¿Por qué lograr que la MFA sea correcta es un desafío en la atención médica?
Si dividimos un hospital en cuatro áreas funcionales –clínica, operativa, administrativa y tecnológica– estas tres últimas áreas son propias del ciclo de vida de cualquier negocio. Es el primero, el aspecto clínico, que es exclusivo de la atención sanitaria y requiere consideraciones específicas sobre el flujo de trabajo de los médicos.
Por ejemplo, las enfermeras del primer turno pueden tener varios dispositivos en los que deben iniciar y cerrar sesión a lo largo del día en varias ubicaciones. El tiempo que lleva volver a autenticar el acceso a aplicaciones críticas, aunque sea sólo un minuto y medio, puede tener un gran impacto en la atención al paciente. Este es el gran desafío en la experiencia del paciente y en el modelo de continuidad clínica de la atención: el flujo de trabajo se ve muy afectado por la MFA.
También existe el desafío de aprovisionar y dar de baja cuentas de usuario en una organización de atención médica. Piense en la enfermería pro re nata: en ocasiones, las organizaciones pueden requerir recursos flexibles y hay muy pocos hospitales con procesos de incorporación lo suficientemente maduros como para poder configurar cuentas utilizables que se descartan al final de un turno. Este es un ciclo de vida acelerado para una cuenta y la mayoría de los proveedores no están equipados para hacerlo.
Los cronogramas de cumplimiento detallados propuestos para la regla de seguridad actualizada, como los requisitos de terminación de acceso de 1 hora y los requisitos de restauración del sistema de 72 horas, indican una intención regulatoria de imponer un estándar más alto de agilidad operativa y capacidad de respuesta. Esto refleja el reconocimiento de que los enfoques tradicionales, menos prescriptivos, son insuficientes frente a la velocidad y la sofisticación de las amenazas cibernéticas modernas. La carga pasa de simplemente tener controles de seguridad a operarlos de manera demostrable con métricas de desempeño específicas y mensurables. Esto implica una necesidad significativa de procesos altamente automatizados, planes de respuesta a incidentes bien ensayados y capacidades de monitoreo continuo.
LEER MÁS: Esto es lo que las organizaciones sanitarias deben saber sobre las amenazas persistentes avanzadas.
¿Por qué las expectativas de auditoría actualizadas son un desafío para la atención médica?
Es posible que muchas organizaciones estén empezando desde cero porque no han realizado este nivel de auditoría. Tienen que implementar una taxonomía de políticas para la retención de documentos. En muchas organizaciones, si pregunta cuánto tiempo se debe conservar algo, la respuesta es “para siempre”. Esto se debe a que las organizaciones quieren asegurarse de tener registros disponibles en caso de que surja un problema, independientemente de cuánto tiempo haya pasado desde el evento original. Pero hay elementos en la atención sanitaria, como las imágenes, que ocupan un enorme espacio de almacenamiento.
Por otro lado, las organizaciones que planean publicar documentación a menudo no tienen un período de reducción de almacenamiento definido y no cuentan con los procesos tecnológicos para administrar el almacenamiento o los gastos a lo largo del tiempo.
Las organizaciones de atención médica pueden mirar a otras industrias para ver cómo abordan la seguridad de los datos. Por ejemplo, la industria de las tarjetas de pago ha establecido estándares y especificaciones de seguridad de datos que existen desde hace más de una década. Seguir una organización financiera. Los registros de los pacientes son incluso más importantes que la información financiera, así que protéjalos a toda costa.
Los cambios no son sólo para los hospitales
Tendemos a centrarnos en HIPAA como algo que sólo se aplica a los proveedores tradicionales. Pero pensemos en una organización de atención a personas mayores con residentes de edad avanzada: la información sanitaria protegida también es importante. Si bien consideramos que esto es un problema para los proveedores de atención médica, el cumplimiento y la responsabilidad de HIPAA son omnipresentes en muchos entornos, y cualquiera que maneje datos de atención médica debe cumplirlos.
El cumplimiento es necesario para cualquier persona que gestione datos de salud, incluidos aquellos que tal vez no los hayan considerado relevantes antes. A medida que crece la necesidad de proteger y transferir información de salud, el cumplimiento de HIPAA ahora se extiende a la gestión financiera y del estilo de vida, no solo a la atención clínica.
Este artículo es parte Tecnología sanitariade Serie de blogs Monitor.
