Com fome... com fome... HIPAA
Tenho boas lembranças de jogar um jogo de tabuleiro chamado Hungry Hungry Hippos quando era mais jovem. As crianças jogavam pequenas bolas de gude brancas em um tabuleiro de jogo enquanto batiam furiosamente com os punhos em uma pequena alavanca de plástico em forma de hipopótamo. As bocas dos hipopótamos mastigavam em alta velocidade na tentativa de capturar tantas bolinhas de gude quanto fosse humanamente possível.
As práticas médicas de hoje refletem o caos do jogo. Cada dia parece mais agitado do que o anterior, com visitas a pacientes, chamadas de emergência, horários exigentes de médicos, faturamento médico e coordenação com companhias de seguros... tudo isso enquanto tenta manter uma experiência oportuna na sala de espera.
E cada aspecto deste caos cria bolas de gude brancas na vida real - pequenos fragmentos de dados pessoais que precisam ser capturados e protegidos… detalhes de cartão de crédito aqui, históricos médicos pessoais ali; números de segurança social e detalhes de apólices de seguro de saúde coletados um momento depois…
Apesar de todos os dados confidenciais das organizações médicas, a conformidade e a segurança nunca são prioridades no campo.
A dura realidade é que estes escritórios e hospitais simplesmente não estão prontos para proteger essas bolinhas de gude e vencer o jogo contra seus oponentes sorrateiros - os hackers. Os cibercriminosos estão mais do que prontos para atacar, clicar na alavanca algumas vezes e coletar todas as bolinhas de gude quando as organizações virarem as costas do tabuleiro de jogo.
Recentemente tive a oportunidade de participar de um evento social com alguns dos melhores cirurgiões da minha comunidade local. Minha esposa trabalha na área de dispositivos médicos e agendou um evento de networking com seus clientes mais estabelecidos e, claro, eu me ofereci (fui forçado) a participar.
Aproveitei a oportunidade de conviver com os melhores talentos cirúrgicos, mas também tinha outra agenda... Queria aproveitar esse momento individual para avaliar seus cérebros sobre conformidade e segurança e ver como eles se sairiam no lutar contra hackers.
Agora, o tempo de contato com um neurocirurgião é escasso, então tive que lançar minha frase de abertura para chamar a atenção deles e mantê-los engajados.
Minha brilhante frase de abertura:
“Como você protege os dados pessoais dos seus pacientes? ”
É uma pergunta simples, mas as respostas foram surpreendentes:
“Temos antivírus. ”
“Fazemos um curso de treinamento HIPAA todos os anos. ”
“Não armazenamos dados pessoais. ”
“Acho que temos um cara de TI para isso. ”
Estas respostas nem sequer arranham a superfície de tudo o que ouvi, mas foram igualmente surpreendentes e reveladoras da importância de proteger os dados dos pacientes - e do quão pouco os profissionais médicos sabem realmente sobre o cenário de ameaças atual.
Quando perguntei se eles estavam preocupados com a violação desses dados, a maioria respondeu:
“Somos apenas um pequeno escritório. Não somos um alvo. ”
Eu estava conversando com um cirurgião ortopédico que tem cerca de 60 funcionários e cerca de 40 a 50 pacientes que passam diariamente por seu consultório. Até ele tinha a mentalidade de “Violações acontecem, mas não vão acontecer conosco”.
Claro que geralmente são os gigantes da saúde como Anthem, Excellus ou Premera que aparecem nas manchetes. Mas só porque os hackers podem extrair grandes quantidades de dados dos grandes não significa que as práticas menores estejam claras.
Os cibercriminosos sabem que esses escritórios muitas vezes são mal protegidos (ou ficam completamente desprotegidos)… e que ainda guardam informações médicas, financeiras e de identificação pessoal confidenciais.
Na verdade, apenas 33% das organizações de saúde concordam que possuem recursos suficientes para prevenir ou detectar rapidamente uma violação de dados. Isso significa que os hackers não precisam se esforçar muito para comprometer quase 2/3 das práticas médicas para embolsar suas bolas de gude.
Então, o que você pode fazer para proteger os dados dos seus pacientes e cumprir regulamentações como PCI e HIPAA?
Aqui estão as dicas mais essenciais para ajudá-lo a se manter à frente no jogo da segurança:
1. Se você interagir com dados de cartão de crédito, informações pessoais de saúde (PHI)/ePHI, precisará estar em conformidade com HIPAA e/ou PCI.
É simples assim.
2. Se você aceitar qualquer forma de cartão de crédito, deverá estar em conformidade com PCI.
A conformidade com o PCI é baseada no número de transações processadas anualmente juntamente com os métodos de processamento; isso determinará o nível de conformidade necessário.
>A maioria dos comerciantes será obrigada a preencher um questionário de autoavaliação, que é usado para definir um nível padrão de segurança.
3. Compre um firewall de nível comercial.
Não confie no seu associado local da Best Buy para recomendar a opção mais recente disponível no mercado.
4. Crie um plano de segurança de segmentação de rede
Crie um plano de segurança de segmentação de rede em seu consultório/hospital que segmente informações de cartão de crédito, dados de pacientes, câmeras de segurança, etc. Cada segmento não deve ser acessível e deve manter uma conexão Wi-Fi segura.
5. Bloqueie sites externos, como Facebook e Gmail.
O elo mais fraco da cadeia de segurança é, e sempre será, o ser humano.
6. Invista em antivírus de alta qualidade.
Não se deixe enganar pelas versões gratuitas. Gaste as taxas adicionais e implemente uma solução de qualidade.
Um bom plano de segurança pode ser complicado no início, mas com o conhecimento e a experiência adequados, pode ser simplificado e gerido para reduzir a exposição do seu consultório ou hospital e limitar a quantidade de risco.
Não importa quão pequena seja a sua organização, você ainda deve enfrentar os hackers. Fique com mais fome. Não deixe que eles entrem e ganhem o jogo inteiro.
Nenhum plano de segurança é infalível, mas ignorar os padrões de conformidade e a postura de segurança é uma tolice.