Prenez la sécurité entre vos mains et obtenez une évaluation des risques HIPAA

Si votre organisation traite des informations médicales protégées, le Département de la santé et des services humains vous demande de procéder à une analyse des risques en tant que première étape vers la mise en œuvre des garanties spécifiées dans la Règle de sécurité HIPAA https://sildenafilfr.com.

Cela inclut tous les fournisseurs d’hébergement HIPAA.

Mais qu’est-ce qu’une analyse de risque implique exactement? Et qu’est-ce qui doit absolument être inclus dans votre rapport?

Le Guide des normes de sécurité de la santé et des services sociaux présente neuf composantes obligatoires d’une analyse des risques.

Mener une évaluation approfondie des risques HIPAA est extrêmement difficile à faire soi-même, cependant. Vous pouvez très bien vouloir passer un contrat avec un auditeur HIPAA pour vous aider.

La plupart des gens ne savent tout simplement pas où chercher, ou ils finissent par contourner les choses parce qu’ils ne comprennent pas la sécurité des données.

Si l’analyse des risques est fondamentale pour votre sécurité, vous ne devez pas négliger les éléments clés de l’analyse.

Les organismes de soins de santé et les organismes de soins de santé qui stockent ou transmettent des renseignements électroniques protégés sur la santé doivent inclure dans leur document neuf éléments:

1. Portée de l’analyse

Pour identifier votre champ d’application – en d’autres termes, les domaines de votre organisation que vous devez sécuriser – vous devez comprendre comment les données patient circulent au sein de votre organisation.

Cela inclut tous les supports électroniques que votre organisation utilise pour créer, recevoir, maintenir ou transmettre des ePHI – supports portables, ordinateurs de bureau et réseaux.

Il y a quatre parties principales à considérer en définissant votre portée.

Où PHI commence ou entre dans votre environnement.

Qu’arrive-t-il une fois que c’est dans votre système?

Où PHI quitte votre entité.

Où les fuites potentielles ou existantes sont.

2. Collecte de données

Vous trouverez ci-dessous une liste d’endroits pour vous aider à démarrer dans la documentation d’où PHI entre dans votre environnement.

Email: Combien d’ordinateurs utilisez-vous, et qui peut se connecter à chacun d’eux?

Textes: Combien y a-t-il d’appareils mobiles, et à qui appartiennent-ils?

Entrées de DSE: Combien de membres du personnel entrent-ils dans les données?

Télécopieurs: Combien de fax avez-vous?

USPS: Comment le courrier entrant est-il traité?

Nouveaux papiers patients: Combien de papiers les patients doivent-ils remplir? Font-ils cela à la réception? Salle d’examen? Ailleurs?

Communications d’affaires: Comment les associés d’affaires communiquent-ils avec vous?

Bases de données: Recevez-vous des bases de données marketing de patients potentiels à contacter?

Il ne suffit pas de savoir seulement où PHI commence. Vous devez également savoir où cela se passe une fois qu’il pénètre dans votre environnement.

Pour bien comprendre ce qui arrive à PHI dans votre environnement, vous devez enregistrer tous les matériels, logiciels, périphériques, systèmes et emplacements de stockage de données qui touchent PHI de quelque manière que ce soit.

Et que se passe-t-il lorsque PHI vous quitte? C’est votre travail de vous assurer qu’il est transmis ou détruit de la manière la plus sûre possible.

Une fois que vous connaissez tous les endroits où PHI est hébergé, transmis et stocké, vous serez mieux en mesure de protéger ces endroits vulnérables.

Identifier et documenter les vulnérabilités et les menaces potentielles

Une fois que vous savez ce qui se passe pendant le cycle de vie de PHI, il est temps de chercher les lacunes. Ces lacunes créent un environnement dans lequel un PHI non sécurisé peut fuir dans ou en dehors de votre environnement.

La meilleure façon de trouver toutes les fuites possibles est de créer un diagramme de flux PHI qui documente toutes les informations que vous avez trouvées ci-dessus et les présente dans un format graphique.

En regardant un diagramme, il est plus facile de comprendre les sentiers PHI et d’identifier et de documenter les vulnérabilités et les menaces anticipées.

Une vulnérabilité est une faille dans les composants, les procédures, la conception, l’implémentation ou les contrôles internes. Les vulnérabilités peuvent être corrigées.

Quelques exemples de vulnérabilités:

Site incorrectement codé

Aucune politique de sécurité de bureau

Écrans d’ordinateur en vue des zones d’attente des patients publics

Une menace est le potentiel pour une personne ou une chose de déclencher une vulnérabilité. La plupart des menaces restent hors de votre contrôle pour changer, mais elles doivent être identifiées afin d’évaluer le risque.

Quelques exemples de menaces:

Les menaces géologiques, telles que les glissements de terrain, les tremblements de terre et les inondations

Les pirates informatiques téléchargent des logiciels malveillants sur un système

Actions des membres du personnel ou des associés

Encore une fois, même si vous êtes au-dessus de la moyenne en termes de conformité, vous pouvez n’avoir qu’une compréhension minimale des vulnérabilités et des menaces. Il est crucial de demander l’aide d’un professionnel pour votre évaluation des risques HIPAA.

Évaluer les mesures de sécurité actuelles

Demandez-vous quel type de mesures de sécurité vous prenez pour protéger vos données.

D’un point de vue technique, cela peut inclure le cryptage, l’authentification à deux facteurs et d’autres méthodes de sécurité mises en place par votre fournisseur d’hébergement HIPAA.

Puisque vous comprenez maintenant comment le PHI circule dans votre organisation, et pouvez mieux comprendre votre portée. Avec cette compréhension, vous pouvez identifier les vulnérabilités, la probabilité d’occurrence de la menace et le risque.

Déterminer la probabilité d’occurrence de la menace

Ce n’est pas parce qu’il y a une menace que cela aura un impact sur vous.

Par exemple, une organisation en Floride et une organisation à New York pourraient techniquement être touchées par un ouragan. Cependant, la probabilité d’un ouragan frappe la Floride est beaucoup plus élevé que New York. Ainsi, le niveau de risque de tornade de l’organisation basée en Floride sera beaucoup plus élevé que celui de l’organisation basée à New York.

Déterminer l’impact potentiel de l’occurrence de la menace

Quel effet un risque particulier que vous analysez aurait-il sur votre organisation?

Par exemple, alors qu’un patient dans la salle d’attente peut accidentellement voir PHI sur un écran d’ordinateur, il n’aura probablement pas l’impact qu’un pirate attaquerait votre Wi-Fi non sécurisé et volerait toutes vos données patient.

En utilisant des méthodes qualitatives ou quantitatives, vous devrez évaluer l’impact maximal d’une menace de données sur votre organisation.

Déterminer le niveau de risque

Les risques sont la probabilité qu’une menace particulière exerce une vulnérabilité particulière et l’impact qui en résulte sur votre organisation.

Selon le HHS, «le risque n’est pas un facteur ou un événement unique, mais plutôt une combinaison de facteurs ou d’événements (menaces et vulnérabilités) qui, s’ils se produisent, peuvent avoir un impact négatif sur l’organisation.

Alors décomposons toute la vulnérabilité, la menace et le risque. Voici un exemple:

Disons que votre système autorise des mots de passe faibles. La vulnérabilité est le fait qu’un mot de passe faible est vulnérable aux attaques. La menace est alors qu’un hacker pourrait facilement casser ce mot de passe faible et percer dans le système. Le risque serait le PHI non protégé dans votre système.

Tous les risques devraient se voir attribuer un niveau et être accompagnés d’une liste de mesures correctives qui seraient effectuées pour atténuer les risques.

Finaliser la documentation

Armé de la liste prioritaire de tous vos problèmes de sécurité, il est temps de commencer à les atténuer. En commençant par les risques les mieux classés, identifiez la mesure de sécurité qui résout ces problèmes.

Ecrivez tout dans un document organisé. Il n’y a pas de format spécifique requis, mais le HHS exige l’analyse par écrit.

Techniquement, une fois que vous avez documenté toutes les étapes que vous allez suivre, vous avez terminé l’analyse des risques.

Examen périodique et mises à jour de l’évaluation des risques

Il est important de se rappeler que le processus d’analyse des risques n’est jamais vraiment fait depuis qu’il est en cours.

Une exigence comprend la réalisation d’une analyse de risque sur une base régulière. Et bien que la règle de sécurité ne fixe pas de calendrier, vous devrez effectuer une autre analyse de risque chaque fois que votre société met en œuvre ou prévoit d’adopter de nouvelles technologies ou opérations commerciales.

L’essentiel est – une analyse des risques est fondamentale pour votre sécurité. Vous ne pouvez simplement pas être conforme HIPAA sans un. Si vous avez des astuces que vous aimeriez partager, nous sommes tout ouïe.