La migliore barriera ai tempi di fermo prolungati? Educazione e preparazione

Violazione dei dati, sicurezza informatica, hacking,

Nell’aprile di quest’anno, Tenant Health, uno dei maggiori fornitori di servizi di assistenza ospedaliera degli Stati Uniti, è stato vittima di un attacco alla sicurezza informatica che ha portato a settimane di interruzione e costato 100 milioni di dollari di danni. Lo scorso maggio, Scripps Healthmedi un attacco che ha interrotto le operazioni per un mese ed è costato 112,7 milioni di dollari in mancati guadagni e recupero. L’anno prima, la rete sanitaria dell’Università del Vermont ha subito oltre cinque settimane di inattività a causa di un attacco ransomware, con conseguenti costi di mitigazione di oltre 63 milioni di dollari.

Cosa hanno in comune questi tre sistemi? Oltre ad affrontare lo sfortunato impatto di un attacco alla sicurezza informatica, ogni organizzazione ha subito gli effetti dannosi di lunghi tempi di inattività. In passato, non era comune che una violazione lasciasse le organizzazioni in disparte per più di tre giorni. Tuttavia, nel nostro ambiente attuale, tre giorni si sono trasformati in settimane, con conseguenti gravi interruzioni operative. Applicazioni critiche, dispositivi medici, informazioni sanitarie protette (PHI), sicurezza dei pazienti e vite sono tutti a rischio quando si verificano lunghi tempi di inattività. La domanda è: tu e il tuo team siete preparati? Questo articolo esplora tre domande da considerare quando ci si prepara a tempi di inattività prolungati.

Domanda 1: Che aspetto hanno i tempi di inattività prolungati per ciascun reparto?

La prima domanda da considerare è: quali sono le ripercussioni di lunghi tempi di fermo macchina? Quando mi consulto con i clienti, rivedo i loro ultimi piani di continuità aziendale (BCP) e l’analisi dell’impatto aziendale (BIA). Il BIA è l’esercizio che identifica le applicazioni critiche e gli impatti dei tempi di inattività. È fondamentale riunire i responsabili di reparto per seguire una sequenza temporale delle operazioni senza processi automatizzati. La maggior parte dei BCP dipartimentali si basa su un periodo di inattività fino a tre giorni e deve essere esteso a quattro o cinque settimane.

I tempi di inattività prolungati possono manifestarsi in vari modi. Se i dispositivi medici non funzionano, potrebbe essere necessario dirottare i pazienti verso altre strutture sanitarie per chemio, dialisi, terapia intensiva, servizi di emergenza e così via. I contribuenti assicurativi non accettano più richieste di risarcimento cartacee e, anche se lo facessero, la codifica è automatizzata dal sistema di cartelle cliniche elettroniche (EMR). Gli emittenti di fatture sanitarie non sono più formati su come codificare manualmente i reclami. Non essere in grado di inviare richieste elettroniche influirà sul flusso di cassa. Inoltre, se le domande di gestione stipendi sono inattive, c’è un impatto significativo sui processi per pagare i dipendenti. Se il sistema di contabilità fornitori (AP) è inattivo, c’è un impatto sul pagamento di fornitori di terze parti critici per i servizi essenziali. Altri aspetti di un lungo periodo di inattività includono sapere quando coinvolgere team legali e agenzie esterne come l’FBI e la polizia locale. Immagina il caos che potrebbe verificarsi se non fosse in atto un piano ben definito per tempi di inattività prolungati.

Domanda 2: Come si esegue un’analisi dell’impatto aziendale?

Una BIA è fondamentale per valutare gli effetti di eventuali periodi di inattività sull’organizzazione e deve essere aggiornata periodicamente per la gestione delle modifiche. Il processo di definizione di una BIA include l’identificazione delle applicazioni critiche e la documentazione:

  • Attività commerciale interessata
  • potenziale perdita operativa
  • potenziale perdita finanziaria
  • Tempo minimo necessario per il ripristino delle operazioni
  • Altre dipendenze critiche dell’applicazione

Questi fattori variano in base al tipo e alla gravità di un disastro. La perdita operativa potrebbe essere l’incapacità di condurre gli affari come al solito. La perdita finanziaria varia ampiamente, ma a volte può variare da $ 3000 a $ 5000 l’ora in termini di perdita di entrate per la tua organizzazione. Un BIA aggiornato e accurato ti aiuterà a valutare quali controlli devono essere implementati per ridurre il rischio di tempi di inattività prolungati, come un backup su cloud o ridondanze di collocazione.

Domanda 3: Perché l’istruzione è così importante?

Sfortunatamente, non esiste un proiettile d’argento per garantire la sicurezza informatica. Tuttavia, l’istruzione e la preparazione sono essenziali. Sebbene l’allenamento non sia una protezione garantita contro gli attacchi, è uno strumento efficace per armare la tua squadra per sapere come rispondere. Consiglio vivamente esercizi da tavolo, come la discussione di scenari di crisi con vari dipartimenti e le potenziali implicazioni per ciascuno. Ciò che potrebbe sembrare scoraggiante discutere inizialmente entrerà in pratica in caso di crisi.

Molte tattiche educative aiutano la tua squadra a essere meglio preparata. Insieme agli esercizi da tavolo, le organizzazioni dovrebbero fornire costantemente eventi educativi coinvolgenti come webinar, promemoria e-mail, tutorial video e sessioni di relatori di persona. La National Initiative for Cybersecurity Careers and Studies offre vari strumenti gratuiti, così come l’Office of the National Coordinator (ONC) for Health Information Technology.

Conclusione

Nel corso degli anni, la tecnologia si è evoluta in modi essenziali per operazioni aziendali efficienti ed efficaci. Tuttavia, i fattori di rischio rimangono una realtà. La consapevolezza di questi fattori e dei modi per combatterli richiede la riflessione sugli scenari, l’educazione del personale e l’aggiornamento continuo di BIA e BCP. Pianifica oggi stesso in modo da ridurre al minimo il caos quando si verifica un incidente.

Foto: JuSun, Getty Images

.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *