Hälsobranschens cybersäkerhetspraxis och videor

Alla hälsosystem uppmuntras starkt att använda denna serie i dina träningsprogram; branschgrupper och professionella föreningar, uppmuntra dina medlemmar att göra detsamma; och medicinteknik-, läkemedels-, betalar-, hälso-IT- och tjänsteföretag, överväg att utöka den här serien till dina kunder och klienter som ett komplement till din support.

De flesta små metoder utnyttjar outsourcade tredjeparts e-postleverantörer, snarare än att etablera en dedikerad intern e-postinfrastruktur. E-postskyddspraxisen i det här avsnittet presenteras i tre delar:

1. E-postsystemkonfiguration: komponenterna och funktionerna som bör inkluderas i ditt e-postsystem
2. Utbildning: hur man ökar personalens förståelse och medvetenhet om sätt att skydda din organisation mot e-postbaserade cyberattacker som nätfiske och ransomware
3. Nätfiske-simuleringar: sätt att ge personalen utbildning i och medvetenhet om nätfiske-e-post

En liten organisations slutpunkter måste alla skyddas. Men vad är endpoints? Och vad kan en liten vårdorganisation göra för att skydda sina slutpunkter?

David Willis, MD och Kendra Siler, PhD med Population Health Information Analysis and Sharing Organization vid Kennedy Space Center är här för att diskutera vad du bör göra för att minska risken för att en cyberattack ska tränga igenom dina slutpunkter.

I det här avsnittet kommer vi att diskutera Cybersecurity Practice Area Number 3 – Access Management för små vårdorganisationer.

Denna diskussion kommer att organiseras i tre avsnitt:

1. Vad är åtkomsthantering?
2. Varför är det viktigt?
3. Hur kan HIKP eller "hicka" hjälpa till att förbättra åtkomsthanteringen för små vårdorganisationer?

National Institute of Standards and Technology, eller förkortat NIST, definierar ett dataintrång som "en incident som involverar känslig, skyddad eller konfidentiell information som kopieras, överförs, ses, stjäls eller används av en person som är obehörig att göra det."

Känsliga, skyddade eller konfidentiella uppgifter inkluderar skyddad hälsoinformation (PHI), kreditkortsnummer, kund- och anställdas personliga information och din organisations immateriella rättigheter och affärshemligheter.

Vilken informationsteknologi, eller IT-enheter, har du i din organisation? Vet du hur många bärbara datorer? mobila enheter? Och nätverksväxlar du har på alla dina platser? Vilka kör Windows eller Apples IOS eller något av Androids flera operativsystem? Om den inte är fäst på en vägg eller ett skrivbord, vem är ansvarig för varje enhet?

Nätverk ger den anslutning som gör att arbetsstationer, medicinsk utrustning och andra applikationer och infrastruktur kan kommunicera. Nätverk kan ha formen av trådbundna eller trådlösa anslutningar. Oavsett form kan samma mekanism som främjar kommunikation användas för att starta eller sprida en cyberattack. 

Korrekt cybersäkerhetshygien säkerställer att nätverk är säkra och att alla nätverksanslutna enheter kan komma åt nätverk säkert och säkert. Även om nätverkshantering tillhandahålls av en tredjepartsleverantör, bör organisationer förstå nyckelaspekter av korrekt nätverkshantering och se till att de ingår i kontrakten för dessa tjänster.

Sårbarhetshantering är en kontinuerlig praxis för att identifiera, klassificera, prioritera, åtgärda och mildra sårbarheter i programvara. Många ramverk för efterlevnad av informationssäkerhet, revision och riskhantering kräver att organisationer upprätthåller ett program för sårbarhetshantering.

Incidentrespons är förmågan att identifiera misstänkt trafik eller cyberattacker på ditt nätverk, isolera det och åtgärda det för att förhindra dataintrång, skada eller förlust. Vanligtvis hänvisas till incidentrespons som standarden "blockering och tackling" av informationssäkerhet. Många typer av säkerhetsincidenter inträffar regelbundet i organisationer av alla storlekar. Faktum är att de flesta nätverk är under konstant attack från externa enheter.

Vårdsystem använder många olika apparater som en del av rutinmässig patientbehandling. Dessa sträcker sig från bildsystem till enheter som direkt ansluter till patienten för diagnostiska eller terapeutiska ändamål. Sådana enheter kan ha enkla implementeringar, såsom monitorer vid sängkanten som övervakar vitala tecken, eller så kan de vara mer komplicerade, såsom infusionspumpar som levererar specialiserade terapier och kräver kontinuerliga uppdateringar av läkemedelsbiblioteket. Dessa komplexa och sammankopplade enheter påverkar patientsäkerhet, välbefinnande och integritet, och de representerar potentiella attackvektorer i en organisations digitala fotavtryck. Som sådan bör dessa enheter inkludera säkerhetskontroller i sin design och konfiguration för att stödja driftsättning på ett säkert sätt.

Cybersäkerhetspraxis #10: Cybersäkerhetspolicyer inkluderar bästa praxis som är dokumentspecifika för implementeringen av cybersäkerhetspolicyer och -procedurer i din vårdorganisation.