‘Pas seulement un projet qui a une fin finie’
Comprendre les actifs cliniques et informatiques du Children’s National et atténuer les risques associés était un aspect majeur du développement du programme de cybersécurité de l’organisation lorsque MacVey est devenu CIO il y a deux ans.
« C’est un programme en cours », a déclaré MacVey. « Cela commence par obtenir de la visibilité, puis par la mise en place de structures de supervision de la gestion. »
Les appareils cliniques sont une vulnérabilité dans la posture de cybersécurité d’un organisme de santé, a ajouté Groome. Il est donc crucial de faire l’inventaire et de mieux comprendre ce que tout fait est essentiel et informe le programme de sécurité plus large.
« Ces actifs cliniques et la compréhension de leur comportement éclairent le programme d’actifs informatiques et d’actifs connectés plus vaste sur lequel nous travaillons avec Matt et son équipe », a déclaré Groome.
Les organisations de soins de santé doivent évaluer leurs défis uniques et évaluer leur tolérance au risque. Une compréhension globale de la sécurité est impérative.
« Comment accéder aux éléments les plus importants de l’organisation du point de vue de la sécurité ? Vous ne pouvez pas tout faire la première ou la deuxième année. C’est un programme », a déclaré Groome. « Ce n’est pas seulement un projet qui a une fin limitée. C’est quelque chose qui doit être intégré aux opérations de l’organisation. »
PLUS DE CHIME21 : Découvrez pourquoi l’expérience humaine est l’avenir des soins de santé.
Comprendre les risques de sécurité en tant que préjudice pour les patients
Au Children’s National, MacVey a déclaré que l’éducation de toutes les parties prenantes sur les risques que présentent les appareils vulnérables pour l’environnement de l’organisation a contribué à favoriser une meilleure compréhension. Mettre l’accent sur la menace non pas en termes informatiques mais dans le contexte du préjudice potentiel qu’elle pourrait causer à leurs jeunes patients a renforcé l’urgence d’une meilleure gestion des appareils.
« Lorsque nous discutons avec le conseil d’administration, nous ne parlons pas de problèmes cybernétiques techniques. Nous parlons de défis organisationnels, du risque pour vos patients, du risque pour votre communauté », a déclaré Groome. « C’est une question de confiance. Si cette confiance est rompue, c’est aussi un problème de réputation.
L’éducation est un élément clé de la posture de cybersécurité d’un organisme de santé, en particulier en ce qui concerne le leadership. Les conversations doivent inclure les risques pour la sécurité des patients, la disponibilité des opérations et le bilan.
MacVey a ajouté qu’aborder le problème de la visibilité des appareils en tant que risque de continuité d’activité « jette les bases d’autres stratégies de sécurité ».
L’intégration opérationnelle implique également d’éduquer et d’impliquer toutes les parties prenantes travaillant ensemble pour déployer le programme de sécurité de l’organisation.
« Tout ce que vous faites numériquement dans votre organisation doit faire l’objet d’une évaluation de la sécurité, de la confidentialité et des risques pour vos besoins uniques », a déclaré Groome.
Gardez cette page dans vos favoris pour notre couverture virtuelle continue de CHIME21. Suivez-nous sur Twitter @HealthTechMag et rejoignez la conversation en utilisant le hashtag #CHIME21Fall.
