Editörün Notu: Bu makale, 12 Ağustos CIO Dalış ve Siber Güvenlik Dalış Live Sanal Etkinliğinden içgörülerden yararlanmaktadır. Oturumları isteğe bağlı olarak izleyebilirsiniz.
Teknoloji yöneticileri ve siber liderler kurumsal BT mülkünü farklı lensler aracılığıyla görebilir, ancak iki işlev kurumsal güvenliğe odaklanmaktadır. CIO’lar, teknoloji yığınını modernleştirerek dijital dönüşümü artırmaya çalışırken, CISO’lar doğal olarak bir kuruluşun savunmalarını zayıflatabilecek teknolojilerin temkinlidir.
Tampa Genel Hastanesi Ciso, James Bowie, bu ayın başlarında bir CIO dalış panelinde “Metriklerimizi seviyoruz ve kimsenin anlamadığı tüm bu rakamları ve kadranları veriyoruz” dedi. “Kötü görünebilir, ama orada oturup, ‘Bu kadar çok uyarıya sahip olduğumuz için sorun değil, sadece daha fazla şey izlediğiniz için’ ve kaynakları ve enerjiyi yönlendirmek için çok fazla zaman harcamak… sayıların neden böyle göründüğünü açıklamak için.”
Bowie, hastanenin liderlik ekibini ezmek veya daha da kötüsü-daha da kötüsü, C-suite yöneticileriyle eve vuran teknoloji riskini ölçmek için Tampa General Cio Scott Arnold ile birlikte çalıştı.
İş operasyonları, inovasyona yönelik bir itme ortasında güvenlik zorunlulukları ile çatıştığında, işletmeler panel sırasında “siber cehenneme geçişleri” açıyor. “Günün sonunda, bir yönetim kararı olarak aldığımız riski, bunu bir araya getiriyoruz. Yönetim kuruluna rapor verdiğimizde Jim’i Yönetim Kurulunun önüne koyduğum için, bunu herkesin anladığı anlamda ölçebilir.”
CIO’lar ve Cisos, siber risklerle ve sektörler ve endüstriler arasında küçük bir güvenlik atlamasının sonuçları ile boğuşuyor. Sağlık hizmetlerinde, bahisler özellikle yüksektir.
IBM’in geçen ay yayınlanan bir veri ihlali raporunun yıllık maliyetine göre, sektör 2024’te üst üste 14. yıl için güvenlik ihlallerinden en büyük finansal isabet aldı. Sağlık hizmetlerinde bir olayın ortalama maliyeti, küresel olarak tüm kuruluşlar için 4.44 milyon $ ‘a kıyasla 7.42 milyon $’ dır. IBM, sağlık ihlallerinin küresel ortalamadan beş haftadan daha uzun bir süredir tanımlanması ve içermesi 279 gün sürdü.
Sayılar, uygun şekilde çerçevelendiğinde önemlidir.
Bowie, “Güvenlik riskini yönetmenin en iyi yolu, onu ölçmek ve sonuçları açıklamaktır, böylece son çağrıları yapan sadece CIO ve CISO değil” dedi. “İşletme ve iş operasyonlarındaki herkes… finansal etkileri anlıyor.”
Potansiyel maliyetleri eve götürmek için Bowie, hastanenin teknoloji yığınına her eklemenin ortaya koyduğu risklere bir numara koymak için verileri kullanarak analitikleri ve işlem kararlarını getirdi.
Arnold, “Kendisinin ve ekibinin ortaya koyduğu süreç, açıkçası, sadece C-suite’imizle değil, aynı zamanda yönetim kurulumuzla da dönüşümlüdür. Belirli şeylerin riskini herkesin anladığı bir perspektife koyar” dedi.
Tehdit manzarası
Sağlık hizmetleri, diğer sektörlerle aynı siber endişelerin çoğuyla karşı karşıyadır. Legacy sistemlerindeki zayıflıklar, satıcı ile ilgili güvenlik açıkları ve güvenlik bilinci eksikliği ile birleştiğinde, CIO’lar ve CISO meslektaşları için ağrı noktaları kümeleri yaratır.
Bowie, “Eski sistemlerin geniş bir netine sahibiz” dedi. “Yükseltilemeyen bir grup ekipmanımız var çünkü FDA ile tüm bir sertifikasyon sürecinden geçmeleri gerekiyor.”
Tampa General gibi bir araştırma hastanesinde, veri güvenliği de karmaşıklık katmanına sahiptir.
“Şirketini güvence altına alması gereken başka bir sektörden farklı değil [intellectual property] … Ama bizi biraz farklı kılan şey, bazen şeylerin araştırma tarafında biraz liberal olmalıyız ”dedi.
IBM’nin analizine göre, kötü niyetli içeriden gelen saldırılar, geçen yıl ilk tehdit vektörleri arasındaki en pahalı ihlallerle sonuçlanırken, üçüncü taraf satıcı ve tedarik zinciri sorunları ikinci sırada yer aldı.
Tampa General Bowie’de güvenlik ile ilgili bir satın alma işlemiyle ilgili tek büyük anlaşmazlık, satıcı seçiminin üzerindeydi.
Bowie, “O zamanlar fidye yazılımı saldırısı altında meşru bir satıcıydı” dedi. “Ben şöyleydim: ‘Bu satıcı ile bir sözleşme imzalama zamanı değil… hadi devam edelim.’ ‘
Olay, bir CISO’nun fırsat verildiğinde oynayabileceği proaktif rolü vurguladı.
Bowie, “Üçüncü taraf bir satıcıdan, özellikle sağlık hizmetlerinde yanlış teknoloji yığını ile bir işletmeyi düşürebilirsiniz” dedi. “Eğer önüne girerseniz ve sözleşme sürecinin bir parçasıysanız… BT güvenlik kontrollerinizi veya standartlarınızı sözleşme diline uymaları gerekecek ve daha sonra bu üçüncü taraf riskinin çoğunu ortadan kaldırabilirsiniz.”
Yöneticiler, Bowie’nin bakış açısının yankılanmasını sağlamak için Arnold, hastanenin liderlik ekibiyle her birkaç ayda bir izleyici kitlesine sahip olduğundan emin olduğunu söyledi.
Arnold, “Bu alt bir ilişki değil,” dedi. “Kağıt üzerinde bu şekilde kurulabiliriz ve inan bana, kötü bir şey olursa isabet alacağım… ama dürüst olmak gerekirse, bu bir ortaklık.”
Arnold’a göre, yakın CIO-CISO ortaklığı tıp merkezi için büyüme kaydetti.
Arnold, “Organizasyonumuzu son altı yılda yaklaşık% 300 büyütebildik, bu da milyarlarca dolar” dedi. “Sadece iletişim kurabileceğiniz birini bulmalısınız, esnek olabilirsiniz ve bir kişilik maçınız var.”