Click qui per scaricare il Case Study di ScienceSoft | Click qui per accedere al Case Study sul sito di ScienceSoft
Le informazioni sanitarie protette elettroniche (ePHI) sono informazioni sanitarie protette (PHI) che vengono prodotte, salvate, trasferite o ricevute in forma digitale.
Qualsiasi organizzazione o società che gestisce direttamente ePHI deve attenersi alle linee guida GDPR durante la gestione di ePHI.
Ciò include i dati ePHI a riposo nonché i dati ePHI in transito.
Sebbene i sistemi di reconice non gestiscano dati sensibili, perché il testo del referto i nostri software non li associano ai dati del paziente, dall'acquisizione della ISO 27001 si è posta l'obiettivo di garantire comunque riservatezza, integrità, disponibilità ecc, di tutti i dati che temporaneamente transitano sui nostri sistemi come per i sistemi che gestiscono ePHI dei quali il nostro sottosistema è ospite.
Ciò include l'identificazione dei rischi e la protezione contro le minacce alla sicurezza o all'integrità delle informazioni.
Pertanto, reconice
- Identifica e analizza i potenziali rischi per e-PHI implementando misure di sicurezza che riducono i rischi e le vulnerabilità.
- Implementa politiche e procedure per l'accesso basato sui ruoli ad e-PHI.
- Ha prodotto un Codice Etico e di Condotta Aziendale cui si devono attenere tutti i dipendenti e collaboratori.
- Esegue valutazioni periodiche per determinare in che misura le politiche e le procedure di sicurezza soddisfino i requisiti della norma GDPR.
- Limita l'accesso fisico alle strutture garantendo comunque che l'accesso autorizzato sia consentito.
- Implementa politiche e procedure che specifichino l'uso corretto, il trasferimento, la rimozione e lo smaltimento dei media elettronici.
- Implementa politiche e procedure tecniche che consentano solo alle persone autorizzate di accedere ad eventuali dati sensibili.
- Implementa meccanismi hardware, software e/o procedurali per registrare e analizzare l'attività nei sistemi informativi che contengono o utilizzano dati sensibili.
- Implementa politiche e procedure per garantire che il dato non possa essere alterato o distrutto in modo improprio.
- Implementa misure tecniche di sicurezza, come la crittografia, che proteggono dagli accessi non autorizzati durante il trasferimento dei dati.
- Tutti i dipendenti e collaboratori sono formati e costantemente aggiornati sulle regole sulla privacy/sicurezza e su come proteggere l'organizzazione da attacchi informatici attraverso sessioni di formazione, simulazioni di phishing, riconoscimenti delle politiche di sicurezza, monitoraggio, e altro ancora.
Reconice ha quindi scelto di verificare lo stato della sicurezza, sia degli applicativi che dell'organizzazione, affidandosi all'azienda leader nel settore della Cybersecurity, ScienceSoft.
Portando una vasta esperienza nella sicurezza informatica e nell'IT sanitario, il team di ScienceSoft ha ideato un piano su misura e condotto test di penetrazione dei sistemi di riconoscimento vocale di reconice, in particolare sul nuovo applicativo Dycendo. Avendo informazioni molto limitate sull'applicazione, gli esperti di sicurezza informatica di ScienceSoft hanno imitato un attacco mirato di hacking nella vita reale, sia utilizzando strumenti che realizzandone ad hoc.
Reconice ha potuto così verificare ogni vulnerabilità emersa, ed implementando un piano di mitigazione completo, ha superato tutti i test di sicurezza effettuati.
Assicura ora la sicurezza dell'applicazione e contribuisce a proteggere gli ePHI creati dai suoi clienti da accessi indesiderati, furti, cancellazioni, ecc.
Per controllare l'infrastruttura IT di Reconice contro le minacce informatiche, il team di esperti di sicurezza informatica di ScienceSoft ha condotto diversi tentativi di penetrazione senza che fossero note alcuna informazione sul cliente e le attuali politiche di sicurezza e protezione della rete.
Il test di ScienceSoft ha fornito tutti gli elementi perché sia garantita l'eliminazione di qualsiasi rischio.
Poiché i dipendenti possono essere un importante fattore di rischio per la sicurezza informatica, inoltre, il team di esperti di ScienceSoft ha deciso di simulare un attacco di phishing contro il personale del Cliente. La campagna, durata diversi giorni, ha consolidato la consapevolezza della sicurezza informatica dei suoi dipendenti, in particolare, la capacità di riconoscere e resistere alle tecniche di ingegneria sociale.
L’amministratore Marco Biraghi: "In Italia stiamo assistendo a diversi attacchi informatici di alto profilo; un promemoria duro e crudele che la sicurezza non dove mai essere un ripensamento. Per questo ci siamo affidati a ScienceSoft per tutte le verifiche necessarie per garantire i massimi livelli di sicurezza e fornire ai nostri clienti una soluzione su cui possano fare totale affidamento.
Grazie ai test di penetrazione condotti dal team di ScienceSoft, ora possiamo identificare e agire sulle minacce in una fase iniziale, di analisi e design, proteggendo i nostri clienti anche dal minimo inconveniente."