Bien que la formation en sécurité soit considérée comme utile par la plupart des organisations, environ 34 % des responsables du secteur de la santé déclarent que leur organisation ne dispose pas d'une formation suffisante ou efficace des employés en matière de cybersécurité. Sans formation, le personnel de santé, y compris les cliniciens, peut être plus susceptible de cliquer sur des liens malveillants ou de se livrer à d'autres pratiques non sécurisées qui pourraient conduire à des cyberattaques réussies et mettre en danger les données des patients.
« De nombreuses personnes interrogées ont déclaré qu'elles avaient besoin d'une meilleure habilitation et d'une meilleure formation pour leurs collaborateurs », explique Hagopian. « Développer vos effectifs est vraiment essentiel afin que votre équipe soit mieux équipée pour faire face au paysage dynamique des menaces. En tant que sous-produit d'un développement global des ressources humaines axé non seulement sur les opérations technologiques mais également sur les méthodologies, les processus et les cadres, vos collaborateurs se sentiront plus valorisés au sein de votre organisation.
Parmi les autres domaines qui, selon les responsables informatiques de la santé, manquent dans les approches de cybersécurité de leurs organisations, citons une détection suffisante des menaces (24 %), une compréhension suffisante des besoins en personnel (20 %) et une planification suffisante de la réponse aux incidents (20 %).
Les responsables informatiques de la santé s’inquiètent également des avantages et des inconvénients de l’IA. Trente et un pour cent des personnes interrogées déclarent que leur organisation ne comprend pas complètement la façon dont l’IA affecte la sécurité.
Les services gérés soutiennent les objectifs de cybersécurité des soins de santé
La pénurie de personnel informatique peut avoir un impact majeur sur la capacité d'une organisation à atteindre ses objectifs en matière de technologie et de sécurité. Pour répondre à cette préoccupation, de nombreux systèmes de santé se tournent vers les services gérés. Parmi les responsables de la sécurité des soins de santé interrogés, 80 % déclarent que les services de sécurité gérés tels que les centres d'opérations de sécurité ou les solutions SIEM ont été utiles aux initiatives de sécurité de leur organisation. En outre, plus des deux tiers des dirigeants déclarent qu'ils trouvent les services de conseil utiles, tandis que 63 % déclarent que les RSSI virtuels sont utiles à leur organisation.
Seuls 32 % des professionnels de santé interrogés déclarent que leur organisation n'externalise aucune initiative de sécurité. Parmi les domaines d'externalisation des programmes de sécurité des systèmes de santé, la formation à la sécurité, les évaluations de vulnérabilité et la gestion des risques liés aux tiers sont les axes de soutien les plus populaires des partenaires.
Soutenir les équipes informatiques internes avec des services de sécurité gérés peut améliorer la sécurité globale d'une organisation et atténuer l'épuisement professionnel du personnel. Alors que de nombreux responsables informatiques de la santé signalent des pertes de plusieurs millions de dollars dues à des violations de données au cours des cinq dernières années (9 % des dirigeants interrogés ont signalé une perte de plus de 10 millions de dollars), il est essentiel de garantir une stratégie holistique et solide de cybersécurité et de réponse aux incidents pour protéger un les résultats financiers de l'entreprise en plus de conserver la confiance des patients et d'assurer la continuité des soins.
« Vous pouvez trouver des partenaires pour externaliser certains de ces éléments. Personne ne construit son propre système CVC et n'envoie ensuite quelqu'un au sommet pour recharger le liquide de refroidissement », explique Bell. « Jetez un œil à ce que vous pouvez externaliser dans le cadre du modèle de sécurité pour que vos collaborateurs restent à jour et effectuent un travail pertinent pour votre entreprise. »