Lorsque l’organisation franchit des étapes telles que la certification HITRUST, dit-il, ces informations sont partagées avec le fournisseur d’assurance et font partie du calcul des primes de l’UPMC.
« Au cours des dernières années en particulier, je les ai vus poser des questions plus détaillées sur ce que nous faisons dans des domaines spécifiques, notamment le chiffrement et les certifications. Ils demandent beaucoup d’informations pour les aider à traiter et à évaluer notre profil de risque », dit-il. « Et évidemment, les primes ont augmenté. »
Positionnement des organisations de santé pour la cyberassurance
Carmody affirme que la préparation à la cyberassurance commence par les responsables informatiques assurant une hygiène technologique solide et étant capables de démontrer des capacités défensives grâce à des certifications telles que HITRUST et SOC 2.
« Les organisations devraient également envisager un tiers indépendant qui peut évaluer et évaluer les risques et contribuer à positionner l’organisation pour obtenir une cyber-assurance », dit-il.
Alla Valente, analyste senior chez Forrester au service des professionnels de la sécurité et des risques, note que les organisations de santé doivent augmenter leurs investissements dans la cybersécurité et la gestion des risques pour s’assurer qu’elles sont bien positionnées lors de la demande de cyberassurance.
« Pendant longtemps, les organisations de soins de santé se sont concentrées sur la conformité, en particulier la conformité HIPAA », dit-elle. « Ce que nous savons maintenant, depuis la pandémie et depuis l’augmentation des cyberattaques ciblant spécifiquement les soins de santé, c’est que vous pouvez être pleinement conforme et être encore beaucoup exposé aux cyber-risques. »
EN SAVOIR PLUS: Ce que le contrôle fédéral croissant de la cybersécurité des soins de santé signifie pour les organisations.
Valente prévient que les organisations ne peuvent pas se reposer sur la conformité HIPAA ; ils doivent commencer à examiner comment ils sécurisent leur technologie et leur infrastructure et comment ils travaillent avec des tiers.
« Font-ils le type de segmentation où les tiers n’ont accès qu’à tout ce dont ils ont besoin pour réaliser ce projet, ou y a-t-il des portes dérobées qui pourraient leur donner accès à quelque chose de bien plus grand ? » elle demande.
Carmody explique que l’UPMC dispose d’un directeur des risques qui aide à évaluer certains composants du point de vue des risques.
« Si vous commencez à zéro, parlez à de nombreux fournisseurs d’assurance cybersécurité différents, car ils sont tous légèrement différents », déclare Carmody. « Il est important de prêter attention à ces détails de couverture avant de vous inscrire, car vous pourriez ne pas obtenir la bonne couverture dont vous avez besoin pour votre organisation. »
Les avantages de la cyberassurance l’emportent sur les coûts
Daniel Klein, directeur commercial de Cynet, dit qu’il est difficile de faire valoir un argument contre la cyberassurance, compte tenu du coût moyen de 10 millions de dollars d’une violation pour les organisations de santé.
« L’un des avantages immédiats d’une police d’assurance cybernétique est que la sécurité de l’organisation sera améliorée pour répondre aux exigences de l’assureur », dit-il. « Oui, cela peut signifier investir dans du personnel de sécurité supplémentaire et de meilleurs outils, mais le risque global sera réduit en conséquence. »
Il admet que les coûts des polices sont une considération importante, mais il dit que la bonne nouvelle pour les organismes de santé est que la capacité de cyberassurance a augmenté au cours des 12 à 18 derniers mois, ils devraient donc avoir plus d’options lorsqu’ils achètent une police.
« De toute évidence, cela profite à l’industrie si davantage d’organisations peuvent se permettre une assurance, de sorte que les assureurs et les courtiers offrent également des conseils utiles », déclare Klein.
EXPLORER: Comprendre l’importance d’améliorer la cyber-résilience des soins de santé.
Ces efforts comprennent la publication d’informations et la participation à des événements visant à éduquer les clients potentiels sur l’amélioration de leur posture de sécurité et l’obtention de primes moins élevées.
« Si une organisation recherche une cyberassurance pour la première fois, il peut être utile de travailler avec un courtier qualifié ou un autre expert qui peut fournir une évaluation honnête de la posture de sécurité actuelle pour identifier les lacunes », ajoute-t-il.
Valente note également que certaines sociétés de cyberassurance s’associent à des avocats et à des spécialistes de la réponse aux incidents pour aider à l’audit et fournir des services supplémentaires aux organisations de soins de santé.
« Faire partie de ce réseau collectif vous permet de profiter de tous ces autres professionnels dont vous pourriez avoir besoin lorsque vous faites face à une violation », dit-elle.
