ความทันสมัยของวิธีการเสี่ยงที่สามของการดูแลสุขภาพ
โดย Ryan Redman, JD
Ryan Redman, JD เป็นผู้จัดการผลิตภัณฑ์สำหรับการตลาดที่ Onspring–
การประกาศของ Oracle Health เกี่ยวกับข้อมูลที่สองของเขาในเดือนมีนาคมปีนี้ทำให้ผู้ให้บริการด้านการดูแลสุขภาพและลูกค้าตกใจ สิ่งที่น่าตกใจยิ่งกว่าคือข้อมูลเฉพาะที่ได้รับผลกระทบจากโครงสร้างพื้นฐานท้องฟ้าดั้งเดิม
ตามข้อมูลที่เปิดเผยต่อสาธารณะโดยประมาณ 6 ล้านรายการที่มีข้อมูลสุขภาพที่ได้รับการป้องกัน (PHI) อาจถูกบุกรุกแม้จะมีความพยายามของ Oracle ที่จะลดความรุนแรงของการประนีประนอมที่อาจเกิดขึ้น ผลที่ตามมาทำให้โรงพยาบาลดิ้นรนเพื่อระบุข้อมูลที่มีช่องโหว่เนื่องจากเหตุการณ์เตือนเจ้าหน้าที่การปฏิบัติตามกฎระเบียบเกี่ยวกับความท้าทายในการพิจารณาข้อมูลทั้งหมดที่อยู่นอกการกำกับดูแลส่วนกลางรวมถึงโครงสร้างพื้นฐานที่เก่ากว่าเมื่ออธิบายความเสี่ยงของบุคคลที่สาม
ผู้เชี่ยวชาญด้านการดูแลสุขภาพจำนวนมากเหล่านี้ต้องพึ่งพากลยุทธ์ความเสี่ยงที่สามที่มีการมองเห็นที่ จำกัด ในเครือข่ายของผู้รับเหมาพันธมิตรและโฮสต์ของสภาพแวดล้อมที่พวกเขาได้รับมอบหมายให้จัดการ นอกเหนือจากการประนีประนอมข้อมูลเกี่ยวกับโครงสร้างพื้นฐานที่มีอายุมากกว่าเหตุการณ์ไซเบอร์ของ Oracle เปิดเผยการสังเกตที่เป็นอันตรายในวิธีที่องค์กรด้านสุขภาพจัดการเงื่อนไขที่สาม ภายใต้ทีมงานด้านการดูแลสุขภาพจะต้องนำเครื่องมือ GRC แบบบูรณาการแบบเรียลไทม์ที่เพิ่มการมองเห็นลดการทำงานด้วยตนเองและเปิดใช้งานการตอบสนองต่อความเสี่ยงเชิงรุกเพื่อปิดช่องว่างนี้และปกป้องข้อมูลของพวกเขา
อันตรายที่ซ่อนอยู่ของโครงสร้างพื้นฐานที่มีอายุมากกว่าและกลยุทธ์ความเสี่ยงที่สามที่ล้าสมัย
มันเป็นเรื่องง่ายสำหรับระบบเก่าที่จะตกอยู่ในถนนภายในเครือข่ายที่ซับซ้อนของระบบที่มีความซับซ้อนของระบบที่ใช้งานอยู่ซึ่งครอบคลุมแพลตฟอร์มภายในแพลตฟอร์มภายนอกและข้อมูลคลาวด์โฮสต์ การใช้งานที่สามเพิ่มความเสี่ยงที่สำคัญเท่านั้น ในกรณีของออราเคิลเซิร์ฟเวอร์ยังไม่ได้ย้ายไปยังสภาพแวดล้อมใหม่ของ บริษัท อย่างเต็มที่ซึ่งทำให้ผู้โจมตีใช้ประโยชน์จากข้อมูลรับรองที่ถูกบุกรุกเพื่อเข้าถึงระบบเหล่านี้ ทีมมองข้ามสิ่งที่ดูเหมือนจะล้าสมัยโครงสร้างพื้นฐานการนอนหลับ นักแสดงที่ไม่ดีเข้าถึงข้อมูลที่ละเอียดอ่อนและวิธีการประเมินแบบดั้งเดิมไม่สามารถตรวจจับความเสี่ยงนี้ได้
องค์กรด้านสุขภาพมีผลกระทบร้ายแรงสำหรับการปฏิบัติตามบุคคลที่สามที่ไม่ได้ปกป้องข้อมูลผู้ป่วยไม่ว่าจะเกิดจากการเข้าถึงที่กำหนดค่าผิดพลาดช่องโหว่ที่ไม่ได้รับคำตอบหรือระบบที่ถูกทอดทิ้ง ภายในปี 2567 ภาคสุขภาพกลายเป็นอุตสาหกรรมที่มีเป้าหมายมากที่สุดสำหรับการละเมิดข้อมูลพิสูจน์ให้เห็นว่าการประเมินความเสี่ยงที่สาม -ไม่ได้ลดลง มักจะดำเนินการอย่างสม่ำเสมอเท่านั้นและเกี่ยวข้องกับการสอบ e -mail สเปรดชีตและรายการที่ตัดการเชื่อมต่อส่งผลให้ชั่วโมงการทำงานด้วยตนเองและให้มุมมองที่ จำกัด และมีความเสี่ยงแบบคงที่ วิธีการที่ล้าสมัยล้มเหลวในการจับช่องโหว่ใหม่ในระบบเก่าเมื่อเวลาผ่านไป ความเสี่ยงมักเกิดขึ้นเมื่อมีการตรวจสอบการปฏิบัติตามกำหนดเวลาต่อไปซึ่งหมายความว่าข้อมูลที่ละเอียดอ่อนได้ถูกเลื่อนออกไปแล้ว
ห้าขั้นตอนสำคัญในการปรับปรุงการปฏิบัติตามด้วย
องค์กรด้านสุขภาพจะต้องแทรกแซงเพื่อเสริมสร้างความเสี่ยงที่สามของพวกเขาและการกระทำต่อไปนี้สามารถช่วยเปลี่ยนนโยบายให้เป็นจริง
- สร้างแหล่งเดียวของความจริงเพื่อพิสูจน์และเอกสาร สถานีรถไฟที่ปลอดภัยและเป็นศูนย์กลางทำให้มั่นใจได้ว่าวัสดุที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบขององค์กรนั้นมีการควบคุมเวอร์ชันและพร้อมใช้งานเสมอ
- ติดตามและจำแนกประเภทการรวมและการนัดหมายที่สาม กรณีการใช้งานที่แตกต่างกันกับบุคคลที่สามเดียวกันสามารถมีระดับความเสี่ยงที่แตกต่างกัน ข้อความที่ชัดเจนพร้อมบริบทในระดับความมุ่งมั่นสนับสนุนการจำแนกและการมองเห็นที่แม่นยำยิ่งขึ้น
- ให้คะแนนความเสี่ยงโดยอัตโนมัติและตรวจสอบรอบ แบบจำลองการให้คะแนนที่กำหนดค่าได้ตามกรอบการกำกับดูแลช่วยให้มืออาชีพที่มีการปฏิบัติตามข้อกำหนดอย่างสม่ำเสมอเพื่อประเมินความเสี่ยงที่สามโดยไม่มีกระบวนการบริโภคด้วยตนเอง
- ย้ายจากการทบทวนเป็นระยะไปสู่การกำกับดูแลอย่างต่อเนื่อง การทบทวนเป็นระยะทำให้ช่องว่างที่สำคัญในการควบคุมความเสี่ยง การเตือนภัยจริงเวลาผ่านธงเฝ้าระวังอย่างต่อเนื่องเมื่อคะแนนความเสี่ยงเพิ่มขึ้นตามการค้นพบใหม่
- พัฒนาแผนการตอบสนองสำหรับความเสี่ยงที่สาม องค์กรควรทดสอบอย่างสม่ำเสมอแม้กระทั่งโปรแกรมความเสี่ยงที่ครอบคลุมที่สุดผ่านการออกกำลังกายหรือการจำลองแบบตาราง
ในที่สุดการรักษาความไว้วางใจเป็นสิ่งสำคัญในการปฏิบัติตามและการสูญเสียมันมาถึงค่าใช้จ่ายที่มากเกินไป