من المعروف جيدًا كيف تكافح مجالس المستشفيات للإشراف على الأمن السيبراني وإعداد مؤسساتها بثقة للهجوم السيبراني المحتمل. تقرير حديث من معهد الدؤوب كشف كيف تشعر مجالس الإدارة بالتحديات التي يفرضها مشهد التهديدات السيبرانية سريع التطور.
تضع العديد من مجالس المستشفيات الأمن السيبراني على رأس قائمة أولوياتها. في الواقع، أظهرت الأبحاث الحديثة التي أجريت في مجموعة أليانز ووجدت الدراسة أن انقطاع الأعمال والأمن السيبراني يعتبران الآن من أهم المخاطر التي تواجه الشركات. حلول أمن إنترنت الأشياء من الأهمية بمكان بالنسبة لمنظمات تقديم الرعاية الصحية أن تعالج هذه المخاطر وتحمي شبكاتها من التهديدات المتطورة. والسؤال هو، إذن، لماذا يصعب على كبار القادة داخل منظمات تقديم الرعاية الصحية أن يتعرفوا على الأمن السيبراني؟
دور مجلس الإدارة في إدارة مخاطر الأمن السيبراني
عندما أفكر في السبب الذي يجعل مجالس إدارة مؤسسات الرعاية الصحية تواجه صعوبة في فهم كيفية حماية مؤسساتها من التهديدات السيبرانية، أتذكر على الفور اجتماع مجلس إدارة حضرته في وقت سابق من حياتي المهنية. وكان الغرض من الاجتماع تقديم توصيات تمرين خارطة الطريق الأمنية الاستراتيجية الذي أجري لصالح مؤسسة الرعاية الصحية.
مثل العديد من مجالس الرعاية الصحية، كان الأعضاء مزيجًا من الأطباء النشطين والرئيس التنفيذي والفريق التنفيذي. خلال الاجتماع، تم منحنا 10 دقائق في النهاية لمشاركة تقريرنا والهيكل المقترح لبرنامج إدارة الأمن السيبراني المنقح (CMP). بعد ثماني دقائق من شرح توصيات تقرير SSR للمجلس، كان هناك دقيقتان من الأسئلة. لسوء الحظ، كانت اللغة التي استخدمها مدير الأمن للإجابة فنية للغاية، وكان أعضاء المجلس ضائعين. في هذه المرحلة، كان من الواضح لجميع المعنيين مدى أهمية أن يتحدث فريق الأمن والمجلس نفس اللغة.
وكما هو واضح في هذا المثال، فشل المجلس في إعطاء أمن المعلومات الاهتمام الجدي الذي كان يحتاج إليه.
بالإضافة إلى ذلك، بالنسبة لهذا HDO، وعلى الرغم من تطوره على مر السنين من مكافحة الفيروسات، والتصحيح، وإدارة جدران الحماية إلى مجالات أخرى مثل إطار عمل ISO 27002، فإن خطة إدارة المخاطر الخاصة بالمنظمة لم تكتمل أبدًا أو تؤخذ على محمل الجد من قبل أولئك في القمة. واجه فريق الأمن باستمرار قيودًا على التمويل ونقصًا في موارد الموظفين. جاء مديرو الأمن وذهبوا دون تغيير يذكر.
الإبلاغ عن الأمن السيبراني إلى مجلس الإدارة
في كثير من الأحيان، يتم تقديم الأمن السيبراني إلى مجالس إدارة الرعاية الصحية باعتباره قائمة تسوق من الأشياء اللامعة. والحلول المقترحة لا ترتبط إلا بشكل فضفاض بأهداف تقديم الرعاية الصحية. وهناك القليل من الاستراتيجية لكيفية دمج البرامج والأدوات السيبرانية، وهناك نقص في فهم التكاليف والموارد المطلوبة لضمان تقديم الرعاية الآمنة والموثوقة في وقت تتصاعد فيه التهديدات السيبرانية. أمن إنترنت الأشياء في الرعاية الصحية ومن الضروري معالجة هذه الفجوات وحماية بيانات المرضى والأجهزة الطبية.
للحصول على الدعم والاستثمار من مجلس الإدارة، يجب كتابة خطة إدارة المخاطر الرسمية بلغة يفهمها كلا الجانبين. تعد الخطة التي تتناول الأهداف الأساسية لتقديم الرعاية الصحية، بدلاً من التركيز على أحدث وأروع منتجات وخدمات الأمن، أمرًا بالغ الأهمية لضمان التقدم في المجال الحيوي للدفاع السيبراني في مجال الرعاية الصحية.
لسوء الحظ، أصبحت مشكلات الاتصال بين المتخصصين في الأمن ومجالس المستشفيات أمرًا شائعًا، مما يعوق تحسين استراتيجيات الدفاع السيبراني لمواجهة التهديدات السيبرانية المتغيرة باستمرار في مجال الرعاية الصحية. والنتيجة هي أن عددًا متزايدًا من مؤسسات تقديم الرعاية الصحية تظل عرضة للهجوم.
في الواقع، معهد الدؤوب كما وجد التقرير أن نصف المنظمات التي أجريت معها المقابلات ليس لديها أي خبرة تقنية على الإطلاق في مجالس الإدارة. وهذا يوضح بوضوح مدى أهمية ابتعاد المتخصصين في مجال الأمن عن المصطلحات المتخصصة وترجمة وتوصيل تهديدات الأمن السيبراني من حيث مخاطر تقديم الرعاية الصحية والتأثيرات المحتملة.
تجنب استخدام الخوف وعدم اليقين والشك (المعروف أيضًا باسم "FUD") في محادثات مجلس الإدارة، لأن هذا يمكن أن يؤدي بسرعة إلى انهيار الثقة. بدلاً من ذلك، حدد التكاليف المحتملة للتقاعس مقارنة بتكاليف وفوائد العمل. قم بإدراج محادثات موضوعية حول الامتثال التنظيمي وحماية صورة العلامة التجارية، بالإضافة إلى العقوبات والتكاليف المحتملة التي تصاحب الخروقات.
التحدي الآخر هو الوقت القليل الذي يقضيه مجلس الإدارة وفريق الأمن السيبراني معًا. على سبيل المثال، أظهر تقرير صادر عن هارفارد بيزنس ريفيو لقد وجدت دراسة أن عددا قليلا من المديرين وقادة الأمن لديهم أي حوار هادف حول أولويات واستراتيجيات الأمن السيبراني، حيث يتفاعل أقل من نصف أعضاء مجلس الإدارة بانتظام مع مسؤولي أمن المعلومات لديهم. ويرى ما يقرب من ثلثهم مسؤولي أمن المعلومات لديهم فقط في عروض مجلس الإدارة. لتقليل المخاطر وتعزيز الأمن عبر الإنترنت لإعدادات الرعاية الصحية وغيرها من البنية التحتية الوطنية الحيوية، يجب أن يكون هناك خط اتصال مباشر ومنتظم بين مجلس الإدارة وفريق قيادة الأمن السيبراني - ويجب أن يتحدث الجميع نفس اللغة.
