8 façons de créer une culture de sécurité solide et de renforcer la réponse aux incidents dans le secteur de la santé

8 conseils pour développer une solide culture de sécurité

Riggi et d’autres experts en sécurité proposent ces recommandations pour aider les organisations à développer une culture de sécurité :

1. Insistez sur l’équilibre. L’une des erreurs les plus courantes dans l’approche de la cybersécurité est de trop mettre l’accent sur la technologie ou la formation, note Jinan Budge, analyste principal pour la sécurité et les risques chez Forrester Research. « Il doit y avoir un équilibre entre les personnes, la formation, la technologie et les processus. Ce n’est ni l’un ni l’autre. C’est tout ce qui précède.
2. Concentrez-vous sur le comportement. Le rapport Verizon Data Breach Investigations Report 2021 a révélé que l’erreur humaine est impliquée dans 85 % des violations de données. Cela souligne la nécessité d’encourager un changement de comportement qui met l’accent sur une approche plus sûre de l’utilisation de la technologie, selon Troy Ament, RSSI de terrain pour la santé et les sciences de la vie chez Fortinet. « Donner aux soignants et au personnel de la clinique les moyens d’utiliser les meilleures pratiques en matière de sécurité peut aider à intégrer une culture de la sécurité dans l’ensemble des opérations quotidiennes », dit-il. Le renforcement positif aide, ajoute Riggi ; envisager des incitations et une reconnaissance publique pour les employés individuels qui signalent des e-mails suspects ou atténuent autrement les menaces de cybersécurité.
3. Rester au courant. Les soins de santé ont connu une «augmentation massive» des attaques de ransomware et de phishing ciblant les données des patients et la recherche clinique liée au COVID-19, déclare Marlon Harvey, architecte principal au sein de la pratique de soins de santé de l’expérience client chez Cisco. La combinaison du travail à distance et de l’adoption des soins virtuels a également accru le besoin d’une connectivité sécurisée. « Les besoins en matière de sécurité des organisations de soins de santé sont maintenant complètement différents de ce qu’ils étaient il y a 18 mois », déclare Harvey. Ament met l’accent sur l’adoption d’approches telles que l’authentification multifacteur et la confiance zéro pour mieux sécuriser les systèmes distribués.
4. Ne surchargez pas le personnel. Les organisations sont confrontées chaque jour à des centaines de menaces de cybersécurité, explique Riggi. Communiquer chaque menace submergerait le personnel et le désensibiliserait aux risques. Au lieu de cela, les équipes de sécurité doivent résumer les problèmes clés et les partager avec la direction. À leur tour, les gestionnaires devraient discuter de ces menaces – ainsi que des bonnes tactiques pour les atténuer – lors de réunions régulières du personnel. Communiquer dans ce cadre aide le personnel à comprendre que la cybersécurité fait partie du travail, ajoute-t-il.
5. Cibler les ressources de formation. N’oubliez pas que le personnel clinique n’a pas nécessairement besoin de la même connaissance approfondie des pratiques de sécurité que les équipes informatiques, explique Harvey. De plus, les conversations sur la sécurité pour le personnel clinique de première ligne devraient se concentrer sur la façon dont l’adoption des meilleures pratiques peut augmenter l’efficacité et permettre la prestation des soins. Ament est d’accord : « La clé est de rendre la formation digeste et mise en œuvre dans leurs routines quotidiennes. »
6. Former le personnel dans l’instant. « Demander à quelqu’un dans le domaine de la santé de passer une heure par an en formation à la sécurité ne fonctionnera pas », a déclaré Budge. Elle et les autres experts recommandent de mettre en œuvre la formation « sur le moment ». Cela pourrait être une invite contextuelle pour essayer un mot de passe plus fort, des bannières à code couleur pour les e-mails externes en fonction de la menace potentielle qu’ils représentent, des affiches et des brochures dans les zones à fort trafic, ou la mise à disposition d’experts en sécurité pour des conversations informelles dans la cafétéria de l’hôpital. .
7. Mettre en œuvre la gouvernance. De nombreuses organisations ont naturellement priorisé l’urgence des soins par rapport aux meilleures pratiques de sécurité en réponse à COVID-19. Il est important de s’assurer que les employés sur site et à distance comprennent comment maintenir la sécurité des appareils, des réseaux et des consultations virtuelles avec les patients ou d’autres médecins. « Les services informatiques et de cybersécurité ont un rôle important à jouer dans la réévaluation de certaines des décisions technologiques précipitées prises au cours de l’année écoulée », déclare Ament. « La gouvernance est cruciale pour garantir que tout projet en cours intègre la cybersécurité tout au long du cycle de vie. »
8. Pratiquez l’empathie. En fin de compte, dit Budge, la meilleure façon de créer une culture de sécurité est de comprendre ce qui résonnera chez les professionnels de la santé. Cela nécessite un ton empathique, une approche moins punitive des erreurs et une volonté d’écouter les besoins des autres. « Les vulnérabilités émotionnelles sont assez accrues en ce moment, en particulier dans un cadre de soins de santé », dit-elle. « Les équipes de sécurité doivent se rappeler qu’il ne s’agit pas d’elles, mais de tous les autres membres de l’organisation. »

EXPLORER: Apprenez à créer un plan de réponse aux incidents efficace pour les soins de santé.