Le organizzazioni sanitarie sono fra le più esposte ai rischi causati dallo shadow IT. Un enorme numero di strumentazioni e apparecchiature, indispensabili per le pratiche mediche, sono di fatto anche device IoT. Tuttavia, ben pochi sono secure by design e costituiscono un evidente problema per la cybersecurity. In che modo Lutech affianca i clienti nella gestione di questo problema?
Ne abbiamo parlato con Giulia Cabianca, Senior Advisor di Lutech
Nelle organizzazioni sanitarie la quantità, la varietà e l’interdipendenza dei processi a tutela della salute del paziente esprimono una significativa complessità, amplificata negli anni dall’adozione non pianificata e non uniforme di numerose soluzioni IT. Lo shadow IT, per esempio, che consiste nelle soluzioni tecnologiche non ufficialmente autorizzate dall’organizzazione, sfugge al controllo, alla documentazione e alla valutazione in termini di sicurezza delle informazioni e di affidabilità.
Nell’ambito sanitario, in particolare, con l’adozione sempre più frequente di tecnologie IoT, l’aumento del rischio di perdita di confidenzialità, disponibilità, integrità delle informazioni trattate (“security”) va di pari passo con l’aumento del rischio per la vita stessa dei pazienti (“safety”). Una struttura sanitaria non può assolutamente permettersi la minima indisponibilità di apparecchiature fondamentali per la tutela della vita delle persone.
Nei device IoT, per esempio, le risorse in termini di calcolo sono spesso limitate e orientate più alla funzionalità che alla sicurezza. Inoltre, per l’aggiornamento dei certificati realizzare canali di accesso meno protetti per raggiungere con maggiore facilità il dispositivo è spesso una scelta obbligata, esponendo il device a minacce maggiori.
Per affiancare i Clienti nella gestione di questo problema, il Gruppo Lutech parte analizzando l’ecosistema in cui i singoli device IoT sono posizionati e mappando la tipologia di dati trattati sia dall’Edge che nel transito verso il Cloud, dove sempre più spesso si elaborano e si conservano le informazioni. In seguito, viene individuata una rosa di presìdi di cybsersecurity da adottare: una serie di contromisure tecnologiche, organizzative e procedurali per compensare la mancanza di security by design tipica dei device IoT.
In generale, nel mondo della Sanità, Lutech adotta un approccio end-to-end alla cybersecurity e alla compliance, affiancando i Clienti nella realizzazione di una strategia pragmatica e sostenibile nella gestione dei cyber-risk che si basa sulle fasi seguenti:
- Assess: grazie alla nostra esperienza nel settore healthcare, analizziamo i processi e gli elementi di complessità propri dell’organizzazione individuando i gap di miglioramento;
- Design: disegniamo una nuova mappa del sistema informativo dell’organizzazione affinché sia modellato per rispondere in maniera resiliente alle minacce cyber più probabili seguendo fasi e modalità definite e condivise con il Cliente;
- Build: realizziamo i progetti IT utilizzando paradigmi multicloud o agevolando processi di esternalizzazione, parziale o totale;
- Optimize: costantemente miglioriamo e ci adattiamo ai nuovi trend delle minacce nel mondo healthcare affiancando competenze multidisciplinari non solo del settore IT, ma anche della cybersecurity e del mondo giuridico.
In sintesi, seguendo l’unico obiettivo di fornire servizi di qualità ai pazienti, Lutech affianca l’organizzazione individuando le soluzioni più idonee dal punto di vista organizzativo, procedurale e tecnologico a tutela delle informazioni e del sistema che le supporta e in piena adesione alla compliance.
Proteggere le istituzioni sanitarie presenta innumerevoli complessità, non ultima l’importanza etica dei dati da tutelare. Quanto è importante il rapporto con i vendor nella scelta e nell’implementazione delle soluzioni di cybersecurity più idonee?
Preservare la riservatezza, la disponibilità e l’integrità dei dati sanitari delle persone deve costituire un’assoluta priorità. Nel contesto sanitario, nel quale il ricorso alla supply chain è inevitabile, il rapporto con il vendor nella scelta e nell’implementazione delle soluzioni di cybersecurity è fondamentale.
Lutech sceglie i propri Partner tecnologici comparando attentamente le soluzioni presenti sul mercato ed effettuando dei puntuali benchmark di valutazione.
Verifichiamo, in particolare, se le soluzioni offerte garantiscano determinati criteri di sicurezza, se rispettino la normativa vigente e se siano progettate tenendo in considerazione gli standard internazionali di riferimento e le linee guida in materia di cybersecurity (come NIST, ISO27001, ENISA).
Verifichiamo inoltre che il vendor abbia integrato adeguate funzionalità di cybersecurity come per esempio l’encryption, la pseudonimizzazione o l’offuscation: in questo modo, più sono presenti funzionalità aderenti agli standard e più alto è lo score che il vendor ottiene durante la valutazione preliminare.
L’attività di valutazione viene svolta sia in fase di scelta di una partnership aziendale, sia affiancando il Cliente nello scouting di soluzioni contingenti e specifiche per progetti ad hoc.
In seguito, la soluzione viene testata dai nostri analisti per verificare in laboratorio che sia presente una congruità effettiva tra quanto dichiarato dal fornitore e quanto concretamente offerto.
In ultimo, ci avvaliamo anche degli studi di Gartner, IDC e Forrester per verificare se siamo di fronte a tecnologie durature, adeguatamente supportate e soggette a costante miglioramento e sviluppo.
Nel rapporto con il vendor è poi imprescindibile il ricorso al dialogo tecnologico e negoziale, dove -in altre parole- deve esser presente la possibilità di adattamento della soluzione al contesto del Cliente: ciò deve poter avvenire personalizzando e integrando alla soluzione offerta servizi tailor-made realizzati dagli specialisti del Gruppo Lutech in modo da venire incontro all’esigenza della specifica organizzazione sanitaria.