Keith Duemling, vice-presidente/CISO da Catholic Health
Keith Duemling explica por que a Catholic Health trata a segurança cibernética como uma condição crônica que requer gerenciamento contínuo, e não remediação episódica.
Gerenciar a segurança cibernética no sistema de saúde é menos parecido com realizar uma cirurgia e mais com tratar o diabetes. Essa é a filosofia operacional que Keith Duemling, vice-presidente/CISO da Catholic Health, trouxe para seu primeiro ano liderando o programa de segurança no sistema integrado de seis hospitais em Long Island, Nova York. A excelência molda tudo, desde a forma como ele constrói a estratégia até a forma como se comunica com médicos e executivos que têm dois minutos de sobra no corredor.
A Catholic Health Care, patrocinada pela Diocese de Rockville Center, emprega quase 18.000 pessoas e atende centenas de milhares de habitantes de Long Island todos os anos em hospitais, consultórios médicos, centros de cirurgia ambulatorial e serviços de saúde domiciliares.
“A segurança cibernética na área da saúde é uma condição de longo prazo. Não se trata de um único episódio de atendimento”, disse Duemling. “Você não vence com um ou dois projetos. Você gerencia o estado, você gerencia o estado da organização.”
Podcast: Reproduza em uma nova janela | Download (Duração: 41:38 – 38,1 MB)
Assine: Podcasts da Apple | Spotify
Um roteiro para ouvir
Quando chegou à Catholic Health, há cerca de um ano, Duemling encontrou um programa de segurança cibernética que já estava maduro, com forte apoio de liderança, desde o conselho e CEO até ao pessoal da linha de frente. Ele dá crédito à equipe que o precedeu pela construção dessa base. Seu plano de 90 dias, baseado em funções de liderança anteriores e nos insights obtidos durante o processo de entrevista, enfatizou a escuta em vez da ação imediata. O objetivo era combinar capacidade de resposta com consciência cultural para que o primeiro ano fosse produtivo sem ser perturbador.
A turnê de audição teve um duplo propósito. Além de aprender a cultura e identificar pontos problemáticos, isso gera adesão para o roteiro subsequente. Os líderes clínicos, técnicos e empresariais viram o seu feedback reflectido na estratégia, tornando-os mais propensos a apoiá-la. O próprio roteiro ganhou tempo: os executivos puderam ver o que estava por vir e quando, mesmo que os resultados demorassem meses para se materializar. Ganhos rápidos foram interligados com iniciativas de longo prazo para demonstrar capacidade de resposta sem sacrificar a profundidade estratégica.
Este roteiro permanece flexível. Duemling construiu seus planos antecipando interrupções causadas por crises econômicas, escassez de mão de obra e tecnologias emergentes. Uma estratégia de cibersegurança que não consiga competir com o negócio corre o risco de se tornar um centro de custos e um estrangulamento, dois rótulos que minam a credibilidade de qualquer programa de segurança, com os líderes clínicos a enfrentarem as suas próprias pressões diárias. A equipa de segurança cibernética reporta regularmente o progresso à gestão empresarial e clínica e ajusta as prioridades à medida que as condições mudam, tratando o plano como um documento vivo.
Usando IA de dentro para fora
A adoção da IA representa exatamente o tipo de disrupção que requer flexibilidade. Recusar-se a envolver-se com a IA seria um desserviço para a organização, uma vez que os agentes da ameaça, o pessoal clínico e os pacientes já utilizam ferramentas de IA. A equipe de segurança cibernética da Catholic Health está trabalhando para habilitar a IA com segurança em toda a empresa, ao mesmo tempo que a adota em suas próprias operações.
O uso interno vai além de resumos de reuniões e e-mails lidos. A equipe de Duemling está integrando IA na triagem de incidentes para diagnosticar eventos e responder quase em tempo real, usando-a para avaliações de segurança sob pressão e explorando toda a pilha de tecnologia em busca de oportunidades de trabalhar mais rapidamente com os recursos existentes. A estratégia reduz o ciclo de pedir mais orçamento, mais pessoal e mais ferramentas, demonstrando o retorno do investimento através da eficiência operacional. Cada dólar economizado pela equipe de segurança é um dólar que pode fluir para enfermeiros, médicos e atendimento direto ao paciente.
“Como um carro de corrida, se você tiver corrimãos e freios, geralmente poderá ir mais rápido porque poderá evitar um acidente”, disse Duemling. Construir esta disciplina de segurança em torno da IA permite que a organização acelere a adoção com segurança, e a experiência pessoal da equipe de segurança cibernética com as ferramentas os torna muito mais eficazes na proteção e capacitação em toda a empresa.
Ganhando dois minutos no corredor
Envolver os médicos na prática exige respeito pelo seu tempo e conhecimento do público. Alguns médicos escrevem Python ao lado; outros estão encontrando fluxos de trabalho digitais pela primeira vez. Duemling ajustou sua mensagem de acordo e insistiu que sua equipe fizesse o mesmo. A chave é resistir ao impulso de estereotipar as capacidades técnicas do médico. Muitos desses profissionais possuem múltiplas competências avançadas e subestimá-las prejudica a credibilidade de qualquer iniciativa de segurança.
A comunicação ocorre nos dois sentidos. As equipes de segurança precisam que os departamentos clínicos forneçam adesão às novas tecnologias no início do processo de aquisição, antes da assinatura dos contratos. Duemling descobriu que explicar o raciocínio por trás dos requisitos de segurança quase sempre elimina a resistência.
“É difícil explicar o valor de um cinto de segurança se você apenas disser: ‘Apenas faça’. Mas quando você se senta e explica por que o cinto de segurança é importante e o que ele impede, as pessoas estão dispostas a aceitá-lo”, disse ele.
Sua formação militar informou a abordagem. Antes de ingressar na TI, Duemling serviu no Exército dos EUA, onde desenvolveu uma apreciação de como cada função em uma grande organização contribui para a missão. Ele aplica o mesmo modelo de liderança servidora na Catholic Health, onde a experiência do paciente depende de cada interação, desde a recepção até a alta. Segundo ele, governança significa transparência, mensuração de resultados e colaboração horizontal entre departamentos para que a segurança cibernética esteja integrada ao tecido organizacional junto com a qualidade e a segurança física.
Para Duemling, manter contato com a missão clínica exige desvios não estruturados, pegar um café e sentar-se no saguão do hospital, observar os pacientes chegarem nos melhores e piores dias de suas vidas, suportando o peso do que significa prestar cuidados de saúde na prática. Essa base lembra à equipe de segurança cibernética que seu trabalho é proteger algo maior que uma rede. Quando um programa de segurança funciona bem, é quase invisível para as pessoas que protege, e essa invisibilidade é um sinal de sucesso.
Leve embora
- Trate a estratégia de segurança cibernética como o gerenciamento de doenças crônicas com planos de cuidados de longo prazo que mudam conforme as necessidades organizacionais mudam
- Use o tour de escuta para criar um roteiro que reflita a opinião das partes interessadas, adquirindo confiança antes que grandes mudanças entrem em vigor
- Adote primeiro a IA nas operações de segurança cibernética para desenvolver experiência interna e demonstrar o ROI antes de expandir os recursos em toda a empresa
- Explicar a lógica por trás de cada requisito de segurança para obter adesão clínica e remover a resistência
- Pratique rondas não estruturadas em espaços clínicos para manter a equipe de segurança conectada à missão de atendimento ao paciente
- Apresentar orientação com opções de risco e custo para novas iniciativas tecnológicas para que as decisões sejam informadas e compartilhadas
Fazer o trabalho, disse Duemling, vem da compreensão do que a segurança cibernética realmente protege. “Na minha opinião, a cibersegurança não tem realmente a ver com tecnologia. A gestão de riscos é o que protege a confiança dos pacientes e a continuidade dos negócios para que esta coisa sagrada da prestação de cuidados de saúde possa continuar.”
