Visiting Nurse Services of New York a poursuivi une refonte technologique lors de sa migration vers le cloud pour prendre en charge une gamme croissante de services de prestation de soins.
Alors qu’elle modernise son infrastructure informatique pour permettre le passage des soins de santé à domicile traditionnels à un état futur axé sur les données, elle a également repensé la façon dont elle peut mieux servir les prestataires de soins de santé et les patients avec de nouvelles offres de services gérés.
Mais cette transformation numérique fondamentale s’accompagne de défis, notamment la nécessité de gérer les risques – les risques de cybersécurité, en particulier – tout au long du processus de changement.
“Il est important que votre équipe de sécurité soit impliquée dès la création de la première ébauche de la conception du nouveau système ou de la nouvelle solution”, a expliqué Justin Bain, responsable informatique et cybersécurité chez VNSNY, qui en expliquera plus ce mois-ci lors d’une session à HIMSS22. .
“Les architectes de sécurité peuvent apporter des cadres standard et des meilleures pratiques et les superposer à la conception”, a-t-il déclaré.
Bain a noté qu’un autre professionnel de la sécurité devra effectuer l’évaluation des risques pendant la construction de la solution, ce qui se traduira par un plan d’action et des jalons.
“Enfin, après la mise en œuvre de la solution, un examen ou un audit post-mise en œuvre doit être effectué, pour s’assurer que les contrôles fonctionnent comme prévu”, a-t-il déclaré.
Bain a souligné qu’il est très difficile d’évaluer les risques lors d’un changement déjà en cours, ce qui signifie qu’il est préférable d’intervenir dès le début, de comprendre les risques et de les expliquer aux parties prenantes.
“De cette façon, quand viendra le temps d’injecter un contrôle, ce ne sera pas la première fois qu’ils l’entendront, et ils seront plus susceptibles de bien faire les choses du premier coup”, a-t-il noté. “Cela dit, il n’est pas toujours possible d’anticiper le changement de l’entreprise, car parfois la sécurité n’est informée que lorsqu’elle est déjà en mouvement.”
Il a expliqué qu’un bon professionnel de la sécurité doit exercer ce qu’il considère comme sa compétence la plus importante : “apprendre rapidement”.
Cela signifie mettre l’accent sur les plus grandes menaces et pousser les contrôles pour les combattre.
“Par exemple, les ransomwares sont la plus grande menace pour la cybersécurité dans le domaine de la santé, et le phishing est le vecteur d’attaque le plus courant”, a-t-il déclaré. “Si vous pouvez lier vos réponses aux risques recommandées à ces menaces, vous verrez probablement l’entreprise adopter vos contrôles.”
Il a ajouté que vous n’avez pas toujours besoin d’embaucher plus de personnes pour en faire plus, et si vous externalisez déjà une fonction informatique, demandez-leur s’ils disposent d’un module de sécurité.
“Si possible, évaluez pleinement leur sécurité avant de passer un contrat avec un fournisseur. Ensuite, écrivez les plans de remédiation dans le contrat – avec des délais – afin qu’ils y soient liés”, a déclaré Bain.
“Dans le cloud, l’identité est primordiale, alors assurez-vous que vos contrôles autour de l’authentification d’identité sont solides, mais faciles à utiliser pour les gens.”
Justin Bain en expliquera plus dans sa session HIMSS22, “Managing Cyber Risk during Transformative Business Change”. Elle est prévue le mercredi 16 mars de 22h à 23h en salle W311E.
Nathan Eddy est un indépendant dans le domaine de la santé et de la technologie basé à Berlin.
Envoyez un e-mail à l’auteur : [email protected]
Twitter: @ dropdeaded209
