Güvenlik firması Optiv’den Keith Forrester, NIST Siber Güvenlik Çerçevesi ve diğerleri gibi yerleşik güvenlik çerçevelerinin mevcut olmasına rağmen, sağlık kuruluşlarının hâlâ bunları etkili bir şekilde uygulama konusunda zorluk yaşadığını, çoğu zaman gereksinimleri tam olarak anlayamadıklarını veya bunları genel siber güvenlik stratejilerine entegre edemediklerini söyledi.
“Her şey risk yönetimiyle ilgili. Ortamınızı değerlendirebilmeniz ve mevcut riskleri belirleyebilmeniz, mevcut riskleri belirleyebilmeniz ve ardından işinize dayalı hedefler ve en iyi uygulamaları geliştirebilmeniz gerekiyor” dedi. .
Düzenleyicilerin ve siber güvenlik uzmanlarının risk yönetimini birinci öncelik haline getirme yönünde yıllardır yaptıkları tavsiyelere rağmen, pek çok sağlık sektörü kuruluşunun bunu tam olarak ve kurumsal çapta yapmakta hâlâ geciktiğini söyledi.
“Kuruluşlar genellikle tüm araçlara ve tüm süreçlere sahiptir, ancak zaman zaman bu araçları doğru ve düzgün bir şekilde uygulama konusunda eksik kalmaktadırlar” dedi.
Örneğin, “Çoğu zaman ihlallerin meydana geldiğini görüyoruz ve kuruluşlar ihlalin analizini yapıyor ve bunun zayıf kimlik bilgilerinden kaynaklandığını keşfediyor” dedi. “‘İki faktörlü kimlik doğrulamamız vardı’ diyecekler, ancak bu genellikle kuruluş genelinde doğru şekilde uygulanmıyor veya yalnızca belirli alanlarda uygulanmıyor” dedi.
“Gerçekten hayata geçirilmesi gereken en iyi uygulamaları ve çerçeveleri benimsediklerini veya ele aldıklarını görmüyoruz.”
Information Security Media Group ile yapılan bu sesli röportajda (fotoğrafın altındaki sesli bağlantıya bakın), Forrester ayrıca şunları da tartışıyor:
- Sağlık hizmeti ortamlarında güvenlik riski yönetimini iyileştirmeye yönelik ipuçları;
- Sağlık ve İnsan Hizmetleri Bakanlığı’nın yakın zamanda yayınladığı gönüllü “temel” ve “geliştirilmiş” siber güvenlik performans hedeflerinin sağlık sektörü için önemi (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor);
- Güvenlik açığı yama yönetimindeki, kuruluşların başını belaya sokabilecek yaygın zayıflıklar.
Forrester, Optiv’de küresel Fortune 500 müşterileriyle çalışan bir uygulama yöneticisidir. Bilgi güvenliği yönetişimi, risk ve uyumluluk programlarını ve projelerini yönetmede 30 yılı aşkın deneyime sahiptir. Ayrıca daha önce, 28.000’i aşan masaüstü kullanıcı nüfusuna sahip sekiz sağlık hastanesi sistemini destekleyen çok uluslu bir sağlık hizmetleri dış kaynak hizmet sağlayıcısında bilgi güvenliği sorumlusu olarak görev yaptı.