Practici și videoclipuri de securitate cibernetică în industria sănătății

Toate sistemele de sănătate sunt încurajate să adopte această serie în programele dumneavoastră de formare; grupuri industriale și societăți profesionale, vă rugăm să vă încurajați membrii să facă același lucru; și companii de tehnologie medicală, farmaceutică, plătitoare, IT pentru sănătate și servicii, vă rugăm să luați în considerare extinderea acestei serii la clienții și clienții dvs. ca un supliment pentru asistența dvs.

Majoritatea practicilor mici folosesc furnizorii de e-mail terți externalizați, mai degrabă decât să stabilească o infrastructură internă dedicată de e-mail. Practicile de protecție a e-mailului din această secțiune sunt prezentate în trei părți:

1. Configurarea sistemului de e-mail: componentele și capabilitățile care ar trebui incluse în sistemul dumneavoastră de e-mail
2. Educație: cum să creșteți înțelegerea și conștientizarea personalului cu privire la modalitățile de a vă proteja organizația împotriva atacurilor cibernetice bazate pe e-mail, cum ar fi phishingul și ransomware
3. Simulări de phishing: modalități de a oferi personalului instruire și conștientizare cu privire la e-mailurile de phishing

Punctele finale ale unei mici organizații trebuie să fie toate protejate. Dar ce sunt punctele finale? Și, ce poate face o organizație mică de asistență medicală pentru a-și proteja punctele finale?

David Willis, MD și Kendra Siler, PhD cu Organizația de analiză și schimb de informații despre sănătatea populației din Centrul Spațial Kennedy sunt aici pentru a discuta ce ar trebui să faceți pentru a reduce șansele ca un atac cibernetic să vă pătrundă punctele finale.

În această secțiune, vom discuta domeniul de practică al securității cibernetice numărul 3 – Managementul accesului pentru organizațiile mici din domeniul sănătății.

Această discuție va fi organizată în trei secțiuni:

1. Ce este managementul accesului?
2. De ce este important?
3. Cum poate IAPC sau „sughiț” să ajute la îmbunătățirea gestionării accesului pentru organizațiile mici de asistență medicală?

Institutul Național de Standarde și Tehnologie, sau NIST, pe scurt, definește o încălcare a datelor ca „un incident care implică informații sensibile, protejate sau confidențiale copiate, transmise, vizualizate, furate sau utilizate de o persoană neautorizată în acest sens”.

Datele sensibile, protejate sau confidențiale includ informații de sănătate protejată (PHI), numere de card de credit, informații personale despre clienți și angajați, precum și proprietatea intelectuală și secretele comerciale ale organizației dvs.

Ce tehnologie informațională sau dispozitive IT aveți în organizația dvs.? Știți câte laptopuri? dispozitive mobile? Și comutatoare de rețea pe care le aveți în toate locațiile dvs.? Care dintre ele rulează Windows sau IOS Apple sau unul dintre numeroasele sisteme de operare Android? Dacă nu este atașat de un perete sau de un birou, cine este responsabil pentru fiecare dispozitiv?

Rețelele oferă conectivitatea care permite stațiilor de lucru, dispozitivelor medicale și altor aplicații și infrastructuri să comunice. Rețelele pot lua forma unor conexiuni cu fir sau fără fir. Indiferent de formă, același mecanism care favorizează comunicarea poate fi folosit pentru a lansa sau a propaga un atac cibernetic. 

Igiena adecvată a securității cibernetice asigură că rețelele sunt sigure și că toate dispozitivele conectate în rețea pot accesa rețelele în siguranță și în siguranță. Chiar dacă gestionarea rețelei este asigurată de un furnizor terț, organizațiile ar trebui să înțeleagă aspectele cheie ale gestionării corecte a rețelei și să se asigure că acestea sunt incluse în contractele pentru aceste servicii.

Managementul vulnerabilităților este o practică continuă de identificare, clasificare, prioritizare, remediere și atenuare a vulnerabilităților software. Multe cadre de conformitate, audit și management al riscurilor în materie de securitate a informațiilor impun organizațiilor să mențină un program de management al vulnerabilităților.

Răspunsul la incident este capacitatea de a identifica traficul suspect sau atacurile cibernetice din rețeaua dvs., de a-l izola și de a le remedia pentru a preveni încălcarea, deteriorarea sau pierderea datelor. De obicei, răspunsul la incident este denumit „blocarea și abordarea” standard a securității informațiilor. Multe tipuri de incidente de securitate apar în mod regulat în cadrul organizațiilor de toate dimensiunile. De fapt, majoritatea rețelelor sunt atacate constant din partea entităților externe.

Sistemele de îngrijire a sănătății folosesc multe dispozitive diferite ca parte a tratamentului de rutină a pacientului. Acestea variază de la sisteme de imagistică la dispozitive care se conectează direct la pacient în scopuri diagnostice sau terapeutice. Astfel de dispozitive pot avea implementări simple, cum ar fi monitoarele de lângă pat care monitorizează semnele vitale, sau pot fi mai complicate, cum ar fi pompele de perfuzie care oferă terapii specializate și necesită actualizări continue ale bibliotecii de medicamente. Aceste dispozitive complexe și interconectate afectează siguranța, bunăstarea și confidențialitatea pacienților și reprezintă potențiali vectori de atac în amprenta digitală a unei organizații. Ca atare, aceste dispozitive ar trebui să includă controale de securitate în proiectarea și configurarea lor pentru a sprijini implementarea într-o manieră sigură.

Practica de securitate cibernetică #10: Politicile de securitate cibernetică includ cele mai bune practici care sunt documente specifice implementării politicilor și procedurilor de securitate cibernetică în organizația dumneavoastră de asistență medicală.