Violations des données des fournisseurs de soins de santé : 3 étapes pour atténuer le risque lié aux partenaires commerciaux

Compte tenu du nombre sans cesse croissant de violations de données par les fournisseurs de soins de santé, utilisez ces conseils pour être plus proactif et réduire la probabilité et l'impact d'un incident.
Par :
Scott Lang
,
VP, Marketing produit
18 juillet 2022
Partager :
Blog sur les violations des droits des fournisseurs de soins de santé 0722

Professional Finance Company (PFC), une société de gestion de comptes clients, a informé en mai les prestataires de soins de santé que les données de 1,9 million de leurs patients avaient été exposées lors d'une attaque par ransomware en février. Selon PFC, les informations de santé protégées (PHI) et les informations personnelles identifiables (PII) compromises dans l'attaque auraient pu inclure des noms, des informations de contact, des soldes de comptes clients, des informations de paiement de comptes, des dates de naissance, des numéros de sécurité sociale, des informations d'assurance maladie et des traitements médicaux.

Pourtant, la violation de PFC n'est que le troisième plus grand événement de sécurité concernant les associés commerciaux du secteur des soins de santé signalé jusqu'à présent en 2022, avec l'incident du Shields Health Care Group qui a touché 2 millions de patients, et la violation de Eye Care Leaders qui a eu un impact sur plus de 2,9 millions de patients (et qui continue de croître).

Compte tenu de leur ampleur et de leur impact croissants, comment les professionnels de la sécurité et de la gestion des risques dans le secteur des soins de santé peuvent-ils atténuer l'impact de telles violations commises par des tiers?

1. Rejoignez une communauté de prestataires de soins de santé partageant des informations sur les risques liés aux associés commerciaux.

Les réseaux de renseignements partagés sont des bibliothèques de profils de risques de fournisseurs à la demande qui peuvent être "consultés" lorsque vous avez besoin d'évaluer un associé. Les profils de risque sont basés sur un contenu standard du secteur et sont mis à jour automatiquement et régulièrement, avec des informations continues sur cyber, les affaires, les finances et la réputation ajoutées pour le contexte et pour combler les lacunes entre les évaluations annuelles.

Cependant, la valeur d'un réseau d'intelligence partagée va au-delà de la simple exploitation de profils de risque déjà remplis pour évaluer le risque d'un associé. Les réseaux offrent un avantage supplémentaire en matière d'analyse communautaire, à savoir la visualisation des tendances générales en matière de risque dans un secteur d'activité, à l'aide de données provenant de plusieurs fournisseurs du réseau.

Par exemple, si le risque le plus élevé parmi les fournisseurs d'un réseau est la faiblesse de la politique de gestion des mots de passe, vous pouvez concentrer vos efforts de gestion des risques sur l'hygiène des mots de passe des partenaires commerciaux afin de réduire de manière proactive la probabilité que les mots de passe puissent être exploités par un pirate pour accéder à vos données gérées par le partenaire commercial. Vous pouvez ensuite valider les contrôles de gestion des mots de passe de l'associé en utilisant la surveillance continue intégrée de cyber pour déterminer si ses mots de passe sont en vente sur le Dark Web.

Prevalent gère le Healthcare Vendor Network (HVN), la solution exclusive du Health Information Sharing and Analysis Center (H-ISAC) pour les évaluations de risques partagées pour les tiers, basées sur l'évaluation de la sécurité, de la confidentialité des données et des risques standard de l'H-ISAC. Des centaines d'entreprises s'appuient chaque jour sur des milliers de profils de risque de fournisseurs complétés dans le HVN pour gérer le risque lié à leurs associés commerciaux.

Vos fournisseurs sécurisent-ils suffisamment les données personnelles ?

Découvrez les meilleures pratiques pour identifier, gérer et réduire de manière proactive les risques liés aux associés commerciaux.

Lire la suite
Ressources vedettes 8 étapes pour la réussite de l'initiative "Soins de santé" (tprm)

2. Élaborer et tester un plan de réponse aux incidents impliquant des tiers

Si un incident de cybersécurité touchait un associé, seriez-vous en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer un plan de réponse aux incidents ? Le temps est un facteur essentiel dans la réponse aux incidents, donc être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des partenaires commerciaux. Un plan de réponse aux incidents programmé par un tiers pourrait inclure :

  • Un inventaire géré de manière centralisée des associés, y compris leur criticité pour l'organisation.
  • Des évaluations préétablies de la résilience, de la continuité et de la sécurité de l'entreprise afin de mesurer l'impact d'un incident.
  • Notation et pondération pour aider à se concentrer sur les risques les plus importants.
  • Des recommandations intégrées pour remédier aux vulnérabilités potentielles
  • Rapport spécifique aux parties prenantes pour répondre à la demande inévitable du conseil d'administration.

Le service de réponse aux incidents impliquant des tiers (Prevalent ) vous permet d'identifier rapidement et d'atténuer l'impact des incidents de sécurité impliquant des associés commerciaux ( cyber) en gérant de manière centralisée les tiers, en automatisant les évaluations d'événements, en notant les risques identifiés et en accédant aux conseils de remédiation.

3. Simplifier les rapports de conformité pour l'inévitable audit

L'HIPAA exige que les organismes de santé s'assurent que les associés commerciaux et les autres tiers disposent des contrôles de sécurité et de confidentialité nécessaires pour empêcher tout accès indésirable ayant un impact sur la confidentialité, l'intégrité ou la disponibilité des RPS. Pour y parvenir, les entreprises doivent procéder à une évaluation approfondie des risques liés aux fournisseurs avant l'audit. Même si votre organisation n'est pas confrontée à un incident de sécurité impliquant un tiers, les auditeurs finiront par évaluer votre programme de gestion des risques liés aux associés d'affaires.

Une solution tierce de gestion des risques peut contribuer à simplifier le processus de collecte et d'analyse des risques liés aux partenaires commerciaux :

  • L'évaluation des risques inhérents à la relation avec les associés, ce qui permet de limiter les efforts de diligence raisonnable.
  • Proposer un questionnaire dédié qui associe les réponses à des exigences HIPAA spécifiques.
  • Relever et noter automatiquement les risques à partir des évaluations afin de les hiérarchiser en fonction de la tolérance au risque de l'organisation.
  • Incluant des recommandations de remédiation intégrées
  • Création de rapports HIPAA personnalisés pour les auditeurs et les parties prenantes internes, qui visualisent le pourcentage de conformité et les domaines notables à améliorer.

N'oubliez pas de télécharger la liste de contrôle de la conformité HIPAA pour une analyse complète de la manière dont la plateforme de gestion des risques des tiersPrevalent peut contribuer à simplifier les audits HIPAA.

Les incidents de sécurité des associés commerciaux sont inévitables. Cependant, vous pouvez être plus proactif en partageant les informations sur les risques avec vos pairs, en préparant un plan de réponse aux incidents et en vous préparant à l'inévitable audit. Demandez une démonstration dès aujourd'hui pour découvrir comment notre solution approuvée par le H-ISAC peut vous aider.

Liste de contrôle de la conformité des tiers à l'HIPAA

Téléchargez cette liste de contrôle utile pour obtenir des conseils prescriptifs sur l'évaluation des contrôles de sécurité des partenaires commerciaux conformément aux exigences de l'HIPAA.

Lire la suite
Liste de contrôle de conformité hipaa 1021
Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo