Práticas e vídeos de segurança cibernética no setor da saúde

Todos os sistemas de saúde são fortemente encorajados a adotar esta série em seus programas de treinamento; grupos da indústria e sociedades profissionais, incentivem seus membros a fazerem o mesmo; e empresas de tecnologia médica, farmacêuticas, pagadoras, TI em saúde e serviços, considerem estender esta série a seus clientes como um complemento ao seu suporte.

A maioria das pequenas práticas alavanca provedores de e-mail terceirizados, em vez de estabelecer uma infraestrutura de e-mail interna dedicada. As práticas de proteção de e-mail nesta seção são apresentadas em três partes:

1. Configuração do sistema de e-mail: os componentes e recursos que devem ser incluídos no seu sistema de e-mail
2. Educação: como aumentar a compreensão e a conscientização da equipe sobre as maneiras de proteger sua organização contra ataques cibernéticos baseados em e-mail, como phishing e ransomware
3. Simulações de phishing: maneiras de fornecer treinamento e conscientização aos funcionários sobre e-mails de phishing

Os endpoints de uma pequena organização devem ser todos protegidos. Mas o que são endpoints? E o que uma pequena organização de saúde pode fazer para proteger seus endpoints?

David Willis, MD, e Kendra Siler, PhD, da Population Health Information Analysis and Sharing Organization do Kennedy Space Center, estão aqui para discutir o que você deve fazer para reduzir as chances de um ataque cibernético penetrar em seus endpoints.

Nesta seção, discutiremos a Área de Prática de Segurança Cibernética Número 3 – Gerenciamento de Acesso para pequenas organizações de saúde.

Esta discussão será organizada em três seções:

1. O que é gerenciamento de acesso?
2. Por que isso é importante?
3. Como o HICP ou “soluço” pode ajudar a melhorar o gerenciamento de acesso para pequenas organizações de saúde?

O Instituto Nacional de Padrões e Tecnologia, ou NIST, define uma violação de dados como “um incidente que envolve informações sensíveis, protegidas ou confidenciais sendo copiadas, transmitidas, visualizadas, roubadas ou usadas por um indivíduo não autorizado a fazê-lo”.

Dados sensíveis, protegidos ou confidenciais incluem informações de saúde protegidas (PHI), números de cartão de crédito, informações pessoais de clientes e funcionários, além de propriedade intelectual e segredos comerciais da sua organização.

Que tecnologia da informação, ou dispositivos de TI, você tem em sua organização? Você sabe quantos laptops? dispositivos móveis? E switches de rede você tem em todos os seus locais? Quais deles rodam Windows ou IOS da Apple ou um dos vários sistemas operacionais do Android? Se não estiver preso a uma parede ou mesa, quem é responsável por cada dispositivo?

As redes fornecem a conectividade que permite que estações de trabalho, dispositivos médicos e outros aplicativos e infraestrutura se comuniquem. As redes podem assumir a forma de conexões com ou sem fio. Independentemente da forma, o mesmo mecanismo que promove a comunicação pode ser usado para lançar ou propagar um ataque cibernético. 

A higiene adequada da segurança cibernética garante que as redes sejam seguras e que todos os dispositivos em rede possam acessar as redes com segurança. Mesmo que o gerenciamento de rede seja fornecido por um fornecedor terceirizado, as organizações devem entender os principais aspectos do gerenciamento de rede adequado e garantir que eles sejam incluídos nos contratos para esses serviços.

Gerenciamento de vulnerabilidades é uma prática contínua de identificar, classificar, priorizar, remediar e mitigar vulnerabilidades de software. Muitas estruturas de conformidade de segurança de informações, auditoria e gerenciamento de risco exigem que as organizações mantenham um programa de gerenciamento de vulnerabilidades.

Resposta a incidentes é a capacidade de identificar tráfego suspeito ou ataques cibernéticos em sua rede, isolá-los e remediá-los para evitar violação, dano ou perda de dados. Normalmente, a resposta a incidentes é referida como o padrão de “bloqueio e enfrentamento” da segurança da informação. Muitos tipos de incidentes de segurança ocorrem regularmente em organizações de todos os tamanhos. Na verdade, a maioria das redes está sob ataque constante de entidades externas.

Os sistemas de assistência médica usam muitos dispositivos diferentes como parte do tratamento de rotina do paciente. Eles variam de sistemas de imagem a dispositivos que se conectam diretamente ao paciente para fins diagnósticos ou terapêuticos. Esses dispositivos podem ter implementações simples, como monitores de cabeceira que monitoram sinais vitais, ou podem ser mais complicados, como bombas de infusão que fornecem terapias especializadas e exigem atualizações contínuas da biblioteca de medicamentos. Esses dispositivos complexos e interconectados afetam a segurança, o bem-estar e a privacidade do paciente e representam vetores de ataque em potencial na pegada digital de uma organização. Como tal, esses dispositivos devem incluir controles de segurança em seu design e configuração para dar suporte à implantação de maneira segura.

Prática de segurança cibernética nº 10: Políticas de segurança cibernética incluem práticas recomendadas que são documentos específicos para a implementação de políticas e procedimentos de segurança cibernética em sua organização de saúde.