Para las organizaciones de todos los tamaños, la perspectiva de mantenerse al día y cumplir una normativa sobre datos cada vez más compleja es desalentadora. Esto es especialmente cierto en el sector sanitario, ya que se encuentra en un espacio muy regulado. La presión por cumplir la normativa y asegurarse de que el personal entiende la naturaleza de la misma y su papel en ella puede parecer una tarea casi imposible.
Como resultado, las organizaciones esconden la cabeza bajo el ala e ignoran el problema. El problema es que la situación no va a mejorar y es probable que se complique aún más.
Regulación de datos: El coste variable de la adhesión
Las organizaciones se esfuerzan por determinar cómo pueden permitirse implantar los procesos necesarios para garantizar su cumplimiento. Este coste se presenta de diversas formas. Las restricciones presupuestarias en sanidad afectan a todas las áreas afectadas por la normativa. Implantar nuevas tecnologías o gestionar los sistemas heredados necesarios para cumplir la normativa puede ser un paso costoso pero necesario.
Del mismo modo, el «tiempo» puede ser un coste que a la mayoría de las empresas les cuesta aceptar. Este puede ser especialmente el caso de la sanidad, que a menudo carece de los recursos internos para garantizar el cumplimiento y no puede atraer necesariamente al personal necesario.
Recordar por qué se aplica la normativa de datos en primer lugar
Estos costes logísticos y financieros hacen que parezca una tarea demasiado grande para que la mayoría de las organizaciones puedan siquiera planteársela. Incluso para las que intentan adherirse, es comprensible la tentación de tratar el camino hacia el cumplimiento como un ejercicio de marcar casillas. Sin embargo, es importante recordar por qué se introduce la normativa.
Las normativas se diseñan e introducen para hacer frente a una necesidad o amenaza concreta que afecta a las organizaciones y al público. Por lo tanto, considerarlas como un mero ejercicio de marcar casillas para garantizar su cumplimiento significa que las empresas pierden el objetivo y ponen en peligro los datos y a los clientes.
Además, una vez conseguido el cumplimiento, se tiende a olvidarlo y a considerarlo una tarea terminada, lo que permite al equipo informático y a la empresa en su conjunto «levantar el pie del acelerador». En realidad, la regulación tiene que ser un proceso continuo.
Basta con echar un vistazo a los recientes titulares sobre el ataque del ransomware Synnovis al NHS para ver por qué es tan importante disponer de sistemas permanentes diseñados para mantener los datos seguros. Los ciberdelincuentes utilizan métodos cada vez más sofisticados para asegurarse el acceso a los datos, incluyendo, en este caso, el uso de proveedores externos para eludir las defensas de primera línea, por lo que el sector sanitario no puede permitirse tratar la normativa como un ejercicio de marcar casillas.
Los métodos actuales dificultan que el sector sanitario consiga «sobresalir» en el cumplimiento de la normativa.
Además del proceso continuo de cumplimiento de la normativa sobre datos, las organizaciones también tienen problemas con sus soluciones actuales. Muchas siguen utilizando formularios de Excel que, si bien registran la información, no pueden considerarse un método eficaz para garantizar el cumplimiento continuo ni la seguridad de los datos. Del mismo modo, aunque Excel puede utilizarse como registro de riesgos, no permite a las organizaciones identificar y gestionar posteriormente los riesgos como parte de la misma solución, lo que frena la adopción de Excel como solución holística.
Defensores de los datos
En el centro del éxito del cumplimiento están las personas. Utilizando el diseño organizativo de la empresa y trabajando en estrecha colaboración con los empleados, convirtiéndolos en «defensores de los datos», las organizaciones pueden capacitar al personal para que asuma la responsabilidad del cumplimiento. Con demasiada frecuencia, en el sector sanitario la responsabilidad de garantizar el cumplimiento recae en una sola persona o departamento. Sin embargo, los Data Champions que trabajan en departamentos específicos de una organización pueden tener una visión mucho más clara de dónde radica el riesgo y qué hay que hacer para eliminar las vulnerabilidades.
Convertir el cumplimiento de la normativa en parte de la vida cotidiana, o como se conoce a veces, «protección de datos desde el diseño y por defecto», significa que se convierte en una tarea mucho más manejable, en lugar de desalentadora. Además, la implantación de una solución que ayude a gestionar las políticas establecidas para hacer frente a los riesgos de la protección de datos (y que también lleve un registro de los propietarios de las políticas y, lo que es más importante, de quién las ha leído y comprendido) significa que, de repente, las organizaciones tienen una visión más precisa y completa de la situación de la empresa en cuanto a su cumplimiento de la normativa.
Una vez establecidos los Data Champions, el siguiente paso lógico es implantar una solución que permita tener una visión general de los riesgos, los informes, las políticas y el cumplimiento en un solo panel, al tiempo que mantiene informados a todos los miembros del personal sobre las últimas amenazas y su papel en el cumplimiento continuo. La educación es un elemento clave del cumplimiento. Los Data Champions pueden hablar con sus equipos específicos para asegurarse de que cada miembro sabe qué riesgos afectan a su departamento, y así la protección de datos por diseño y por defecto nace de forma natural.
La normativa no va a desaparecer. De hecho, el panorama normativo del sector sanitario va a ser cada vez más complicado y riguroso. Por lo tanto, recurrir a soluciones asequibles que puedan ayudar a garantizar el cumplimiento de la normativa y, al mismo tiempo, capacitar a los empleados para que asuman su responsabilidad, mantener los datos seguros y permitir que los servicios de primera línea continúen es una opción sensata.
Publicado originalmente en Open Access Government
