Les organismes de santé ruraux ont besoin d’un soutien en matière de sécurité
L’accès aux soins de santé constitue déjà un défi pour les communautés rurales de tout le pays. La menace d’une cyberattaque constitue un autre poids immense avec lequel ces systèmes de santé indépendants doivent jongler.
De nombreux hôpitaux ruraux ne disposent pas de contrôles de cybersécurité efficaces. La mise en œuvre de contrôles de sécurité pour protéger les informations des patients coûte cher, et les organisations supportent souvent des coûts d’exploitation encore plus élevés pour les maintenir correctement.
Étant donné qu’un grand nombre de systèmes de santé ruraux fonctionnent avec des marges étroites, ils choisissent souvent un seul contrôle ou une seule solution par exercice financier dans l’espoir que leur sélection soit adéquate ou qu’ils puissent passer inaperçus par des acteurs malveillants. Ces outils ne peuvent pas être configurés ou déployés dans leur intégralité. Ils peuvent également ne pas être holistiques et ne peuvent être utilisés que pour apaiser les dirigeants.
Outre les problèmes budgétaires, les systèmes de santé ruraux peuvent également avoir du mal à doter leurs équipes de sécurité d’un personnel suffisant. Le travail à distance a ouvert l’accès à davantage de talents, mais cela signifie également qu’une organisation doit disposer d’une infrastructure adéquate pour prendre en charge une main-d’œuvre décentralisée.
Un organisme de santé rural peut ne disposer que d’une ou deux personnes pour gérer l’ensemble de son système informatique, et pas seulement la sécurité. Cela pourrait signifier qu’un généraliste remplit un rôle qui nécessite une spécialisation pour éviter que le système ne tombe entre de mauvaises mains.
Êtes-vous prêt pour la récupération ? Pourquoi les sauvegardes ne suffisent pas
Face à un paysage de menaces en constante évolution, de nombreuses organisations de soins de santé ont investi dans davantage de personnel de sécurité, dans des outils de sécurité modernes, dans des systèmes de sauvegarde et dans un support tiers. Mais seuls quelques-uns ont validé l’intégralité de leur stratégie de reprise, comme la réalisation d’exercices théoriques de gestion des incidents ou de basculements partiels.
Les établissements de santé ne peuvent pas supposer passivement que leurs solutions de sauvegarde sont configurées. Ils doivent être actifs dans la gestion de leurs sauvegardes et s’assurer qu’ils seront en mesure de restaurer correctement les opérations. Planifier est une chose, mais être capable d’exécuter en est une autre.
Revoyez votre stratégie de sauvegarde et de récupération et entraînez-vous à effectuer une récupération propre, surtout si votre environnement dépend d’Active Directory. Si vous ne disposez pas d’un environnement de salle blanche, certaines organisations peuvent vous aider à effectuer une récupération complète vers un environnement propre afin que vous soyez familier avec l’expérience en cas de besoin.
De nombreuses organisations ne collaborent pas régulièrement avec leur équipe juridique ou les intervenants en cas d’incident répertoriés dans leur panel de cyber-assurance, elles sont donc prises au dépourvu lors d’un cyber-incident. Ils peuvent également découvrir que leurs stratégies de sauvegarde et de restauration se sont révélées inefficaces ou incomplètes parce que les outils nécessaires n’ont pas été entièrement déployés, développés ou maintenus. Ces actions sont sous le contrôle d’une organisation.
Familiarisez-vous avec le panel, comprenez qui est votre intervenant en cas d’incident et préconisez que votre propre intervenant en cas d’incident soit inclus dans ce panel ou travaillez avec l’intervenant en cas d’incident actuel. La coordination de ces efforts dès le départ permet une réponse aux incidents et une récupération plus fluides. La dernière chose dont vous avez besoin est qu’un intervenant en cas d’incident arrive dans votre organisation en période de crise et ne connaisse rien de votre environnement.
Ensuite, assurez-vous que la communication sur les attentes et les stratégies de sécurité est claire dans toute l’organisation. Cela signifie que les services cliniques, administratifs, informatiques et autres sont sur la même longueur d’onde en ce qui concerne l’approche de sécurité de l’organisation.
Enfin, un budget clair doit être établi pour la cybersécurité et le programme technologique dans son ensemble. De cette façon, vous clarifiez les mesures et les mesures sur les coûts actuels et les augmentations potentielles d’une année sur l’autre. L’un des avantages de cette présentation est qu’il existe un profil clair des besoins en personnel et en technologie pour des contrôles de sécurité efficaces.
Voici une liste de contrôle rapide à retenir :
- Planifiez et mettez en œuvre un plan de continuité des activités efficace qui tient compte de la mise hors ligne des technologies critiques pendant quatre semaines ou plus.
- Planifier et mettre en œuvre un plan de relance tout aussi rigoureux (ce n’est pas la même chose que le premier point).
- Associez-vous à une organisation de cybersécurité expérimentée et familiarisée avec les soins de santé pour vous aider avec les ressources et la planification, la sélection, la mise en œuvre et le développement de solutions de sécurité adaptées à votre environnement.
Pourquoi les partenariats sont essentiels pour une sécurité renforcée
Le système de santé est en danger, et les systèmes individuels continueront à l’être aussi longtemps que la perception et la réalité de leur maturité en matière de sécurité resteront faibles. Une organisation plus mature en matière de sécurité a une vision claire et articulée de la manière de comprendre et de protéger ses systèmes.
Effectuez une évaluation de la maturité en matière de cybersécurité ainsi qu’une évaluation HIPAA pour couvrir les besoins de sécurité et de conformité. Ces évaluations doivent fonctionner ensemble pour prendre en charge ce qui est nécessaire pour votre programme de sécurité.
S’engager avec un partenaire externe qui peut fournir un examen de base de votre environnement peut aider les organismes de santé à combler les lacunes de leur sécurité à mesure qu’ils progressent dans leur état de maturité.
Un partenariat solide peut fournir le personnel indispensable pour aider à la planification, à la promotion et à la mise en œuvre d’initiatives de sécurité, de fonctions de centre d’opérations de sécurité et de stratégies de protection des données, telles que la protection contre les fuites de données et les contrôles de sécurité du cloud.
Technologie de la santé
