A tendência da Grande Renúncia aos empregos em curso como resultado direto do burnout que acometeu o mundo pode estar impactando a área de saúde mais do que qualquer outro setor. Pesquisas mostram que o segmento já perdeu cerca de 20% de sua força de trabalho durante os últimos dois anos. Esta rotatividade está ocorrendo de cima para baixo em todas as organizações. Os médicos estão mudando entre hospitais, o pessoal administrativo está mudando de emprego e as equipes de tecnologia estão sendo atraídas por posições com maior remuneração que em outros segmentos de mercado.
Nesse cenário, a segurança da informação é mais uma das áreas críticas que está sentindo os efeitos desse movimento de demissão em massa. No ano passado, o Netskope Threat Labs identificou um aumento de 300% no roubo de dados por funcionários em seus últimos 30 dias de trabalho. Diante dos níveis de rotatividade sem precedentes de recursos humanos no setor, questiona-se como as organizações de saúde podem garantir que seus dados e outras informações sensíveis não sejam levados por um funcionário demissionário?
A colaboração entre instituições (como uma universidade e um hospital de pesquisa afiliado) é outra área comum onde conflitos de propriedade de dados podem surgir. Na maioria das vezes, as organizações assinam um acordo de associação empresarial (BAA) que define quem é responsável pelos dados de informações de saúde protegidas (PHI). Mas, em muitas ocasiões, a transferência de dados acontece fora dos termos do acordo – sem o conhecimento da equipe de segurança ou de TI. E uma vez que os dados da instituição são expostos, torna-se quase impossível reverter o processo.
Independentemente da intenção do profissional que deixa a empresa, as organizações de saúde precisam se proteger contra este tipo de ameaça interna comum. Para fazer isso, as equipes de segurança precisam de ferramentas modernas que estabeleçam uma visibilidade abrangente em toda a empresa. Elas devem estar cientes de tudo o que precisa ser protegido e identificar riscos potenciais instantaneamente. Isto deve incluir capacidades como:
- Contexto de dados integrado
Para avaliar o risco de perda de dados sensíveis, primeiro é preciso reunir algumas informações contextuais. É necessário ter mais informações sobre os usuários e detalhes como e por que eles estão interagindo com os dados e aplicações da organização. Isto pode incluir:
- Em que grupo empresarial está o usuário?
- Qual é a postura de seu dispositivo – é um dispositivo gerenciado versus não gerenciado?
- A quais recursos eles estão solicitando acesso?
- Uma vez concedido o acesso, que atividades eles estão tentando realizar?
2. Classificação dos dados
As organizações de saúde devem fazer um inventário de todos os seus dados, classificando-os de acordo com o tipo, sensibilidade e localização. Uma vez que seja possível enxergar e classificar os dados de acordo com esses marcadores, pode-se então implementar políticas para garantir que as informações sensíveis nunca saiam da organização.
E este sistema de classificação pode não apenas ajudar a manter arquivos importantes dentro da organização – mas pode também auxiliar a manter arquivos ruins fora da organização. Os arquivos que violam a política (como malware armazenado na nuvem) podem ser bloqueados com base em sua classificação.
3. Conscientização de instâncias
Os roubos de dados aumentaram três vezes recentemente e 74% dos incidentes ocorreram por meio de instâncias pessoais do Google Drive. Para mitigar esses ataques, as equipes de segurança precisam ser capazes de identificar se seus usuários estão acessando instâncias pessoais de aplicações comuns da web/cloud (por exemplo, Google Workspace, Microsoft 365, Dropbox) em vez daquelas que são licenciadas e gerenciadas pela organização. Sem a capacidade de detectar e bloquear instâncias de aplicações pessoais de acesso a dados sensíveis, as aplicações de nuvem oficiais podem ser facilmente utilizadas para exfiltração de dados.
Quando as empresas de saúde estabelecem uma visibilidade abrangente dos usuários, aplicações, dados e tráfego que circulam em suas redes, elas estão em posição para mensurar os riscos e implementar controles granulares baseados em políticas que podem ajudar a manter informações privadas e dados proprietários com segurança dentro da organização.
4. Equilíbrio de prioridades de segurança por meio da adaptação contínua da confiança
Os CISOs do setor de saúde podem equilibrar as prioridades mantendo a conformidade, gerenciando riscos e planejando a arquitetura no longo prazo, além de escolher ferramentas de segurança que apoiem o conceito de adaptação contínua da confiança. Isto significa que são ferramentas de segurança que podem aplicar informações contextuais sobre status do usuário, sensibilidade dos dados, tipo de dispositivo, hora do dia etc., para medir continuamente os riscos e gerenciar o acesso aos recursos em uma base contínua. Usando este contexto, os líderes de segurança da saúde podem monitorar e proteger melhor os dados sensíveis contra o aumento de ameaças internas potenciais resultantes da Grande Renúncia.
Damian Chung, Business Information Security Officer da Netskope