La ciberseguridad es una preocupación principal entre los profesionales de la salud, especialmente los CFO, muchos de los cuales han experimentado los efectos disruptivos y costosos de una brecha. Una encuesta de Guidehouse realizada por la Asociación de Gestión Financiera de la Atención Médica (HFMA) encontró que el 55% de los proveedores enumeraron la ciberseguridad como su máxima prioridad de inversión para 2024. La gestión de vulnerabilidades, la seguridad de datos y la detección de amenazas fueron citadas como áreas de gran interés. Estas tres áreas están relacionadas con la proliferación de dispositivos de punto final que los médicos, el personal y el personal de apoyo están utilizando a diario. Mientras que los firewalls, la monitorización de red y otras prácticas de seguridad son imperativas, vale la pena pensar más en cómo asegurar mejor la informática de punto final. La forma en que los profesionales de la salud utilizan sus dispositivos y si siguen las mejores prácticas de seguridad impacta directamente en el nivel de seguridad de un proveedor.
Prevención en el punto final
A medida que las amenazas cibernéticas aumentan, un enfoque preventivo para una mejor seguridad en el punto final puede generar resultados positivos no solo en los resultados operativos, sino también en una mejor adherencia a las regulaciones de privacidad de datos y cumplimiento. Penas monetarias, ejecución y auditorías más severas de HIPAA están en el horizonte en 2024, según las actualizaciones planificadas por el Departamento de Salud y Servicios Humanos.
HIPAA también tiene planeadas nuevas y más estrictas normativas en evaluaciones de riesgos, cifrado de datos y planes de respuesta a incidentes. Los proveedores de atención médica pueden tomar estos objetivos y comenzar a analizar si la seguridad en el punto final está alineada con el apoyo a la visión general de HIPAA de una defensa contra amenazas más sólida.
La mejor mitigación de riesgos o prevención en el punto final requiere la reducción de factores de riesgo del dispositivo, el uso de la nube para almacenamiento seguro, el empleo de un sistema operativo seguro, la gestión eficiente y centralizada de puntos finales y la comunicación con los usuarios finales, todos elementos que impactan en su postura de seguridad general.
El almacenamiento y acceso en la nube pueden reducir el riesgo
El personal de atención médica y los médicos pueden trabajar en diferentes ubicaciones hospitalarias o clínicas en un día dado. Pueden usar dispositivos móviles que pueden no cumplir con las mejores prácticas de seguridad. Además, el personal puede acceder a una serie de aplicaciones y escritorios. Mover aplicaciones a la nube es una solución para minimizar aún más el riesgo de que una persona del personal introduzca malware o ransomware en la red del sistema de salud mientras viajan entre dispositivos y ubicaciones. El personal puede recuperar aplicaciones y escritorios virtuales según lo autorizado. También permite la gestión centralizada, el parcheo y la recuperación, y las actualizaciones basadas en la nube.
Al acceder a las cargas de trabajo a través de la nube, los profesionales de la salud pueden utilizar un proveedor de identidad de inicio de sesión único (SSO). El inicio de sesión único mejora la productividad al permitir a las personas acceder fácilmente a sus escritorios y aplicaciones independientemente del hardware, como carritos móviles o estaciones de trabajo en pisos de enfermería. Está ganando popularidad entre los usuarios de atención médica que tienen cargas de trabajo de pacientes que requieren el uso más eficiente del tiempo y no quieren la incomodidad de ingresar contraseñas mientras trabajan durante el día.
Un sistema operativo seguro es imperativo
Moverse hacia una computación de punto final más segura requiere un sistema operativo que admita metodologías y integraciones de Confianza Cero, elimine el almacenamiento local de datos, sea de solo lectura y esté cifrado. Confianza Cero, como lo describe el Instituto Nacional de Estándares y Tecnología, “es el término para un conjunto evolutivo de paradigmas de ciberseguridad que trasladan las defensas desde perímetros estáticos basados en redes para centrarse en usuarios, activos y recursos”. NIST explica que “la Confianza Cero asume que no se otorga una confianza implícita a los activos o cuentas de usuario basada únicamente en su ubicación física o de red (es decir, redes de área local versus internet) o basada en la propiedad del activo (empresa o propiedad personal)”.
Prácticas de seguridad como el inicio de sesión único y la autenticación multifactor (MFA) son necesarias para apoyar los principios de Confianza Cero. Confianza Cero es en parte una respuesta a la era BYOD, como dice NIST, y está ganando prominencia a medida que más organizaciones, incluidos los sistemas de salud, buscan más formas de apoyar la productividad mientras reducen el riesgo de que las amenazas cibernéticas obtengan acceso exitoso a la red o los datos. La cantidad de flujos de trabajo en atención médica seguirá siendo compleja y variada. Medidas de protección como Confianza Cero en el punto final proporcionan un marco para fortalecer la seguridad.
Además de adoptar por completo la Confianza Cero, los sistemas de atención médica necesitan un sistema operativo de punto final que pueda admitir diversos entornos de VDI, DaaS y SaaS. En sistemas de atención médica más grandes, las ubicaciones pueden trabajar con diferentes infraestructuras de red. Utilizar un sistema operativo con esta capacidad variada es una opción económica.
La gestión centralizada ahorra tiempo y recursos de TI
“Un solo panel de vidrio” es una frase comúnmente escuchada en el mundo de la tecnología de TI. Para los sistemas de atención médica, es relevante en el sentido de que se refiere a la necesidad de centralizar la gestión de su sistema operativo de punto final y el almacenamiento y las cargas de trabajo de computación en la nube para lograr eficiencia y controles de costos. La gestión centralizada puede admitir múltiples servicios y aplicaciones alojados, aliviando la carga del personal de TI y requiriendo menos recursos para administrar la infraestructura de punto final.
Comunicación con los usuarios finales
Sabemos que el phishing, la ingeniería social y otros ciberataques son exitosos porque el usuario individual abrió un enlace infectado con virus o hizo clic en un sitio web peligroso. Las comunicaciones internas para educar al personal de atención médica sobre los peligros constantes de las amenazas cibernéticas deben ser parte de una mejora general de la seguridad y una estrategia de prevención de amenazas.
Aumentar la comunicación con el personal es un elemento esencial para cumplir con las regulaciones de privacidad de HIPAA, un enfoque principal continuo de HIPAA en 2024. Evitar multas, violaciones de datos y la falta de confianza de los pacientes, todo lleva de vuelta al individuo en el punto final.
La prevención es factible
Además de cumplir con regulaciones de ciberseguridad y privacidad de HIPAA más estrictas, prevenir ransomware y violaciones de datos es fundamental para un sistema de atención médica bien gestionado. Al utilizar la nube para almacenamiento y acceso, los proveedores pueden eliminar algunos de los riesgos que pueden ocurrir en el punto final. Una gestión centralizada unificada permitirá actualizaciones más eficientes en la nube, otra fuente de riesgo si los parches de seguridad no se implementan de manera oportuna. Además, herramientas como el inicio de sesión único y MFA, para admitir la Confianza Cero, son esenciales para controlar el acceso a datos y aplicaciones. Por último, teniendo en cuenta HIPAA, la seguridad ahora es responsabilidad de todos. Mantener al personal comprometido en las mejores prácticas de seguridad ayuda a garantizar que la atención médica pueda centrarse en los resultados de los pacientes y evitar interrupciones en la prestación de servicios.
Foto: anyaberkut, Getty Images
Jason Mafera es CTO de campo, Norteamérica para IGEL. Llega a IGEL con más de 20 años de experiencia en la entrega de ofertas de soluciones empresariales y SaaS enfocadas en ciberseguridad y ha trabajado para una amplia gama de empresas, desde startups y organizaciones previas a la OPI hasta empresas públicas y respaldadas de forma privada. Antes de unirse a IGEL en octubre de 2022, Mafera se desempeñó como jefe de Producto y luego como vicepresidente de Ingeniería de Ventas y Éxito del Cliente de Tausight, una startup en etapa inicial y proveedor de software de atención médica centrado en proporcionar inteligencia en tiempo real para asegurar y reducir la compromiso de la Información Personal de Salud Electrónica (ePHI) en el borde. Antes de eso, ocupó una sucesión de roles de liderazgo en el proveedor de identidades digitales Imprivata. Mafera pasó 12 años en Imprivata, primero definiendo y llevando al mercado las soluciones de Gestión de Autenticación OneSign y VDA, luego liderando la Oficina del CTO. Al principio de su carrera, fue ingeniero de sistemas y luego gerente de producto en RSA, The Security Division of EMC.
Esta publicación aparece a través del programa MedCity Influencers. Cualquiera puede publicar su perspectiva sobre negocios e innovación en atención médica en MedCity News a través de MedCity Influencers. Haga clic aquí para averiguar cómo.