Pourquoi la réussite de la MFA est-elle un défi dans le domaine de la santé ?
Si nous décomposons un hôpital en quatre domaines fonctionnels : clinique, opérationnel, administratif et technologique, ces trois derniers domaines sont typiques du cycle de vie de toute entreprise. Il s'agit du premier aspect, l'aspect clinique, qui est propre aux soins de santé et qui nécessite des considérations spécifiques en matière de flux de travail pour les cliniciens.
Par exemple, les infirmières de première équipe peuvent disposer de plusieurs appareils dont elles doivent se connecter et se déconnecter tout au long de la journée à plusieurs endroits. Le temps nécessaire à la réauthentification pour accéder aux applications critiques, même s'il ne dure qu'une minute et demie, peut avoir un impact énorme sur les soins aux patients. C'est le grand défi de l'expérience du patient et du modèle de continuité clinique des soins : le flux de travail est grandement influencé par la MFA.
Il existe également le défi de provisionner et de déprovisionner les comptes d’utilisateurs au sein d’un établissement de santé. Pensez aux soins infirmiers pro re nata : les organisations peuvent parfois avoir besoin de ressources flexibles, et il existe très peu d'hôpitaux dotés de processus d'intégration suffisamment matures pour pouvoir créer des comptes utilisables qui sont supprimés à la fin d'un quart de travail. Il s’agit d’un cycle de vie rapide pour un compte, et la plupart des fournisseurs ne sont pas équipés pour le faire.
Les délais de conformité détaillés proposés pour la règle de sécurité mise à jour, tels que les exigences de résiliation d'accès dans un délai d'une heure et de restauration du système dans un délai de 72 heures, indiquent une intention réglementaire d'imposer une norme plus élevée d'agilité opérationnelle et de réactivité. Cela reflète la reconnaissance du fait que les approches traditionnelles, moins normatives, sont insuffisantes face à la rapidité et à la sophistication des cybermenaces modernes. Le fardeau ne consiste plus simplement à disposer de contrôles de sécurité, mais à les exploiter de manière démontrable avec des mesures de performance spécifiques et mesurables. Cela implique un besoin important de processus hautement automatisés, de plans de réponse aux incidents bien rodés et de capacités de surveillance continue.
Dans quelle mesure les attentes actualisées en matière d’audit constituent-elles un défi pour les soins de santé ?
De nombreuses organisations peuvent repartir de zéro parce qu’elles n’ont pas effectué ce niveau d’audit. Ils doivent mettre en place une taxonomie politique pour la conservation des documents. Dans de nombreuses organisations, si vous demandez combien de temps quelque chose doit être conservé, la réponse est « pour toujours ». En effet, les organisations veulent s'assurer qu'elles disposent de dossiers disponibles au cas où un problème surviendrait, quel que soit le temps écoulé depuis l'événement initial. Mais certains éléments du secteur de la santé, comme l’imagerie, occupent un espace de stockage énorme.
D'un autre côté, les organisations qui envisagent de publier de la documentation ne disposent souvent pas d'une période de stockage définie et ne disposent pas des processus technologiques nécessaires pour gérer le stockage ou les dépenses au fil du temps.
Les établissements de santé peuvent se tourner vers d’autres secteurs pour voir comment ils abordent la sécurité des données. Par exemple, le secteur des cartes de paiement a établi des normes et des spécifications en matière de sécurité des données qui existent depuis plus d’une décennie. Suivez un organisme financier. Les dossiers des patients sont encore plus importants que les informations financières, alors protégez-les à tout prix.
Les changements ne concernent pas uniquement les hôpitaux
Nous avons tendance à nous concentrer sur la HIPAA comme quelque chose qui ne s'applique qu'aux fournisseurs traditionnels. Mais pensez à une organisation de soins pour personnes âgées comptant des résidents âgés : les informations de santé protégées sont également importantes. Bien que nous considérions cela comme un problème relevant des prestataires de soins de santé, la conformité et la responsabilité HIPAA englobent tout dans de nombreux environnements, et toute personne manipulant des données de santé doit y adhérer.
La conformité est nécessaire pour toute personne gérant des données de santé, y compris celles qui ne les considéraient peut-être pas comme pertinentes auparavant. À mesure que le besoin de protéger et de transférer les informations de santé augmente, la conformité HIPAA s'étend désormais à la gestion financière et au mode de vie, et pas seulement aux soins cliniques.
Technologie de la santé
