Robert LaMagna-Reiter, vicepresidente y director de seguridad de la información de First National Technology Solutions, mejor conocido como FNTS, dice que las organizaciones de atención médica están utilizando cada vez más nubes específicas de la industria para trabajar en problemas de cumplimiento, como los relacionados con HIPAA y HITECH.
Para satisfacer las necesidades de estas organizaciones, FNTS lanzó recientemente FNTS Healthcare Cloud y también organizó algunos grupos focales sobre el tema. Como tal, LaMagna-Reiter está lleno de aprendizajes nuevos y expertos sobre el tema.
Noticias de TI sanitarias entrevistó a LaMagna-Reiter para que compartiera experiencia detallada sobre nubes específicas de la industria, ciberseguridad y, en una nota relacionada, cambios recientes a la Ley de puerto seguro de HIPAA.
P: Ha dicho que existe una tendencia creciente de empresas que utilizan soluciones en la nube específicas de la industria para abordar problemas relacionados con el cumplimiento, como HIPAA y HITECH. ¿Cómo se ha convertido esto en una tendencia y por qué es importante?
A: La nube es un habilitador estratégico. Al alinear la estrategia empresarial para simplificar y modernizar los entornos de TI, las organizaciones de atención médica pueden mejorar y ampliar las capacidades al tiempo que reducen la complejidad. Las soluciones en la nube específicas de la industria tienden a reducir aún más el tiempo de generación de valor que las organizaciones buscan en la transformación digital y la necesidad de agilidad.
Debido al panorama de amenazas en evolución y la naturaleza sensible de los datos recopilados por organizaciones de atención médica altamente reguladas, estas organizaciones también enfrentan crecientes riesgos para la seguridad y el cumplimiento. No se detiene ahí. También existe la amenaza de tiempo de inactividad, multas regulatorias y riesgo de reputación, que pueden causar daños importantes.
Las soluciones en la nube han demostrado ser seguras y capaces de soportar industrias reguladas; sin embargo, depende totalmente de estas organizaciones implementar los controles apropiados, dependiendo de la plataforma, por supuesto, ya que el proveedor de servicios es responsable de más controles a medida que avanza en la pila hacia PaaS y SaaS.
Cuando las organizaciones sopesan las decisiones que deben tomar (transferir las capacidades de seguridad, cumplimiento y privacidad existentes en lugar de convertirlas), se requiere tiempo, análisis y recursos para acompañar la decisión tecnológica de adoptar un modelo operativo en la nube.
Cuando los proveedores de servicios en la nube ofrecen reducir la brecha o simplificar la capacidad de operar no solo de manera segura sino de manera compatible con las regulaciones específicas de la industria, el tiempo de generación de valor se reduce considerablemente. Los costos de oportunidad de no aprovechar las capacidades nativas aumentan y la empresa tiene mayores incentivos (simplificación, consolidación y agilidad) para consumir una solución lista para usar.
Siempre habrá análisis y requisitos específicos para una organización, pero si las capacidades y los resultados se normalizan entre marcos específicos y requisitos regulatorios, además de las capacidades de seguridad de clase mundial que brindan los proveedores de servicios en la nube, es beneficioso para todos.
Esto es significativo porque representa otro cambio de paradigma dentro de los servicios en la nube. ¿Quién disfruta emitiendo solicitudes de propuestas cada vez que se renueva una capacidad específica? Fragmentar conjuntos de habilidades e integrar disciplinas separadas ha sido difícil, pero cuando se les da la opción de consumir una nube específica de la industria uniforme, consistente y automatizada, en este caso, la atención médica, se acabaron los días en los que los recursos altamente calificados de la organización deben gastar grandes cantidades de dinero. su tiempo en el cuidado, la alimentación y el mantenimiento.
“Las organizaciones de atención médica también deben asegurarse de que los usuarios finales tengan una experiencia positiva que se alinee con el crecimiento del negocio. Esto incluye seleccionar y desarrollar aplicaciones de software de TI de salud adecuadas e integrarlas con la infraestructura deseada de la organización”.
Robert LaMagna-Reiter, FNTS
Inmediatamente, las organizaciones de atención médica pueden concentrarse en consumir productos, ajustar, simplificar y aprovechar las economías de escala. Las capacidades mejoradas, los costos y el tiempo optimizados en todas las unidades de negocio y la reducción de la demanda de talento especializado también son beneficios.
A medida que el futuro de la industria de la salud se reinventa a través de más capacidades comerciales y herramientas de autoservicio para el cliente, las organizaciones requieren redundancia y resistencia para mejorar la eficiencia operativa, los resultados clínicos y la satisfacción del paciente. La seguridad no es la única ventaja que brindan las soluciones en la nube específicas de la industria.
Las organizaciones de atención médica también deben asegurarse de que los usuarios finales tengan una experiencia positiva que se alinee con el crecimiento empresarial. Esto incluye seleccionar y desarrollar aplicaciones de software de TI de salud adecuadas e integrarlas con la infraestructura deseada de una organización.
P: ¿Cuáles son algunos conocimientos de alto nivel de los expertos en TI de la salud con los que ha tratado en la industria sobre los problemas que enfrentan y cómo definen el valor en TI?
A: Los expertos en TI de la salud tienen varios desafíos, muchos de los cuales puede abordar una solución en la nube específica de la industria.
En lugar de realizar inversiones de capital en hardware, la nube proporciona una actualización continua, un mantenimiento y un mantenimiento continuos de la tecnología, además de soluciones de seguridad. En la nube, esto también se extiende a la gestión de suscripciones, la rentabilidad y la expansión de datos.
Dividir el tiempo entre la actualización de los conjuntos de habilidades, el conocimiento y las estrategias de actualización puede ser un desafío, por lo que las organizaciones buscan soluciones que vayan acompañadas de soporte de TI continuo, almacenamiento escalable y recursos informáticos.
Es importante mantenerse actualizado o adelantado a los cambios normativos y garantizar que los requisitos de seguridad y cumplimiento se apliquen de manera uniforme en toda la huella tecnológica. Las industrias impulsadas por el cumplimiento no solo requieren soluciones tecnológicas personalizadas, sino también experiencia y soporte que las mantengan en cumplimiento de los estándares regulatorios más estrictos relacionados con HIPAA, HITECH y más.
Esto incluye la protección de la información de salud protegida electrónica (ePHI) a través de salvaguardas administrativas, técnicas y físicas, como capacidades de autoauditoría en la nube y análisis avanzado.
Realizar la supervisión y la gestión diarias de los sistemas, el almacenamiento y las copias de seguridad es un desafío común, además de la gestión de proveedores y el tiempo de generación de valor con las implementaciones de tecnología existentes.
El valor tiene diferentes significados según el interesado. En el cuidado de la salud, el valor de TI generalmente se deriva de la innovación, la capacidad de innovar de manera rentable y eficiente, y la agilidad, la capacidad de la organización para responder rápidamente a oportunidades, amenazas, etc.
Los expertos en TI analizan los servicios, los costos y los resultados. Con una solución en la nube específica de la industria, las organizaciones de atención médica están en el extremo receptor de más servicios, menos costos generales y resultados refinados que:
- Estabilizar o mejorar los SLA
- Alinear los costos con el uso
- Permitir que la organización se centre en sus competencias básicas y producir fácilmente certificaciones de cumplimiento (en el caso de HIPAA / HITECH y BAA)
- Brindar controles y capacidades de seguridad de la información integrados (la combinación es atractiva para organizaciones sin conjuntos de habilidades, capacidades y habilidades considerables para equilibrar la complejidad actual con las crecientes demandas de las actividades generadoras de ingresos)
Además, al seleccionar un proveedor de servicios en la nube, las organizaciones desean fomentar asociaciones que puedan brindar visibilidad en tiempo real y un enfoque consultivo y colaborativo que desarrolle equipos de TI en áreas donde puede haber brechas de habilidades.
P: En otra nota, recientemente ha habido cambios en la Ley de Puerto Seguro de HIPAA. Ahora se está incentivando a las organizaciones de atención médica a adoptar medidas preventivas de ciberseguridad que podrían reducir las multas o acortar las auditorías. ¿Cuáles son algunas de las mejores prácticas sobre lo que pueden hacer las organizaciones para comenzar y qué bases deben cubrir?
A: La Ley de puerto seguro de HIPAA tendrá impactos positivos duraderos para todo el sector de la salud al incentivar a las organizaciones a adoptar un enfoque más proactivo para el cumplimiento de HIPAA y HITECH. A continuación, se muestran algunas de las mejores prácticas para que las organizaciones comiencen:
Asegúrese de que se cubran los conceptos básicos. Los requisitos de la Ley de ciberseguridad de 2015 necesitan una base sólida. Piense en la gestión de activos, la clasificación de datos, los flujos de datos y los privilegios mínimos / alineados con los roles.
Analice detenidamente cómo se llevan a cabo los negocios en su organización. Para implementar, madurar o mantener un programa de ciberseguridad, primero debe comprender el quién, qué, cuándo, por qué y cómo de su entorno.
Revise las prácticas y protocolos de seguridad cibernética actuales para asegurarse de que se haya implementado un programa que cumpla o supere los requisitos de la Ley de seguridad cibernética de 2015. Aproveche esta oportunidad para determinar si existen brechas e implementar una estrategia para remediarlas. Revise COBIT, ISO, NIST, CSA u otros marcos de mejores prácticas.
Asegúrese de que las prácticas y protocolos de ciberseguridad se apliquen correctamente en toda la empresa. Determine si existe un registro de riesgos y si se ha realizado un análisis de riesgos y un informe de gestión que documente todos los controles necesarios y procesables. Tener un programa implementado es el primer paso, y mapearlo con las disposiciones requeridas y procesables de HIPAA / HITECH permite a las organizaciones enfocarse en datos críticos, aplicaciones de activos y servicios.
Gorjeo: @SiwickiHealthIT
Envíe un correo electrónico al escritor: [email protected]
Healthcare IT News es una publicación de HIMSS Media.