Упреждающий подход к рискам в отрасли здравоохранения

  • Главная
  • Упреждающий подход к рискам в отрасли здравоохранения

Изменения в наших цифровых пространствах в последние годы привели к увеличению ИТ-рисков, особенно в сфере здравоохранения. 

С большей цифровизацией увеличивается количество рисков.

Согласно данным HHS, почти 85% утечек медицинских данных, о которых было сообщено в Управление гражданских прав (OCR) HHS в 2022 году, были связаны с хакерскими атаками и ИТ-инцидентами.

Поскольку все чаще злоумышленники хотят использовать данные пациентов, упреждающий подход к выявлению, пониманию и принятию мер в отношении рисков имеет жизненно важное значение для повышения эффективности безопасности.

Большинство организаций считают, что соблюдение требований — это первый шаг к их защите, но такой подход оставляет медицинские учреждения вне поля зрения, когда дело доходит до ландшафта угроз.

Лидеры информационной безопасности и главные сотрудники по информационной безопасности (CISO) в медицинских учреждениях должны быть в курсе постоянно развивающихся киберугроз, которые нависают не только над их бизнесом, но и над данными их пациентов и клиентов.

Понимание того, в чем несоответствие требованиям, жизненно важно для создания гибкой и гибкой программы управления рисками, которая связана с бизнес-стратегией.

Разница между подходом, основанным на соблюдении требований, и подходом, основанным на оценке рисков

Хотя соблюдение требований и риск являются двумя сторонами одной медали, они сосредоточены на разных проблемах.

Соответствие основано на системе законодательных, нормативных или договорных требований, которые либо выполняются, либо не выполняются.

Риск сосредоточен на управлении неопределенностью с помощью процессов, разработанных для достижения положительных результатов в бизнесе.

Программы соответствия и управления рисками помогают организациям здравоохранения поддерживать стабильность и целостность на нескольких уровнях, что предотвращает риски для юридической ответственности, финансового положения, репутации и материальных активов организации.

Соответствие носит более предписывающий характер и приводит к более тактическому подходу с установленными флажками.

Управление рисками является прогностическим, предвосхищающим риски и требует стратегического подхода.

Хотя соблюдение требований по-прежнему является типичной отправной точкой в ​​защите организации (часто из-за штрафов и мер регулирования, связанных с несоблюдением требований), сосредоточение внимания исключительно на соблюдении требований может привести к недальновидности бизнеса и незаметным рискам.

Поскольку основное внимание при управлении рисками уделяется управлению неопределенностью, для достижения положительных результатов в бизнесе предусмотрены специальные процессы. Это особенно актуально для здравоохранения.

Киберугрозы стали постоянным явлением, а с учетом того, что злоумышленников стало больше и они более творчески работают над взломом организаций, проактивный подход к рискам может сделать медицинские учреждения более адаптируемыми.

Риск измеряется в континууме, и приемлемость риска зависит от склонности организации к риску.

Понимание того, где соблюдение не соответствует требованиям, и необходимость перехода от подхода, основанного на соблюдении требований, к подходу, основанному на оценке рисков, имеет жизненно важное значение, а рассмотрение того, как управлять неопределенностью, является важным шагом.

Почему традиционное соблюдение требований может быть неэффективным

Аудиты соответствия — это оценка на определенный момент времени, которая оценивает средства контроля, уже реализованные в организации.

Недостатком этих оценок является то, что они не фокусируются на том, насколько хорошо организация защищена в режиме реального времени.

Когда задействованы ручные процессы, запуск аудита или оценка ландшафта угроз занимает слишком много времени.

Часто к моменту завершения оценки данные уже устаревают из-за изменения инфраструктуры, обновления нормативных требований или появления новых уязвимостей.

Подход, ориентированный на соблюдение требований, больше не является адекватным для снижения риска и обеспечения безопасности данных пациентов.

Согласно исследованию Digital Health Most Wired Survey, проведенному Колледжем руководителей по управлению информацией в здравоохранении (CHIME), 40% организаций здравоохранения до сих пор не имеют специального директора по информационной безопасности, что на 12% меньше, чем в 2021 году.

Организации без директора по информационной безопасности слишком часто полагаются на него. на менеджеров и других сотрудников, чтобы они были бдительны в отношении попыток фишинга, нарушений HIPAA и других угроз и нарушений соответствия.

Руководители медицинских учреждений должны признать, что такое соответствие не рассчитано на перспективу и может привести к значительным пробелам в безопасности.

Чтобы поддержать это, бюджеты растут для подхода, ориентированного на риск, при этом управление рисками упоминается в качестве бизнес-приоритета почти в два раза чаще, чем соблюдение нормативных требований.

Лидеры в области безопасности понимают, что соблюдение правил и норм редко приводит к ценностным бизнес-предложениям без добавления долгосрочной стратегии управления рисками.

Соблюдение требований часто приводит к некоторому предотвращению рисков, но управление рисками может помочь медицинским учреждениям заранее управлять рисками, особенно в этой сложной нормативной среде.

Ценность современного решения по управлению рисками

Выбор правильного подхода к управлению рисками не является универсальным решением. В сфере здравоохранения компаниям может потребоваться сосредоточиться на различных аспектах данных пациентов и безопасности.

С помощью современной программы управления рисками организации здравоохранения могут получить высокоуровневую информацию об их соответствии требованиям и рисках, а также получить представление о том, как действия по обеспечению соответствия снижают как ИТ-риски, так и кибер-риски.

Это не только обеспечит более глубокое понимание рисков и соответствия требованиям, но и позволит организациям здравоохранения устранить разрозненность, устранить пробелы и уменьшить любые потенциальные или существующие слепые зоны.

Организации здравоохранения также должны искать решения, которые сообщают о рисках в контексте конкретных бизнес-целей, помогая высшему руководству и совету директоров понять их ценность для стратегии.

Программа управления рисками также может включать в себя автоматизацию задач, связанных с расчетом риска, и автоматическое оповещение менеджеров при увеличении риска.

Это не только уменьшит любые ручные ошибки, связанные с расчетом риска (в конце концов, согласно исследованию IBM, человеческая ошибка является основной причиной 95% нарушений кибербезопасности), но также повысит точность за счет автоматизированного межобъектного риска.

При внесении этого изменения важно сообщить о новой ценности управления рисками, чтобы руководители здравоохранения могли лучше ее понять.

Это поможет показать им, где именно и как их инвестиции в программы управления рисками оказывают наиболее значительное влияние, одновременно высвобождая дополнительное время, чтобы сосредоточиться на других важных задачах всей больницы.

Лидеры кибербезопасности в сфере здравоохранения могут добиться лучших результатов с меньшими усилиями, перейдя от подхода, ориентированного на соответствие требованиям, к подходу, ориентированному на риски.

Включение кибер-рисков в бизнес-контекст с использованием подхода, ориентированного на риски, позволяет директорам по информационной безопасности и ИТ-директорам здравоохранения связать риск с бизнес-целями, приоритетными для высшего руководства и совета директоров.

Имея представление об общей степени риска организации, руководители будут иметь точное и актуальное представление о том, как их действия и инвестиции влияют на успех бизнеса.

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять