No sistema de saúde, é muito comum uma desconexão entre o TI e a liderança executiva quando se trata de priorizar a administração de riscos em cibersegurança. Quando se trata de governança de cibersegurança para nesse segmento, sou um ponto fora da curva. Atualmente, sou membro do conselho de diretores no sistema de saúde da comunidade Brant (cidade canadense), bem como atuo na indústria de cibersegurança pela Gigamon – experiência que me garante uma perspectiva única.
Por um lado, estou bem ciente dos desafios que as equipes de CISOs e segurança enfrentam para chamar a atenção da liderança sênior, e conseguir fundos para o que eles precisam (mas quase nunca ocorre) visando proteger devidamente suas organizações.
Ao mesmo tempo, também entendo o quão difícil é para membros do conselho avaliar e priorizar os riscos cibernéticos, frente a necessidade de superar os imensos desafios financeiros de operar um sistema hospitalar multi-site e complexo, incluindo:
· Manter e melhorar a qualidade dos cuidados ao paciente, numa época em que os Estados Unidos enfrentam taxas de obesidade cada vez maiores;
· Administrar a complexidade e os custos associados a doenças crônicas, como câncer, doenças cardiovasculares e diabetes, que taxam sistemas de saúde ao limite;
· Garantir a satisfação dos empregados e seu engajamento;
· Encontrar fundos e recursos para manter inovação e melhorias em equipamentos médicos e tecnologias.
Em resumo, vamos dizer que as reuniões de conselho são sempre longas.
EQUILIBRANDO A BALANÇA
Para muitos executivos na área da saúde, lidar e administrar riscos de cibersegurança pode ser uma distração e um custo desnecessário, com base no pensamento de que cada dólar faz diferença no cuidado com o paciente.
Por conta de todo esse cenário apresentado, equilibrar a balança e integrar as necessidades de privacidade e segurança com os objetivos estratégicos – ao invés de tratar o assunto simplesmente como uma “coisa de TI” – e, por isso, essa questão abordada no decorrer do evento como uma necessidade absoluta para o setor.
Com isso em mente, os principais pontos que elenco do HIMSS Privacy Security Forum foram:
#1 O setor de saúde é vulnerável e está sob ataque como nenhum outro. Por isso, precisamos trabalhar juntos, com mais frequência e eficiência, para encontrar soluções.
As manchetes nunca param: diariamente, pipocam notícias sobre hospitais hackeados, redes de saúde sob ataques de ransomware e milhares de registros médicos violados. A maioria de nós não consegue nem mais acompanhar o volume de matérias sobre o assunto, visto o crescimento exponencial da lista de violações disponível no portal Civil Rights Break do U.S. Department of Health and Human Services Office (conhecido no meio como muro da vergonha).
Para Joel Brenner, ex-conselheiro sênior da NSA, e Stephen Nardone, diretor de Segurança e Mobilidade na Connection, evidenciaram essa vulnerabilidade em suas apresentações, respectivamente: Cibersegurança: Como ficou tão ruim- e podemos fazer algo a respeito?, e Mitigando ameaças de rede em cuidados com a saúde.
Diferentemente de transações monetárias, dados de saúde são muito detalhados, desestruturados e pessoais. Para comparar, se alguém comete fraude ao usar seu cartão de crédito, visando realizar compras não autorizadas, é relativamente fácil para seu banco detectar, investigar, e recuperar seu dinheiro. Mas, se alguém rouba suas informações sobre sua saúde, não há volta. Não tem como recuperá-las, e cibercriminosos podem usá-las para propostas mais nefastas do que simplesmente comprar uma TV gigante na Amazon.
Devido às características únicas dos prontuários médicos, pode levar semanas, meses ou anos para detectar fraudes, tornando essas informações mais valiosas do que as relacionadas às instituições financeiras. O risco de perder esses dados não é simplesmente custoso ou apenas um aborrecimento para pacientes, mas sim uma ameaça à vida, fazendo dos ganhos – e valor para os cibercriminosos – muito maior.
Roubar dados de pacientes e hospitais é altamente lucrativo, com um risco baixo de ser pego. Steve Borg, diretor e economista-chefe da U.S. Cyber Consequences, apresentou o painel Economia dos ciberataques nos provedores de Saúde, que me fez pensar mais sobre como mudar esses fatores econômicos serão a chave para combater ameaças de cibersegurança. Ele também discutiu sobre como compartilhar inteligência de ameaças e melhores práticas de segurança, além da importância de criar novos fóruns para educação e colaboração, a fim de melhorar as defesas no setor. Denise Anderson, a diretora executiva do NH-ISAC, reiterou essa posição apresentando cases de cenários reais na palestra Inteligência da ameaça: Pare ataques antes que os danos estejam feitos.
Em resumo, a coisa mais importante que empresas podem fazer é assegurar que a administração de riscos a cibersegurança é estabelecer uma estratégia ampla e focada. Um mandato de nível-executivo é crítico para o sucesso, assim como o engajamento de todos os departamentos e empregados – de clínicos a zeladores.
#2 Nós somos ruins em definir e comunicar riscos para executivos e conselhos. Precisamos melhorar
Contar ao conselho histórias assustadoras não é mais eficiente, se é que algum dia foi. Inclusive, pode chateá-los, o que certamente não ajudará na aprovação de um novo firewall.
Se, por um lado, reclamamos que executivos e conselhos não entendem realmente sobre cibersegurança, por outro continuamos a fazer apresentações altamente técnicas, que os confundem e os deixam entediados. Isso tem que mudar. Precisamos tomar tempo para entender as prioridades deles e comunicar estrategicamente de uma perspectiva de negócios e finanças — não somente taticamente, com um ponto de vista míope e limitado ao nosso próprio departamento e necessidade.
A maioria dos CISOs concorda com a ideia de que os riscos a cibersegurança devem ser expressos numa linguagem que CEOs, CFOs e membros do conselho possam entender. Claro, isso inclui deixar de lado jargões da indústria de TI, mas o ganho de alinhar esforços cumprir objetivos estratégicos da organização vale o sacrifício.
No painel Liderança de segurança na saúde: Estado da união, John Donohue, CIO associado de Tecnologia e Infraestrutura da Penn Medicine, Anahi Santiago, CISO do Christina Care Health System, e Darren Lacey, CISO da John Hopkins University & John Hopkins Medicine, discutiram como CISOs são recompensados por levarem um approach mais estratégico ao “conseguirem um assento na mesa C-level”, onde negócios estratégicos são desenvolvidos.
Eu reiterei pontos similares durante minha própria sessão, recomendando CISOS a usar sempre a linguagem de sua audiência, simplificando a mensagem e passando a essência do que você busca. Por exemplo, pare de falar o termo “hackers” e passe a usar o termo “criminoso”.
Nesse sentido, em vez de dizer que um APT utilizou as credenciais de um usuário para instalar root kits em múltiplos endpoints,desviando assim do IPS ao criptografar mensagens de comando e controle, um CPA no conselho pode relatar que necessita de 100.000 dólares para um novo firewall, porque criminosos tentaram roubar dados pessoais de saúde que valem 20 milhões de dólares – o que pode expor a empresa ao risco de violações legais, capazes de custar dezenas de milhões em advogados e danos à reputação do hospital.
Pelo mesmo sentido, se o CEO for um ex-médico, exemplifique como o risco de uma quebra na cibersegurança, capaz de comprometer informações de pacientes, se encaixa ao “do no harm”, conceito que define a obrigação médica de analisar todos os pontos de um tratamento ou pesquisa que podem prejudicar seres humanos. O executivo então conseguirá relacionar a natureza do risco diretamente com o paciente, o que irá resultar em um melhor entendimento.
E por último, estabelecer um pouco de consciência situacional às necessidades estratégicas da empresa não machuca. Por exemplo, não pode ser a melhor ideia demandar fundos para uma aplicação antiphishing (uma que engana empregados e os faz clicar em e-mails falsos, ou os envergonha com comprometimento em relação aos termos e compromissos) quando o próximo item na agenda do conselho é lidar com a moral baixa dos empregados.
Nós também precisamos ser recíprocos, empenhados num melhor trabalho em entender as prioridades do conselho e trabalhar pontos estratégicos. Os CISOs que atuam dessa forma terão muito mais sucesso e serão menos propensos a terem suas empresas no “muro da vergonha”.
#3 Privacidade e segurança precisam ser consideradas em não só todos os sistemas, mas também em toda decisão de negócio.
Imagine a seguinte situação: os CISOs entendem que uma brecha surgiu a partir do comprometimento de credenciais de terceiros, e, como resultado, executivos sêniores perderam suas posições. O varejo pode ter uma complexidade a mais em administrar endpoints não-tradicionais, como registradoras e dispositivos portáteis de inventory-tracking, mas isso não é nada comparado com o que setor de saúde lida hoje em dia.
A internet das coisas médicas já está aqui e não é muito segura. Stephanie Jernigan, professora assistente no Departamento de Administração e Operações no Boston College, apresentou uma sessão Pronto ou não: Aí vem a internet das coisas, baseada em encontros de uma pesquisa global no MIT Sloan Management Review.
Enquanto o estudo confirmou muito do que nós pensávamos sobre IoT em saúde, também disponibilizou novos insights. A pesquisa descobriu que empresas com infraestruturas analíticas fortes e eficientes foram mais capazes de alavancar investimentos em IoT. Dispositivos que falham na categoria Internet das Coisas Médicas são mais fáceis de serem atacados porque são mais acessíveis física e digitalmente. Isso é bem real quando se trata de dispositivos de uso que os pacientes carregam quando deixam o hospital.
Outra descoberta perturbadora mostrou que, apesar desses problemas, 76% das pessoas que responderam essa pesquisa acharam que não há necessidade em melhorar seus sensores de segurança de rede e 68% deles acharam que não precisam melhorar a proteção de dados em nenhum ponto. O que torna isso duplamente preocupante está no fato de que, na medida em que capacidade analítica melhora, refletindo positivamente no cuidado de pacientes, essa postura negligente na segurança também se prolifera.
#4 Obter sucesso na segurança ao administrar um portfólio de inovação
A parte que mais chamou a atenção do fórum foi a apresentação do CISO da Aetna, Jim Routh, na palestra Como construir um portfólio de tecnologia da segurança: Pegue riscos para administrar riscos. A Aetna serve mais de 46 milhões de pessoas e, por isso, tem um grande número de informações pessoais de saúde para proteger.
O approach único do Routh não apenas para se igualar, mas também ficar na frente de hackers é reservar 25% do seu budget para comprar tecnologias novas e emergentes de startups recém-criadas. Essas são mais propensas a fazer melhores acordos, financeiramente falando, do que players estabelecidos, e elas também providenciam tecnologia de ponta, enquanto a maioria dos atacantes tem a tendências de mirar e explorar vulnerabilidades em soluções mais velhas e que são amplamente instaladas.
Routh vê todo esse approach muito como alguém construiria um portfólio de investimento balanceado e diversificado, com 75% em blue-chips e 25% em investimentos de alto crescimento, alto impacto e potencialmente de alto risco.
Nenhum outro palestrante personificou a necessidade de definir cuidadosamente o risco e comunicar estrategicamente mais do que Routh. E eu particularmente, adorei uma frase dele para descrever seu approach: “Tomar riscos para reduzir riscos”.
*Kevin Magee é diretor regional de Vendas no Canadá da Gigamon
