«Nous voulons utiliser ces données pour créer un tableau de bord qui permet aux entreprises de comprendre où elles se situent dans le secteur de la santé», déclare Stafford. En collectant des données d’enquête auprès des responsables informatiques du secteur de la santé, le projet vise à établir un ensemble commun de mesures et à créer une base de référence de la situation de l’industrie.
ÊTRE IMPLIQUÉ: Cliquez ici pour participer à cette enquête CDW Healthcare Security Metrics.
Les responsables informatiques ont besoin de contexte pour leurs efforts de sécurité
Le but de l’enquête, selon Stafford, est de donner aux responsables informatiques une perspective plus claire sur la façon dont leurs efforts de sécurité se comparent à l’industrie de la santé dans son ensemble. Par exemple, si le programme anti-hameçonnage d’une organisation vise à réduire la probabilité que les utilisateurs cliquent sur un lien suspect dans un e-mail, il est utile de savoir que le taux de clics de l’organisation est de 1%. Mais le fait de savoir que la moyenne du secteur est de 5% fournit un contexte qui montre que les efforts de lutte contre le phishing de l’organisation sont plus efficaces que la moyenne du secteur.
Établir ce contexte a été difficile pour plusieurs raisons, déclare Steve LeBlond, vice-président des services d’information et directeur de l’exploitation de la division SI chez Ochsner Health, qui travaille avec CDW sur l’enquête. En tant que pratique, la cybersécurité est relativement jeune, dit LeBlond, soulignant qu’il y a à peine 10 ans, peu d’organisations occupaient un poste de RSSI au sein de leurs structures d’entreprise. En outre, l’industrie n’a pas établi un ensemble de mesures de sécurité communément acceptées qui devraient être mesurées et, en général, les organisations hésitent à partager des données sur leurs efforts de sécurité par crainte de donner aux cybercriminels des informations qui pourraient être utilisées contre eux.
Ochsner a créé un tableau de bord qui donne à l’équipe informatique du système de santé un aperçu clair de ses performances dans les domaines de sécurité pertinents pour le cadre de cybersécurité de l’Institut national des normes et de la technologie. Mais si le tableau de bord peut indiquer aux professionnels de l’informatique d’Ochsner combien de points de terminaison de l’entreprise ne disposent pas d’un logiciel antivirus, il ne donne aucune idée de la façon dont ces performances se comparent au reste du secteur de la santé. LeBlond voit cela comme un défi de taille. «Nous travaillons toujours pour nous améliorer», déclare LeBlond. « Mais sans référence de référence, nous ne disposons pas d’informations objectives sur la mesure dans laquelle nos efforts ont amélioré notre position par rapport à l’industrie. »
Prendre des mesures face aux défis de sécurité
Chaque organisation doit savoir où elle se situe sur un certain nombre de mesures de sécurité fondamentales. L’enquête CDW fournira cette perspective. Les responsables informatiques répondant à l’enquête rendront compte de leurs performances sur des mesures telles que le pourcentage d’appareils inconnus connectés à leurs réseaux par rapport aux appareils connus (une mesure fournie par de nombreuses solutions de contrôle d’accès au réseau). D’autres mesures comprendront le nombre moyen de vulnérabilités critiques découvertes par les tests d’intrusion, le pourcentage de serveurs sauvegardés au cours des dernières 24 heures et le pourcentage d’employés ayant suivi une formation à la sécurité. Les organisations qui participent à l’enquête auront un accès détaillé aux résultats.
L’équipe informatique d’Ochsner rend compte de ses performances sur ces paramètres et d’autres à son conseil d’administration tous les deux mois. Une fois l’enquête CDW terminée, elle fournira au conseil d’administration un contexte qui démontrera les performances de l’équipe informatique par rapport au reste de l’industrie. Ces informations sont particulièrement utiles pour les organisations de soins de santé qui cherchent à prioriser leurs investissements et leurs efforts en matière de sécurité à l’avenir.
«Une fois que les RSSI auront cette information», déclare Stafford, «ils pourront s’adresser à leurs PDG avec une idée plus claire de la manière dont ils pensent que l’organisation devrait aller de l’avant.»
PARTICIPER À L’ENQUÊTE: Cliquez ici pour participer à l’enquête CDW Healthcare Security Metrics.
Cet article fait partie de la série de blogs MonITor de HealthTech. Veuillez rejoindre la discussion sur Twitter en utilisant #WellnessIT.
