Requisitos regulatórios, pressões orçamentárias e um grupo de talentos escasso fazem com que as organizações de saúde terceirizam a segurança de TI. Sua empresa está preparada para atender a demanda?
As preocupações com a segurança cibernética da saúde continuam a aumentar:
A Becker's Health IT descobriu que as violações de saúde relatadas aumentaram 19% de 2020 a 2021, de 758 para 905;
E o número de pessoas cujas informações de saúde protegidas foram expostas devido a uma violação de dados aumentou 10% em 22 estados dos EUA.
Em resposta a essas tendências, as organizações de saúde estão aumentando seus gastos com segurança cibernética. A Allied Market Research relata que o mercado de segurança cibernética de saúde crescerá de US$ 12,85 bilhões em 2020 para US$ 57,25 bilhões em 2030, um CAGR de 16,3%. E parte desse gasto será em soluções de segurança como serviço.
1- Drivers de segurança como um serviço no setor de saúde
Mike Nobers, Diretor de Vendas de Canais Globais da Infosec , diz que há várias razões pelas quais os provedores de assistência médica, de grandes sistemas de saúde a pequenos consultórios médicos, estão terceirizando a segurança cibernética. “A segurança não é o foco principal de um provedor de serviços de saúde.
O trabalho deles é cuidar das pessoas. Portanto, eles procuram provedores de serviços de segurança gerenciados (MSSPs) como especialistas em segurança”, diz ele.
Segundo pesquisas, a escassez de habilidades de segurança cibernética, aliada ao aumento dos níveis de especialização necessários para gerenciar uma infraestrutura de segurança crescente, significa que o uso de prestadores de serviços gerenciados de segurança (MSSP) é cada vez mais atraente para empresas de todos os tamanhos.
Um MSSP pode funcionar como um CISO virtual de uma organização de saúde, usando seu conhecimento do cenário de ameaças, a variedade de produtos de segurança disponíveis e a experiência de trabalho com outros clientes para implantar as melhores soluções para protegê-los.
Outros fatores na decisão de um provedor de serviços de saúde de terceirizar a segurança de TI podem incluir:
Orçamento: As organizações de saúde estão constantemente tentando fazer o melhor uso de seus recursos. Usar os serviços de um MSSP pode ser econômico para abordar a segurança cibernética, em vez de contratar funcionários internos.
Falta de talentos em segurança de TI: se uma organização de saúde optar por contratar profissionais de segurança, o próximo obstáculo é encontrá-los. A escassez de talentos de TI, especialmente em segurança, continua, e a demanda excede em muito a oferta.
Conformidade regulatória: A saúde é estritamente regulamentada. “Pense em todas as pessoas que tocam em um hospital – provedores de seguros, fornecedores de Medtech, pagamentos de consumidores que precisam estar em conformidade com PCI – os provedores de saúde querem ir a um MSSP para descobrir onde atendem aos requisitos de conformidade e onde não ”, diz Nobers.
Suporte à medida que crescem: aquisições de hospitais são comuns, mas, do ponto de vista da segurança, exigem novas formas de gerenciar soluções. Nobers diz: “Pode ser mais fácil ter um provedor para assumir o projeto e padronizar os protocolos de segurança”.
Qual a diferença entre MSP e MSSP?
Diante das necessidades do mercado, muitos provedores de serviços de TI têm voltado seu modelo de negócio para MSPs (Managed Service Provider), em que há um monitoramento contínuo de todos os equipamentos e recursos de rede e solução de possíveis problemas futuros por meio da manutenção programada.
Assim, o suporte técnico é voltado para a prevenção de riscos, ou seja, o problema é solucionado antes mesmo de acontecer.
As atividades de MSP e MSSP não se excluem. Elas são complementares. O trabalho da MSSP é apenas mais especializado, como veremos em seguida:
As MSSPs (Managed Security Services Provider, ou, em Português, Provedoras de Serviços Gerenciados de Segurança), vieram atender uma demanda cada vez mais essencial: a segurança da informação.
Então, MSP e MSSP seguem a mesma lógica: são empresas terceirizadas que prestam serviços na área de TI, mas, no caso da MSSP, esses serviços são voltados para a segurança.
2- Primeiro passo: eduque você e sua equipe
Há pouca dúvida de que existe um mercado para segurança como serviço na área da saúde e em outras verticais, mas nem sempre está claro como criar uma oferta atraente. Nobers diz que os MSPs frequentemente procuram a Infosec em busca de conselhos sobre como começar. “Eles sabem que perderam negócios ou perderão negócios se não conhecerem os detalhes da segurança”, diz ele. “O primeiro passo é aprender.”
Os MSPs precisam expandir seu foco em firewalls e antivírus para abordar um escopo mais amplo, incluindo o gerenciamento de segurança na nuvem, dispositivos móveis e aplicativos. Eles também precisam aumentar a conscientização de segurança dos usuários.
Embora a parceria com um fornecedor possa fornecer a você e sua equipe oportunidades de aprendizado, Nobers diz que um fornecedor pode ensinar sobre seus produtos, oferecendo apenas uma visão limitada do espaço de segurança. Portanto, é vital ter uma perspectiva mais ampla e conhecer todas as soluções de segurança disponíveis.
Nobers diz que os MSPs têm agendas lotadas e podem ter dificuldades para encontrar tempo para educação e pesquisa em segurança. No entanto, ele ressalta que cursos on-line individualizados estão disponíveis e valem a pena. “Se um membro da equipe está em uma reunião com um cliente que pergunta sobre segurança e ele responde que sua empresa não tem expertise para cotar o projeto, você já está desclassificado”, ressalta.
Incentivar sua equipe a expandir seus conhecimentos em segurança também pode fornecer à sua empresa os benefícios de manter os funcionários engajados e melhorar a retenção de funcionários.
3- Não reinvente a roda
A Nobers também aconselha os MSPs que desejam aprender mais sobre como oferecer segurança como serviço a procurar associações em organizações do setor, como o The ASCII Group . “Para alguém novo em segurança, você obtém muito valor ao ingressar. As certificações são mais baratas e você também tem oportunidades de networking”, afirma. “E você pode participar de eventos para ouvir MSPs de diferentes partes do país explicar como eles abordam a segurança e apresentam seus planos.”
Especificamente, para fornecer segurança como serviço à saúde, Nobers diz que existem fornecedores experientes e respeitáveis que oferecem avaliações de risco de segurança HIPAA ou outros serviços relevantes. “Você pode formar uma parceria e encontrar uma peça que falta no quebra-cabeça para começar”, diz ele. “Isso pode beneficiar vocês dois. Você traz clientes para eles e eles estão ajudando você.”
Não é uma transição. É uma adição.
Nobers comenta que há algum medo subjacente quando os MSPs analisam a “transição” para o papel de MSSP. “Eles existem há 10 anos ou mais e têm o lado de TI para baixo”, diz ele. “Mas não há razão para desistir dos serviços básicos. Tornar-se um MSSP é adicionar o lado da segurança.”
“Vai ajudar com os clientes existentes. Você apenas adotará uma abordagem diferente para protegê-los. É o melhor dos dois mundos”, diz. “É vital para os seus clientes e vital para o seu negócio.”