Intervista a Clelia Bincoletto, Information Security Manager di HNP
Nel settore healthcare la cyber security riveste un ruolo di primo piano. La sicurezza delle informazioni è un aspetto a cui tutti i provider devono prestare attenzione. Clelia Bincoletto, la nostra Information Security Manager ci spiega meglio alcuni aspetti legati a questo tema.
Che cosa si intende per information security risk assessment?
L’information security risk assessment è un processo che consente a un’organizzazione di identificare vulnerabilità e minacce che insistono sul proprio patrimonio informativo e decidere quali contromisure adottare per affrontarle efficacemente. Questa valutazione è una delle attività fondamentali per la creazione e il mantenimento di un sistema di gestione della sicurezza delle informazioni (ISMS).
Un processo di gestione del rischio dovrebbe essere ripetibile, misurabile e verificabile. In tal senso, sono stati sviluppati diversi standard di risk assessment, tra cui quello oggetto della linea guida ISO/IEC 27005.
Una valutazione del rischio sulla sicurezza delle informazioni si compone di norma di tre macro-fasi:
- Identificazione e valutazione delle risorse, per inventariare le informazioni di proprietà o nella disponibilità aziendale (anche presso terze parti) e associarne un valore in termini finanziari, reputazionali e strategici;
- Identificazione e valutazione dei rischi, per individuare le minacce che potrebbero sfruttare le vulnerabilità legate alle risorse e attibuirne un valore di impatto, che dipende dalla criticità delle risorse in esame e dall’efficacia dei controlli già implementati dall’organizzazione all’atto della valutazione;
- Gestione dei rischi, per determinare quali iniziative intraprendere nell’ottica di gestire in modo appropriato i rischi considerati non accettabili dall’organizzazione.
Perché un’azienda nel settore healthcare deve riporre particolare attenzione agli aspetti legati alla Information security?
L’healthcare è un settore particolarmente vulnerabile perché tratta informazioni ad alto valore strategico ed economico, come i dati di natura sanitaria dei pazienti e di proprietà intellettuale relativi alla ricerca sanitaria e all’innovazione in campo medico.
Secondo l’agenzia Experian, infatti, a seconda della completezza del dato, un singolo record sanitario può essere quotato anche mille dollari sul mercato del dark web. Tali informazioni sensibili possono essere infatti sufficienti per ottenere prescrizioni o trattamenti medici tramite un furto di identità, o consentire lo sfruttamento del know-how o di altre informazioni confidenziali da parte di aziende concorrenti.
In che cosa consiste un audit di cybersecurity?
Un audit di cybersecurity è una valutazione sistematica e misurabile della conformità di un’organizzazione rispetto ad una normativa di riferimento in ambito di sicurezza informatica e delle informazioni, come ad esempio la ISO/IEC 27001.
In altre parole, si verifica che l’organizzazione abbia adottato e gestisca in modo continuo adeguati controlli (ovvero, contromisure) per contrastare i rischi legati alla cybersecurity, così come indicati nelle best-practice dei framework del settore (NIST, ISO, CIS, PCI DSS).
Questa tipologia di verifiche ispettive è compresa nel percorso di certificazione (e mantenimento della stessa) di un ente rispetto a uno standard di cybersecurity: ad esempio, lo standard ISO 27001 prevede che queste verifiche vengano effettuate periodicamente per controllare che l’ente abbia definito un impianto documentale che contenga procedure e prescrizioni per assicurare la sicurezza delle informazioni e che, soprattutto, queste regole siano seguite e monitorate.
L’audit, soprattutto se eseguito da un soggetto esterno con una visione oggettiva sulla realtà aziendale, permette di evidenziare aree di miglioramento anche sconosciute all’organizzazione.
Che cosa sta facendo HNP in tal senso?
HNP è un’azienda attenta e proattiva rispetto ai temi di sicurezza informatica e delle informazioni. Dal 2020 i suoi processi di ideazione, progettazione ed erogazione di servizi di supporto ai pazienti e ai centri clinici sono certificati ISO/IEC 27001.
Dal 2019, in aggiunta alle verifiche ispettive di monitoraggio della certificazione, si sottopone annualmente a un audit di cybersecurity indipendente denominato Cybervadis, che verifica l’applicazione dei controlli contenuti in tutti i principali standard di conformità internazionali, tra cui NIST, ISO 27001, GDPR e molte altre leggi internazionali sulla privacy e sulla sicurezza informatica.
A gennaio 2022 ha ottenuto un punteggio di 966 su 1000, con eccellenze sui controlli relativi alla gestione della data privacy, data protection e business continuity.