Warum Informationssicherheit sollte in jedem Krankenhaus CEOs No. 2-Priorität (zumindest jetzt)
Gesundheitssysteme wurden underinvesting in der Informationssicherheit seit einem Jahrzehnt, einige sogar mehr, aber die Bedrohungslage hat jetzt einen kritischen Punkt erreicht. Hacker, Cyberkriminelle und Nationalstaaten sind zunehmend anspruchsvoll, und haben Zugang zu den gleichen cutting-edge machine-learning-Technologien, security-teams nutzen, um Ihre Daten schützen können. Malware wurde offensiver. Grimmig, es ist kein Ende in Sicht.
Aber, wie man aus heutiger unterfinanziert und Risiko-gefüllt Wirklichkeit zu einem sicheren zukünftigen Zustand in der kurzen Ordnung?
Es beginnt mit dem verschieben infosec weiter oben auf der CEO-agenda – etwas, das aller Wahrscheinlichkeit nach ein schwieriges Manöver, aber eine transformative.
Information security: Warum machen es die Priorität No. 2
Crafting Pläne für eine neue Roboter-Chirurgie-Anlage? Splurging auf der modernen imaging-Systeme oder die Schaffung eines künstlichen-Intelligenz-command-center? Spannend, aber möchten Sie vielleicht, um backburner diese Vorhaben – ja, auch diejenigen, die einen klaren Weg der ROI – und, stattdessen, gelten die genug Ressourcen hat, um schließlich stärken Sie Ihre Informationen Sicherheitslage ersten.
„Sicherheit ist wichtig genug, um über alles andere“, sagte David Chou, ein veteran hospital-Geschäftsführer, der derzeit Vice President und principal analyst bei Constellation Research. „Healthcare-Kunden wollen sich sicher fühlen. Schauen Sie bei Facebook und Marriott. Die Menschen fühlen sich nicht sicher. So, jetzt diese Gelegenheit nutzen, um Ihnen das Gefühl, sicher, vor allem, wenn Sie in einer vertikalen, über das retten von Menschen das Leben.“
In der Tat, die Sicherheit von Informationen ist über mehr als nur die Vermeidung von Datenmissbrauch; es ist ein Patienten-Sicherheits-Problem, und eine soziale Verantwortung. Beide werden immer häufiger refrains in cybersecurity Diskussionen in diesen Tagen.
Richard Staynings, ein cybersecurity evangelist mit Clearwater Compliance und HIMSS Cybersecurity Mitglied des Ausschusses einig, dass die Patientensicherheit muss oberste Priorität für CEOs.
„Cybersecurity ist, wie es oder nicht, ein wesentlicher Bestandteil der Patientensicherheit ist nun,“ Staynings Hinzugefügt. „Vergessen Verstöße gegen die Vertraulichkeit. Diese Schlacht ist bereits verloren mehrere Male über die neue Schlacht Linien sind über Verfügbarkeit Ausfallsicherheit zu widerstehen, die einen Angriff – und der Integrität von Gesundheitsdaten.“
Das heißt, Chou erkennt, dass die meisten CEOs gehen, um Rang Aufrechterhaltung einer marktbeherrschenden Stellung oder wachsenden Marktanteil über infosec -, mit der Dritten Priorität, um ein neues Betriebsmodell für die ära des Konsums.
In der Tat, immer infosec-in, der zweite slot ist genau das, wo die Dinge kompliziert.
CEOs müssen überzeugt sein von dieser Idee
Der CEO und der Verwaltungsrat kann eine andere Perspektive als der CISO oder rechts-und compliance-teams.
„Ehrlich gesagt, cybersecurity-Reihen bei weitem nicht die Nummer 2 auf der CEO-Ebene. Noch sollte es“, sagte James Doulgeris, CEO von Osler Gesundheit. „Die Verantwortung gehört zu den CIO oder CTO. Es sollte Ihre Nummer 2 oder Nummer 1. Das einzige mal, so etwas trifft einen CEO top fünf ist, wenn die person, die verantwortlich ist, die nicht Ihre Arbeit tun.“
Und wenn ein cyber-Vorfall hat den Gipfel erreichen, es ist teuer. Im letzten Monat, zum Beispiel, nachdem es entdeckt wurde, dass 4,5 Millionen Patientendaten der UCLA Gesundheit verletzt wurden, das system beigelegt für $7,5 Millionen – 2 Millionen US $für die Klasse Aktion die Ansprüche und $5,5 Millionen Euro wird Sie investieren, um die Netzwerksicherheit zu verbessern.
„Es kommt wirklich darauf an, bekommen Sie eine Verletzung und erkennen, dass die Verletzung-und plötzlich entdecken Sie, wie viel Belastung, die Sie haben, indem er nicht die Schaffung einer stabilen Sicherheits-Programm?“, sagte Adam Greene, partner bei der Kanzlei Davis Wright Tremaine.
Nur erwarten Sie nicht Angst, Sie zu überzeugen viele Vorstände. Trotz der nahezu Konstanten Strom von Datenschutzverletzungen und multi-Millionen-dollar-Strafen, nicht zu erwähnen, Schaden dem Ruf einer Marke sowie soft-und Humankapital Aufwendungen, die Taktik funktioniert selten.
„Sicherheits-Führer muss sich aus Sicht der Unternehmen, nicht der Angst, was passieren könnte oder was passiert ist, zu der Mann von nebenan“, sagte Marin Allgemeinen CISO Jason Johnson. „Die Angst selbst ist nicht mehr motivierend Ausgaben rund um Informationssicherheit. Diese Zeiten sind vorbei.“
Das business-Perspektive kann durch kommen, aber wenn Geschäftsführer haben kaum eine andere Wahl, aber um einen Vorrang vor einem anderen, wenn auch nur, weil ein single-Haushalt-Zyklus konnte ein langer Weg in der Förderung der Sicherheit der Arbeit.
Drehen Sie die upside-down-Kultur
Da die Sicherheit nur einer unter vielen Tagesordnungspunkte, auch für CIOs, CTOs und CISOs, den ersten Platz zu konzentrieren, in der nahen Zukunft ist das menschliche Verhalten.
„To beef up Ihr Programm für die Sicherheit, die Sie zu lösen haben, die das menschliche Verhalten problem,“ Chou sagte. „Das heißt, drehen die Kultur, den Kopf und denken über Sicherheit so aggressiv wie viele Krankenhäuser konzentrieren sich auf das Händewaschen. Das gleiche Bestreben hat, dort zu sein für jeden Mitarbeiter.“
[RSA 2019: Ein insider-Blick auf die premier cybersecurity-Konferenz]
Die dringende Notwendigkeit für CEOs priorisieren die Sicherheit ist jetzt über die Beherrschung der Grundlagen. Staynings wies auf die Netzwerk-Segmentierung und-Weg von der Steuerelemente-basierten Risiko-Analyse zur asset-basierte Risikoanalyse nach NIST SP800-30 gibt an, um besser zu verstehen, werden das versicherungsmathematische Risiko innerhalb von IoT, medizinische Geräte, Krankenhaus-Gebäude-management-Systeme, als zwei klare Beispiele.
Die ist nicht zu vermuten, dass das problem jemals vollständig gelöst.
„Es ist eine sich ständig bewegende Ziel, das erfordert eine konsequente überwachung, Verfeinerung und Investition“, erklärt Johnson.
Ein Grund mehr CEOs sollten ratchet, es auf Ihre to-do-Liste heute.
Was wird überzeugen CEOs priorisieren infosec?
„Unsere Patienten können sich nicht sorgen darüber, wie sicher Ihre Daten sind, wenn Sie zu Fuß durch unsere Türen benötigen ärztliche Hilfe“, sagte Marin General Johnson. „Es sollte die Letzte Sache auf Ihrem Verstand.“
Doch, das Gesundheitswesen als eine Branche leidet, was Staynings beschrieben, wie eine große Diskrepanz zwischen der Patientensicherheit und effektive Sicherheits-Steuerungen verfügbar heute, zum Schutz gegen infosec-Bedrohungen.
Vieles stammt aus underinvesting auf Sicherheit und betrachten es als ein cost-center oder die Kosten der Vermeidung, statt als enabler von Innovationen, die helfen können, Krankenhäusern Voraus für Patienten und die Sicherheit.
In der Tat, dass die Art von Zukunftsvision bedeutet CEOs haben, zu rüsten heute die Liste der unmittelbaren Bedürfnisse zu bestärken, Ihre Sicherheitslage durch die Arbeit mit und Pflege Ideen von security -, IT und operations Führungskräfte gleichermaßen.
„Sicherheit muss höher priorisiert über Gesundheitswesen, aber es kann ein paar Todesfälle unter den Patienten, bevor CEOs aufwachen und riechen Sie den Kaffee, die Patienten-Sicherheit und cybersecurity sind jetzt untrennbar miteinander verbunden,“ Staynings sagte. „Geben ärzte sichere IT-Systeme zu diagnostizieren und behandeln die Patienten heute.“
Lesen Sie mehr Innovation Puls Spalten von Healthcare-IT-News.
Twitter: @SullyHIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.