Aperçu
In today’s digital healthcare ecosystem, patient data represents both an invaluable asset for advancing care and a prime target for malicious actors. Electronic health records (EHRs), connected medical devices, telemedicine platforms, artificial intelligence tools, and third-party vendor relationships all contribute to an increasingly complex risk environment.
This course, “Healthcare Data Security & Risk Management,” introduces and equips healthcare IT professionals, compliance officers, risk managers, and healthcare administrators with the knowledge and skills to analyze, evaluate, and strengthen their organization’s data protection and risk management strategies. Over the span of four hours, learners will explore the regulatory, technical, and operational dimensions of safeguarding protected health information (PHI) and electronic PHI (ePHI).
The course is designed at an advanced level, demanding higher-order thinking—learners will analyze, evaluate, and create strategies to manage health data in real-world, high-risk scenarios. The course begins with a strong foundation in healthcare data protection fundamentals, including HIPAA Security Rule requirements, data classification, lifecycle management, and the principle of minimum necessary use.
This grounding ensures all learners can critically evaluate compliance obligations and data governance structures. This course is designed for healthcare IT professionals, compliance officers, cybersecurity analysts, risk managers, healthcare administrators, and professionals transitioning into healthcare security roles.
If you’re responsible for protecting patient data or managing regulatory risk, this course equips you with the frameworks and tools you need. Learners should have basic knowledge of healthcare IT systems and a general understanding of regulatory compliance.
Familiarity with cybersecurity concepts is helpful but not required; the course provides the context needed to apply security principles effectively in healthcare environments. By the end of the course, learners will not only understand compliance requirements and risks, but also synthesize knowledge into practical policies, risk management frameworks, and incident response strategies tailored to their organizations.
The course’s blend of conceptual videos, demonstrations, assigned readings, discussions, and hands-on lab activities ensures an engaging and applied learning experience.
Programme
- Introduction du cours
Dans ce cours, vous apprendrez à protéger les données sensibles des patients dans les systèmes de santé modernes en utilisant des méthodes claires et pratiques. Vous décomposerez les exigences réglementaires, analyserez des scénarios d'attaque réels et appliquerez des techniques pratiques pour sécuriser les Dossiers Médicaux Électroniques (DME), les dispositifs médicaux, les plateformes de télémédecine et les environnements basés sur le cloud. Grâce à des laboratoires étape par étape et des études de cas, vous évaluerez les menaces, construirez des plans de gestion des risques et pratiquerez des approches de réponse aux incidents basées sur la HIPAA et les cadres industriels. À la fin, vous serez en mesure de renforcer la posture de sécurité de votre organisation, de gérer les risques de santé avec confiance et de répondre efficacement aux violations dans le paysage de santé à haut risque d'aujourd'hui.
- Fondements de la protection des données de santé
Dans ce module, vous apprendrez comment les données de santé sont classées, gouvernées et protégées sous des réglementations strictes comme la HIPAA. Nous explorerons pourquoi les PHI et ePHI sont des cibles de choix, comment les règles de sécurité et de confidentialité façonnent les opérations quotidiennes, et à quoi ressemble le “minimum nécessaire” dans les flux de travail réels. Vous parcourrez également la gestion du cycle de vie des données, les risques d'ingénierie sociale et des moyens pratiques de renforcer la vigilance organisationnelle. À la fin, vous comprendrez les principes fondamentaux de conformité et de gouvernance qui ancrent chaque stratégie de sécurité de la santé efficace.
- Paysage des menaces de cybersécurité en santé
Dans ce module, vous examinerez les menaces évolutives qui placent les organisations de santé en risque constant. Nous aborderons les ransomwares, les menaces internes, les vulnérabilités de l'Internet des Objets Médicaux (IoMT) et les dangers émergents liés aux systèmes basés sur l'IA, montrant comment les attaquants exploitent les environnements cliniques et opérationnels. Vous explorerez également les contrôles de sécurité essentiels tels que la MFA, le moindre privilège, la segmentation et le Zero Trust, appliqués dans des scénarios spécifiques à la santé. À la fin, vous serez capable d'évaluer clairement les menaces et de concevoir des défenses pratiques qui équilibrent cybersécurité et sécurité des patients.
- Évaluation et gestion des risques en santé
Dans ce module, vous apprendrez comment évaluer et gérer les risques cybernétiques en utilisant des cadres tels que le NIST CSF, HITRUST et ISO 27001. Nous vous guiderons sur la création de matrices de risques, l'évaluation des vulnérabilités et l'analyse des expositions des fournisseurs et des tiers pouvant compromettre les systèmes de santé. Vous explorerez également des méthodes de surveillance continue, des KPIs et KRIs aux tableaux de bord qui soutiennent la prise de décision exécutive. À la fin, vous serez capable de développer des plans de gestion des risques structurés et défendables adaptés aux environnements de santé.
- Réponse aux incidents et gestion des violations
Dans ce module, vous apprendrez comment les organisations de santé se préparent à, détectent et répondent aux incidents cybernétiques et aux violations de données. Nous décomposerons les composants d'un plan de RI, explorerons les techniques de criminalistique numérique et parcourrons les stratégies de récupération qui minimisent les temps d'arrêt sans compromettre les soins aux patients. Vous examinerez également les règles de notification des violations HIPAA, les considérations légales et des études de cas réelles montrant comment les violations se déroulent. À la fin, vous serez capable de concevoir et d'évaluer des plans de réponse aux incidents et de gestion des violations qui répondent aux attentes réglementaires et protègent la confiance des patients.
- Conclusion du cours
Dans ce module de clôture, vous mettrez en action tout ce que vous avez appris à travers une simulation pratique de sécurité de la santé. Vous évaluerez les risques, examinerez un profil de fournisseur, rédigerez un plan de réponse aux incidents et déterminerez les étapes de notification de violation HIPAA. En complétant des artefacts pratiques tels qu'un registre des risques et un plan de RI, vous terminerez le cours avec des compétences concrètes que vous pourrez appliquer immédiatement en cybersécurité de la santé.
Enseigné par
Joy Ardanaz and Starweaver
Matières
Information Security (InfoSec)
