Home Mundo Los CIO describen sus planes de inversión en ciberseguridad para los próximos 5 años

Los CIO describen sus planes de inversión en ciberseguridad para los próximos 5 años

by notiulti

Los ejecutivos de alto nivel de atención médica no necesitan una presentación en PowerPoint del CISO para comprender que la ciberseguridad debe ser una prioridad para las organizaciones de proveedores de atención médica en la actualidad. Solo necesitan leer todos los titulares de las brechas de seguridad en los hospitales de todo el país. Pero, ¿lo están haciendo?

Casi un tercio de los hospitales y sistemas de salud planean implementar biometría (29%), análisis forense digital (28%) o pruebas de penetración (28%) en los próximos 24 meses, según una nueva investigación de HIMSS Media. (HIMSS es la empresa matriz de Noticias de TI sanitarias.)

Sin embargo, el 43% dice que la financiación está impidiendo que sus organizaciones ejecuten los desafíos de seguridad que tienen, muestra la investigación.

Esta es la cuarta entrega de Noticias de TI sanitarias ‘ última serie de características, “Inversión en TI para la salud: los próximos cinco años”. Esta cuarta característica se centra en la ciberseguridad.

La serie ofrece entrevistas, principalmente con CIO, para aprender de ellos el camino a seguir a través de las prioridades que establecieron con sus inversiones en seis categorías: IA y aprendizaje automático; interoperabilidad; telesalud, salud conectada y monitorización remota de pacientes; la seguridad cibernética; historiales médicos electrónicos y salud de la población; y tecnología emergente y otros sistemas.

Haga clic aquí para acceder a todas las funciones disponibles actualmente.

Los cinco CIO y un COO que discuten sus planes para los próximos cinco años en esta entrega incluyen:

  • Como Babachicos, vicepresidente senior y CIO de South Shore Health, un sistema de salud con sede en Weymouth, Massachusetts.
  • Matt Hocks, Director de operaciones de Sanford Health, con sede en Sioux Falls, Dakota del Sur, un sistema de salud de $ 6 mil millones que atiende a una población predominantemente rural en un espacio de cuatro estados con brazos tanto de pagador como de proveedor.
  • Mike Mistretta, vicepresidente y CIO del Virginia Hospital Center en Arlington.
  • BJ Moore, CIO de Providence, un sistema de salud que opera 52 hospitales en siete estados: Alaska, Montana, Oregon, Washington, California, Nuevo México y Texas.
  • Michael Restuccia, vicepresidente senior y CIO de Penn Medicine en Filadelfia.
  • Dr. Umberto Tachinardi, CIO en Regenstrief Institute en Indianápolis.

‘Una enorme cantidad de dinero’

“La ciberseguridad cambia constantemente a medida que surgen nuevas tecnologías y amenazas”, dijo Mistretta del Virginia Hospital Center. “Hemos gastado una enorme cantidad de dinero en los últimos dos años para fortalecer nuestras defensas y llenar los vacíos para cumplir con las mejores prácticas.

“Lo interesante en este frente es que ahora las compañías de seguros se están involucrando, dictando que se implementen capacidades de seguridad específicas para brindar cualquier tipo de cobertura cibernética”, señaló. “En nuestra última renovación, tuvimos que completar una encuesta extensa de tres compañías separadas solo para recibir cotizaciones”.

“Hemos gastado una enorme cantidad de dinero en los últimos dos años para fortalecer nuestras defensas y llenar los vacíos para cumplir con las mejores prácticas”.

Mike Mistretta, Centro hospitalario de Virginia

La organización también tuvo que centrarse en la transición de la fuerza laboral a un entorno hogareño, por lo que mejoró la supervisión del tráfico de la red para ayudar en la identificación temprana de una posible infracción.

“Nuestro liderazgo ha sido extremadamente generoso en la financiación de estos esfuerzos durante los últimos años, ya que hemos tenido varias entidades de salud locales bloqueadas fuera de línea debido a ransomware que elevó el perfil de riesgo para la organización”, explicó.

En los próximos años, Virginia Hospital Center invertirá en ciberseguridad según sea necesario para cumplir con el seguro; la organización se siente cómoda con las inversiones actuales.

“Veo que nuestra próxima inversión relacionada con esto se centrará más en la recuperación en caso de que ocurra una infracción”, explicó. “Actualmente estamos investigando copias de seguridad inmutables en la nube con Azure o Amazon que proporcionarán una capa de aislamiento entre nuestros sistemas actuales y un punto de restauración confiable en caso de que alguna vez se necesite.

“Para nosotros, vender estas inversiones a nuestro directorio ha sido relativamente fácil: el ciclo de noticias ha podido transmitir otras entidades de salud cercanas a nosotros que han sido violadas, por lo que aligera los requisitos de justificación”, agregó.

Triplicando la inversión en ciberseguridad

Moore de Providence habla claramente sobre el tema de la ciberseguridad.

“Sí, probablemente me arrepentiré de decir esto, probablemente hemos triplicado nuestra inversión anual en cibernética durante los últimos dos años bajo mi liderazgo”, dijo. “Y el año que viene planeamos seguir aumentando eso. Vemos que eso comienza a estabilizarse. Estamos llegando a un nivel de inversión en el que probablemente sea un nivel apropiado.

“Me alegra decir que no he tenido que torcer ningún brazo durante mis dos años y medio aquí. Eso no es poca cosa, ¿verdad?”

BJ Moore, Providencia

“Los malos son cada día más inteligentes”, continuó. “Así que tenemos que seguir avanzando, pero creemos que básicamente el próximo año será un nivel más sostenido. Y luego mantendremos el cibernético después de eso. Si la situación cambia y se vuelve más agresiva, obviamente, esta es un área que continuaremos invirtiendo en más. Pero creemos que alcanzaremos un nivel estable para fines del próximo año “.

Moore no ha tenido problemas para conseguir que la alta dirección y la junta apoyen la financiación de la ciberseguridad.

“Los titulares están validando nuestros gastos”, dijo. “He tenido la suerte de contar con un apoyo increíble de mi junta directiva y de la alta dirección. Por eso, cuando hice estas recomendaciones, ellos confiaron en mis recomendaciones. Y luego, cuando ven a sus compañeros siendo atacados en los titulares, está validando que apoyaron la decisión correcta.

“Estoy feliz de decir que no he tenido que torcer ningún brazo durante mis dos años y medio aquí”, agregó. “Eso no es poca cosa, ¿verdad?”

Datos sintéticos

A medida que se generan e intercambian más datos electrónicamente, los piratas informáticos, que tienen una ventaja asimétrica, continúan utilizando técnicas más sofisticadas, dijo Tachinardi del Regenstrief Institute.

“La ciberseguridad es un tema que necesita atención continua”, afirmó. “Una de las ramificaciones de la ciberseguridad es la exploración de Regenstrief del potencial de los datos sintéticos. Los datos sintéticos reflejan las características de los datos de pacientes reales, pero no incluyen información de pacientes reales.

“Este nivel de ciberseguridad se encuentra solo en unos pocos entornos de investigación que manejan datos muy sensibles”.

Dr. Umberto Tachinardi, Instituto Regenstrief

“Debido a que es estadísticamente similar, se puede usar de la misma manera que los datos reales, pero sin comprometer la privacidad”, continuó. “Esto también permite un acceso más rápido a la información con fines de investigación”.

Regenstrief también está trabajando con el Instituto de Ciencias Clínicas y Traslacionales de Indiana (CTSI) y Datavant para permitir la vinculación de datos de fuentes dispares sin identificadores de pacientes. Regenstrief sirve como intermediario honesto de enlace para el National Institutes of Health National COVID Cohort Collaborative, un depósito nacional de datos anonimizados de los sistemas de salud en los EE. UU. Creado para ayudar a los investigadores a responder preguntas relacionadas con la pandemia.

“En circunstancias normales, los datos no identificados evitan el enlace de datos, pero esta nueva estrategia abre las puertas para crear depósitos similares para otras enfermedades al tiempo que protege la información del paciente”, explicó Tachinardi. “Dado que este proyecto se financia con fondos federales y los sistemas albergarán activos federales, un FISMA [Federal Information Security Management Act] Se está configurando un entorno computacional basado en la nube compatible moderado. Este nivel de ciberseguridad se encuentra solo en unos pocos entornos de investigación que manejan datos muy sensibles “.

Gastar fondos adicionales

La ciberseguridad sigue siendo el área de mayor amenaza para muchas organizaciones de atención médica, dijo Restuccia de Penn Medicine.

“Cada año, Penn Medicine gasta fondos adicionales para proteger sus activos de datos y garantizar la efectividad operativa”, señaló. “Nuestras inversiones se centran en soluciones tecnológicas que protegen el perímetro de nuestra red, supervisan la actividad de la red y garantizan el acceso seguro a la red y el acceso adecuado a los datos, por nombrar algunos pilares estratégicos clave de nuestro programa.

“Cada año, Penn Medicine gasta fondos adicionales para proteger sus activos de datos y garantizar la efectividad operativa”.

Michael Restuccia, Penn Medicine

“Otros esfuerzos se centran en la educación del usuario final: generar conciencia sobre las amenazas externas que intentan obtener acceso a los sistemas a través del phishing y otros métodos maliciosos”, continuó. “Finalmente, [we have developed] políticas sólidas que comunican claramente el uso apropiado por parte de los empleados del acceso al sistema y la protección de datos respaldan las necesidades de privacidad y seguridad de los datos “.

Estas inversiones son aceptadas fácilmente por los miembros del liderazgo sénior, dados los informes constantes de violaciones, hacks y ransomware en la atención médica y otras industrias, agregó.

“El impacto potencial sobre las operaciones, la privacidad del paciente, así como el daño a la reputación que puede surgir de tales eventos maliciosos, requiere una atención constante, así como una estrategia e inversión interminables”, dijo Restuccia.

Las herramientas del oficio

Babachicos de South Shore Health dijo que el sistema de salud ha estado haciendo inversiones significativas en ciberseguridad y no espera que eso cambie pronto.

“Hay tantos tipos diferentes de tecnología que son importantes para la plataforma de ciberseguridad”, afirmó. Integrales a su programa son los siguientes:

  • Herramientas para gestionar el entorno y detectar e identificar los niveles de parche de todos los dispositivos, incluidos los biomédicos.
  • Herramientas para proteger el medio ambiente y el perímetro y garantizar que todos los sistemas sean accedidos y protegidos con estándares de alto nivel.
  • Herramientas para reportar y agregar la información que ingresa, como soluciones de seguridad, gestión de información y eventos (SIEM), y tecnologías adicionales para analizar los datos e interpretar y actuar ante los altos riesgos.

“Estos son solo algunos de los enfoques que continuarán en el futuro, pero el nivel de complejidad de estas herramientas y la automatización y el análisis del comportamiento del usuario de estas herramientas continuarán madurando”, dijo.

“Hay tantos tipos diferentes de tecnología que son importantes para la plataforma de ciberseguridad”.

Cara Babachicos, Salud de la costa sur

Con los parches de día cero en aumento, South Shore continúa capacitando a sus usuarios sobre las vulnerabilidades de phishing. Babachicos dijo que la organización se está duplicando en el lado de la capacitación y la educación porque sabe que el phishing exitoso a menudo conduce al ransomware.

Inversión significativa

Sanford Health seguirá invirtiendo en ciberseguridad durante los próximos cinco años. El aumento de las amenazas cibernéticas a las organizaciones de atención médica, la sofisticación de los ciberdelincuentes y el panorama tecnológico en constante evolución requieren una inversión significativa en recursos para proteger a las personas y los pacientes de la organización, dijo Hocks.

“Algunas de las inversiones se destinarán a la visibilidad total de la red, el análisis del comportamiento basado en inteligencia artificial y los dispositivos médicos conectados”.

Matt Hocks, Sanford Health

“Algunas de las inversiones se destinarán a la visibilidad total de la red, el análisis del comportamiento basado en inteligencia artificial y los dispositivos médicos conectados, tanto en nuestras instalaciones como en los hogares de los pacientes”, señaló.

“Nuestro equipo ha comprometido intencional y cuidadosamente el liderazgo de toda la organización en la concienciación y la educación en ciberseguridad, lo que ha cambiado la conversación de una ‘venta’ a una ‘decisión basada en el riesgo’ e incluyó una profunda participación y apoyo de nuestras operaciones clínicas”, concluyó. .

Gorjeo: @SiwickiHealthIT
Envíe un correo electrónico al escritor: [email protected]
Healthcare IT News es una publicación de HIMSS Media.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.