Est-il acceptable que notre entrepreneur en support informatique se connecte à distance sans autorisation?
Nous sommes une entreprise informatique de santé. Ma machine a PHI dessus. Notre entrepreneur informatique m'a demandé verbalement s'il pouvait se connecter à distance pour réparer mon imprimante. Je m'attendais à une sorte d'Invite pour le permettre mais il était juste dedans. Une forme de VNC je suppose.
Est-ce correct? En ce qui concerne HIPAA?
La HIPAA n'aborde pas les détails de la politique, l'essentiel étant que l'organisation doit avoir suffisamment de contrôles en place pour protéger les données. Il n'y a rien d'intrinsèquement mauvais avec une prise de contrôle impromptue du point de vue HIPAA, tant que d'autres contrôles (authentification, autorisation, listes de contrôle d'accès, journalisation et audit des accès, logiciel anti-programme malveillant sur le PC d'assistance, accords juridiques en place entre l'organisation d'assistance et votre organisation, etc.) sont en place.
Donc, sans savoir ce que votre organisation a en matière de politiques, processus et procédures de sécurité informatique, il n'y a aucun moyen de le savoir.
Quant à savoir si les reprises spontanées sont une bonne chose, non, elles ne le sont pas. Vous voulez vraiment avoir un avertissement lorsque quelqu'un prend le contrôle de votre PC ou même regarde votre écran.
Vous n'avez en fait pas fourni suffisamment de détails pour dire d'une manière ou d'une autre. Le fait que vous n'ayez pas vu d'invite d'authentification n'empêche pas d'en être une.
Les outils d'accès à distance I à utiliser dans mon travail (qui traite également de HIPAA) exigent tous les deux que je m'authentifie avec mes informations d'identification d'administrateur de domaine et n'invitent pas les utilisateurs à accepter la connexion, car je les ai configurés de cette façon.
En utilisant le retraitement préféré de l'auteur dans le commentaire:
Est-il acceptable que notre entrepreneur en support informatique puisse se connecter à distance sans autorisation?
Dans des circonstances normales, oui.
Parlons des mots clés spécifiques.
à distance: en supposant que vous ne travaillez pas à domicile, n'oubliez pas que les administrateurs informatiques peuvent s'asseoir sur votre chaise à la fin de la journée et se connecter à vos postes de travail, installer des mises à jour et recréer l'image de votre ordinateur après vous quittez l'entreprise. Ils ont déjà un accès complet à votre ordinateur et peuvent (généralement) tout voir dessus. Il est possible qu'ils aient également accès aux bases de données et aux dossiers de santé de l'entreprise, et il n'y a donc probablement rien qu'ils pourraient voir sur votre écran pendant une session à distance auquel ils n'auraient pas déjà accès en dehors de la session à distance, s'ils décidaient de le voir. Si tel est le cas, alors demander votre autorisation avant de reprendre votre ordinateur pourrait être considéré comme davantage une courtoisie qu'une obligation légale.
Entrepreneur: De nombreux entrepreneurs travaillent comme une extension de l'entreprise et doivent signer les divulgations NDA, HIPAA, suivre une formation et suivre les mêmes règles et lois en matière de sécurité, de confidentialité et d'éthique que tous les employés faire. Même dans une situation où un entrepreneur n'a pas été invité à signer quoi que ce soit, cela ne leur accorderait pas la permission d'enfreindre la loi.
Remarque: ces déclarations sont des généralisations qui peuvent s'appliquer à l'industrie des soins de santé, mais ne s'appliquent pas nécessairement à toutes les industries. Par exemple, dans l'industrie de la défense, vous ne pouvez pas permettre à un informaticien de se connecter à distance à une machine sans intervention de l'utilisateur au cas où l'utilisateur visualise un document qui est au-dessus du niveau d'autorisation de l'informatique. (Bien que ce ne soit pas un problème s'il y a des salles dédiées avec des machines spécifiquement pour visualiser les documents top secrets.)
Cela dépend fortement du pays dans lequel vous vivez, car il s'agit davantage d'une question juridique. Dans certains États, cette approche est juridiquement correcte si vous l'avez signée dans votre contrat de travail, d'autres interdisent complètement cette procédure en raison de la politique de confidentialité.