Incluso con la mayor visibilidad de los esfuerzos de seguridad cibernética en los sistemas de salud de EE. UU., impulsados, por supuesto, por la mayor vulnerabilidad de esas organizaciones a los ciberdelincuentes cada vez más descarados, la seguridad de la información a menudo todavía se considera una preocupación secundaria en comparación con la misión principal de la prestación de atención médica. .
Pero esa no es la mentalidad correcta, como explicarán dos directores de información en HIMSS23 en Chicago el próximo mes.
En su panel de discusión, “La ciberseguridad como imperativo para lograr los objetivos estratégicos de su organización”, Bill Hudson, CIO de Integris Health, y Sonney Sapra, CIO de Samaritan Health Services, argumentarán que, incluso con los presupuestos de ciberseguridad en aumento, demasiados líderes de TI todavía no ven cómo la madurez de la seguridad de la información es clave para lograr los objetivos estratégicos.
“Dejar la seguridad cibernética fuera de las discusiones para planificar y ejecutar iniciativas transformadoras aumenta el riesgo operativo por oportunidades perdidas para respaldar elementos operativos fundamentales como el rendimiento, la garantía, el cumplimiento y la resiliencia”, dicen al describir la sesión, cuyo objetivo es explorar por qué la estrategia La importancia de la seguridad a menudo se pasa por alto, y explique cómo integrarla en los planes estratégicos, desde el directorio hacia abajo.
Hablamos con Hudson recientemente sobre cómo abordar la ciberseguridad como un requisito fundamental para toda la empresa.
P. Entonces, ¿esta será una charla sobre el valor estratégico más amplio de la ciberseguridad, contada desde la perspectiva del CIO, en lugar de la del CISO? ¿Cuáles son algunas claves para entender ese imperativo?
A. Hay muchas cosas técnicas que puede hacer en torno a la seguridad. Hay muchos problemas operativos en torno a la seguridad. Pero creo que muchas veces no dedicamos tanto tiempo como necesitamos a unirnos al resto de la organización, para ayudarlos a comprender el “por qué” de la misma.
Muchos de nuestros equipos de seguridad tienden a ser bastante técnicos. Y no hay nada de malo en eso. Pero creo que ayudar a la organización a comprender la importancia de la ciberseguridad y la adherencia, y comprender el razonamiento del proceso, realmente ayuda a descansar a la organización, ayuda a fomentar prácticas y estándares para garantizar que nos mantengamos seguros y protegidos.
“Si piensa en la seguridad desde el principio, hace una gran diferencia en términos de cómo puede respaldarla”.
Bill Hudson, Integris Salud
P. Usted nota que, especialmente desde la pandemia, los sistemas de salud están implementando más y más herramientas digitales cada día. ¿Qué tan importante es construir seguridad desde cero mientras implementa estas tecnologías dispares?
A. Necesitas tener un diseño desde el principio. Pienso que hemos operado de manera atornillada en los últimos años. Y a medida que evolucionan los riesgos, creo que siempre vamos a tener que seguir ajustando las cosas al marco. Pero tanto como sea posible, desde el punto de vista del diseño, asegúrese de que cualquier cosa que haga y construya el diseño no solo incluya al equipo de seguridad, sino también al equipo de infraestructura, el equipo operativo, en términos de cómo será una herramienta. utilizado, cómo se va a acceder. Si piensa en la seguridad desde el principio, hace una gran diferencia en términos de cómo puede respaldarla.
Hay muchas herramientas que hemos incorporado al entorno en los últimos años, lo que aumenta el riesgo. Algunas de ellas son herramientas basadas en la web o herramientas basadas en la nube que ayudan en las instalaciones. Pero la naturaleza misma de una herramienta basada en la nube introduce una cierta cantidad de riesgo.
Entonces, tener esa base, asegurarse de diseñar para la seguridad desde el principio y comprender qué necesidades operativas debe satisfacer, lo ayuda básicamente a diseñarlo de manera que, cuando lo haga, en algún momento tenga que agregar algo adicional al entorno. , puede hacerlo en un marco seguro.
P. Usted sugiere que tratar la seguridad cibernética como una ocurrencia tardía aumenta el riesgo estratégico por las “oportunidades perdidas” para respaldar el “desempeño, la garantía, el cumplimiento y la resiliencia”. ¿Podrías explicar un poco más?
A. En el pasado, creo que hemos tratado esto de muchas maneras como algo en lo que el equipo de seguridad debe concentrarse. Pero cada vez más, debido al trabajo en torno al cumplimiento y las regulaciones federales, el trabajo que tenemos que hacer para asegurarnos de cumplir con nuestros acuerdos de pago, el gobierno federal ha cambiado las reglas. Se trata menos de algo que un equipo puede hacer y más de algo que debe abordarse como una organización en su conjunto.
Cuando me siento en nuestras reuniones de cumplimiento, hay representantes de recursos humanos, así como del equipo legal y de cumplimiento, en nuestras conversaciones de seguridad. Incluso hace unos años, no hubieras tenido a alguien de recursos humanos, no habrías tenido a nadie de estrategia en esa mezcla. La naturaleza misma de cómo se genera la seguridad en las operaciones requiere un conjunto diferente de personas en la mesa. Se ha convertido más en un deporte de equipo.
P. ¿Cómo trabaja con su CISO? Sé que varía en diferentes organizaciones. A veces reportan al CIO, a veces son colegas. ¿Cuál es la estructura en Integris Health, y con qué frecuencia están reuniendo sus ideas y comparando notas?
A. El CISO me informa en este caso. Esta es alguien con quien he trabajado durante varios años, y tiene una formación muy sólida. Mi función es ayudar a garantizar que ella y su equipo entiendan la dirección estratégica y operativa de la organización.
Obviamente ella me mantiene informado de los riesgos de los que debemos preocuparnos. Vamos a presentar aquí al comité de auditoría la próxima semana sobre la seguridad cibernética como una educación para la junta, así como una actualización de nuestro plan de seguridad cibernética, porque eso es algo en lo que la junta definitivamente está interesada.
Pero es realmente una asociación. Independientemente de si ella me reporta a mí, realmente se trata de asegurarme de que pueda ayudarla a tener su voz y estar conectada con el resto de la organización y ser consciente de la dirección en la que nos dirigimos para que ella pueda planificarla.
Eso incluye adquisiciones y alianzas estratégicas, eso son asociaciones, y su papel es a) asegurarse de que estemos seguros, pero también asegurarse de que realmente estoy planificando y adaptándome a las limitaciones presupuestarias y de personal, y asegurándome de que vamos para poder adaptarse a las amenazas actuales.
Así que es en gran medida una asociación. Esto es algo que tenemos que hacer juntos para asegurarnos de que se haga de la mejor manera posible.
P. Obviamente, Integris tiene visión de futuro cuando se trata de obtener la aceptación de toda la empresa, pero no todos los sistemas de salud lo son. ¿Cuáles son algunas claves, como líderes de TI, para involucrar a otras partes interesadas en el objetivo más amplio de la ciberseguridad?
A. Ha habido algunas alertas nacionales de CISA en las últimas semanas sobre las amenazas a la atención médica. Pero no quiero sonar sensacionalista, como si el cielo se estuviera cayendo. Existe la posibilidad de que la organización se acostumbre a ello.
Creo que es importante tener una conversación, en lenguaje operativo y lenguaje humano, y decir cosas como: “Vamos a tener un mal día en algún momento. Nunca podré gastar suficiente dinero para hacer seguro de que estamos 100% protegidos contra riesgos. Nuestro trabajo es minimizar ese riesgo tanto como sea posible, y así es como vamos a hacer eso y a tener esa conversación sobre una asociación”.
Cuando hablamos de las cosas que están emergiendo como un riesgo, es más como, “Oye, queremos que seas un poco más cuidadoso esta semana. Queremos que seas consciente, queremos que, durante una reunión, compartas esto con sus equipos Estas son cosas que nos preocupan “.
Cuando tienes esa conversación de una manera muy tranquila, estos son riesgos, así es como los vamos a mitigar, así es como voy a trabajar contigo y cómo te voy a mantener informado de lo que está pasando. on – cambia el tono.
Hudson y Sapra ofrecerán más perspectiva en su panel de discusión, “La ciberseguridad como un imperativo para lograr los objetivos estratégicos de su organización”. Está programado para el martes 18 de abril de 1:30 p. m. a 2:30 p. m. en el edificio sur, nivel 4, salón S406 B.
