«Давление усиливается»: стратегии и образ мышления лидерам необходимо оставаться готовыми к аудиту

Когда дело доходит до аудита кибербезопасности, это новый стандарт. Если когда-то это было редким событием, то теперь такие организации, как Main Line Health, привыкли к неожиданным посетителям, будь то CMS, FDA, CISA или любое количество агентств. «Нас постоянно проверяют, как внутри, так и снаружи, чтобы убедиться, что мы соблюдаем нормативные требования», — сказал директор по информационной безопасности Аарон Вейсманн во время панельная дискуссия.

По словам Криса Логана (главного директора по безопасности Censinet), который также выступал в качестве участника дискуссии вместе с Робом Марти (вице-президентом по разработке решений и техническим директором по эксплуатации Tausight), аудиты приближаются жестко и быстро, и руководители, по понятным причинам, чувствуют накал страстей. ). «Необходимо знать, что происходит в вашей среде, и иметь возможность быстро уведомлять инвесторов и регулирующие органы, чтобы обеспечить подотчетность».

И, как отмечают эксперты, вопросы задают не только руководящие органы. Директора по информационной безопасности и другие руководители должны отвечать перед поставщиками EHR, компаниями по киберстрахованию и даже перед членами организации, включая членов совета директоров и клиентов.

«Поскольку мы внедряем новые технологии, правление обязательно задает вопросы о том, что произойдет в случае атаки программы-вымогателя», — сказал Вейсманн. «Каждый клиент спрашивает меня, что я делаю для защиты его информации. Меня бомбардируют не только регулирующие органы».

Это может быть весьма ошеломляющим. Итак, возможно, лучший выход — не пытаться съесть весь пирог сразу, а разрезать его на удобоваримые кусочки.

«Нет недостатка в надзоре»

Первый шаг — сосредоточиться на том, что ищут аудиторы, а это, по словам Вейсмана, «много. На высоком уровне они рассматривают политику и процедуры», — сказал он. «Они хотят убедиться, что у нас есть требования безопасности и документация, и что мы проверяем все флажки. Короче говоря, они хотят знать, что мы проводим комплексную проверку».

Проблема — или, по крайней мере, одна из них — заключается в том, что «они» (то есть руководящие органы) не обязательно идут в ногу с тем, чего они требуют от систем здравоохранения. «Нет недостатка в надзоре», — сказал Логан. «Нет двух агентств, которые задают одно и то же. Нам задают один и тот же вопрос четырьмя разными способами, и тем не менее, мы должны дать четыре разных ответа».

Из-за этого «отсутствия общности», как он это назвал, командам по кибербезопасности стало сложнее подготовиться к соблюдению требований. Это также приводит к тому, что организации принимают реактивный подход, что противоположно тому, что должно происходить, отметил Вейсманн.

«Готов к аудиту»

Фактически цель состоит в том, чтобы быть «постоянно готовыми к аудиту», что начинается с базовых мер, таких как обеспечение того, чтобы технологическая инфраструктура была «в состоянии защитить нас от атак», сказал он. В компании Main Line Health это включает в себя проведение внутренних и внешних тестов на проникновение и предоставление информации о том, что они обнаруживают.

«Мы проводим оценку рисков третьей стороной. Мы проводим архитектурные проверки и проверки с нашими поставщиками управляемых услуг, чтобы проверить предоставляемые ими услуги и качество этих услуг», — отметил Вейсманн. При этом они разработали систему доверия, чтобы гарантировать пользователям, что они делают все возможное для снижения риска.

Конечно, ни один метод никогда не будет эффективным на 100 процентов. «Системы здравоохранения сложны по своей природе», — сказал Марти. Впоследствии их трудно защитить, особенно в таких областях, как цепочка поставок, которые не очень заметны.

По словам Логана, возникает вопрос, как получить контроль над этими ситуациями. «Все сводится к тому простому факту: невозможно защитить то, о чем вы не знаете». Ведение надлежащего реестра, например, где находится ePHI, может дать лидерам возможность «строить планы и начинать управлять реальными рисками, которые существуют помимо нормативных требований и контрольных списков соответствия», отметил он. «Давайте подойдем к моменту, когда мы сможем выявить уязвимости, которые на самом деле сопряжены с риском отрицательного результата для пациентов или существенного воздействия на наш бизнес. Давайте сосредоточимся там, где это важно».

Перегрузка пароля

По словам Логана, что не имеет значения, так это соблюдение чрезмерно строгого и сложного контроля над паролями при использовании многофакторной аутентификации. И тем не менее, кажется, что вопросы о соблюдении требований возникают постоянно, что может вызвать у руководителей чувство разочарования. «Меня удивляет, как мы не выросли в этом отношении и не успеваем за контролем над технологиями», — сказал он. «Мы задаем вопросы о соблюдении требований, которые просто не имеют значения».

Марти согласился, добавив, что дополнительные шаги, такие как необходимость сброса паролей — процесс, который стал излишним, — могут помешать лечению пациентов, что просто неприемлемо. «Срок действия паролей истекает, потому что мы еще не придумали, как их принять и удовлетворить в этом регулятора. И в итоге мы обременяем тех самых людей, которых пытаемся освободить», — сказал он.

Еще больше усложняет ситуацию тот факт, что директорам по информационной безопасности и другим руководителям приходится сталкиваться с рекомендациями комитетов по надзору, которые часто противоречат предпочтениям врачей, отметил Вейсманн. «Нас тянут в трех направлениях. У нас есть новые передовые методы, которые нам нужно найти, как внедрить, независимо от того, сработает ли это», — сказал он. «У нас есть аудиторы с определенными ожиданиями. А у нас есть провайдеры, которые заходят на разные компьютеры 60, 70 или 80 раз в день. И это серьезно мешает их работе».

Попытка сбалансировать эти конкурирующие потребности, мягко говоря, трудна. «Мы хотим соблюдать требования, одновременно обеспечивая удовлетворение потребностей наших клиентов», — добавил он. «Это сводит с ума, потому что в конечном итоге вы чувствуете, что никого не удовлетворяете, и вам все равно приходится обеспечивать хорошую безопасность».

С другой стороны, работая с такими партнерами, как Tausight и Censinet, чтобы перевести технологии и средства управления на задний план, руководители могут помочь врачам больше времени проводить у постели больного. «Мы меняем способы входа в систему и взаимодействия с компьютерами», — сказал Вейсманн. И хотя использование таких инструментов, как токенизированная аутентификация, не удовлетворило всех поставщиков, оно помогло оптимизировать рабочие процессы, что чрезвычайно важно. «Мы стараемся использовать решения безопасности, которые улучшат жизнь наших пользователей».

Это, конечно, конечная цель, и именно на этом лидеры кибербезопасности должны сосредоточить свое внимание, независимо от того, сколько аудиторов постучится в компанию. «Мы делаем все возможное. Мы движемся со скоростью тысяча миль в час, имея ограниченные ресурсы и финансирование», — сказал Логан. Таким образом, лидерам необходимо определить риски, которые могут оказать наибольшее влияние на бизнес, и иметь возможность «продемонстрировать это аудиторскому органу таким образом, чтобы сказать: «Этого достаточно». Если вы понимаете свои риски и устраняете их, этого должно быть достаточно».

Чтобы просмотреть архив этого вебинара — Ключи к управлению ИТ-магазином, готовым к аудиту (при поддержке Tausight и Censinet) — пожалуйста кликните сюда.