New York’un en büyük sağlık sistemi Northwell Health’in CISO’su Kathy Hughes, satıcıların dahil olduğu büyük siber olaylar arttıkça, sağlık kuruluşlarının üçüncü taraf satıcılarının güvenlik uygulamalarını dikkatli ve sürekli olarak incelemesi gerektiğini söylüyor.
Boston’da kısa süre önce düzenlenen bir HIMSS siber forumunda Information Security Media Group ile yaptığı bir röportajda, “Tüm satıcılar risk oluşturuyor çünkü onların ne yaptıkları ve nasıl yaptıkları üzerinde doğrudan kontrol ve gözetiminiz yok” diyor.
Bu nedenle, kuruluşlar için – herhangi bir türde üçüncü taraf tedarikçi firmayı devreye almadan önce – hassas bilgileri korumak için uygun kontrollerin yürürlükte olması da dahil olmak üzere tedarikçinin sağlık kuruluşunun güvenlik standartlarını karşılayıp karşılamadığını görmek için bir değerlendirme veya değerlendirme gerçekleştirmesi kritik önem taşır, Hughes diyor.
Kuruluşların yalnızca bir ilk değerlendirme yapmamaları, aynı zamanda tedarikçilerini sürekli olarak incelemeleri gerektiğini de sözlerine ekledi. “Tehdit manzarası sürekli değişiyor, bu da tedarikçilerin değişmesi gerektiği ve bizim de onları izleme şeklimizi değiştirmemiz gerektiği anlamına geliyor.” Ayrıca, sağlık kuruluşlarının iş sürekliliği planlamalarında satıcıları akıllarında tutmaları gerektiğini söylüyor.
“Belirli hizmetleri sağlamak için güvendiğiniz bir satıcıda herhangi bir türde ihlal veya olay olduğunda, bu durum operasyonel kesintilere neden olur. Bunu telafi etmek için, uygun iş sürekliliği planlarına sahip olduğunuzdan ve sağlamaya devam edebileceğinizden emin olmalısınız. klinik bakım hizmetleri veya diğer hizmet türleri ne olursa olsun [affected] satıcı, bir kesinti olması durumunda sağlayacaktır.”
Röportajda (fotoğrafın altındaki ses bağlantısına bakın), Hughes şunları da tartışıyor:
- Satıcıları ilgilendiren diğer başlıca siber risk yönetimi sorunları;
- Sağlık sektöründeki birleşme ve satın almaları içeren siber risk hususları;
- Önümüzdeki yıl siber zorluklar.
Hughes, New York merkezli sağlık hizmeti dağıtım organizasyonu Northwell Health’te başkan yardımcısı ve CISO’dur. Northwell Health’e katılmadan önce, şimdi Northwell Health olan North Shore-LIJ için altyapı hizmetleri operasyonlarını ve mühendislik ekiplerini yönettiği sağlık teknolojisi satıcısı Allscripts’te çalıştı. Bundan önce Hughes, kozmetik üreticisi The Estée Lauder Companies ve Stony Brook Üniversite Hastanesi’nde küresel veri ağı ve altyapı hizmetleri destek ekiplerini denetlemekten sorumlu roller üstlendi.