Invertir en identidad digital puede mejorar la seguridad, aumentar la productividad clínica y aumentar los resultados de la atención médica. — by Gus Malezis, CEO de Imprivata
La digitalización ha creado oportunidades inconmensurables para las empresas en las últimas dos décadas. Pero el crecimiento del trabajo híbrido y la expansión de Internet de las cosas (IoT) ha superado la ciberseguridad tradicional de «castillo y foso», introduciendo vulnerabilidades sin precedentes, especialmente en la industria de la salud. Si bien todas las organizaciones tienen datos importantes que proteger, el cuidado de la salud tiene parte de la información de salud personal (PHI) más confidencial del público, sin mencionar también los datos financieros y de seguros.
Todos esperamos que esta información esté segura y protegida, especialmente con las leyes HIPAA vigentes. Sin embargo, debido a la creciente fragmentación de TI y la creciente sofisticación de los ciberataques, esto ya no está garantizado. De hecho, la cantidad de personas afectadas por violaciones de datos de salud en los EE. UU. desde 2009 es mayor que la población estadounidense de poco más de 330 millones, según HIPAA. Está claro que los métodos heredados para proteger la PHI no están a la altura. Las organizaciones de atención médica de hoy deben priorizar una estrategia centrada en proteger al usuario (la identidad digital) y sus credenciales, no al medio ambiente.
Los beneficios de la identidad digital para su balance final
Todos entendemos el concepto de seguro en nuestra vida personal y pagamos esas primas para garantizar la cobertura si ocurre una tragedia. No consideramos que el seguro sea la única capa de protección y, de hecho, consideramos requisitos previos como buenos conocimientos, capacitación, preparación y acreditación (cuando corresponda) como inversiones básicas. El seguro ofrece la última capa de protección. Lo mismo debe aplicarse a las organizaciones responsables de proteger la PHI y otros datos confidenciales. Ahí es donde el seguro cibernético se vuelve esencial; sin embargo, sin una estrategia sólida de identidad digital, la probabilidad de calificar es baja (si no imposible).
Muchos aseguradores requieren que las organizaciones pasen por un proceso de investigación exhaustivo para garantizar que tengan soluciones sólidas para controlar y monitorear el acceso de los usuarios a sus sistemas. Esto significa menos riesgo para la organización y menos riesgo para ellos. También significa primas menos costosas, que se dispararon en un 26,8% en 2022. La identidad digital es la clave para cumplir con estos requisitos. La implementación de una estrategia holística puede reducir de manera efectiva el costo de la prima y el riesgo a largo plazo de un ataque cibernético o una infracción, lo que genera más ahorros para su resultado final y la atención al paciente.
Invertir en identidad digital es invertir en sistemas de salud y pacientes.
Establecer una estrategia de identidad digital es una inversión, pero es prudente, práctica y necesaria para preparar su infraestructura para el futuro. Proporciona una gran variedad de beneficios de seguridad, cumplimiento y privacidad que los médicos, los equipos de seguridad y los pacientes experimentan todos los días. Desde una perspectiva clínica, la identidad digital hace que el acceso a la tecnología sea completamente transparente, incluso invisible. Herramientas como el inicio de sesión único de acceso sin clic pueden optimizar los inicios de sesión y los procesos de autenticación en todas las aplicaciones, sistemas y datos, ya sea en las instalaciones o en la nube, para devolver más tiempo a la atención del paciente y reducir el tiempo dedicado a la tecnología. Los equipos de TI también experimentan mejoras en el flujo de trabajo con la identidad digital, ya que protege las credenciales y mejora la postura de cumplimiento y seguridad. Y desde la perspectiva del paciente, la identidad digital significa una mejor protección de la PHI y un tiempo más significativo dedicado a la atención.
Con eso en mente, implementar una estrategia integral puede ser desalentador para aquellos con entornos de TI fragmentados e innumerables usuarios y funciones que cambian a diario. Para comenzar, las organizaciones de atención médica deben:
- Evaluar y consolidar su stack tecnológico. Las organizaciones de atención médica a menudo ejecutan miles de aplicaciones. Este exceso no solo aumenta la superficie de ataque, sino también los riesgos asociados con el acceso de más proveedores externos a sus sistemas, especialmente considerando que solo 34% de las organizaciones evaluar a sus proveedores en cuanto a los requisitos básicos de seguridad. La racionalización de las aplicaciones proporcionará una mejor visibilidad sobre el entorno, mejorará la operatividad y reducirá la exposición y los costos innecesarios.
- Automatice el aprovisionamiento y desaprovisionamiento de cuentas de usuario. Los trabajadores de la salud necesitan acceso a las aplicaciones clínicas desde el momento en que se incorporan, pero el aprovisionamiento manual es lento y propenso a errores. Del mismo modo, a medida que cambian los roles o el personal deja la organización, los sistemas de atención médica también deben estar atentos a los usuarios externos. Credenciales robadas fueron un vector líder de infracciones en 2022. Al automatizar los procesos de aprovisionamiento y desaprovisionamiento, las organizaciones pueden deshabilitar el acceso al instante para eliminar el riesgo de credenciales comprometidas de una cuenta inactiva.
- Implemente la autenticación multifactor (MFA). MFA es cada vez más adoptado por empresas y consumidores por igual. Pero dado que se requieren dos o más factores de verificación para que los médicos receten medicamentos o accedan al registro de salud electrónico, es esencial que este proceso sea eficiente y seguro. Con la identidad digital, los sistemas de salud pueden verificar el acceso sin afectar los flujos de trabajo clínicos a través de la autenticación biométrica o de identificación por toque. Esta capa adicional de seguridad eficiente puede evitar que un mal actor se mueva lateralmente a través de una red, al tiempo que mejora el tiempo de acceso para los médicos y dirige el tiempo de regreso a la atención del paciente.
- Ofrezca a los usuarios una experiencia sin contraseña. Las contraseñas tienen el engañoso hábito de proteger Y hacer que las organizaciones sean vulnerables. Si son fáciles de recordar, son más fáciles de hackear. Pero si son demasiado complejos, la mayoría de las personas encontrarán soluciones alternativas, como escribirlos en notas adhesivas o compartir las credenciales con otros usuarios. Las soluciones de inicio de sesión único (SSO) pueden eliminar la fatiga de la contraseña y simplificar el acceso al reemplazar los inicios de sesión con autenticación sin clic, al tiempo que imponen contraseñas complejas que los usuarios rara vez necesitan ingresar.
- Practique el principio de privilegio mínimo. Aunque la mayoría de las organizaciones dependen de proveedores externos, 50% han experimentado una violación de datos de terceros, principalmente como resultado de otorgar demasiado acceso privilegiado. Con la administración de acceso privilegiado, a un usuario solo se le otorga acceso para realizar una tarea específica, y nada más. Esto mejora la seguridad y salvaguarda el acceso a la información más sensible de la organización.
A medida que las organizaciones de atención médica se adaptan a una nueva normalidad de seguridad de TI, es esencial implementar una estrategia de identidad digital. Con los requisitos de seguro cada vez más costosos y estrictos, y los ataques cibernéticos más amenazantes, identidad digital es la clave para la digitalización de la atención médica a prueba de futuro. Cumple con los requisitos de varios seguros cibernéticos y cumplimiento federal, además de seguir los principios de confianza cero. Entre presupuestos ajustados y riesgos cibernéticos en aumento, la identidad digital puede reducir el riesgo al mismo tiempo que mejora el cumplimiento, agiliza el acceso de los usuarios y refuerza la seguridad.
Dada la frecuencia y la gravedad de los ciberataques de hoy, el próximo es una cuestión de si, no cuándo. Es hora de que el cuidado de la salud ahorre más invirtiendo de manera proactiva en identidad digital.
Nota: Este artículo está escrito por Gus Malezis, director ejecutivo de Imprivata, una empresa de identidad digital que ayuda a las industrias críticas para la misión y la vida a resolver desafíos complejos de flujo de trabajo, seguridad y cumplimiento. Su plataforma ofrece soluciones de gestión de identidad, autenticación y acceso para gestionar y proteger identidades digitales empresariales y de terceros, que operan en más de 45 países.