Damian Chung, Diretor de Segurança da Informação Empresarial da Netskope, nos diz que a segurança da informação é uma das áreas mais críticas da saúde durante o movimento da “Grande Renúncia”
Como resultado direto do esgotamento da pandemia da Covid-19, a tendência contínua da Grande Demissão pode estar afetando a saúde mais do que qualquer outro setor. Uma pesquisa mostrou que a saúde já perdeu cerca de 20% de sua força de trabalho nos últimos dois anos. Essa rotatividade está acontecendo de cima para baixo em todas as organizações. Os médicos estão mudando de hospital, o pessoal administrativo está deixando o setor e as equipes de tecnologia estão sendo atraídas por empregos com salários mais altos em outros setores.
O alto volume de negócios no setor está tendo um amplo impacto. Segundo um estudo, 60% das organizações tiveram que mudar seu modelo de atendimento; 48% tiveram que reduzir a capacidade de internação; e aproximadamente 40% fizeram reduções na capacidade da sala de cirurgia e do ambulatório, aumentaram o desvio do departamento de emergência e aumentaram o tempo de internação.
A segurança é outra área crítica das operações que sente os efeitos da Grande Renúncia. No ano passado, o Netskope Threat Labs descobriu um aumento de 300% no roubo de dados de funcionários durante os últimos 30 dias de trabalho. Assim, com níveis sem precedentes de rotatividade de recursos humanos em todo o setor, como as organizações de assistência médica podem garantir que seus dados proprietários e outras informações confidenciais não saiam com um funcionário que está saindo?
Maior risco para dados de pesquisa
Em um hospital de pesquisa típico, os pesquisadores solicitarão bolsas de agências governamentais e/ou instituições privadas. Embora as bolsas sejam concedidas para um determinado projeto e pesquisador, o financiamento geralmente pertence à instalação onde a pesquisa está sendo realizada.
Na maioria dos casos, os dados resultantes do projeto também pertencem ao hospital da pesquisa – enquanto o pesquisador recebe o crédito pelo trabalho e tem acesso aos dados enquanto estiver empregado na instituição. Para os pesquisadores, a obtenção de crédito costuma ser o fator mais importante. Embora existam casos em que um pesquisador pode pré-arranjar algum tipo de direitos de uso compartilhado ou propriedade dos dados do projeto por meio de um acordo por escrito, é muito mais comum que as instalações mantenham a propriedade exclusiva da pesquisa realizada por seus funcionários.
O que às vezes acontece, porém, é que um pesquisador faz seu nome e é atraído para outra instalação. Ao sair, eles podem querer levar alguns arquivos de projeto com eles – mesmo que esses materiais pertençam explicitamente à instituição da qual estão saindo. Eu realmente vi isso em primeira mão. Eu fazia parte de uma equipe de segurança quando um pesquisador tentou levar seus dados com eles quando eles saíram e a organização se opôs.
A colaboração entre instituições (como entre uma universidade e um hospital de pesquisa afiliado) é outra área comum onde esses tipos de conflitos de propriedade de dados podem surgir. Na maioria das vezes, as organizações assinam um contrato de associação comercial (BAA) que descreve quem é responsável pelos dados resultantes de informações protegidas de saúde (PHI). Mas, muitas vezes, a transferência de dados ocorre fora dos termos do contrato – sem o conhecimento da segurança ou da equipe de TI. E uma vez que os dados proprietários são exfiltrados da instituição, pode ser quase impossível colocar o gênio de volta na garrafa.
Identificando e interrompendo possíveis ameaças internas
Independentemente da intenção do indivíduo que está saindo, as organizações de saúde precisam se proteger desse tipo de ameaça interna comum. Para fazer isso, as equipes de segurança precisam de ferramentas modernas que estabeleçam visibilidade abrangente em toda a organização. Eles devem estar cientes de tudo o que precisa ser protegido e ter a capacidade de identificar instantaneamente possíveis riscos. Isso deve incluir recursos como:
Contexto de dados integrado. Para avaliar o risco de dados confidenciais ou proprietários, primeiro você precisa reunir algumas informações contextuais. Você precisa saber mais sobre os usuários e os detalhes de como e por que eles estão interagindo com os dados e aplicativos da organização. Isso pode incluir:
- Em que grupo de negócios o usuário está?
- Qual é a postura do dispositivo – é um dispositivo gerenciado ou não gerenciado?
- A quais recursos eles estão solicitando acesso?
- Uma vez concedido o acesso, quais atividades eles estão tentando realizar?
Classificação de dados. A classificação de dados torna a visibilidade dos dados uma realidade. As organizações de saúde devem fazer um inventário de todos os seus dados – marcando-os de acordo com o tipo, sensibilidade e localização. Depois de ver e classificar os dados de acordo com essas tags, você pode implementar políticas para garantir que informações confidenciais nunca saiam da organização.
E esse sistema de classificação pode não apenas ajudá-lo a manter os arquivos bons dentro da organização, como também pode ajudá-lo a manter os arquivos ruins fora. Arquivos que violam a política (como malware armazenado em nuvem) podem ser impedidos de entrar com base em sua classificação.
Conscientização da instância. Com o recente aumento de três vezes nos roubos de dados, 74% dos incidentes ocorreram por meio de instâncias pessoais do Google Drive. As equipes de segurança de saúde precisam ser capazes de identificar se seus usuários estão acessando instâncias pessoais de aplicativos comuns da web/nuvem (por exemplo, Google Workspace, Microsoft 365, Dropbox) em vez daqueles que são licenciados e gerenciados pela organização. Sem a capacidade de detectar e impedir que instâncias de aplicativos pessoais acessem dados confidenciais, os aplicativos de nuvem sancionados podem ser facilmente usados para exfiltração.
Depois que as organizações de saúde estabelecem uma visibilidade abrangente de usuários, aplicativos, dados e tráfego em suas organizações estendidas, elas estão em uma posição informada para medir os riscos e implementar controles granulares baseados em políticas que podem ajudar a manter informações privadas e dados proprietários com segurança dentro da organização.
Equilibrando prioridades de segurança por meio de confiança adaptativa contínua
Esteja você olhando para a escassez de pessoal causada pela Grande Renúncia, exfiltração de dados ou até mesmo falta de financiamento da equipe de segurança – tudo leva ao mesmo caminho. Os líderes de segurança da saúde estão sendo solicitados a fazer mais com menos. Eles precisam proteger suas organizações à medida que novas ferramentas digitais expandem a superfície de ataque e, ao mesmo tempo, melhorar a eficiência operacional e manter os usuários finais e clientes satisfeitos. É uma tarefa assustadora.
Os CISOs de assistência médica podem equilibrar as prioridades concorrentes de manter a conformidade, gerenciar riscos e planejar a arquitetura de longo prazo, escolhendo a segurança que oferece suporte ao conceito de confiança adaptativa contínua.
Isso significa simplesmente ferramentas de segurança que podem aplicar informações contextuais sobre (status do usuário, sensibilidade dos dados, tipo de dispositivo, hora do dia, etc.) para medir continuamente os riscos e gerenciar o acesso aos recursos de forma contínua. Usando esse contexto, os líderes de segurança da saúde podem monitorar e proteger melhor os dados confidenciais contra crescentes ameaças internas em potencial como resultado da Grande Renúncia.