Nota del editor: Este artículo se basa en ideas de un evento virtual de buceo y ciberseguridad del 12 de agosto el 12 de agosto. Puede Mira las sesiones a pedido.
Los ejecutivos de tecnología y los líderes cibernéticos pueden ver el patrimonio de TI empresarial a través de diferentes lentes, pero las dos funciones comparten un enfoque en la seguridad empresarial. Mientras que los CIO buscan impulsar la transformación digital modernizando la pila tecnológica, los CISO son inherentemente recurridos de tecnologías que podrían debilitar las defensas de una organización.
«Amamos nuestras métricas, y damos todos estos dígitos y diales que nadie más entiende», dijo James Bowie, CISO en el Hospital General de Tampa, durante un panel de buceo de CIO a principios de este mes. «Puede verse mal, pero tienes que sentarte allí y explicar: 'Bueno, está bien que tengamos tantas alertas, solo porque estás viendo más cosas' y pasando mucho tiempo desviando recursos y energía … para explicar por qué los números se ven como lo hacen».
En lugar de usar métricas para abrumar al equipo de liderazgo del hospital o, peor aún, ofuscando preocupaciones cibernéticas, Bowie se asoció con el general de Tampa, Cio Scott Arnold, para cuantificar el riesgo de tecnología en términos que afectaron a los ejecutivos de C-Suite.
Cuando las operaciones comerciales chocan con los imperativos de seguridad en medio de un impulso hacia la innovación, las empresas corren el riesgo de abrir las «puertas de enlace al infierno cibernético», dijo Arnold, durante el panel. «Al final del día, el riesgo que tomamos como decisión de gestión, lo hacemos juntos. A medida que informamos a la Junta Directiva, y pongo a Jim frente a la Junta Directiva, puede cuantificar eso en términos que todos entienden».
Los CIO y los CISO lidian con riesgos cibernéticos y las consecuencias de incluso un lapso de seguridad menor en sectores e industrias. En la atención médica, las apuestas son particularmente altas.
El sector sufrió el mayor éxito financiero de las violaciones de seguridad durante el 14º año consecutivo en 2024, según la anual de IBM Costo de un informe de violación de datospublicado el mes pasado. El costo promedio de un incidente en la atención médica fue de $ 7.42 millones, en comparación con $ 4.44 millones para todas las organizaciones a nivel mundial. Las infracciones de atención médica también tardaron 279 días en identificarse y contener, que fue más de cinco semanas más que el promedio global, encontró IBM.
Los números importan, cuando se enmarcan correctamente.
«La mejor manera de gestionar el riesgo de seguridad es cuantificarlo y explicar las ramificaciones para que no sean solo el CIO y el CISO los que están haciendo las llamadas finales», dijo Bowie. «Todos en las operaciones empresariales y comerciales … entienden los impactos financieros».
Para conducir a casa los costos potenciales, Bowie trajo analíticos para tomar decisiones y procesar las decisiones, utilizando datos para poner un número en los riesgos que plantea cada adición a la pila tecnológica del hospital.
«El proceso que él y su equipo pusieron en su lugar, francamente, ha sido transformador no solo con nuestra C-suite, sino también con nuestra Junta Directiva. Pone el tipo de riesgo de ciertas cosas en una perspectiva que todos entienden», dijo Arnold.
El panorama de la amenaza
La atención médica enfrenta muchas de las mismas preocupaciones cibernéticas que otros sectores. Las debilidades en los sistemas heredados junto con las vulnerabilidades relacionadas con los proveedores y la falta de conciencia de seguridad crean grupos de puntos débiles para los CIO y sus colegas de CISO.
«Tenemos una amplia red de sistemas heredados», dijo Bowie. «Tenemos un montón de equipos que no se pueden actualizar porque tienen que pasar por un proceso de certificación completo con la FDA».
En un hospital de investigación como Tampa General, Data Security también tiene una capa adicional de complejidad.
«No es diferente de cualquier otra industria que tenga que asegurar su corporativa [intellectual property] … Pero lo que nos hace un poco diferentes es que a veces tenemos que ser un poco liberales en el lado de la investigación de las cosas «, dijo Arnold.» A veces no necesariamente no tienes custodia o una línea de visión a la custodia de los datos, es una arruga extra con la que tenemos que lidiar «.
Si bien los ataques internos maliciosos dieron como resultado las infracciones más costosas entre los vectores de amenazas iniciales el año pasado, el proveedor de terceros y los problemas de la cadena de suministro ocuparon el segundo lugar, según el análisis de IBM.
El único desacuerdo importante sobre una compra relacionada con la seguridad en Tampa General Bowie recordó fue sobre una selección de proveedores.
«Era un vendedor que estaba legítimamente bajo un ataque de ransomware en ese momento», dijo Bowie. «Pensé: 'Este no es el momento de firmar un contrato con ese proveedor … esperemos eso».
El incidente destacó el papel proactivo que puede desempeñar un CISO cuando se le da la oportunidad.
«Puede derribar una empresa con la pila de tecnología incorrecta de un proveedor de terceros, especialmente en atención médica», dijo Bowie. «Si se pone frente a él y usted es parte del proceso de contrato … puede poner sus controles de seguridad de TI o sus estándares en el lenguaje de contrato que tendrán que cumplir, y luego elimina mucho de ese riesgo de terceros».
Para asegurarse de que la perspectiva de Bowie resuene, Arnold se asegura de que tenga una audiencia con el equipo de liderazgo del hospital cada varios meses, dijeron los ejecutivos.
«No es una relación subordinada», dijo Arnold. «Podríamos estar configurados de esa manera en el papel y, créanme, recibiré el golpe si algo malo sucede … pero honestamente, es una asociación».
La asociación cercana del CIO-CISO impulsó el crecimiento del Centro Médico, según Arnold.
«Hemos podido hacer crecer nuestra organización casi 300% en los últimos seis años, que son miles de millones de dólares», dijo Arnold. «Solo tienes que encontrar a alguien con quien puedas comunicarte, puedes ser flexible y con el que tengas una coincidencia de personalidad».
Fuente