La formazione sulla consapevolezza degli utenti dovrebbe essere l'investimento numero 1 nella sicurezza informatica per l'assistenza sanitaria rurale

Le persone sono la prima linea e il punto di fallimento più comune

I piccoli ospedali e i sistemi sanitari sono spesso presi di mira dai criminali informatici perché sono vulnerabili, hanno a rischio preziose informazioni sui pazienti e sono considerati affidabili per le cure critiche. Non è insolito che una persona o un piccolo numero di persone nell'ufficio finanziario gestiscano la fatturazione. Se quella persona viene presa di mira con una fattura falsa convincente o un'e-mail falsificata da un "fornitore", le probabilità di un errore sono elevate, soprattutto se non esiste una policy che richieda un secondo passaggio di verifica .

Ecco perché la formazione sulla consapevolezza è così fondamentale. Insegna alle persone a rallentare, a porre domande e a verificare. I programmi di formazione più efficaci sono leggeri, ricorrenti e personalizzati per il personale. Anziché richiedere una lunga sessione informativa una volta all'anno, l'IT può fornire moduli di 10 minuti ogni mese o trimestre.

Anche le simulazioni di minacce informatiche possono aggiungere valore. Ad esempio, gli strumenti di Trend Micro e Proofpoint offrono campagne di simulazione di phishing in cui le organizzazioni sanitarie possono testare il proprio personale con scenari reali, come il phishing, e apportare modifiche in base ai risultati. Con esempi generati dall'intelligenza artificiale e piattaforme che supportano la personalizzazione, queste opportunità di formazione diventano più pertinenti e quindi più efficaci.

SCOPRI: Rafforza la tua sicurezza con una formazione conveniente.

La politica e il processo sono importanti tanto quanto la formazione

La formazione sulla sicurezza informatica non esiste nel vuoto. Funziona solo se abbinata a policy chiare e applicate. Per molti versi, le policy sono la risposta alla domanda: "A cosa li stiamo addestrando?"

Un ottimo esempio di policy in atto sarebbe quella di trattare i processi basati su email allo stesso modo in cui trattiamo gli accessi agli account: con la verifica a due fattori. Allo stesso modo in cui l'autenticazione a più fattori protegge l'accesso, il flusso di lavoro dovrebbe prevedere un secondo livello di verifica. Ad esempio, le fatture di importo superiore a un certo limite dovrebbero attivare una telefonata o una conferma di persona, come previsto dalla policy.

Troppo spesso, le piccole organizzazioni sanitarie non documentano affatto i flussi di lavoro, per non parlare dell'implementazione di controlli che li governino in conformità con una policy chiara. Quando una richiesta sembra sufficientemente plausibile, il personale potrebbe affidarsi alla fiducia anziché al protocollo, ed è qui che le cose possono andare male.

Tutti, dall'ufficio finanziario ai medici, dovrebbero conoscere i segnali d'allarme a cui prestare attenzione e quali misure adottare se qualcosa non va. Combinando tutto questo con una formazione regolare, si crea non solo consapevolezza della sicurezza informatica, ma anche una vera e propria resilienza informatica .

CORRELATO: La formazione SOC personalizzata migliora le competenze informatiche per favorire la crescita.

Altri strumenti che fanno la differenza senza spendere una fortuna

Oltre alla consapevolezza e alle politiche, gli ospedali rurali, indipendenti e comunitari devono sapere che esistono strumenti accessibili per supportare e far rispettare comportamenti più sicuri per gli utenti, tra cui:

• Gestione degli accessi privilegiati. Quando gli aggressori riescono a entrare, il danno dipende dagli account a cui possono accedere. Gli accessi di amministratore condivisi e le password riutilizzate sono comuni nei team di piccole dimensioni, facilitando gli spostamenti laterali degli aggressori. Strumenti come Fortinet offrono opzioni PAM a basso costo per aiutare a prevenire questo problema.
• Strumenti anti-phishing. Gateway di posta elettronica come Check Point , Abnormal Security , Trend Micro e Mimecast offrono una protezione molto migliore rispetto alle difese native del sistema operativo. Bloccare le email dannose prima ancora che raggiungano la posta in arrivo è la soluzione migliore.

Vale anche la pena notare che molte polizze assicurative contro la cybersecurity richiedono alle organizzazioni sanitarie di implementare controlli di sicurezza come PAM e MFA. Il rispetto di tali standard può talvolta ridurre i premi e, cosa ancora più importante, impedire che una richiesta di risarcimento venga respinta per mancato rispetto di un requisito.

La sicurezza informatica non deve necessariamente essere costosa per essere efficace, ma deve essere intenzionale. Formare il personale, creare policy efficaci e investire in alcune misure di sicurezza essenziali può contribuire notevolmente a proteggere anche le organizzazioni più piccole dalle minacce informatiche sempre più sofisticate di oggi.