Melhores práticas de gerenciamento de risco de dados para a área da saúde

Por que o gerenciamento de risco de dados é essencial na área da saúde orientada por IA

As organizações de saúde que trabalham para aproveitar ferramentas de IA e análise preditiva estão frequentemente expandindo o uso de nuvem, acesso remoto e serviços digitais, o que aumenta a complexidade da proteção de dados dos pacientes.

“A IA não pode funcionar de forma eficaz sem acesso a conjuntos de dados confiáveis e de alta qualidade”, afirma Shannon Murphy, gerente sênior de segurança global e estratégia de risco da Trend Micro . “Mas quanto mais dados você fornece, mais área de superfície você cria para riscos.”

Ela alerta que as estratégias de gerenciamento de riscos devem evoluir em sintonia com essas ambições, porque a IA cria mais oportunidades de exposição com cada nova ferramenta ou ponto final.

Henry Vernov, gerente principal de produtos para assistência médica na Citrix , reforça a urgência de reduzir os pontos de exposição, principalmente em ambientes onde médicos e funcionários acessam sistemas sensíveis de vários dispositivos ou locais.

“Quando os dados dos pacientes são transferidos entre dispositivos, aplicativos e nuvens, cada etapa apresenta riscos se não forem bloqueados no nível do ambiente de trabalho”, afirma ele.

Para organizações de saúde que implantam IA em vários fluxos de trabalho clínicos , a integridade e a proteção dessas trocas de dados são fundamentais.

LEIA MAIS: Aproveite os dados e a IA para obter melhores resultados na área da saúde.

Desafios de dados enfrentados por organizações de saúde

Organizações de saúde enfrentam quatro desafios centrais quando se trata de dados, afirma Nicholas Jackson, diretor de serviços de segurança cibernética da Bitdefender . Entre eles, estão sistemas legados fragmentados, realidades operacionais que geram riscos incomuns, dados altamente sensíveis e uma pesada carga de conformidade.

“Ambientes de saúde são construídos com base em uma mistura de infraestrutura obsoleta e ferramentas mais recentes de diversos fornecedores”, afirma. Esses sistemas muitas vezes não se comunicam bem, criando silos de dados e padrões inconsistentes que complicam a integração e a governança.

Jackson observa que, em um ambiente crítico como uma sala de cirurgia, muitas vezes é impraticável que cada médico faça login em contas pessoais no meio de um procedimento.

“O acesso compartilhado ou genérico às vezes é usado por necessidade, aumentando os riscos em torno da integridade dos dados, ameaças internas e responsabilização”, diz ele.

Enquanto isso, a HIPAA, o Regulamento Geral de Proteção de Dados e outros mandatos exigem controle rigoroso sobre os dados de saúde.

“Aplicar essas práticas de forma consistente em sistemas fragmentados em ambientes locais e na nuvem, juntamente com práticas variadas do usuário, é um desafio contínuo e significativo”, afirma Jackson.

Adam Winston, CTO de campo da WatchGuard , diz que as políticas que regem o uso de aplicativos de IA precisam ser implementadas internamente nas organizações.

“Ferramentas de uso geral empregadas por usuários finais não devem ser usadas para processar ou carregar informações de saúde protegidas ou propriedade intelectual; em vez disso, procure produtos desenvolvidos especificamente para esse fim, que estejam em conformidade com as regras da HIPAA ou que sejam direcionados para automatizar algumas dessas tarefas”, diz ele.

Jackson diz que as organizações devem começar classificando e mapeando seus dados: "Se você não sabe o que tem ou onde eles estão, você está operando às cegas".

“A partir daí, incorpore privacidade e segurança — como proteção de endpoint e detecção e resposta estendidas — em seus sistemas desde o início, não como uma reflexão tardia”, diz ele.

Avaliações de risco regulares, controles de acesso rigorosos , criptografia e treinamento contínuo de conscientização da equipe (não uma vez por ano) devem ser práticas padrão.

“Elas não são opcionais; devem ser consideradas obrigatórias para proteger dados de saúde confidenciais e são elementos-chave do gerenciamento de segurança”, diz Jackson.

RELACIONADO: Veja o que os líderes de TI da área da saúde precisam saber sobre gerenciamento de riscos de terceiros.

Alinhando a Gestão de Riscos com Inovação e Conformidade

Da perspectiva de Murphy, os benefícios da engenhosidade e adoção da IA no setor de saúde parecem superar os riscos.

“Estou extremamente encorajada com a inovação que está acontecendo no meu segmento de clientes da área da saúde, incluindo hospitais de pesquisa e hospitais universitários”, diz ela. “Essas instituições não estão sendo indiferentes quanto à sua adoção, mas estão sendo incrivelmente agressivas.”

Operacionalmente, e levando em conta a segurança cibernética, ter um gerenciamento completo da postura de segurança de dados do ciclo de vida gera dois resultados positivos: menor potencial de violação e experiências de IA mais tranquilas.

“A gestão de riscos é uma estratégia proativa, e a proatividade mantém a capacidade de se manter na vanguarda”, diz Murphy. “É uma estratégia filosófica que pode ser estendida à sua prática de segurança e conformidade a partir da sua prática de inovação.”

Dessa forma, ela diz, a segurança é um grande facilitador da inovação, permitindo que as organizações se movam de forma rápida e segura, com menos dívida técnica.

Jackson acrescenta que, quando as estruturas de risco são integradas no início das fases de design e desenvolvimento, elas dão suporte a uma inovação mais rápida e segura.

“A conformidade se torna um resultado natural, não uma correria de última hora, o que reduz dores de cabeça e desafios a longo prazo”, afirma. “O objetivo deve ser sempre a segurança, a gestão de riscos e a conformidade, trabalhando em conjunto e sem interrupções, e não como operações separadas.”