Aplicabilitatea standardului ISO/IEC 27014:2020 în sistemele informaționale din domeniul sănătății

Abstract

Într-o lume digitalizată, expunerea la riscuri cibernetice este o realitate inevitabilă, atât în sfera personală, cât și la locul de muncă. Amenințările din mediul online sunt adesea subestimate sau neglijate, iar răspunsurile la incidentele de securitate sunt deseori neadecvate. În domeniul sănătății, unde procesarea și stocarea datelor sensibile ale pacienților reprezintă o componentă esențială, aceste riscuri au implicații majore. Digitalizarea accelerată și interconectivitatea sistemelor informatice aduc nu doar beneficii, ci și o complexitate crescută a vulnerabilităților. Fenomenul este agravat de lipsa de conștientizare și de insuficiența măsurilor preventive, ceea ce face ca instituțiile medicale să fie expuse unor amenințări semnificative, cu potențial de compromitere a datelor și a funcționării sistemelor. Studiul își propune să analizeze starea actuală a securității informaționale în domeniul sănătății, identificând principalele vulnerabilități și amenințări cibernetice. Un obiectiv central este evaluarea nivelului de criticitate al informațiilor gestionate în acest sector, cu accent pe importanța protecției datelor sensibile ale pacienților. În plus, studiul explorează modalitățile prin care instituțiile medicale pot adopta standarde recunoscute internațional, precum ISO 27001 sau ISO 27014, pentru a dezvolta o cultură a securității și a implementa strategii eficiente de management al riscurilor. Ipoteza fundamentală este că o abordare structurată, bazată pe bune practici, poate reduce semnificativ expunerea la riscuri și impactul acestora asupra sistemelor informatice medicale. Pentru realizarea cercetării, a fost utilizată o abordare analitică, combinată cu studii de caz și revizuirea literaturii de specialitate. Documentele și standardele internaționale relevante, precum ISO 27001, NIST CSF, și reglementările GDPR și HIPAA, au fost analizate pentru a identifica măsuri și practici aplicabile în contextul instituțiilor medicale. În plus, au fost investigate incidentele de securitate raportate în sectorul sănătății, cu scopul de a evidenția tiparele comune ale atacurilor cibernetice și de a înțelege impactul acestora asupra organizațiilor. Această metodologie a permis formularea unor recomandări concrete, adaptate nevoilor specifice ale instituțiilor din domeniu. Ca rezultat sa reușit implementarea standardului ISO/IEC 27014 în cadrul IMSP AMT Centru. Această inițiativă a permis instituției să dezvolte un sistem de guvernanță eficient pentru securitatea informațiilor, aliniat cerințelor internaționale. Procesul a inclus identificarea și evaluarea riscurilor, definirea unor politici clare de protecție a datelor sensibile ale pacienților și integrarea unor măsuri proactive pentru prevenirea incidentelor cibernetice. Acest demers nu doar că a redus expunerea la amenințările cibernetice, dar a și crescut încrederea pacienților și partenerilor în capacitatea instituției de a proteja informațiile critice. Modelul implementat la IMSP AMT Centru poate servi drept exemplu pentru alte organizații din domeniul sănătății, oferind un punct de plecare pentru adoptarea standardelor similare în vederea asigurării unei securități cibernetice robuste.

In a digitized world, exposure to cyber risks is an inevitable reality, both in the personal sphere and in the workplace. Online threats are often underestimated or neglected, and responses to security incidents are often inadequate. In healthcare, where the processing and storage of sensitive patient data is an essential component, these risks have major implications. Accelerated digitization and the interconnectedness of IT systems bring not only benefits, but also an increased complexity of vulnerabilities. The phenomenon is aggravated by the lack of awareness and the insufficiency of preventive measures, which makes medical institutions exposed to significant threats, with the potential to compromise data and the functioning of systems. The study aims to analyze the current state of health information security, identifying the main cyber vulnerabilities and threats. A central objective is to assess the level of criticality of the information managed in this sector, with an emphasis on the importance of protecting sensitive patient data. In addition, the study explores how healthcare institutions can adopt internationally recognized standards, such as ISO 27001 or ISO 27014, to develop a culture of security and implement effective risk management strategies. The fundamental assumption is that a structured approach based on best practices can significantly reduce risk exposure and their impact on medical IT systems. To carry out the research, an analytical approach was used, combined with case studies and literature review. Relevant international documents and standards, such as ISO 27001, NIST CSF, and GDPR and HIPAA regulations, were analyzed to identify measures and practices applicable in the context of healthcare institutions. In addition, security incidents reported in the healthcare sector were investigated to highlight common patterns of cyber attacks and understand their impact on organizations. This methodology allowed the formulation of concrete recommendations, adapted to the specific needs of the institutions in the field. As a result, the ISO/IEC 27014 standard was successfully implemented within the IMSP AMT Center. This initiative allowed the institution to develop an effective governance system for information security, aligned with international requirements. The process included identifying and assessing risks, defining clear policies to protect sensitive patient data, and integrating proactive measures to prevent cyber incidents. This approach not only reduced exposure to cyber threats, but also increased patient and partner confidence in the facility's ability to protect critical information. The model implemented at the IMSP AMT Center can serve as an example for other healthcare organizations, providing a starting point for adopting similar standards to ensure robust cyber security.