Mais notícias
No sistema de saúde é muito comum uma desconexão entre a área de TI e a liderança executiva quando se trata de priorizar a administração de riscos em cibersegurança. Por isso, soluções para reverter esse cenário figuram entre as principais discussões do Healthcare Information and Management Systems Society 2017 Conference and Exhibition (HIMSS 2017) e do último HIMSS Privacy Security Forum — ambos eventos americanos voltados para questões de tecnologia no setor de saúde.
Quando se trata de governança de cibersegurança em saúde, sou um ponto fora da curva. Atualmente, sou membro do conselho de diretores no sistema de saúde da comunidade Brant (cidade canadense), bem como atuo na indústria de cibersegurança pela Gigamon, o que me garante uma perspectiva única.
Por um lado, estou bastante ciente dos desafios que os executivos de segurança (CISOs) enfrentam para chamar a atenção do board e conseguir recursos para o que eles precisam — mas quase nunca conseguem — visando proteger devidamente suas organizações.
Ao mesmo tempo, também entendo o quão difícil é para membros do conselho avaliar e priorizar os riscos cibernéticos, frente a necessidade de superar os imensos desafios financeiros de operar um sistema hospitalar multissite e complexo, incluindo:
· Manter e melhorar a qualidade dos cuidados ao paciente, numa época em que os Estados Unidos enfrentam taxas de obesidade cada vez maiores;
· Administrar a complexidade e os custos associados a doenças crônicas, como câncer, doenças cardiovasculares e diabetes, que taxam sistemas de saúde ao limite;
. Garantir a satisfação dos empregados e seu engajamento;
· Encontrar fundos e recursos para manter inovação e melhorias em equipamentos médicos e tecnologias.
Em resumo, vamos dizer que as reuniões de conselho são sempre longas.
Equilibrando a balança
Para muitos executivos na área da saúde, lidar e administrar riscos de cibersegurança pode ser uma distração e um custo desnecessário, com base no pensamento de que cada dólar faz diferença no cuidado com o paciente.
Por conta de todo esse cenário apresentado, equilibrar a balança e integrar as necessidades de privacidade e segurança com os objetivos estratégicos, em vez de tratar o assunto simplesmente como uma “coisa de TI. Por isso, essa questão foi abordada no decorrer do evento como uma necessidade absoluta para o setor. Os principais pontos que elenco do HIMSS Privacy Security Forum foram:
1) O setor de saúde é vulnerável e está sob ataque como nenhum outro. Por isso, precisamos trabalhar juntos, com mais frequência e eficiência, para encontrar soluções.
As manchetes nunca param e diariamente pipocam notícias sobre hospitais hackeados, redes de saúde sob ataques de ransomware e milhares de registros médicos violados. A maioria de nós não consegue nem mais acompanhar o volume de notícias sobre o assunto, diante do crescimento exponencial da lista de violações disponível no portal Civil Rights Break do U.S. Department of Health and Human Services Office, conhecido no meio como muro da vergonha.
Os palestrantes Joel Brenner, ex-conselheiro sênior da NSA, e Stephen Nardone, diretor de segurança e mobilidade na Connection, evidenciaram essa vulnerabilidade em suas apresentações “Cibersegurança: Como ficou tão ruim, podemos fazer algo a respeito?” e “Mitigando ameaças de rede em cuidados com a saúde”.
Diferentemente de transações monetárias, dados de saúde são muito detalhados, desestruturados e pessoais. Por exemplo, se alguém comete fraude ao usar seu cartão de crédito, visando realizar compras não autorizadas, é relativamente fácil para o banco detectar, investigar e recuperar o dinheiro. Mas, se alguém rouba suas informações sobre sua saúde, não há volta. Não tem como recuperá-las e cibercriminosos podem usá-las para propósitos mais nefastos do que simplesmente comprar uma TV na Amazon.
Devido às características únicas dos prontuários médicos, pode levar semanas, meses ou anos para se detectar fraudes, tornando essas informações mais valiosas do que as relacionadas às instituições financeiras. O risco de perder esses dados não é simplesmente custoso ou apenas um aborrecimento para pacientes, mas uma ameaça à vida, proporcionando ganhos para os cibercriminosos muito maiores.
Roubar dados de pacientes e hospitais é altamente lucrativo, com um risco baixo de ser pego. Steve Borg, diretor e economista-chefe da U.S. Cyber Consequences, apresentou o painel “Economia dos ciberataques nos provedores de saúde”, o qual me fez pensar mais sobre como esses fatores econômicos serão a chave para combater ameaças de cibersegurança. Ele também discutiu sobre como compartilhar inteligência de ameaças e melhores práticas de segurança, além da importância de criar novos fóruns para educação e colaboração, a fim de melhorar as defesas no setor. Denise Anderson, diretora executiva do NH-ISAC, reiterou essa posição apresentando cases reais no painel “Inteligência da ameaça: Pare ataques antes que os dados estejam feitos”.
Em resumo, a coisa mais importante que empresas podem fazer é assegurar que a administração de riscos à cibersegurança estabeleça uma estratégia ampla e focada.
2) Nós somos ruins em definir e comunicar riscos para executivos e conselhos de administração. Precisamos melhorar. Contar ao conselho histórias assustadoras não é mais eficiente, se é que algum dia foi. Inclusive, pode chateá-los, o que certamente não ajudará na aprovação de um novo firewall.
Se, por um lado, reclamamos que executivos e conselhos não entendem realmente sobre cibersegurança, por outro lado, continuamos a fazer apresentações altamente técnicas, que os confundem e os deixam entediados. Isso tem que mudar. Precisamos tomar tempo para entender as prioridades deles e comunicar estrategicamente de uma perspectiva de negócios e finanças, não somente taticamente, com um ponto de vista míope e limitado ao nosso próprio departamento e necessidade.
A maioria dos CISOs concorda com a ideia de que os riscos à cibersegurança devem ser expressos numa linguagem que CEOs, CFOs e membros do conselho possam entender. Claro, isso inclui deixar de lado jargões da indústria de TI, mas o ganho de alinhar esforços cumprir objetivos estratégicos da organização vale o sacrifício.
No painel “Liderança de segurança na saúde: Estado da união”, John Donohue, CIO associado de tecnologia e infraestrutura da Penn Medicine; Anahi Santiago, CISO do Christina Care Health System; e Darren Lacey, CISO da John Hopkins University & John Hopkins Medicine, discutiram como CISOs são recompensados por fazerem uma abordagem mais estratégica ao “conseguirem um assento na mesa de um C-level.
Eu reiterei pontos similares durante minha própria sessão, recomendando CISOS a usar sempre a linguagem de sua audiência, simplificando a mensagem e passando a essência do que busca. Por exemplo, pare de falar o termo “hackers” e passe a usar o termo “criminoso”.
Nesse sentido, em vez de dizer que um APT utilizou as credenciais de um usuário para instalar root kits em múltiplos endpoints, desviando assim do IPS ao criptografar mensagens de comando e controle, ele deve dizer que necessita de US$ 100 mil para um novo firewall, porque criminosos tentaram roubar dados pessoais de saúde que valem US$ 20 milhões, o que pode expor a empresa ao risco de violações legais, capazes de custar dezenas de milhões em advogados e danos à reputação do hospital.
Agora, se o CEO for um ex-médico, exemplifique como o risco de uma quebra na cibersegurança, capaz de comprometer informações de pacientes, se encaixa ao “do no harm”, conceito que define a obrigação médica de analisar todos os pontos de um tratamento ou pesquisa que podem prejudicar seres humanos. O executivo então conseguirá relacionar a natureza do risco diretamente com o paciente, o que irá resultar em um melhor entendimento.
Por último, estabelecer um pouco de consciência situacional às necessidades estratégicas da empresa não machuca. Por exemplo, não pode ser a melhor ideia pedir recursos para uma aplicação antiphishing (por exemplo, que engana empregados e os faz clicar em e-mails falsos, ou os envergonha com comprometimento em relação aos termos e compromissos) quando o próximo item na agenda do conselho é lidar com a moral baixa dos empregados.
Nós também precisamos ser recíprocos, empenhados num melhor trabalho em entender as prioridades do conselho e trabalhar pontos estratégicos. Os CISOs que atuam dessa forma terão muito mais sucesso e serão menos propensos a terem suas empresas no “muro da vergonha”.
3) Privacidade e segurança precisam ser consideradas em não só todos os sistemas, mas também em toda decisão de negócio. Imagine a seguinte situação: o CISO descobre que uma brecha surgiu a partir do comprometimento de credenciais de terceiros. Como resultado, executivos sêniores perderam suas posições. O varejo pode ter uma complexidade a mais em administrar endpoints não-tradicionais, como registradoras e dispositivos portáteis de inventory-tracking, mas isso não é nada comparado com o que setor de saúde lida hoje em dia.
A Internet das Coisas médicas já está aqui e não é muito segura. Stephanie Jernigan, professora assistente no Departamento de Administração e Operações no Boston College, apresentou uma sessão chamada “Pronto ou não: Aí vem a Internet das Coisas baseada em encontros de uma pesquisa global no MIT Sloan Management Review.
Enquanto o estudo confirmou muito do que nós pensávamos sobre IoT em saúde, também disponibilizou novos insights. A pesquisa revelou que empresas com infraestruturas analíticas fortes e eficientes foram mais capazes de alavancar investimentos em IoT. Dispositivos que falham na categoria Internet das Coisas Médicas são mais fáceis de serem atacados porque são mais acessíveis física e digitalmente. Isso é bem real quando se trata de dispositivos de uso que os pacientes carregam quando deixam o hospital.
Outra descoberta perturbadora mostrou que, apesar desses problemas, 76% das pessoas que responderam à pesquisa acharam que não há necessidade em melhorar seus sensores de segurança de rede e 68% deles acharam que não precisam melhorar a proteção de dados em nenhum ponto. O que torna isso duplamente preocupante está no fato de que, na medida em que capacidade analítica melhora, refletindo positivamente no cuidado de pacientes, essa postura negligente na segurança também se prolifera.
4) Obter sucesso na segurança ao administrar um portfólio de inovação. A parte que mais chamou a atenção do fórum foi a apresentação do CISO da Aetna, Jim Routh, na palestra “Como construir um portfólio de tecnologia da segurança: Pegue riscos para administrar riscos”. A Aetna atende mais de 46 milhões de pessoas, por isso tem um grande número de informações pessoais de saúde para proteger.
O approach único do Routh não apenas para se igualar, mas também ficar na frente de hackers, é reservar 25% do seu budget para comprar tecnologias novas e emergentes de startups recém-criadas. Essas são mais propensas a fazer melhores acordos, financeiramente falando, do que players estabelecidos, e elas também providenciam tecnologia de ponta, enquanto a maioria dos atacantes tem a tendências de mirar e explorar vulnerabilidades em soluções mais velhas e que são amplamente instaladas.
Routh vê essa abordagem muito como alguém construiria um portfólio de investimento balanceado e diversificado, com 75% em blue chips e 25% em investimentos de alto crescimento, alto impacto e potencialmente de alto risco. Nenhum outro palestrante personificou a necessidade de definir cuidadosamente o risco e comunicar estrategicamente mais do que ele. E eu, particularmente, adorei uma frase dele para descrever seu approach: “Tomar riscos para reduzir riscos”.
*Kevin Magee é diretor regional de vendas no Canadá da Gigamon.
Fonte: Computerworld
Data: 23/03/2017
Hora: 23h28
Seção: Segurança
Autor: Kevin Magee
Foto: ------
Link: http://computerworld.com.br/principais-desafios-da-area-de-ti-no-setor-da-saude
Destaques
Comentários
