GUIA DO GERENTE DE RH PARA MITIGAR ATAQUES CIBERNÉTICOS NA ÁREA DA SAÚDE

Views: 179
0 0
Read Time:8 Minute, 53 Second

Ataques cibernéticos na indústria da saúde estão aumentando

O uso da tecnologia no setor de saúde pode ser ao mesmo tempo que salva vidas e ameaça de vida. Avanços na tecnologia, como impressão 3D, realidade virtual, robótica e Internet das Coisas Médicas (IoMT), melhoram a capacidade das organizações de saúde de prestar melhor atendimento aos seus pacientes.

Ao mesmo tempo, os criminosos aproveitam essa nova tecnologia para executar suas causas malévolas, roubando informações de saúde protegidas (PHI) e outros dados confidenciais ou interrompendo o funcionamento dos prestadores de cuidados de saúde. A recente pandemia COVID-19 serve como um bom exemplo dos vetores de ataque que os criminosos estão usando. Aproveitando a crescente necessidade das pessoas de informações oportunas e precisas sobre a pandemia, os cibercriminosos lançaram uma campanha sem precedentes de ataques de ransomware e phishing contra hospitais e outras organizações de saúde visando a interrupção do sistema público de saúde.

No entanto, esse fenômeno não é algo novo. Relatórios mostram que o setor de saúde é uma das indústrias mais visadas por causa da superfície de ataque exposta e dos dados pessoais e médicos lucrativos. O último relatório da Verizon DBIR indica que criminosos com motivação financeira estão usando ransomware e phishing de e-mail como seus vetores de ataque preferidos para se infiltrar nos sistemas médicos online e roubar dados pessoais e médicos. Esses dados são então vendidos muito caro na dark web.

Equilibrando operações de segurança e saúde

No entanto, enquanto um incidente de segurança ou violação de dados pode resultar em ações judiciais, perda de receita e uma reputação prejudicada em outros setores, na saúde pode resultar na morte de pacientes. Essa é exatamente a grande diferença na segurança cibernética na área da saúde e em outros setores. A falta de mitigação de vulnerabilidades e riscos de segurança pode ter um efeito devastador na vida humana.

Por outro lado, a implementação de controles de segurança deve equilibrar a natureza dos empregos dos profissionais de saúde, onde o objetivo de salvar vidas humanas tem a maior prioridade. Esses controles devem fornecer segurança suficiente sem interromper a forma como os profissionais de saúde operam.

Devido à importância e às complexidades envolvidas com as implicações da vida real e da morte, a saúde é uma indústria fortemente regulamentada. Não apenas para garantir que os medicamentos sejam seguros e eficazes, mas também para proteger a confidencialidade, integridade e disponibilidade dos dados pessoais e médicos dos pacientes. Regulamentos como HIPAA nos EUA, PIPEDA no Canadá, GDPR e NIS na UE determinam a física e a segurança cibernética e a privacidade dos registros de saúde, sejam eles em papel ou eletrônicos. Juntamente com os requisitos de segurança, essas regulamentações governamentais ditam pesadas multas por violações de dados.

Apesar do marco regulatório, as organizações de saúde muitas vezes não fazem a lição de casa. De acordo com o Departamento de Saúde e Serviços Humanos dos EUA,responsável pela aplicação do HIPAA, a maioria das multas impostas às entidades de saúde envolve usos inadmissíveis e divulgação de informações de pacientes e falta de salvaguardas para proteger essas informações.

A grande maioria dos incidentes de segurança, não importa sua escala, poderia ter sido evitada se os controles de segurança e privacidade aplicáveis e profissionais estivessem no local. Profissionais de segurança experientes e qualificados com o uso de tecnologia e processos adequados podem minimizar os riscos de segurança de qualquer organização e garantir uma postura de segurança robusta.

Falta de Conhecimento em Segurança Cibernética

No entanto, apesar da importância dos dados pessoais e médicos para a prestação de serviços que salvam vidas, o setor de saúde sofre com a falta de pessoal qualificado.

De acordo com uma pesquisarecente, um em cada quatro profissionais de saúde dos EUA nunca recebeu treinamento de segurança cibernética de seu empregador. A Força-Tarefa de Cibersegurança da Indústria de Cuidados de Saúde dos EUA revelou que três em cada quatro hospitais não têm profissional dedicado à segurança cibernética, enquanto outro relatório mostrou que 49% dos hospitais não têm CISO.

Esses relatórios revelam uma significativa falta de treinamento em segurança cibernética entre os profissionais de saúde, deixando vulneráveis os sistemas de tecnologia da informação em saúde e as informações eletrônicas de saúde protegidas (ePHI). A escassez de habilidades de segurança cibernética torna as organizações de saúde alvos de hackers mais desejáveis causando danos diretos e mensuráveis a essas organizações.

RH como parceiro de segurança e privacidade em saúde

A lacuna de habilidades identificada por esses relatórios pode não ser um problema tão difícil de resolver, e os departamentos de RH podem ajudar nessa direção.

O departamento de RH pode enfatizar a importância da segurança da informação e da privacidade a partir do processo inicial de recrutamento e continuar durante todo o mandato de um funcionário. O RH pode ser o canal entre o departamento de segurança de TI e a equipe do hospital — esclarecendo a política, fornecendo recursos e trabalhando nos bastidores para reconhecer e antecipar os potenciais problemas de segurança da informação e privacidade que surgem em todas as organizações de saúde.

Para que a segurança da informação e a privacidade sejam eficazes, ela deve ser enfatizada como uma prática comercial padrão, integrada aos procedimentos e funções de cuidado do hospital e reforçada em um programa contínuo de conscientização sobre segurança e privacidade que seja mantido relevante, envolvente e fresco. A conscientização da equipe sobre segurança e privacidade de dados fará com que todos os profissionais de saúde entendam que podem proteger vidas humanas protegendo os dados dos pacientes.

Conscientização da Equipe

Todos os profissionais de saúde devem ter algum tipo de treinamento de segurança e privacidade para torná-los cientes das regras e procedimentos de proteção de dados, além de quaisquer ameaças que possam encontrar. Embora o treinamento em segurança cibernética deva fazer parte do processamento, todos os funcionários precisam receber atualizações regulares de conscientização para poder se manter atualizado com os últimos desenvolvimentos. Assim como os médicos precisam ser educados continuamente para fornecer o mais alto nível de serviços de saúde, todos os funcionários do hospital precisam ser atualizados regularmente sobre questões de segurança e privacidade para proteger os dados e a vida de seus pacientes.

Além disso, os reguladores deixaram claro que a segurança e a privacidade dos registros de saúde também são uma questão de nível de conselho e os diretores hospitalares devem ser responsabilizados por quaisquer violações de dados. Os executivos do hospital têm a responsabilidade legal de proteger os dados de seus funcionários e pacientes. O Centro Nacional de Segurança Cibernética do Reino Unido diz que a segurança cibernética deve fazer parte do conjunto de habilidades de um gerente e sua orientação afirma que “a equipe executiva deve estar tão ciente das principais vulnerabilidades em sua propriedade de TI quanto de sua situação financeira”.

Os benefícios do treinamento em equipe

Além de empregar profissionais de segurança e privacidade certificados, uma postura de segurança da organização de saúde pode ser atualizada treinando a equipe de segurança no local. Em um momento em que os profissionais de cibersegurança são escassos, as organizações que priorizam a certificação e o treinamento são mais propensas a atrair e reter funcionários críticos.

Profissionais qualificados com conhecimento fundamental e robusto em segurança e privacidade em saúde podem se tornar o ativo mais valioso da organização. Tendo uma compreensão mais ampla dos incidentes de segurança, o profissional de segurança pode fazer avaliações precisas de impacto com base na mudança do ambiente de ameaças e tecnologia, auxiliando a diretoria executiva na alocação dos recursos necessários para implementar medidas de mitigação proporcional, garantindo uma organização de saúde resiliente cibernética. Implementando controles de segurança alinhados com as metas gerais de saúde de tratar os pacientes e salvar vidas humanas, o profissional de segurança e privacidade pode ajudar minimizando os riscos à segurança, beneficiando a organização de muitas maneiras e ajudando a estabelecer confiança com pacientes e parceiros.

O treinamento em equipe pode ser muito benéfico para sua organização, uma vez que pode ser adaptado ao seu orçamento e requisitos exclusivos de segurança cibernética. Assim, o treinamento em equipe pode ajudar a manter as habilidades de segurança cibernética da sua equipe afiadas, provar credibilidade para parceiros e clientes e maximizar seu investimento em treinamento.

Além disso, o treinamento interno de segurança é um investimento com grande ROI. Em vez de contratar mais pessoal e aumentar suas despesas mensais, é inteligente contratar um profissional de segurança para fazer o treinamento interno. O dinheiro que você gastará será investido sabiamente no aprimoramento das habilidades fundamentais e versáteis do seu pessoal em segurança e privacidade, o que os ajudará a construir autoconfiança no enfrentamento de problemas complexos de segurança. Profissionais de segurança e privacidade altamente experientes podem ajudá-lo a mitigar ameaças, diminuindo as chances de ser violado e tendo que enfrentar enormes penalidades, passivos e perdas de receita devido à reputação danificada. O custo de uma única violação de dados supera de longe o custo de um treinamento da equipe interna.

Seus profissionais de segurança e privacidade também podem se tornar salva-vidas, mesmo que não usem jalecos brancos.

Como (ISC)² pode ajudá-lo

À medida que o campo da segurança da informação continua a crescer e avançar, trabalhadores mais qualificados são obrigados a preencher muitas vagas abertas no mercado. Investir no treinamento de sua equipe é uma decisão estratégica que melhorará sua postura global de cibersegurança e tornará sua organização resiliente cibernética.

(ISC)² é líder em certificações de segurança e é reconhecido por empresas em todo o mundo. (ISC)² pode ajudá-lo a descobrir o caminho certo e criar seu plano, para garantir padrões em toda a sua equipe de segurança agora e à medida que eles se desenvolvem em novas funções. E a melhor maneira de começar a construir uma equipe focada em segurança é se inscrevendo para a certificação (ISC)² HealthCare Information Security and Privacy Practitioner (HCISPP).

O HCISPP abrange tudo o que um profissional precisa saber sobre privacidade e segurança no setor de saúde. A certificação mostra que eles têm as habilidades técnicas e conhecimentos avançados necessários para implementar, monitorar e administrar a infraestrutura de saúde usando práticas, políticas e procedimentos de privacidade e segurança. (ISC)² oferece treinamento interno para a certificação HCISPP, abrangendo tudo o que um profissional de segurança precisa saber sobre como manter seu negócio seguro.

Para saber como sua empresa pode se beneficiar, confira nossas Soluções de Treinamento Corporativo, ou baixe nosso whitepaper, Guide to Defending Against Cyberattacks in Healthcare.

FONTE: ISC2

Previous post Descoberta versão Linux do ransomware RansomEXX
Next post RansomExx: vírus que atingiu STJ também atacou TJ-PE e outros países.

Deixe um comentário