O setor de saúde está entre os mais afetados por violações de dados em nÃvel global. Coletando dados extremamente sensÃveis, valiosos e armazenando-os à s vezes em sistemas desatualizados, as instituições de saúde geralmente são os principais alvos dos ataques cibernéticos.
O setor de saúde também é um dos setores mais regulamentados no que diz respeito à proteção de dados, com legislação especializada como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) nos EUA e o Regulamento Geral de Proteção de Dados da UE (GDPR), que faz a proteção da saúde informações obrigatórias. O descumprimento acarreta multas pesadas.
Portanto, não é surpresa que o setor de saúde também possua a maior violação de custos / dados de qualquer setor. De acordo com o Custo de um relatório de violação de dados de 2019 divulgado pelo Ponemon Institute e IBM Security, o custo por violação para instituições de saúde é de US $ 6,45 milhões, 65% a mais do que o custo médio de uma violação de dados.
Com essas três questões importantes a serem consideradas, o que as organizações de saúde podem fazer para garantir que suas estratégias de proteção de dados sejam bem-sucedidas? Aqui estão as nossas dicas!
1. Saiba onde estão seus dados, quem os está usando e como
Muitas instituições de saúde envidam todos os seus esforços para proteger suas redes contra interferências externas, mas, embora essa seja uma parte importante das estratégias de proteção de dados, é crucial também se concentrar nas informações confidenciais que atraem esses ataques.
Ao proteger dados confidenciais diretamente, as organizações se protegem não apenas contra ameaças externas, mas também de pessoas mal intencionadas e do descuido dos funcionários. Primeiro, porém, as instituições de saúde devem saber onde estão seus dados e quem tem acesso a eles. A transparência dos dados e as ferramentas que ajudam os prestadores de serviços de saúde a monitorar de perto os dados confidenciais onde quer que sejam encontrados são essenciais para uma estrutura eficaz de segurança cibernética.
Ferramentas como as soluções de prevenção contra perda de dados (DLP) permitem que os profissionais de saúde definam dados confidenciais e depois monitorem e restrinjam seu uso e transferência através de polÃticas em toda a rede. Alguns, como o Endpoint Protector , até vêm com polÃticas predefinidas para legislação como HIPAA e GDPR, garantindo que os dados protegidos estejam alinhados com as necessidades de conformidade. As soluções DLP, por meio de seus recursos de descoberta de dados, ajudam as organizações a encontrar dados confidenciais onde quer que estejam localizados na rede e permitem ações de correção, como criptografia ou exclusão, quando encontradas em computadores não autorizados.
2. Monte e teste um plano de resposta à violação de dados
As instituições de saúde estão sendo alvo ativamente e quanto maior a quantidade de dados que coletam, mais tentador é o alvo que eles fazem para ataques cibernéticos. E enquanto uma forte estrutura de segurança cibernética baseada em padrões como os controles CIS pode impedir até 97% de todas as violações de dados, a triste realidade é que não há um plano infalÃvel para impedir todas as violações de dados. Às vezes, um funcionário ignora as medidas de segurança por frustração ou alguém com acesso de alto nÃvel cai por um ataque de engenharia social ou uma vulnerabilidade recém-descoberta em software ou hardware é explorada antes que possa ser corrigida. São situações inesperadas que podem comprometer a estratégia de proteção de dados mais hermética.
Como não há como garantir que uma organização de saúde não seja atingida por uma violação de dados, é importante que eles tenham um plano de resposta à violação de dados e testem-no com antecedência para garantir sua eficácia. Dessa maneira, os funcionários estão preparados para um incidente de segurança e sabem o que é esperado deles quando ocorrer um.
Quando se trata de lidar com violações de dados, a velocidade é fundamental e ter um plano bem elaborado não apenas ajuda a mitigar os danos causados ​​por uma violação e a cumprir as leis obrigatórias de notificações de violação de dados, mas também economiza dinheiro. O custo de um relatório de violação de dados de 2019 mostrou que as organizações que já haviam testado extensivamente os planos de resposta a incidentes economizavam mais de US $ 1,2 milhão quando foram violadas.
3. Verifique as práticas de segurança de terceiros
Às vezes, um profissional de saúde pode ter uma forte estrutura de segurança cibernética, mas os fornecedores com quem trabalham não o fazem. Embora uma legislação como HIPAA e GDPR restrinja a maneira como as informações pessoais podem ser compartilhadas com terceiros, vale lembrar que as empresas que coletam dados e as repassam aos fornecedores para processamento ainda são responsáveis ​​quando ocorre uma violação de dados.
As organizações de assistência à saúde devem solicitar que os fornecedores comprovem que cumprem as melhores práticas de segurança, de acordo com suas próprias estruturas de segurança cibernética, para garantir a existência de um nÃvel adequado de segurança para proteger quaisquer dados que possam ser transferidos para esses terceiros para processamento de dados ou como parte do serviços terceirizados.