Même avec la visibilité accrue des efforts de cybersécurité dans les systèmes de santé américains – motivés, bien sûr, par la vulnérabilité accrue de ces organisations face à des cybercriminels de plus en plus effrontés – la sécurité de l’information est souvent encore considérée comme une préoccupation complémentaire par rapport à la mission principale de prestation de soins de santé .
Mais ce n’est pas le bon état d’esprit, comme l’expliqueront deux directeurs de l’information au HIMSS23 à Chicago le mois prochain.
Dans leur table ronde, “La cybersécurité en tant qu’impératif pour atteindre les objectifs stratégiques de votre organisation”, Bill Hudson, CIO chez Integris Health, et Sonney Sapra, CIO chez Samaritan Health Services, feront valoir que, même avec des budgets de cybersécurité en augmentation, trop de responsables informatiques ne voient toujours pas à quel point la maturité de l’infosec est essentielle pour atteindre les objectifs stratégiques.
“Laisser la cybersécurité en dehors des discussions pour planifier et exécuter des initiatives de transformation augmente le risque opérationnel en ratant des occasions de soutenir des éléments opérationnels fondamentaux tels que la performance, l’assurance, la conformité et la résilience”, déclarent-ils en décrivant la session, qui vise à explorer pourquoi la stratégie l’importance de la sécurité est si souvent négligée, et expliquez comment l’intégrer dans les plans stratégiques, du conseil d’administration jusqu’aux échelons inférieurs.
Nous avons récemment discuté avec Hudson de la manière d’aborder la cybersécurité en tant qu’élément indispensable à l’échelle de l’entreprise.
Q. Il s’agira donc d’un exposé sur la valeur stratégique plus large de la cybersécurité, présentée du point de vue du DSI plutôt que du RSSI ? Quelles sont les clés pour comprendre cet impératif ?
UN. Il y a beaucoup de choses techniques que vous pouvez faire autour de la sécurité. Il y a beaucoup de problèmes opérationnels liés à la sécurité. Mais je pense que la plupart du temps, nous ne passons pas autant de temps que nécessaire à faire le pont avec le reste de l’organisation, pour les aider à comprendre le “pourquoi”.
Beaucoup de nos équipes de sécurité ont tendance à être assez techniques. Et il n’y a rien de mal à cela. Mais je pense qu’aider l’organisation à comprendre l’importance de la cybersécurité et de l’adhésion, et comprendre le raisonnement du processus, aide vraiment à reposer l’organisation, aide à encourager les pratiques et les normes pour garantir que nous restons en sécurité.
“Si vous pensez à la sécurité dès le début, cela fait une énorme différence en termes de capacité à la prendre en charge.”
Bill Hudson, Santé Integris
Q. Vous constatez que, surtout depuis la pandémie, les systèmes de santé déploient chaque jour de plus en plus d’outils numériques. Dans quelle mesure est-il important d’intégrer la sécurité à partir de zéro lorsque vous déployez ces technologies disparates ?
UN. Vous devez avoir un design dès le début. Je pense que nous avons fonctionné de manière complémentaire ces dernières années. Et à mesure que les risques évoluent, je pense que nous devrons toujours continuer à renforcer les éléments du cadre. Mais autant que possible, du point de vue de la conception, assurez-vous que quoi que vous fassiez et que vous construisiez la conception, n’incluez pas seulement l’équipe de sécurité, mais l’équipe d’infrastructure, l’équipe opérationnelle, en ce qui concerne la façon dont un outil va être utilisé, comment il sera accessible. Si vous pensez à la sécurité dès le début, cela fait une énorme différence en termes de capacité à la prendre en charge.
Il y a beaucoup d’outils que nous avons introduits dans l’environnement au cours des dernières années, augmentant les risques. Certains d’entre eux sont des outils Web ou des outils basés sur le cloud qui aident sur place. Mais la nature même d’un outil basé sur le cloud introduit un certain risque.
Donc, avoir cette base, vous assurer que vous concevez pour la sécurité dès le début et comprendre les besoins opérationnels auxquels vous devez répondre, vous aide essentiellement à le concevoir de manière à ce que, à un moment donné, vous deviez ajouter quelque chose de plus dans l’environnement , vous pouvez le faire dans un cadre sécurisé.
Q. Vous suggérez que traiter la cybersécurité comme une réflexion après coup augmente le risque stratégique par des “opportunités manquées” pour soutenir “la performance, l’assurance, la conformité et la résilience”. Pourriez-vous expliquer un peu plus?
UN. Dans le passé, je pense que nous avons traité cela de nombreuses façons comme quelque chose sur lequel l’équipe de sécurité doit se concentrer. Mais de plus en plus, en raison du travail autour de la conformité et des réglementations fédérales, le travail que nous devons faire pour nous assurer que nous sommes conformes à nos accords avec les payeurs, le gouvernement fédéral a modifié les règles. Il s’agit moins de quelque chose qu’une équipe peut faire que de quelque chose qui doit être abordé comme une organisation dans son ensemble.
Lorsque je participe à nos réunions de conformité, des représentants des ressources humaines ainsi que de l’équipe juridique et de conformité participent à nos conversations sur la sécurité. Même il y a quelques années, vous n’auriez pas eu quelqu’un des RH, vous n’auriez eu personne de la stratégie dans ce mélange. La nature même de la façon dont la sécurité est générée dans les opérations nécessite un ensemble différent de personnes autour de la table. C’est devenu plus un sport d’équipe.
Q. Comment travaillez-vous avec votre CISO ? Je sais que cela varie selon les organisations. Parfois, ils relèvent du CIO, parfois ce sont des collègues. Quelle est la structure d’Integris Health, et à quelle fréquence vous réunissez-vous et comparez-vous vos notes ?
UN. Le CISO relève de moi dans ce cas. C’est quelqu’un avec qui j’ai travaillé pendant un certain nombre d’années, et elle a une très solide expérience. Mon rôle consiste en quelque sorte à m’assurer qu’elle et son équipe comprennent l’orientation stratégique et opérationnelle de l’organisation.
Évidemment, elle me tient au courant des risques dont nous devons nous préoccuper. Nous allons présenter le comité d’audit ici la semaine prochaine sur la cybersécurité en tant qu’éducation pour le conseil, ainsi qu’une mise à jour sur notre plan de cybersécurité, car c’est quelque chose qui intéresse vraiment le conseil.
Mais c’est vraiment un partenariat. Qu’elle relève ou non de moi, il s’agit vraiment de s’assurer que je suis en mesure de l’aider à se faire entendre, à se connecter au reste de l’organisation et à être consciente de la direction que nous prenons afin qu’elle puisse s’y préparer.
Cela inclut les acquisitions et les alliances stratégiques, c’est-à-dire les partenariats, et son rôle pour a) s’assurer que nous sommes en sécurité, mais aussi m’assurer que je planifie et m’adapte réellement aux contraintes budgétaires et de personnel, et m’assurer que nous allons pouvoir s’adapter aux menaces actuelles.
Il s’agit donc bien d’un partenariat. C’est quelque chose que nous devons faire ensemble pour nous assurer que cela se fasse de la meilleure façon possible.
Q. De toute évidence, Integris est avant-gardiste lorsqu’il s’agit d’obtenir l’adhésion de l’ensemble de l’entreprise, mais ce n’est pas le cas de tous les systèmes de santé. Quelles sont les clés, en tant que responsables informatiques, pour impliquer d’autres parties prenantes dans l’objectif plus large de la cybersécurité ?
UN. Il y a eu quelques alertes nationales CISA au cours des dernières semaines concernant les menaces pour les soins de santé. Mais je ne veux pas paraître sensationnel, comme si le ciel tombait. Il est possible que l’organisation s’y habitue.
Je pense qu’il est important d’avoir une conversation, en langage opérationnel et en langage humain, et de dire des choses comme : « Nous allons avoir une mauvaise journée à un moment donné. Je ne pourrai jamais dépenser assez d’argent pour faire sûr que nous sommes protégés à 100% contre les risques. Notre travail consiste à minimiser ce risque autant que possible, et c’est ainsi que nous allons le faire et avoir cette conversation sur un partenariat.
Lorsque nous parlons des choses qui émergent comme un risque, c’est plutôt : « Hé, nous voulons que vous soyez un peu plus prudent cette semaine. Nous voulons que vous soyez conscients, nous voulons que vous, lors d’un caucus, partagez ceci avec vos équipes. Ce sont des choses qui nous préoccupent.
Lorsque vous avez cette conversation de manière très calme – ce sont des risques, voici comment nous allons les atténuer, voici comment je vais travailler avec vous et comment je vais vous tenir informé de ce qui se passe allumé – cela change la tonalité.
Hudson et Sapra offriront plus de perspectives dans leur table ronde, “La cybersécurité en tant qu’impératif pour atteindre les objectifs stratégiques de votre organisation”. Il est prévu le mardi 18 avril de 13h30 à 14h30 dans le bâtiment sud, niveau 4, dans la salle S406 B.
