Una empresa de pruebas de diagnóstico ofrece lecciones de seguridad para todos los proveedores

Antes de la pandemia de COVID-19, el negocio de Brio Systems se enfocaba en ayudar a las personas a acceder a las pruebas de diagnóstico más fácilmente para mejorar su salud y administrar sus esfuerzos de acondicionamiento físico y bienestar.

EL PROBLEMA

Cuando llegó el COVID-19 a principios de 2020, la empresa se dio cuenta de que tenía la oportunidad de ayudar . Inicialmente, era muy difícil acceder a las pruebas de diagnóstico en los Estados Unidos. Brio cambió rápidamente su negocio para ayudar a los empleadores con bases de empleados que estarían en riesgo de propagación asintomática para acceder a las pruebas de manera fácil y consistente.

«Si bien la seguridad y la privacidad siempre han sido importantes para nuestro negocio, anteriormente habíamos sido un servicio directo al consumidor y, como tal, solo el titular de la cuenta individual accedía a los datos de salud administrando sus propios resultados de biomarcadores», explicó Thos Niles, cofundador de Brio Systems.

«Durante la pandemia, necesitábamos compartir datos de salud no solo con el individuo, sino también con las organizaciones que ahora eran nuestros clientes», continuó. «Esto creó una enorme presión para construir un programa de seguridad y privacidad más sólido y demostrar el cumplimiento de las leyes y regulaciones de salud como HIPAA».

Cada vez que una gran empresa o agencia gubernamental buscaría trabajar con Brio, el proveedor de pruebas, se enfrentó a cuestionarios de seguridad intimidantes y llamadas de auditoría rigurosas.

«Estos son extremadamente desalentadores con cientos de preguntas de alto riesgo», dijo Niles. «Como una empresa emergente ágil, estábamos sobre nuestras cabezas. Carecíamos de los recursos internos, la experiencia y las políticas para mostrar una sólida postura de seguridad. Y con prospectos que incluyen compañías Fortune 500 y agencias gubernamentales, nos arriesgamos a perder una oportunidad significativa al no poder hacerlo.

«Sabíamos que necesitábamos construir una base de seguridad sólida que pudiera crecer con nuestro negocio, así como soporte práctico para garantizar que gestionáramos de manera eficiente y precisa el proceso de cumplimiento y podría demostrar rápidamente nuestra postura de seguridad», agregó. «No fue una hazaña menor y el tiempo era esencial».

PROPUESTA

Para obtener ayuda, Brio Systems recurrió a Carbide, un proveedor de una plataforma de administración de privacidad de datos y seguridad de la información.

«El catalizador para el compromiso llegó cuando estábamos en conversaciones con una empresa de atención médica establecida», recordó Niles. «Sabíamos que no podíamos ganar este negocio poco a poco con un programa de seguridad y privacidad estilo casilla de verificación. Recurrimos a Carbide para que nos guíe a través de las complejidades del cumplimiento de HIPAA y para que nos ayude a demostrar una sólida postura de seguridad.

«Porque Carbide fue creado para empresas como la nuestra que tienen una necesidad empresarial- seguridad de clase, pero no necesariamente el equipo dedicado para lograrlo, parecía encajar perfectamente», continuó. «La plataforma desglosa las mejores prácticas, los marcos de la industria y las regulaciones gubernamentales en tareas claras y digeribles con un plan de proyecto procesable». apoyo para guiar a Brio a través de cada fase. Brio usó la metodología DRIVE del proveedor, que significa diseñar, revisar, implementar, validar y evolucionar.

«Nos ayudó a concentrar nuestros esfuerzos en lo que era más importante, en lugar de dispersar nuestros esfuerzos en un millón de cosas en las que no pudimos progresar lo suficiente», dijo Niles.

Confiando en Carbide, agregó, Brio esperaba:

  • Aproveche una plataforma de administración de seguridad de la información que captura los requisitos, genera políticas, realiza un seguimiento del progreso e impulsa los próximos pasos.
  • Cree políticas de seguridad integrales personalizadas para el negocio de Brio y los datos que recopila.
  • Automatice y cree eficiencias para servir como un multiplicador de fuerza para el pequeño equipo de Brio.
  • Obtenga acceso a especialistas y consultores de seguridad para guiar al equipo en el logro de los objetivos de la empresa mediante la realización de evaluaciones de riesgo y pruebas de penetración.
  • CUMPLIR EL RETO

    En el primero Como parte de la Fase 1, diseño, el equipo del proveedor se reunió con el equipo de Brio para evaluar su postura de seguridad existente y, a partir de ahí, ayudó a definir, diseñar y revisar un programa de seguridad para llenar los vacíos y cumplir con los objetivos de seguridad descritos.

    «El creador de políticas fue rápido y fácil de ejecutar», señaló Niles. «Carbide generó automáticamente un conjunto de políticas que eran únicas para nuestra situación, con tareas alineadas administradas dentro de la plataforma que nos ayudaron a pasar rápidamente del desarrollo de políticas a la implementación del programa de seguridad.

    «Conocer HIPAA fue fundamental para nuestro éxito, el equipo de expertos también ayudó a definir objetivos y plazos realistas para demostrar el cumplimiento», continuó.

    En la segunda parte de la Fase 1, revisión, el equipo del proveedor dirigió a Brio a través de sesiones de trabajo sobre seguridad de la información, incluida la seguridad de los empleados, la seguridad del desarrollo de software, la seguridad física/de activos/de la red y la gestión de la seguridad, todo lo cual ayudó a definir la base del programa de Brio. Luego, el equipo de Brio quedó facultado para revisar y gestionar el progreso como controles de seguridad.

    En la Fase 2, implementar, Carbide generó un plan de implementación, personalizado según las necesidades de Brio: una lista de verificación para ayudar a demostrar la postura de seguridad del proveedor de pruebas a los clientes potenciales y clientes. prepararse y administrar el proceso de auditoría interna, y mostrar un compromiso con la seguridad.

    En la Fase 3, Validar, Brio trabajó con el proveedor para validar su postura frente a HIPAA e ISO27001 a través de un análisis de deficiencias. seguido de un proceso objetivo de auditoría de terceros.

    Hoy, Brio se encuentra en la Fase 4, evolucionar, que se trata tanto de evolución como de puesta en funcionamiento, dijo Niles.

    «A medida que continuamos trabajando con grandes empresas, creciendo y expandiéndonos, debemos evaluar constantemente cómo nuestro programa de seguridad debe evolucionar para mantenerse al día», dijo.

    » Incluso con un sólido programa de seguridad y privacidad, nuestro equipo continúa trabajando con Carbide en recomendaciones sobre cómo mejorar la eficacia del programa y la eficiencia del proyecto con el tiempo, además de analizar cómo nuestro programa cumple con los estrictos requisitos de otros estándares de seguridad y privacidad. como SOC 2 y CCPA».

    RESULTADOS

    Niles dijo que Carbide tiene sido indispensable en la ayuda ing Brio fortalece su postura de seguridad, demuestra rápidamente el cumplimiento y pone en funcionamiento y mejora la seguridad.

    A los meses de trabajar con el proveedor, Brio logró y demostró el cumplimiento de HIPAA y cerró acuerdos con múltiples compañías Fortune 500 y una agencia federal, todos los cuales necesitaban la confianza de que los controles de seguridad y la postura de Brio eran lo suficientemente maduros como para poder confiarle a Brio los datos de salud de sus empleados.

    «Además, hemos reducido el tiempo para completar cuestionarios de seguridad de semanas a horas», anotó Niles. «Ahora dejamos que la plataforma haga el trabajo por nosotros. Las preguntas investigan cuáles son nuestras políticas de seguridad y, al hacer que la plataforma nos guíe y proporcione un sistema de registro para esas respuestas, es tan fácil como señalar la política de seguridad 1.2, en lugar de escribir un ensayo para cada pregunta».

    Además, la plataforma de seguridad ayudó a Brio a acelerar los esfuerzos de cumplimiento al proporcionar un marco fácil de seguir y un sistema integral de gestión de tareas diseñado para administrar la densidad de los requisitos, agudizar el enfoque en lo que más importa y cumplir con el cronograma, dijo.

    «Otro resultado clave ha sido comunicar nuestras políticas de seguridad a nuestro equipo, obtener su firma. en un sistema de registro y brindando capacitación periódica de concientización sobre seguridad», agregó. «Hoy, todo nuestro equipo comprende nuestras políticas, puede iniciar sesión fácilmente en Carbide para revisar las políticas y realizar cuestionarios sobre el contenido de capacitación de concientización sobre seguridad para garantizar tanto nuestro cumplimiento como su comprensión».

    CONSEJOS PARA OTROS

    «Para cualquier organización que trate con datos confidenciales como PHI, ya que consideran herramientas para administrar su programa de seguridad y privacidad , no lo haga solo», aconsejó Niles. «Comenzar su viaje de seguridad desde una pizarra en blanco, sin importar cuál sea su nivel de madurez el primer día, es demasiado desalentador.

    «Tener un solo sistema, accesible para todo su equipo, donde puede administrar políticas y procedimientos de manera sencilla, ahorrará una enorme cantidad de tiempo», concluyó. «Trabajar con un socio que puede proporcionar no solo una plataforma, sino también humanos en el circuito para brindar orientación y conocimiento te mueves rápido y con mayor confianza.»

    Twitter: @ SiwickiHealthIT Correo electrónico el escritor: bsiwicki@himss.org
    Healthcare IT News es una publicación de HIMSS Media.


    Lee mas

Deja un comentario

Tu dirección de correo electrónico no será publicada.