Serveur d'impression

10 meilleures pratiques pour sécuriser les données de santé – Bien choisir son serveur d impression

Le 4 mai 2019 - 7 minutes de lecture

Les violations de données dans les soins de santé se présentent sous différentes formes. Ils peuvent inclure des cas dans lesquels des pirates informatiques volent des informations de santé protégées pour commettre un vol d'identité médical, ou des cas dans lesquels un employé visualise les dossiers d'un patient sans autorisation.

Bien que les motivations et les résultats de ces deux incidents de sécurité soient très différents, ils ont une chose en commun: les violations de données par bot peuvent être très coûteuses pour les fournisseurs. Outre les amendes potentielles imposées par la loi HIPAA et d'autres coûts de mise en conformité, les hôpitaux peuvent subir une atteinte à la réputation et une perte de confiance des patients.

En plus d'être coûteuses, les atteintes à la sécurité des données relatives aux soins de santé sont également très répandues. Selon une étude de l'Institut Ponemon, presque tous les établissements de santé (94%) avaient subi au moins une violation de données en 2012 et 2011. En outre, 45% ont eu plus de cinq violations au cours de cette période. Cela se compare à seulement 29% des hôpitaux qui ont dit la même chose il y a deux ans.

Résultat: tous les hôpitaux et autres établissements de soins de santé doivent veiller à protéger les données sensibles des patients, financières et autres.

Cela nécessite une combinaison d'éducation des employés, d'utilisation intelligente de la technologie et de sécurité physique pour les bâtiments. Voici une liste des dix meilleures pratiques importantes en matière de sécurité des données de santé:

1. Protégez le réseau

Les pirates disposant de diverses méthodes pour accéder aux réseaux des organisations de soins de santé, les services informatiques de la santé doivent utiliser divers outils pour les empêcher de pénétrer dans les réseaux. Cependant, la plupart des entreprises dépensent trop d'argent dans la sécurité du périmètre, telles que les pare-feu et les logiciels antivirus, alors que les experts avertissent qu'elles devraient également adopter des technologies qui limitent les dommages en cas d'attaque.

Cela inclut des techniques telles que la séparation des réseaux, de sorte qu'un intrus dans une zone donnée n’a pas accès à toutes les données stockées dans l’organisation.

2. Eduquer les membres du personnel

Que ce soit par négligence ou par des actes malveillants, les employés sont souvent impliqués dans des violations de données relatives aux soins de santé. Par conséquent, tout programme de sécurité informatique doit mettre l’accent sur l’éducation des employés, notamment:

  • Formation sur ce qui constitue ou non une violation de la loi HIPAA
  • Des leçons sur la prévention du phishing, de l'ingénierie sociale et d'autres attaques visant les employés, et
  • Conseils pour choisir des mots de passe sécurisés.

3. Crypter les appareils portables

Ces dernières années, plusieurs violations de données ont été commises à la suite de la perte ou du vol d'un dispositif informatique portable ou de stockage contenant des informations de santé protégées. Une chose que les organisations de santé devraient toujours faire pour prévenir ces violations: Crypter tous les appareils susceptibles de contenir des données de patient, y compris les ordinateurs portables, les smartphones, les tablettes et les clés USB portables.

En plus de fournir des périphériques cryptés aux employés, il est important de disposer d’une politique stricte contre le transfert de données sur un périphérique personnel non crypté.

4. Réseaux sans fil sécurisés

Les organisations comptent de plus en plus sur les routeurs sans fil pour leurs réseaux de bureau. Mais malheureusement, ces réseaux sans fil introduisent souvent des vulnérabilités de sécurité. Les données peuvent être volées en piratant ces réseaux depuis le parking, par exemple, en particulier si l'entreprise s'appuie sur une technologie obsolète, telle que les routeurs qui utilisent la norme de sécurité WEP (Wired Equivalent Privacy) vieille de 12 ans.

Pour se protéger contre les attaques, les fournisseurs de soins de santé doivent veiller à ce que leurs routeurs et autres composants soient tenus à jour, que les mots de passe réseau soient sécurisés et fréquemment modifiés, et que les périphériques non autorisés ne puissent accéder au réseau.

5. Mettre en place des contrôles de sécurité physiques

Même si les dossiers de santé électroniques sont de plus en plus courants, les organisations conservent encore beaucoup de données sensibles sur papier. Par conséquent, les fournisseurs doivent s'assurer que les portes et les classeurs sont verrouillés et que les caméras et autres contrôles de sécurité physiques sont utilisés.

En outre, les entreprises doivent sécuriser physiquement leurs équipements informatiques en verrouillant les salles de serveurs et en utilisant des verrous de câble ou d'autres dispositifs pour maintenir les ordinateurs portables et de bureau attachés au mobilier de bureau.

6. Rédiger une stratégie de périphérique mobile

Alors que de plus en plus d’employés de la santé utilisent des appareils personnels pour faire leur travail, il est important que chaque organisation crée une stratégie d’appareil mobile qui détermine les données pouvant être stockées sur ces gadgets, les applications pouvant être installées, etc.

En outre, de nombreux fournisseurs utilisent le logiciel MDM (Mobile Device Management) pour appliquer ces stratégies.

7. Supprimer les données inutiles

Une leçon que beaucoup de victimes de violation de données ont apprise: plus une organisation détient de données, plus il y a de voleurs pour les criminels. Les organisations doivent avoir une politique exigeant la suppression du patient et d’autres informations qui ne sont plus nécessaires.

En outre, il est utile de vérifier régulièrement les informations stockées afin que l’organisation sache ce qu’elle contient et puisse identifier les éléments pouvant être supprimés.

8. Sécurité des tiers

Avec les appareils mobiles, la plus grande tendance informatique de ces dernières années a probablement été la montée en puissance du cloud computing. Les services en nuage ont permis aux petites entreprises de tirer parti de nombreuses technologies identiques à celles de leurs concurrents plus importants en réduisant les coûts initiaux nécessaires au déploiement.

Toutefois, le fait de donner des informations à des tiers crée également un certain nombre de nouveaux risques. Par conséquent, il est important que les entreprises vérifient avec diligence la sécurité des fournisseurs d’informatique en nuage et des tiers avec lesquels elles ont des contrats.

9. Patch dispositifs médicaux électroniques

Alors que de nombreuses menaces pour la sécurité informatique auxquelles les organisations de soins de santé sont confrontées affectent également des entreprises d'autres secteurs, les fournisseurs présentent un autre risque: la menace de stimulateurs cardiaques, d'outils de surveillance et d'autres dispositifs médicaux électroniques piratés.

Une étape importante pour les services informatiques de santé: maintenez le logiciel de ces appareils corrigé et mis à jour afin de minimiser leurs vulnérabilités.

10. Avoir un plan de réponse à la violation de données

Il est peu probable qu'une entreprise puisse jamais prévenir tous les incidents de sécurité informatique possibles. C’est pourquoi il est essentiel d’élaborer un plan d’action en cas de violation.

Pour obtenir de l'aide, consultez notre précédent article sur l'élaboration d'un plan de réponse efficace en cas de violation de données.

<! –

->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.