Por Bayardo Alvarez*
No debería sorprender que la atención médica haya experimentado un fuerte aumento de los ataques cibernéticos en los últimos años. Los delincuentes lanzan campañas de phishing para robar información y credenciales, propagar malware y bloquear computadoras y datos a cambio de un rescate. Las herramientas de software y las botnets están disponibles para que cualquiera pueda alquilar y perpetrar ataques, lo que requiere muy poca habilidad o infraestructura para causar estragos.
Además de las amenazas externas, las organizaciones de atención médica enfrentan muchas otras amenazas que pueden ser perjudiciales para la seguridad del paciente, el negocio y la información que son responsables de proteger. Los empleados descontentos, el personal demasiado curioso, los vendedores negligentes y las fallas de hardware pueden representar un riesgo tan grande como un cibercriminal determinado.
Proteger los activos contra estas diferentes amenazas se convierte en una tarea difícil para cualquier organización. No solo deben implementar salvaguardas y controles para reducir los riesgos y mitigar el impacto de una violación, sino también prepararse de antemano para responder y recuperarse de manera eficiente cuando ocurra una violación.
Entonces, ¿qué pueden hacer las organizaciones de atención médica para mejorar su postura de ciberseguridad? ¿Dónde pueden encontrar orientación confiable, probada y universal para proteger sus datos y sistemas de TI? ¿Cómo abordan la seguridad en las tecnologías nuevas y emergentes? . Estas fueron algunas de las preguntas que nos hicimos dentro de mi organización. Como una práctica joven de manejo del dolor, desarrollamos internamente y con el tiempo, un conjunto de políticas, procedimientos y controles que mantuvieron seguros nuestros datos y nuestra red.
Sin embargo, a medida que crecimos y maduramos, a medida que incorporamos nuevas tecnologías y sistemas complejos en nuestra red, y a medida que nuestros proveedores requerían nuevas y mejores formas de acceder a la información y brindar atención, nos encontramos con mayor frecuencia buscando respuestas a estas preguntas.
Sabíamos que los marcos de seguridad cibernética eran instrumentos utilizados para guiar los programas de seguridad de la información en grandes organizaciones. Ofrecen procesos, estándares y metodologías para mejorar las defensas cibernéticas, y a menudo son el producto de un esfuerzo de colaboración impulsado por consenso por grandes comunidades de expertos en una variedad de campos e industrias.
A primera vista, estos marcos parecían intimidantes. Una vasta colección de procesos, diagramas y documentos, que eran tan amplios y completos que apenas podíamos imaginar implementarlos en una pequeña práctica como la nuestra.
Sin embargo, a medida que miramos más de cerca y aprendimos más sobre las diferentes alternativas, descubrimos que algunos marcos poseían características y ofrecían ciertos beneficios que los harían una buena opción para nuestra organización. A medida que profundizamos en nuestra investigación, nos damos cuenta de que adoptar un marco de seguridad cibernética era factible y no una idea descabellada como pensamos inicialmente.
Lea más: https://www.himss.org/news/cybersecurity-framework
* Director de Tecnología de la Información, Boston PainCare Center; Miembro de HIMSS y parte de la iniciativa HIMSS Global Conference & Exhibition Success StoriesBy
It should come as no surprise that healthcare has seen a sharp rise in cyberattacks over the past few years. Criminals launch phishing campaigns to steal information and credentials, spread malware, and lock computers and data in exchange for ransom. Software tools and botnets are becoming readily available for anyone to rent and perpetrate attacks, requiring very little skill or infrastructure to cause havoc.
In addition to external threats, healthcare organizations face many other threats that can be damaging to patient safety, the business and the information they are responsible for protecting. Disgruntled employees, overly curious staff, negligent vendors and hardware failures can pose as much of a risk as a determined cybercriminal.
Protecting assets against these different threats becomes a tall order for any organization. They must not only implement safeguards and controls to reduce risks and mitigate the impact of a breach, but also prepare in advance to respond and recover efficiently when a breach does occur.
So, what can healthcare organizations do to enhance their cybersecurity posture? Where can they find reliable, proven and universal guidance to secure their data and IT systems? How do they address security in new and emerging technologies? . These were some of the questions we asked ourselves within my organization. As a young pain management practice, we developed internally and over time, a set of policies, procedures and controls that kept our data and network safe.
Nevertheless, as we grew and matured, as we incorporated new technologies and complex systems into our network, and as our providers required new and better ways to access information and deliver care, we found ourselves more often searching for answers to these questions.
We knew that cybersecurity frameworks were instruments used to guide information security programs in large organizations. They offer processes, standards and methodologies to improve cyber defenses, and are often the product of a consensus-driven collaborative effort by large communities of experts in a variety of fields and industries.
At a first glance, these frameworks appeared intimidating. A vast collection of processes, diagrams and documents, which were so broad and comprehensive that we could hardly imagine implementing them in a small practice like ours.
However, as we looked closer and learned more about the different alternatives, we found that some frameworks possessed characteristics and offered certain benefits that would make them a good fit for our organization. As we dove deeper into our research, we realized that adopting a cybersecurity framework was feasible, and not a far-fetched idea as we initially thought.
Read more: https://www.himss.org/news/cybersecurity-framework
*Director, Information Technology, Boston PainCare Center; HIMSS member and part of the HIMSS Global Conference & Exhibition Success Stories initiativeDe Bayardo Alvarez*
Não é de surpreender que os cuidados de saúde tenham registado um aumento acentuado nos ciber-ataques nos últimos anos. Criminosos lançam campanhas de phishing para roubar informações e credenciais, espalhar malware e bloquear computadores e dados em troca de resgate. Ferramentas de software e botnets estão se tornando prontamente disponíveis para qualquer um alugar e perpetrar ataques, exigindo muito pouca habilidade ou infra-estrutura para causar estragos.
Além das ameaças externas, as organizações de assistência médica enfrentam muitas outras ameaças que podem ser prejudiciais à segurança do paciente, aos negócios e às informações que eles são responsáveis por proteger. Funcionários insatisfeitos, funcionários excessivamente curiosos, fornecedores negligentes e falhas de hardware podem representar um risco tão grande quanto um cibercriminoso determinado.
Proteger os ativos contra essas diferentes ameaças torna-se uma tarefa difícil para qualquer organização. Eles não devem apenas implementar salvaguardas e controles para reduzir os riscos e mitigar o impacto de uma violação, mas também se preparar com antecedência para responder e recuperar de forma eficiente quando uma violação ocorrer.
Então, o que as organizações de saúde podem fazer para melhorar sua postura de segurança cibernética? Onde eles podem encontrar orientação confiável, comprovada e universal para proteger seus dados e sistemas de TI? Como eles abordam a segurança em tecnologias novas e emergentes? . Estas foram algumas das questões que nos perguntamos dentro da minha organização. Como uma prática jovem de gerenciamento da dor, desenvolvemos internamente e, com o tempo, um conjunto de políticas, procedimentos e controles que mantiveram nossos dados e nossa rede seguros.
No entanto, à medida que crescemos e amadurecemos, à medida que incorporamos novas tecnologias e sistemas complexos à nossa rede, e como nossos provedores exigem novas e melhores maneiras de acessar informações e prestar assistência, nos encontramos mais em busca de respostas para essas perguntas.
Sabíamos que as estruturas de segurança cibernética eram instrumentos usados para orientar programas de segurança da informação em grandes organizações. Eles oferecem processos, padrões e metodologias para melhorar as defesas cibernéticas e são frequentemente o produto de um esforço colaborativo por consenso de grandes comunidades de especialistas em diversos campos e setores.
À primeira vista, essas estruturas pareciam intimidadoras. Uma vasta coleção de processos, diagramas e documentos, que eram tão amplos e abrangentes que dificilmente poderíamos imaginar implementá-los em uma pequena prática como a nossa.
No entanto, à medida que olhamos mais de perto e aprendemos mais sobre as diferentes alternativas, descobrimos que algunas estruturas possuíam características e ofereciam certos benefícios que os tornariam adequados para a nossa organização. À medida que nos aprofundamos em nossa pesquisa, percebemos que a adoção de uma estrutura de segurança cibernética era feia e não uma idéia absurda como inicialmente pensávamos.
Leia mais: https://www.himss.org/news/cybersecurity-framework
* Diretor de Tecnologia da Informação do Boston PainCare Center; Membro da HIMSS e parte da iniciativa HIMSS Global Conference & Exhibition Success Stories
