Bulut bilgi işlem ve uzaktan çalışma gibi modern trendlerin yükselişiyle sağlık kurumları erişilebilirlik, rahatlık ve sağlam güvenliği dengelemek için çabalıyor.
Bu Help Net Security röportajında, Salucro’nun Baş Hukuk Müşaviri Ken Briggs, sağlık kuruluşları için bir güvenlik bilinci kültürünü geliştirmenin nasıl olağanüstü hale geldiğini tartışıyor. Yaklaşan teknolojik değişimleri ve eğilimleri anlamak, geleceğe bakarken önleyici hazırlık için çok önemlidir.
Sağlık sektörü, özellikle sistemlerin artan birbirine bağlılığı nedeniyle benzersiz güvenlik sorunlarıyla karşı karşıyadır. Kuruluşların sağlık hizmetlerine özgü güvenlik gereksinimlerini anlayan satıcılar edinmesi ne kadar önemlidir?
Sağlık hizmetlerine özgü güvenlik gereksinimlerinin izlenmesi tam zamanlı bir iştir. Sağlık kurumlarında işlenen veri miktarı katlanarak artıyor, ancak hastalar ve – ne yazık ki – kötü kişiler için en değerli bilgilerden biri olmaya devam ediyor. Teknoloji sağlık hizmetleri şirketleri tarafından herhangi bir şekilde kullanılıyorsa, bu faktörler, bir satıcının sağlık hizmetlerine özgü güvenlik gereksinimleri konusunda uzmanlığını gerektirir.
Bir satıcı, sağlık kurumlarının içinde faaliyet gösterdiği karmaşık ve gelişen güvenlik yükümlülükleri ağına uygun şekilde saygı göstermezse, gelişmiş sağlık kuruluşlarının kullanımına uygun bir teknoloji geliştiremeyebilir.
Kuruluşlar, satıcıları sağlık sektöründeki güvenlik gereksinimlerine aşina olma konusunda çok yüksek bir beklentiye sokmaktan çekinmemelidir. Bu kuruluşlar, sağlık hizmetine özgü olmayan satıcılara göre bu ödemelerin standartları, karmaşıklığı ve hassasiyeti hakkında derin bir anlayışa sahip olan sağlık hizmetine özgü satıcılara bakmalıdır.
Bir sağlık kuruluşunda yasal gereklilikleri ve endüstri standartlarını karşılayan ve maksimum koruma sağlamak için bunların ötesine geçen bir güvenlik programı uygulamaya nasıl yaklaşırsınız? Böyle bir programa hangi temel unsurlar veya bileşenler dahil edilmelidir?
İyi uyarlanmış bir güvenlik programı tam da bu olmalıdır: uyarlanmış. Pek çok güvenlik yasal çerçevesi, kontrollerde belirlilikten takdire dayalı bir yaklaşıma doğru ilerliyor. Bu “takdire bağlı” standart, sektördeki öncü gelişmeleri yorumlayan yönetim organları tarafından yorumlanır.
Bir kuruluş, hangi verilerin depolandığını veya işlendiğini izlemeli ve güvenlik kontrollerinin şirket içinde bir kuruluşa ve harici olarak satıcılar arasında eşlendiğinden emin olmalıdır. Sağlık hizmeti kuruluşları, saklanan ve işlenen verileri korumak için kuruluşta ve tedarikçilerinde uygun idari, teknik ve fiziksel kontrollerin yapıldığından emin olmak için zaman ayırmalıdır.
“Tek beden herkese uyar” sözü, sağlık teknolojisi endüstrisinde veya başka herhangi bir sektörde bir güvenlik programının nasıl yönetildiği ve uygulandığı konusunda asla doğru değildir. Bununla birlikte, temel ilkeler aynıdır: bir kuruluş tarafından hangi verilerin işlendiğini anlamak, verilere yönelik gerçek riskleri (dahili ve harici) belirlemek, bu risklerin etkilerini değerlendirmek ve mevcut kontrollerin bu riskleri kabul edilebilir bir düzeye indirmek için yeterli olup olmadığını. standart.
Bulut bilişim ve uzaktan çalışmanın yükselişi gibi siber güvenlikteki son trendler göz önüne alındığında, sağlık kuruluşları güçlü bir güvenlik duruşunu sürdürmek için hangi hususları akılda tutmalıdır? Sağlam güvenlik önlemlerine duyulan ihtiyaç ile rahatlık ve erişilebilirliği nasıl dengeleyebilirler?
Bulut bilgi işlem ve uzaktan çalışma kesinlikle benzersiz eğilimlerdir, ancak kuruluş içinde, pazarda veya coğrafi olarak meydana gelsin, her zaman şu veya bu şekilde eğilimler vardır.
Sofistike güvenlik kuruluşları, esnek güvenlik programları oluşturmak için çok çalışır, ancak küçük veya büyük dış veya iç değişikliklerin güvenlik kontrollerinin kapsamına alındığından emin olmak için programı akıcı bir tempoda yeniden gözden geçirmek önemlidir. Örneğin, COVID-19’a yanıt olarak birçok sağlık hizmeti faturalandırma ve gelir döngüsü ekibi uzaktan çalışmaya geçiş yaptı. Bu, ödeme kabul güvenliğini nasıl etkiler? Güvenli, P2PE ödemelerini kabul etmek için uzak cihazları benimsemek mi yoksa güvenlik ve çevrimiçi hasta katılımına öncelik veren cihazsız bir yaklaşıma geçmek mi daha önemlidir? Bunların hepsi, sağlayıcıların son üç yılda yanıtlaması gereken sorulardır ve uyumdan kaçınmak yerine güvenlik önlemlerine kucak açan bir yaklaşımın önemini vurgulamaktadır.
Bir güvenlik kontrolünün uygunluğunun değerlendirilmesi, işi gereksiz yere ağırlaştırmamak için iş hedeflerini göz önünde bulundurması gerektiğinden, bir siloda yapılmamalıdır. Bu değerlendirme, yükümlülükleri kalifiye bir satıcıya devrederek veya mevcut bir satıcının ek hizmetlerinden yararlanarak yükün azaltılmasını bile garanti edebilir. Örneğin, ödeme sistemlerinde Noktadan Noktaya Şifrelemeye geçiş, idari engelleri azaltırken çok karmaşık güvenlik yüklerini satıcıya yükleyebilir. Şirketler, sağlık hizmetleri kuruluşuna uyarlanan yeni teknolojilerin tüketici dostu erişilebilirliği ve rahatlığı (iyi bir veri yönetişim programının kiracıları olan) teşvik ederken verileri daha fazla şeffaflıkla ne kadar iyi koruyabildiğine şaşırabilir.
Sağlık kuruluşları, çalışanları arasında bir güvenlik bilinci kültürünü nasıl geliştirebilir?
Her şey, güvenlik programını benimseyen ve bir güvenlik kültürüne yapılan yatırımın riski en aza indirmeye yapılan bir yatırım olduğunu anlayan bir liderlikle başlar. Bir şirketin liderliğinin güvenliğe önem veren bir kültürü hızlandırmasının üç yolu vardır:
- Dostça eğitimler ve güvenlik kontrolleri hakkında kısa ve öz hatırlatmalarla tutarlı bir farkındalık iletişim programı oluşturun.
- Veri veya teknoloji ile ilgili herhangi bir önemli girişimin ilk aşamalarında güvenliğin dikkate alındığından emin olun (bu, “tasarım gereği güvenlik” operasyonel ilkeleridir). Güvenlik ekibinizin iş etkinleştirmede bir ortak olması gerekir.
- Soruların ortaya çıkabileceği yerlerde net bir görüş hattı sağlamak için güvenlik ekibinin proaktif olduğundan ve diğer departmanlar tarafından erişilebilir olduğundan emin olun. Güvenlik departmanınızın erişilebilir ve duyarlı olmasını bekleyin.
Sağlık sektöründe siber güvenliğin geleceğini nasıl görüyorsunuz? Hangi yeni teknolojilerin veya trendlerin manzarayı şekillendireceğine inanıyorsunuz ve kuruluşlar kendilerini bu değişikliklere hazırlamak için hangi adımları atmalıdır?
Sağlık sektöründe siber güvenlik en az iki şekilde daha üst seviyelere taşınacaktır. İlk olarak, güvenlik kontrollerinin isteğe bağlı olarak uygulanmasına izin veren yasal çerçeveler, hükümet dışı güvenlik kuruluşları tarafından yayınlanan güvenlik standartlarına “endüstri standardı” olarak atıfta bulunacaktır. Bu kuruluşlar, endüstrinin standartlarını belirlemeye yardımcı olacak kaynaklara ve uzmanlığa sahiptir. Bu, kabul edilebilir standartlar konusunda daha fazla şeffaflık anlamına gelebilirken, sağlık kuruluşlarının harici üçüncü taraf denetimlerine tabi olması gerekebilir. İkincisi, siber güvenlik kontrolleri gizlilik standartlarıyla bağlantılı olmaya devam edecek.
Birçok yasa mahremiyet ve güvenliği bağımsız kavramlar olarak ele alsa da, daha yeni çerçeveler birini diğerine bağımlı olarak ele alabilir. Sofistike sağlık kuruluşları, gizlilik ve güvenlik operasyonları arasındaki siloları ortadan kaldırarak ve politikalardan eylemlere kadar iyi belgelenmiş bir güvenlik programı sağlayarak bu tahminleri zaten yönetiyor.