Le secteur des soins de santé est confronté à une menace de cyberattaques qui s'intensifie rapidement et qui provient de leurs relations avec les fournisseurs. L'adoption rapide des dossiers médicaux électroniques pour numériser les informations sur les patients, l'adoption d'appareils de l'Internet des objets (IoT) comme les trackers de fitness et les stimulateurs cardiaques, et la dépendance à l'égard des associés commerciaux pour les fonctions critiques rendent le problème encore plus aigu. Les organismes de santé sont susceptibles d'être confrontés à davantage de risques liés à l'évolution rapide des technologies et des relations d'affaires, qui ne feront qu'augmenter.
Plusieurs violations récentes et très médiatisées illustrent clairement ce risque, comme les incidents de l'American Medical Collection Agency (AMCA) et de HCA Healthcare, où des contrôles de sécurité inadéquats parmi les associés commerciaux ont conduit à la compromission de millions de dossiers de patients.
Malgré des réglementations établies telles que l'HIPAA et des cadres de gestion des risques tels que le NIST SP 800-66, les organismes de santé continuent d'être confrontés à des violations par des tiers, ce qui entraîne des amendes substantielles et une surveillance réglementaire. En outre, les équipes modernes de sécurité et de gestion des risques dans le secteur de la santé sont confrontées à des défis complexes en matière de gestion des risques liés aux tiers, tels que le cloisonnement des informations sur les fournisseurs et l'insuffisance des méthodes d'évaluation.
Dans cet article, nous aborderons les 8 étapes que les organismes de santé devraient suivre pour identifier, gérer et réduire les risques liés aux associés commerciaux tiers. En outre, nous examinerons les résultats potentiels de la mise en œuvre d'une approche proactive et axée sur les processus en matière de sécurité des soins de santé et de gestion des risques liés aux tiers associés.
Il existe des étapes claires que les organisations doivent suivre pour identifier, gérer et réduire les risques liés aux associés commerciaux. Ces étapes aideront votre organisation à être plus proactive dans son programme de gestion des risques liés aux associés commerciaux tout au long du cycle de vie des fournisseurs.
Pour améliorer de manière proactive votre programme de gestion des risques des tiers dans le secteur de la santé, automatisez le cycle de vie des contrats. Cela permet d'assurer l'application et le suivi des clauses essentielles en matière de sécurité des données et de protection de la vie privée dès le départ. En adoptant une approche automatisée de la gestion du cycle de vie des contrats, vous garantissez que le contrat de l'associé commercial définit explicitement les responsabilités et les clauses de droit à l'audit. En outre, cette approche facilite le suivi et la gestion des accords de niveau de service (SLA), des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) d'une manière rationalisée. À ce stade, il est important de s'assurer que vos capacités de gestion du cycle de vie des contrats sont pleinement intégrées à votre plateforme de gestion des risques de tiers. De cette manière, vous pouvez gérer les fournisseurs de manière transparente, de la signature du contrat à l'évaluation des risques, et toutes les parties internes peuvent consulter et gérer les contrats et les risques en fonction de leur rôle.
Centralisez votre inventaire des fournisseurs tiers pour une gouvernance efficace de la gestion des risques liés aux associés commerciaux dans le secteur de la santé, en minimisant le risque que des relations avec des fournisseurs non autorisés aient un impact sur vos opérations informatiques. Réalisez l'inventaire des fournisseurs dans un système centralisé - et non dans des feuilles de calcul - afin que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.
Commencez par importer les fournisseurs dans une solution tierce de gestion des risques via un modèle de feuille de calcul ou une connexion API à votre système d'approvisionnement existant. Permettez aux équipes de l'entreprise de saisir les informations clés sur les fournisseurs de manière transparente à l'aide d'un formulaire d'admission centralisé et personnalisable avec un flux d'approbation associé. Cette fonctionnalité conviviale est accessible via une invitation par courriel et ne nécessite aucune formation spécialisée.
Lorsque tous les fournisseurs de services sont regroupés, créez des profils complets contenant les informations démographiques, les technologies de quatrième partie, les scores ESG, les informations commerciales récentes, les détails sur la réputation, l'historique des violations de données et les performances financières de l'associé commercial. Cette approche centralisée améliore la connaissance des risques dans l'ensemble de l'entreprise et fournit aux équipes chargées des achats un contexte précieux leur permettant de prendre des décisions éclairées en matière d'approvisionnement et de sélection. Cette approche présente l'avantage supplémentaire de permettre à l'entreprise de réaliser des économies en n'ayant plus à gérer des systèmes distincts fournissant des données en silos.
Au cours du processus d'établissement de l'inventaire, identifiez les technologies de quatrième partie au sein de votre écosystème d'associés commerciaux afin de découvrir d'autres relations susceptibles de présenter des risques de concentration pour votre organisation. Cette étape est cruciale pour visualiser les voies d'attaque potentielles que les adversaires pourraient exploiter pour cibler votre entreprise, ce qui permet d'atténuer de manière proactive les vulnérabilités ou d'y remédier. Pour ce faire, vous pouvez procéder à des évaluations ciblées ou à un balayage passif.
Par exemple, si vous disposez d'une carte des partenaires commerciaux utilisant un outil logiciel compromis, vous pouvez classer les fournisseurs par ordre de priorité pour l'évaluation, en vous concentrant en particulier sur les fournisseurs de premier plan ou critiques pour l'entreprise. Cette hiérarchisation permet de s'assurer que toute exposition potentielle à des logiciels malveillants est évaluée de manière approfondie, en mettant l'accent sur les fournisseurs dont les perturbations opérationnelles pourraient avoir un impact plus prononcé sur votre organisation.
Une fois que les associés commerciaux sont centralisés et cartographiés, il convient de procéder à une évaluation du risque inhérent. Les critères utilisés pour calculer le risque inhérent sont les suivants
À partir de cette évaluation des risques inhérents, votre équipe peut classer automatiquement les fournisseurs par niveau, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues en fonction des risques qu'ils représentent pour votre entreprise.
Dans le cadre de votre processus habituel de diligence raisonnable en matière de sécurité et de confidentialité des données, évaluez également les associés commerciaux à l'aide de questionnaires ciblés sur les risques liés aux fournisseurs qui s'alignent sur les normes industrielles connues en matière de sécurité de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires. Optez pour des solutions qui offrent l'automatisation du flux de travail, un examen et une analyse complets, un soutien à la gestion des preuves et des recommandations de remédiation intégrées afin de combler efficacement les lacunes en matière de sécurité.
Au cours du processus d'évaluation, il convient de demander aux fournisseurs de logiciels de produire une nomenclature des logiciels (SBOM). Les nomenclatures ne détaillent pas seulement les composants d'un logiciel, mais peuvent également expliquer les processus d'assurance qualité (AQ) et d'évaluation de la sécurité utilisés au cours du processus de développement du logiciel. Ces informations seront utiles au cours du processus de réponse aux incidents décrit à l'étape 7 ci-dessous.
La gestion proactive des risques liés aux associés d'affaires implique une vigilance permanente face à la prochaine attaque, ce qui nécessite que votre équipe soit à l'affût des signes annonciateurs d'un incident de sécurité imminent. Les principaux domaines à surveiller sont les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages/violations.
Pour rationaliser ce processus, il faut envisager d'adopter des solutions qui consolident les informations sur tous les risques et les présentent à l'échelle de l'entreprise. Cette approche consolidée facilite la mise en corrélation des données de surveillance avec les résultats de l'évaluation et permet d'établir un registre des risques unifié pour chaque fournisseur. Cette intégration améliore l'efficacité de l'examen des risques, des rapports et des initiatives de réponse, tout en réduisant les coûts en éliminant les licences logicielles redondantes.
En outre, il convient de veiller à l'intégration des données opérationnelles, financières et de réputation des tiers dans le suivi des associés commerciaux. Cette intégration fournit un contexte aux conclusions de cyber et permet de mesurer l'impact commercial des incidents au fil du temps.
L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR), ce qui peut réduire l'impact des incidents de tiers sur vos opérations. Envisagez de prendre les mesures suivantes pour adopter un modèle de réponse aux incidents de tiers plus proactif :
En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.
Les associés commerciaux qui ne travaillent plus avec votre organisation peuvent toujours présenter des risques importants - s'ils n'ont pas été retirés correctement. Soyez proactif et créez des procédures d'exclusion pour réduire le risque d'exposition post-contractuelle de votre organisation.
Les principales mesures à prendre sont les suivantes :
Veillez à utiliser des listes de contrôle éprouvées pour vous assurer que toutes les tâches sont effectuées conformément aux priorités de votre organisation en matière de gestion des risques.
Vos fournisseurs sécurisent-ils suffisamment les données personnelles ?
Découvrez les meilleures pratiques pour identifier, gérer et réduire de manière proactive les risques liés aux associés commerciaux.
Le fait d'être plus proactif dans le cadre de votre programme de gestion des risques liés aux associés d'affaires présente plusieurs avantages.
En automatisant les processus de contractualisation, d'intégration, d'évaluation des risques et de suivi des associés commerciaux, votre équipe réduit le temps habituellement nécessaire pour collecter, analyser et traiter manuellement les informations. Cela signifie qu'il faut comprendre les risques potentiels liés aux associés commerciaux dès le début de la relation ou pendant une attaque active sur cyber, afin de pouvoir prendre les mesures appropriées pour atténuer les conséquences négatives.
En centralisant les informations de tiers cyber, opérationnelles, financières et de réputation - que ce soit lors de l'intégration ou de la surveillance continue - votre équipe peut corréler les informations provenant de sources multiples avec les résultats de l'évaluation, voir le potentiel d'augmentation des risques et agir sur les risques de haute priorité. En outre, cela simplifie les rapports d'audit.
Grâce à des mesures correctives automatisées, à l'examen des preuves et à des contrôles compensatoires, une approche plus proactive de la gestion des risques liés aux associés garantit que les tiers agissent sur leurs risques à un niveau acceptable pour votre organisation et qu'ils ont mis en place des pratiques de résilience commerciale pour répondre efficacement aux perturbations.
Les organismes de santé s'appuient généralement sur des centaines de tiers pour fournir des services de soutien essentiels. Les vulnérabilités des tiers peuvent gravement compromettre les soins aux patients. Il est donc essentiel que les hôpitaux disposent d'un processus d'identification, d'analyse et d'atténuation de ces risques.
La collecte des bonnes informations pour analyser la posture de sécurité des partenaires commerciaux de votre organisation est la clé d'un programme efficace de gestion des risques des tiers. Pour en savoir plus sur la façon dont Prevalent peut aider votre organisme de santé à concevoir un programme de gestion des risques des tiers qui atténue les risques tout au long du cycle de vie des fournisseurs, téléchargez le livre blanc intitulé8 Steps to Healthcare Third-Party Risk Management Success (8 étapes pour une gestion réussie des risques des tiers dans le secteur de la santé), ou demandez une démonstration dès aujourd'hui.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024