Sicherheits-Chef wirbt der Wert des HVPI, der eine cyber-vorsorge-Kochbuch mit Rezepten für die Bereitschaft
Im Dezember 2018, dem US Department of Health and Human Services veröffentlicht eine vier-Teil-Dokument, bekannt als der Gesundheit-Industrie Cybersecurity Praxis: Verwaltung von Bedrohungen und Schutz der Patienten.
Das Dokument, bekannt unter der Abkürzung HCIP (und ausgesprochen wie das reflexive sound könnte man machen, nach dem Essen zu schnell), bietet umfangreiche freiwillige cybersecurity-Tipps und best practices für Organisationen des Gesundheitswesens – gleich welcher Größe oder Form Sie auch sein mag, und wo immer Sie sind mit Ihren security-Bereitschaft – einige erprobte und wahre Beratung und erreichbare Schritte zu ergreifen, um die Ihre Haltung verbessern.
Wie von Cybersecurity Act of 2015, § 405(d), HCIP wurde entworfen, um zu helfen Krankenhäusern und Arztpraxen mehr Kosten-wirksam mildern Ihre cybersecurity-Risiken. Es war ein zwei-Jahres-Aufwand, zusammengestellt von 150 healthcare-und infosec Experten aus dem öffentlichen und privaten Sektor.
Einer von Ihnen war Erik Decker, chief security und privacy officer an der Universität von Chicago-Medizin, die diente als Industrie-oder co-lead bei dem Projekt.
„Wir haben gehört, laut und deutlich über dieser Prozess, dass die Anbieter müssen umsetzbare und praktische Ratschläge, die auf Ihre Bedürfnisse zugeschnitten, zu verwalten, moderne cyber-Bedrohungen,“ Decker erklärt auf HCIP Veröffentlichung im Jahr 2018. „Das ist genau das, was diese Ressource liefert; Empfehlungen stratifiziert nach Größe der Organisation, geschrieben, sowohl für den Kliniker als auch der IT-Experte.“
Zu helfen, bringen das ‚Risiko Objektiv‘ in den Fokus
Decker wird an einem der Lautsprecher im nächsten Monat auf der HIMSS Healthcare Security Forum, die stattfindet, in Boston, Dezember 9-10.
Bei UCM – ein 2 Milliarden US-Dollar non-profit academic medical center mit mehr als 16.000 Mitarbeitern in Chicago und Nordwest-Indiana – Decker hat alle Hände voll zu tun. Und an der security forum, er werde seine erste hand Perspektive auf best practices für identity-und access-management, phishing-Prävention und mehr.
Aber er wird auch bieten einige updates auf HCIP, bietet wertvolle Einblicke in die Verwaltung von Bedrohungen wie ransomware, insider-Risiken und Sicherheit für medizinische Geräte. Und es gibt updates. a ufgrund, nicht anders als die US-Verfassung, HCIP ist ein lebendiges Dokument, entworfen, um die änderung mit den sich ändernden Zeiten.
„Es hat einen anhaltenden Druck auf die 405(d) Aufwand,“ Decker erklärt. „Wir schaffen neue unterstützende Materialien zur HVPI, wie „Read Me“ – Anleitung, die eine Art Cliff ‚ s Notes, um die HVPI -, sowie technische bedrohlich-Praxis-mapping, ermöglichen es dem technischen Menschen zu verstehen, die Praxis tatsächlich haben die meisten bang für die buck für eine bestimmte Art von Bedrohung, die Sie verwalten rund. Das zusätzliche material ist fällig bis zum Ende dieses Jahres, sagte er.
Darüber hinaus, „wir arbeiten ebenfalls an der nur die Aktualisierung der HVPI und halten, dass frisch“, sagte er. Das Ziel, bis 2020, werden Sie auf eine „zwei-Jahres-Zyklus, im wesentlichen, um sicherzustellen, dass es aktuell ist. Weil sich die Dinge ändern.“
Zum Beispiel, sagte er, „wir haben diskutiert, wie wir reden über die Nummer eins Bedrohung phishing–, aber die Aufgabe der Gruppe ist nun: sollten wir vielleicht ändern Sie Sie auf social-engineering-statt. Denn es ist mehr als nur phishing. Es ist nur ein Beispiel für einen social-engineering-Angriff. So sind wir irgendwie mit der Zeit ändern sich ein wenig: E-Mail Kompromiss, Hochstapler Angriffe und solche Dinge, die wir eigentlich aufrufen wollen, die in einem Dokument als auch als sehr effektive Attacken.“
Decker sagt, dass die Aufgabe, die Gruppe arbeitet auch an einer „ganz neuen Materialien“, die sich auf cybersecurity als eine Komponente von enterprise risk management.
„Wie funktioniert cybersecurity passen in eine Organisation, die übergreifende ERM-Methodik? Wie Betten wir, dass dort, wie haben Sie Gespräche mit der Geschäftsleitung? Wie der HVPI, produzieren wir eine Reihe von tools und toolkits, um den Menschen helfen, zusammen in diesem Prozess.
„Wir wollen sehr praktische und umsetzbare“, erklärte er. „Wir werden arbeiten, auf die Art von den Allgemeinen Risiken, die wir fühlen uns als eine Arbeitsgruppe, die die Branche gegenüber steht, wenn es darum geht, diese Themen in einem ERM-Kapazität. Und wir werden liefern Beispielberichte und-Mittel und Methoden auf, wie die Kommunikation mit dem board. Und Metriken, natürlich.“
Ein Projekt von dieser Größe wird einige Zeit dauern, natürlich, gegeben, dass es geplant zu sein, „etwa die gleiche Größe und Umfang des Gebäudes HVPI war wie Bundesweit,“ sagte Decker. „So sind wir-Einstellung, die für Freigabe im Jahr 2021.“
In der Zwischenzeit, Gesundheitswesen große und kleine Organisationen sollten Gebrauch machen von der Beratung über Angebot des HVPI, der vorgestellt wurde als „cyber-hygiene-Begleiter“ zu helfen, security-Profis in den Griff bekommen auf einige der niedrig hängenden Früchte, die am besten auf Sie für die Risikominimierung.
„Ich auch bezeichnen es als ein Kochbuch: eine Reihe von Rezepten, die Ihnen helfen, zu mildern und zu verwalten, die häufigsten Bedrohungen, denen wir ausgesetzt in der Gesundheitsversorgung“, sagte Decker.
„Die ‚was können Sie heute tun‘ Beratung ist, wo HVPI wirklich glänzt“, erklärte er. „Es wird Sie in die tiefen details ziemlich schnell und prägnant zu bekommen, taktische und einige sperren und Bekämpfung.“
Und dann das nächste level-up – was nicht unwesentlich ist, ist auch eine Anforderung, die unter die HIPAA – ist das Risiko-management-Programm. Der HVPI kann Organisationen dabei helfen, Diagramm und Strategien für Risiko-Analyse-Prozess-und bauen ein „Herzstück“ Risiko-management-Programm, um es zu unterstützen, sagte er.
„Es ist schwer zu tun. Aber wenn Sie versuchen zu halten, jagen jedes einzelne Problem, das auftaucht, an jedem einzelnen Tag werden Sie gerade jagen Schwänze den ganzen Tag lang.“
Deshalb ist ein guide wie HCIP, kompiliert von einem breiten Querschnitt von Gesundheits-und Sicherheits-Profis, zusammen mit Jahren des Denkens und der überlegung über, wie man zu priorisieren bedrohlich vorsorge und Reaktion, ist so wertvoll, sagte Decker.
„Sie haben ein Risiko Objektiv, und er musste das Risiko eingehen. Sie haben, um zu überlegen, wo sind diese Bedrohungen tatsächlich kommt, Sind Sie böswillig oder unbeabsichtigt? Innen-oder extern? – und dann benutzen, dass die Entwicklung der Praktiken, die Sie gehen, um in Kraft gesetzt. Denn Sie können verbringen Tonnen von Geld auf der ganzen Linie auf Tonnen von Sachen, die in Wirklichkeit nicht um die Dinge, die Sie wirklich brauchen, zu beheben.“
Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist eine Publikation der HIMSS Medien.
Vorbereiten für next-gen-Cyber-Bedrohungen und sich der #HITsecurity Diskussion auf der HIMSS Healthcare Security Forum, das Dez. 9-10 in Boston.