Maîtriser de l'intérieur les menaces qui pèsent sur les soins de santé

Au cours des derniers mois, plusieurs rapports ont montré que les atteintes à la sécurité des soins de santé ne sont pas seulement un problème externe à résoudre. Les menaces internes sont réelles et croissantes, et jouent un rôle de plus en plus important dans la manière dont les HDO et les DSE évaluent et traitent la sécurité numérique.

Toutes les menaces sont préoccupantes, quelle que soit leur ampleur. Qu'il s'agisse du piratage des données des patients, de l'infiltration des activités de l'hôpital ou de la prise de contrôle d'appareils médicaux, les HDO doivent prendre des mesures préventives en permanence. La bonne nouvelle, c'est qu'il existe des mesures que vous pouvez prendre dès aujourd'hui pour éviter que le problème ne s'étende. Aligner les investissements en matière de sécurité sur des processus, une formation et une gouvernance bien pensés est une excellente formule pour faire tout ce qui est en votre pouvoir pour prévenir les attaques de l'intérieur.

Avec la croissance de l'utilisation des technologies numériques, les budgets et la gouvernance restreints, et les ressources limitées, les HDO sont souvent confrontés au défi de trouver le temps, l'argent et le personnel nécessaires pour optimiser leurs investissements en matière de sécurité numérique. Si les vols d'ordinateurs portables ou le détournement d'informations d'identification pour obtenir des données importantes sont généralement motivés par des opportunités financières, la menace peut parfois venir d'un employé qui commet simplement une erreur. Quelle que soit la manière dont elles se produisent, les atteintes à la sécurité sont préjudiciables à la réputation et aux résultats d'un HDO.

Vous avez probablement investi dans les technologies appropriées pour lutter contre ces problèmes. Mais il est toujours bon de procéder à un audit et de s'assurer que vous faites plus que le minimum - et que la gestion et la gouvernance permanentes sont non seulement en place, mais qu'elles fonctionnent.

L'authentification, l'autorisation et le cryptage sont les piliers de la sécurité de l'identité numérique. Des certificats numériques uniques valident l'authenticité d'un appareil et assurent avec une grande certitude que ses messages sont authentiques. Le cryptage est le principe de base de la sécurité numérique, qui permet d'empêcher les malfaiteurs d'accéder aux bonnes données.

Mais le cryptage des données n'est qu'une étape parmi d'autres pour assurer une sécurité complète. Le chiffrement doit s'accompagner d'une gestion des clés. Les services informatiques se concentrent souvent sur la qualité du cryptage et des algorithmes utilisés, mais ne prêtent pas suffisamment attention aux clés elles-mêmes. Une gestion réussie des clés est une combinaison de tous les éléments : produits, politiques, audits et personnel qui sait ce qu'il faut rechercher.

Les processus manuels sont sujets aux erreurs. L'automatisation permet d'atteindre un niveau d'assurance élevé et garantit que les certificats de sécurité numérique n'expireront pas. Elle permet de redéployer ce qui est probablement une petite équipe, et vous permet d'entreprendre d'autres initiatives informatiques importantes. Les flux de travail s'affinent et l'exécution devient plus facile. Lorsque vous prenez des mesures proactives grâce à l'automatisation, vous pouvez réduire le risque de violation de la sécurité par le personnel interne et les acteurs externes.

Il est probable que vous utilisiez un système de dossier médical électronique (DME) pour recueillir, partager et conserver les données des patients. Lorsque les DSE développent des applications, le site software doit être signé avant d'être déployé. Les certificats de signature de code sont parmi les plus précieux pour les cybercriminels. Quelqu'un qui possède un certificat de signature peut l'utiliser pour signer des logiciels malveillants et les distribuer facilement sur les grands réseaux hospitaliers. Il est essentiel de gérer ces certificats de signature en toute sécurité avant qu'ils ne se retournent contre vous.

Les personnes, les appareils, les applications - tous font partie de votre écosystème et doivent être couverts par votre programme de sécurité numérique. De nombreux HDO sont limités par le budget et pensent qu'ils doivent prendre des décisions difficiles sur les identités à couvrir. Des lacunes = une opportunité de violation. Investir dans une couverture qui n'utilise pas un modèle de frais par certificat peut aider à calmer les inquiétudes budgétaires et à garantir que chaque nouvelle identité qui entre dans votre environnement est numériquement sécurisée.

Malgré la complexité de la conformité et les demandes souvent disparates de mesures disciplinaires, les organismes de réglementation des soins de santé existent réellement pour promouvoir l'excellence. En respectant les lignes directrices et les attentes du secteur, vous devriez réduire les risques à l'intérieur et à l'extérieur de votre organisation. Des cadences et des audits réguliers sur les fichiers journaux, les certificats numériques en attente d'expiration, les changements de personnel et les mises à jour réglementaires aident à détecter les problèmes et peuvent fournir la piste dont vous avez besoin pour éviter une catastrophe.

Veiller à la conformité de votre personnel est plus qu'un travail à temps plein. Mais les conséquences d'un manquement à l'objectif sont trop importantes pour ne pas faire l'investissement.

Une fois que toutes ces règles et réglementations solides sont en place, vous devez former les gens à y prêter attention. Si vous avez la chance de disposer d'un service ou d'un personnel spécialisé dans la formation et le développement, demandez-lui de mettre en place un programme spécifique exigeant que l'ensemble de l'organisation soit en conformité.

Incorporez une cadence significative pour la réitération du message. Une fois par an peut suffire, mais il est impératif d'impliquer les nouveaux membres du personnel dès leur arrivée.

Vous souhaitez obtenir davantage de conseils ? Téléchargez une copie de notre nouvel e-book, "Your Playbook for Driving Digital Security in Healthcare".