para os cibercriminosos. Em 2019, o setor de saúde registrou o maior número de incidentes por parte da indústria, com 41% das unidades de saúde relatando violação. Os fornecedores geralmente têm acesso ao PHI e outros dados valiosos, mas seguem padrões de segurança e conformidade menos rigorosos quando comparados às instalações de saúde, o que significa que, sem o gerenciamento adequado de riscos, eles são vulneráveis a compromissos.

Como funciona um programa de gerenciamento de riscos de fornecedores de terceiros para organizações de saúde?

O objetivo de um programa de gerenciamento de riscos de terceiros é fornecer às organizações um sistema que lhes permita realizar uma due diligence eficaz em todo o seu ecossistema de fornecedores. Isso é normalmente feito através do uso de questionários de fornecedores. Os questionários de avaliação padrão avaliam diferentes áreas de segurança dos fornecedores no que diz respeito às regulamentações e tendências do setor. Estes ajudam os provedores de saúde a medir o risco individual do fornecedor, fornecendo insights sobre sua postura de segurança.

Para evitar respostas recicladas, você pode criar questionários personalizados que avaliam os fornecedores individualmente. Isso permitirá que você realize avaliações mais aprofundadas do fornecedor, mas também requer recursos e tempo adicionais.

Ao projetar programas de gerenciamento de risco de fornecedores, certifique-se de que os sistemas implementados para monitorar o risco estejam alinhados com o nível de maturidade da sua organização. Se um programa de gestão de riscos é muito complexo, pode dificultar avaliações e criar gargalos de avaliação.

As perguntas feitas durante as avaliações devem fornecer informações sobre as práticas de segurança de dados dos fornecedores, bem como seus planos de continuidade de negócios e recuperação de desastres. Além disso, você vai querer perguntar sobre as regulamentações de conformidade dos fornecedores, como o HIPAA e o PCI DSS para garantir que as regulamentações relevantes estejam sendo seguidas. Alguns exemplos de perguntas que você pode fazer incluem:

  • Com que frequência sua organização realiza uma análise interna de risco?
  • Você tem um processo para autorizar o acesso ao PHI?
  • Você tem treinamento obrigatório de conscientização de segurança?
  • Você tem um sistema para gerenciar e monitorar senhas?

Como realizar uma avaliação de risco de terceiros e proteger o PHI

Para que um programa de gerenciamento de riscos de terceiros forneça valor à sua organização de saúde, é importante que você construa avaliações eficazes de risco. Abaixo estão quatro passos que você pode seguir para desenvolver avaliações abrangentes de risco:

1. Determine seus critérios de risco

Antes de realizar uma avaliação de risco, primeiro você precisa definir os critérios sobre os quais você avaliará o risco. Determinar os níveis de apetite ao risco e tolerância ao risco da sua organização ajudará você a criar critérios para avaliação. O apetite ao risco é a medida de quanto risco sua organização está disposta a assumir para alcançar seus objetivos. Por outro lado, a tolerância ao risco é a medida de quanto risco sua organização pode assumir antes de se tornar insustentável. Para os profissionais de saúde, essas duas medidas se concentrarão principalmente no PHI e no risco de conformidade.

2. Classifique seus fornecedores

O próximo passo no processo de avaliação é classificar os fornecedores. Cada fornecedor com quem você trabalha representa diferentes níveis de risco para sua organização, por isso é importante classificá-los com base em seus critérios de risco. Isso simplificará o processo de avaliação, ajudando você a determinar com que frequência os fornecedores individuais precisam ser avaliados.

Além do tipo de risco que representam, os fornecedores também podem ser classificados com base nos dados que lidam. Se um fornecedor fornece apenas suporte em operações de rede e não lida com PHI, então eles são de menor risco. Por outro lado, se um fornecedor ajudar no gerenciamento de aplicativos, ele provavelmente terá acesso às informações do paciente, o que significa que eles representam um risco maior para sua organização.

3. Administrar a avaliação

Uma vez classificado seus fornecedores, você pode então administrar a avaliação. Estes podem ser feitos no local ou remotamente através do uso de questionários. Avaliações no local produzem os resultados mais precisos, mas são intensivas em recursos. Se você tem um orçamento limitado, é recomendável que você só realize avaliações no local para fornecedores de alto risco. Os questionários são mais fáceis de administrar, mas pode ser difícil verificar a legitimidade das respostas. É por isso que é importante gastar tempo criando perguntas claras e específicas para melhorar a qualidade das respostas dos fornecedores.

4. Abordar o risco do fornecedor

A etapa final do processo de avaliação é abordar os riscos identificados do fornecedor. Uma vez determinados riscos, trabalhe com seus fornecedores para criar um plano de remediação. Isso deve incluir uma lista de etapas que os fornecedores podem tomar para resolver os riscos identificados, bem como um cronograma para a remediação. Esses planos variam dependendo da gravidade do risco e do número de problemas identificados. Você também deve criar um sistema para acompanhar o progresso do fornecedor à medida que eles trabalham para lidar com riscos. Isso pode ser feito realizando chamadas semanais onde os fornecedores atualizam você sobre o status de seus esforços de remediação.

Como o SecurityScorecard ajuda os provedores de saúde a priorizar o risco de segurança do fornecedor

Para gerenciar efetivamente o risco de terceiros, você deve monitorar os fornecedores continuamente. Com as soluções de saúde do SecurityScorecard, você pode avaliar com precisão o risco do fornecedor no que diz respeito aos padrões e regulamentos do setor de saúde. Nossas classificações de segurança aumentam os recursos de gerenciamento de riscos do seu fornecedor, permitindo que você monitore a saúde cibernética do fornecedor em dez grupos de fatores de risco. A visibilidade adquirida ajuda a verificar a legitimidade das respostas do fornecedor, agilizando o processo de remediação de riscos e fortalecendo sua segurança do PHI.

À medida que as ameaças cibernéticas evoluem e as redes de saúde se tornam mais complexas, o monitoramento contínuo de riscos de terceiros é essencial para a segurança de informações confidenciais dos pacientes. Com o SecurityScorecard, as instalações médicas têm acesso às ferramentas e recursos necessários para identificar e gerenciar com precisão o risco do fornecedor à medida que ele surge.

FONTE: SECURITY SCORECARD

POSTS RELACIONADOS