劳动力2020

HIPAA挑战:填补CISO角色的策略
格里·布拉斯和杰森·塔哈尼著
郑重声明
第32卷第5页

根据HIPAA安全规则，任何受保护的实体(CE)都需要实施某些物理、技术和管理保障措施。在行政保障的要求中，一个名为“安全人员”的标准要求“CE必须指定一名负责制定和实施其安全政策和程序的安全官员”。

安全人员标准要求每个CE指定一名负责确保组织符合安全规则的操作人员。尽管规则规定应该由一个人负责监督，但也可以分配其他人来承担安全责任。

但是，在人员和预算资源有限的情况下，卫生保健提供者和其他ce如何忠实地遵守指定的安全官员?另外，这个角色的职责是什么?指派一个已经有另一份全职工作的人有什么风险?

本文探讨了指定的安全官员的日常期望，何时可以让一名全职员工专门负责该角色，所需的技能，以及首席安全官如何设置该职位以获得成功。此外，报告还讨论了2019冠状病毒病全球大流行如何影响这一重要作用。

角色和责任
指定的安全官员，通常被称为信息安全官或首席信息安全官(CISO)，与执行领导层和IT团队一起工作，以确保组织的整体网络安全态势能够处理日常和长期的组织威胁保护。

首席信息安全官负责监督所有内部网络安全责任，并负责以下事项:

•管理网络安全事件;
•为高层领导和IT提供网络安全咨询;
•审查和撰写网络安全政策;和
•监控网络安全政策的有效性和及时性。

虽然指定的安全官员应该在行政层面上发挥战略作用，但该个人还指导一个可以开展日常活动的团队，并且在首席执行官遭受网络攻击时被视为解决问题的人。

除了这些内部网络协议外，CISO还管理外部网络预防措施，包括以下内容:

•与提供网络相关技术专业知识和工具的战略供应商(如安全运营中心)进行互动;

•对第三方供应商或业务伙伴进行外部评估和审计，以保障受电子保护的健康信息的共享;

•设计和审查与第三方供应商、BAs和下游BAs相关的风险缓解计划;

•代表行政长官，并通过信息共享和分析组织与其他卫生保健提供者分享知识;和

•随时了解可能影响组织的地区和国家问题。

全职、兼职或外包
对于医疗保健提供者来说，通过将该角色分配给已经承担其他职责的全职员工来满足指定的安全官员要求并不罕见。根据行政长官的规模和范围，这几乎可以确保该人员没有足够的带宽或培训来处理所需的工作量。

在什么情况下，让一个全职的人来承担这个角色是有意义的?可以说，无论规模或范围如何，任何行政长官都应该有一名全职网络主任或首席信息安全官。事实上，对最近的网络和勒索软件攻击的快速研究证明，医疗机构的规模或类型与潜在攻击者无关。自2016年以来，医院、诊所、老年护理提供者、牙科和验光诊所、整形外科医生和医疗测试机构都经历过网络攻击。

然而，拥有一名全职工作人员可能并不适用于每个医疗保健提供者。员工越多，复杂性越大，风险越大，漏洞也就越多。因此，建议任何超过500名员工的组织都有一个全职的、专门的CISO。尽管100%外包的模式并不常见，但小型诊所和非急症护理机构通常会将部分IT和网络安全外包给提供HIPAA服务的托管服务提供商。

如果没有外部资源和专业知识来帮助运营、监控、评估、战略规划等方面的帮助，任何首席执行官都几乎不可能管理一个通用的网络安全项目。数字化的医疗保健世界过于复杂和快节奏，无法为每一种可能的情况指派内部员工。相反，使用内部和外包专家的团队努力，共同致力于长期解决方案，是理想的。

如果卫生保健组织选择外包指定的安全官员角色，则应确保该人员完全致力于公司，没有其他客户责任或优先事项。

资格
不论是全职、兼职或外判身分，指定的保安人员应具备下列资格:

•同时管理多个项目;

•在医疗保健环境中具有网络安全实践经验;

•与执行同事和运营人员进行有效沟通;

•与IT部门有良好的合作记录;

•理解并帮助确保网络安全工作嵌入到变革管理实践中;和

•在需要管理新的和未知的网络威胁时迅速采取行动。

成功因素
指定的安全官员要求是一项联邦授权，理由很充分。仅仅给现有员工一个头衔来履行义务是不够的。相反，卫生保健组织应该创造一种环境，培养一种文化，保护组织和病人，并为长期成功建立CISO。

建议采用以下四种策略，以确保指定的保安人员能够成功履行保护组织的角色和所有义务:

•获得高管层的赞助。没有整个执行团队的支持，网络安全项目将无法完成。教育高层领导如果组织不采取行动或被发现疏忽所涉及的风险。

•分离IT和安全领导角色。虽然将it和安全的领导合并到一个角色中可能很诱人，但这种策略是不可取的。一天中没有足够的时间让一个人同时扮演两个角色。此外，IT领导者可能不具备网络安全所需的背景或专业知识。这两个角色应该分开，以避免任何政治或利益冲突问题。相反，应该让两位领导人在企业战略上紧密合作。

•聘用知识丰富的网络安全团队。根据组织的规模，至少有一到两名内部工作人员就足够了。补充内部团队的合作伙伴，可以提供专业领域的专业知识。

•创建网络安全意识文化。网络安全涉及整个组织。教育和培训每一位员工，让他们了解可以最大限度地减少违规行为的主要做法。授权首席信息安全官或指定的安全官员对所有员工(包括临床医生和操作人员)执行规章制度。

全球危机中的生活
与COVID-19相关的全球卫生危机并未显著影响首席信息安全官的工作重点。它真正影响的是ciso需要采取行动的速度。网络安全在正常情况下很难管理。COVID-19提醒我们，以极快的速度管理网络安全是困难的。在已经很长的威胁清单上再加上全球流行病，再加上缺乏网络安全资源，任何医疗机构都可能面临风险。

从网络安全的角度来看，2019冠状病毒病应该是一个学习的过程，学习如何正确保护组织免受网络威胁所需的资源和技术。在疫情期间，医疗机构及其ciso应记录所有应对网络安全威胁的努力。通过问以下问题进行彻底的评估:

•您是否拥有快速执行尽职调查所需的资源?

•组织是否为快节奏的变革管理做好了准备?

•你是否有能力全面审查所有需要的变化，几乎是即时的，以支持灾难响应计划?

•你能快速确定重要项目的优先级，并停止所有无关紧要的工作吗?

•你们的远程办公协议是否到位?它们是否适合长期大规模使用?

•对员工的教育和培训是否到位?你的员工能否识别真实的沟通与网络钓鱼的企图，尤其是那些利用危机来引诱“打开”或点击的企图?

至少，过去十年已经证明，医疗保健网络安全是保护提供者及其患者的重要战略角色。尽管HIPAA规则已经有一段时间没有更新了，但指定安全官员的深谋远虑是至关重要的。建立一个专门负责制定和实施安全政策和程序的角色，对于应对几乎每个卫生保健机构都存在的新威胁和现有漏洞至关重要。

——Gerry Blass, ComplyAssistant总裁兼首席执行官，拥有超过35年的HIT经验。在加入ComplyAssistant之前，Blass是新泽西州一家大型医疗保健系统的首席信息安全官。

Jason Tahaney是社区选择(Community Options)的技术主管，这是一个全国性的非营利组织，为发展性残疾人士提供社区居住和就业支持服务。“社区选择”旨在通过以人为本的自然支持，以及与社区伙伴的合作，促进残疾人士融入社区。