Sito HealthItSecurity
Nell’articolo Steps To Address Human Element Of Healthcare Data Security riportato sul sito Health IT Security vengono ribaditi alcuni concetti chiave della sicurezza informatica adattandoli all’ambito dei sistemi informativi sanitari.
L’articolo prende le mosse dai risultati dello studio del Ponemon Institute che mette in luce una preoccupante frequenza di deprecabili comportamenti messi in atto dai dipendenti dell’aziende degli intervistati che hanno condotto ad almeno un problema di sicurezza negli ultimi due anni nel 78 percento dei casi. A ciò si aggiunge lo Studio dell’HIMSS, pubblicato nel 2014, che afferma che la maggiore motivazione alla consultazione inappropriata dei dati da parte dei dipendenti è riconducibile al desiderio di avere accesso a dati la cui consultazione dovrebbe essere riservata.
Se a questo si somma la cronica carenza di risorse dedicate alla sicurezza nelle aziende sanitarie – l’articolo parla del fatto che i dipartimenti IT delle aziende sanitarie statunitensi ricevono il 2 o 3 percento del budget che se confrontato con il 20 percento del budget che viene concesso ai dipartimenti IT nelle organizzazioni finanziarie o di vendita al dettaglio è ben poca cosa – si capisce come il compito sia assai sfidante. Considerazioni ancora più sconsolanti potrebbero essere fatte se rapportassimo queste disponibilità alla situazione italiana dove il budget dei dipartimenti IT delle aziende sanitarie in molti casi è ben al di sotto del citato 2 percento.
Nell’articolo si propongono alcune strategie volte a mitigare il rischio connesso al fattore umano che vale la pena citare:
- addestrare il personale sulle buone pratiche di sicurezza ed enfatizzare quali siano i rischi di una gestione approssimativa della sicurezza;
- rinforzare frequentemente le buone pratiche di sicurezza e ricordare le sanzioni in caso di inadempienza; ricordare di evitare cattive pratiche come l’utilizzo di password di gruppo e i bigliettini con le password affissi sulle stazioni di lavoro;
- richiedere il cambio frequente della password e utilizzare strumenti che forzino i dipendenti a tale cambio;
- usare sistemi di single-sign on che proteggano la sessione quando l’utente si scollega da un determinato ambito di lavoro;
- registrare – e periodicamente esaminare – i tentativi di connessione per scongiurare tentativi di phishing e addestrare gli utenti a riconoscere queste minacce e a fornire adeguate risposte;
- eliminare le password più deboli e comuni e adottare misure che forzino all’uso di password robuste.
Seppure quelle riportate nell’articolo non siano tematiche nuove, risulta preoccupante la frequenza delle problematiche di sicurezza che i vari studi citano come riconducibile a cause interne all’azienda. Questo porta a pensare che, da un lato, vi sia la pressante necessità di fare evolvere i sistemi informativi in una direzione in grado di conciliare le esigenze di usabilità dei sistemi con quella di garanzia della privatezza delle informazioni gestite, ma dall’altro invita a non dimenticare l’importanza della formazione e del coinvolgimento degli utenti nella buona gestione dei sistemi informativi.
PG.
