Apenas 44% dos provedores de saúde estão em conformidade com os protocolos descritos pelo NIST CSF
Apenas 44% dos provedores de saúde, incluindo hospitais e sistemas de saúde, obedecem aos protocolos delineados pelo NIST CSF – com pontuações em alguns casos retrocedendo desde 2017, revela a CynergisTek.
Provedores de saúde e NIST CSF
Os analistas examinaram quase 300 avaliações de instalações de fornecedores em todo o continuum, incluindo hospitais, consultórios médicos e Associados de Negócios.
O relatório também descobriu que a segurança da cadeia de suprimentos de saúde é uma das áreas com classificação mais baixa para conformidade com o NIST CSF. Esta é uma fraqueza crítica, visto que o COVID-19 demonstrou como a cadeia de suprimentos de saúde realmente está quebrada com fornecedores que compram EPIs de fornecedores não testados.
“Descobrimos que as organizações de saúde continuam a aprimorar e aprimorar seus programas ano após ano. O problema é que eles não estão investindo rápido o suficiente em relação a um adversário inovador e com bons recursos ”, disse Caleb Barlow , CEO da CynergisTek .
“Essas questões, combinadas com o rápido início do trabalho remoto, implantação acelerada de telemedicina e abertura iminente de EHRs e interoperabilidade, nos colocaram em um caminho onde os investimentos precisam ser feitos agora para fortalecer o sistema de saúde da América.
“No entanto, o relatório não é só desgraça e tristeza. As organizações que investiram em seus programas e realizaram avaliações de risco regulares, elaboraram um plano, abordaram questões priorizadas decorrentes das avaliações e alavancaram estratégias comprovadas, como a contratação da equipe certa e ferramentas baseadas em evidências, observaram melhorias significativas em suas pontuações de conformidade do CSF do NIST . ”
Orçamentos maiores não significam melhor desempenho de segurança
O relatório revelou que instituições de saúde maiores com orçamentos maiores não tiveram necessariamente um desempenho melhor quando se trata de segurança e, em alguns casos, tiveram um desempenho pior do que organizações menores ou que investiram menos.
Em alguns casos, isso foi um resultado direto da consolidação, onde os sistemas se conectam diretamente aos hospitais recém-adquiridos, sem primeiro reforçar sua postura de segurança e realizar uma avaliação de comprometimento.
“O que nosso relatório descobriu nos últimos anos é que a saúde ainda está atrasada em termos de segurança. Embora o foco da saúde na segurança da informação tenha aumentado nos últimos 15 anos, o investimento ainda está lento. Na era do trabalho remoto e de uma superfície de ataque que cresceu exponencialmente, simplesmente manter um status quo de segurança não vai resolver ”, disse David Finn , EVP de Inovação Estratégica da CynergisTek.
“A boa notícia é que as questões emergentes em nossas avaliações são amplamente solucionáveis. A má notícia é que isso exigirá investimento em uma indústria que ainda luta com perdas financeiras de COVID-19. ”
Os principais fatores que influenciam o desempenho incluem planejamento de segurança insatisfatório e falta de foco organizacional, estruturas de relatórios e financiamento inadequados, confusão em torno das prioridades, falta de pessoal e nenhum plano claro.
Principais estratégias para reforçar a segurança da saúde e alcançar o sucesso
Olhe sob o capô para segurança e privacidade em meio a fusões e aquisições : para sistemas de saúde que planejam integrar novas organizações por meio de fusões e aquisições, a liderança deve olhar sob o capô e ser mais diligente ao examinar a infraestrutura de segurança e privacidade da organização, medidas e desempenho.
É importante entender seus livros e fluxos de receita, bem como seus potenciais riscos de segurança e lacunas para evitar que esses problemas se tornem passivos.
Tornar a segurança uma prioridade empresarial : enquanto outros setores, como financeiro e aeroespacial, trataram a segurança como uma prioridade de nível empresarial, a saúde também deve assumir esse tipo de compromisso.
Entender como esses riscos se relacionam com o panorama geral ajudará uma organização que pensa que não pode se dar ao luxo de investir em atividades de gerenciamento de risco de segurança da informação e privacidade a entender por que fazer tal investimento é crucial.
Hospitais e organizações de saúde devem criar forças-tarefas colaborativas e multifuncionais, como equipes de resposta empresarial, que oferecem a outras unidades de negócios uma visão esclarecedora de como a segurança e a privacidade afetam todas as partes do negócio, incluindo finanças, RH e muito mais.
Dinheiro não é solução : simplesmente jogar dinheiro em um problema não funciona. Os líderes de segurança precisam identificar prioridades e ter um plano que aproveite o talento, estratégias testadas e comprovadas, como autenticação multifator, gerenciamento de acesso privilegiado e treinamento contínuo da equipe para realmente elevar o nível de suas defesas e ter uma abordagem mais holística, especialmente ao iniciar novos serviços, como telessaúde .
Acelere a mudança para a nuvem : embora a saúde tradicionalmente tenha demorado a adotar a nuvem, essas soluções oferecem agilidade e escalabilidade que podem ajudar os líderes a lidar com situações como COVID-19 e outras crises de maneira mais eficaz.
Reforce a postura de segurança : frequentemente aprendemos da maneira mais difícil que a segurança pode atrapalhar o fluxo de trabalho. O COVID-19 nos ensinou que o fluxo de trabalho também pode atrapalhar a segurança e que as coisas vão piorar antes de melhorar. Obtenha uma avaliação rapidamente para determinar as necessidades imediatas e chegar a um plano de jogo para reforçar as defesas necessárias neste próximo normal.
Fonte: https://www.helpnetsecurity.com/2020/09/22/healthcare-providers-nist-csf-protocol
