Einrichtung des HTM Cybersecurity Center of Excellence

Priyanka Upendra:

Guten Morgen, allerseits. Ich bin Priyanka Upendra, Senior Director of Customer Success bei Asimily, und ich freue mich, Sie zur Podcast-Reihe IoT Security Talks begrüßen zu dürfen. In der heutigen dritten Folge sprechen wir mit Matt Dimino, Vice President of Advisory Services bei First Health Advisory mit Sitz in Scottsdale, Arizona, über die Einrichtung eines Kompetenzzentrums für Cybersicherheit im Technologiemanagement im Gesundheitswesen.

Matt bringt ein breites Spektrum an technischem, sicherheitstechnischem, akademischem und HTM-Wissen in diese Szene ein. Er verfügt über mehr als 15 Jahre Erfahrung in verschiedenen Funktionen, die von der Lehrtätigkeit an der IUPUI bis hin zu Führungsaufgaben im Bereich HTM reichen. Viele dieser Jahre verbrachte er als Praktiker im Bereich der Sicherheit medizinischer Geräte. Im Laufe seiner Karriere entwickelte er mehrere Sicherheitsprogramme, integrierte komplexe Architekturen, führte Sicherheitsberatungen durch und entwickelte Risikobewertungsmethoden in Verbindung mit praktischer Erfahrung in der Gerätehärtung. Ein wichtiger Schwerpunkt von Matt ist die Erweiterung der IoMT- oder Internet of Medical Things-Risikomanagement-Strategien und die Vorbereitung der Kunden und Partner von First Health Advisory auf die Zukunft des IoMT und die Schaffung einer sichereren Pflegeumgebung. Matt, vielen Dank, dass Sie heute bei uns sind.

Wie wir alle in den letzten zehn Jahren gesehen haben, sind medizinische Geräte immer stärker vernetzt und unsere Sorge um die Cybersicherheit dieser Geräte ist exponentiell gewachsen. Da ich selbst seit über 15 Jahren in der Branche tätig bin, habe ich im Laufe der Zeit gesehen, wie wir die Geräte über ihren gesamten Lebenszyklus hinweg verwalten - sei es bei der Anschaffung, der Installation, der Wartung oder der Außerbetriebnahme. Zu den wenigen Bedenken von HTM und anderen IT-Fachleuten im Gesundheitswesen gehört jedoch, dass sie nicht vollständig für die Cybersicherheitsherausforderungen dieser medizinischen Geräte gerüstet sind. In diesem Podcast erfahren wir von Matt, wie man die Cybersecurity bei HTM auf ein hohes Niveau bringt.

Matt, wenn wir von einem HTM Cybersecurity Center of Excellence sprechen, was bedeutet das eigentlich und wie können Führungskräfte die Grundsteine für das Center of Excellence legen?

Matt Dimino:

Ich glaube, das bedeutet, dass Sie Ihre Marke verändern müssen. Einen neuen Ruf für HTM aufzubauen. Viele Jahre lang waren wir in diesem "Break-fix"-Modell, wir waren isoliert und steckten in einer Generation fest, in der wir die Dinge immer so gemacht haben. Wenn es um den Aufbau eines Kompetenzzentrums geht, ist dies eine neue Herausforderung, die wir im Bereich der Cybersicherheit angehen wollen. Wir werden also auf die Unternehmenssicherheit hinarbeiten... und sie für die Organisation förderlicher gestalten. Die Idee besteht darin, diese isolierten Bemühungen, diese isolierten Effekte zu vergessen und das Ganze aus der Unternehmensperspektive zu betrachten und nicht nur aus der Perspektive von Biomed oder HTM. Im Wesentlichen geht es darum, ein Programm zu entwickeln, das der Organisation bei ihren Sicherheitsbemühungen hilft.

Die grundlegenden Bausteine dafür sind im Wesentlichen Menschen, Prozesse und Technologie. Man beginnt mit den Menschen und bewertet die Kultur. Schauen Sie sich an, wen Sie in Ihrer Organisation haben. Wen haben Sie in Ihrem eigenen Team? Wer sind Ihre internen Champions und wer sind im Wesentlichen Ihre externen Champions? Wenn ich sage "externe Verfechter", dann sind das auch Ihre Partner... Leute wie Sie mit einigen der Tools und Leute wie ich von einer Beratungsfirma. Es sind nicht nur die innerhalb Ihrer Organisation. Und dann kann "extern" auch außerhalb Ihrer Abteilung bedeuten, also zwischen IT und IS, ganz gleich, ob es sich um eine gute, faire oder schlechte Beziehung handelt, sie muss sich ausweiten, sie muss aufgebaut werden und sie muss sich ändern, um diese Kultur zu schaffen, die als Baustein notwendig ist.

Der technologische Aspekt ist ebenfalls von entscheidender Bedeutung, d. h. ob Sie bereits über die entsprechende Technologie verfügen. Setzen Sie sie richtig ein? Nutzen Sie sie zu Ihrem Vorteil? Zeigen Sie unseren ROI (Return on Investment)? Ist es nur ein weiteres Tool, das im Regal steht, oder ist es etwas, das wirklich in Ihr gesamtes Programm integriert und eingebunden ist? Wenn Sie nicht über die Technologie verfügen, müssen Sie den Business Case für die Beschaffung der Technologien erstellen. Die Technologien sind Teilaspekte, die notwendig und entscheidend sind, um das angestrebte Kompetenzzentrum wirklich aufzubauen. Das andere Element oder die Grundlage sind die Prozesse und Arbeitsabläufe. Verfügen Sie über wiederholbare Prozesse? Sind Sie in der Lage, mit Ihren Mitarbeitern und Ihrer Technologie Arbeitsabläufe zu schaffen, die wiederholbar sind? Wir erleben derzeit einen Mangel an Talenten, und wenn Sie Talente akquirieren oder hochqualifizierte Mitarbeiter in Ihrem Team haben, was passiert, wenn diese Mitarbeiter das Unternehmen verlassen? Verfügen Sie über wiederholbare Prozesse, die Sie den Führungskräften nachweisen können, dass Sie diese Mitarbeiter halten können? Sind Sie in der Lage, dieses Programm und diesen Prozess fortzusetzen und weiterzuführen?

Priyanka Upendra:

Vielen Dank, Matt.

Sie sprachen ein wenig darüber, dass Sie praktische Erfahrung mit dem Härten dieser Geräte haben. Wir sehen das als eine der größten Herausforderungen. Wenn wir uns also mit den Cybersicherheitsänderungen oder -kontrollen befassen, die an medizinischen Geräten oder sogar an ihren Netzwerken angebracht werden und Auswirkungen auf die Patientenversorgung und die Arbeitsabläufe der Ärzte haben, wie können HTM-Experten die Anwendung dieser Kontrollen oder Härtungsleitfäden in der Pflegeumgebung erleichtern?

Matt Dimino:

Dabei ist zu beachten, dass die Kontrolle in erster Linie auf ein Risiko zurückgeführt werden muss. Sie muss auf ein ganz bestimmtes Risiko zurückgeführt werden. Andernfalls werden Sie letztlich einen Haufen Kontrollen anordnen, die Zeit, Geld und Mühe kosten, aber möglicherweise nicht einmal das Risiko verringern. Es geht darum, diese Vermögenswerte unter Risikogesichtspunkten zu bewerten und dafür zu sorgen, dass die Kontrollen auf dieses Risiko abgestimmt sind. Verfügen Sie über Verfahren zur Überwachung der Kontrollen? Wenn dies nicht der Fall ist, handelt es sich um einen Ad-hoc-Prozess, bei dem Sie nicht sicher sind, wo Sie stehen, und Sie haben immer noch keine Daten und keine Elemente, die Sie mit der Sicherheitsbehörde oder Ihren Stakeholdern, die an diesem Prozess beteiligt sein werden, teilen können.

Dies geschieht durch die Betrachtung von RACI-Diagrammen, durch geänderte Kontrollkonfigurationen, Verfahren und Prozesse und sogar durch sichere Konfigurationsstandards. Man muss also in der Lage sein, all dies vom Ausgangszustand bis zum Endergebnis oder aus der Perspektive des Lebenszyklus zu betrachten. Darüber hinaus benötigen CE und HTM manchmal eine Sandbox, um einige dieser Kontrollen zu testen. Man kann nicht einfach ad hoc gehen oder eine wilde Entscheidung treffen, dass dies die beste Herangehensweise ist... das ist, was wir tun werden. Es muss eine Art von Änderungskontrolle und Testumgebung geben. Und das letzte Element ist die Kommunikation mit den Klinikern. HTM und CE sind im Wesentlichen die Stiefel auf dem Boden. Wir haben es mit diesen Leuten zu tun und müssen ihnen mitteilen, dass wir eine Änderung vornehmen werden, die sich auf ihre Arbeitsabläufe auswirken könnte. Oftmals werden diese Personen in einen Ausschuss gebracht, und ich weiß, wir sind voller Ausschüsse, aber in eine Art Arbeitsgruppe, um diese Gespräche zu führen. Wir alle wollen die Dinge sichern, wir wollen Kontrollen durchführen, aber wir wollen die Pflege nicht behindern. Wir neigen dazu, einfach zu sagen. "Wisst ihr was? Vergesst es. Ich bin zu besorgt darüber, was passieren könnte." Wir denken, wir wüssten alles, weil wir so sehr in die Pflegeumgebung integriert sind, aber solange wir nicht die Leute aus der Pflegeumgebung zu uns holen und einfach mit ihnen reden und ihre Arbeitsabläufe verstehen, können wir die Kontrollen angemessener gestalten und das Risiko einer Beeinträchtigung ihrer klinischen Pflegeumgebung verringern.

Priyanka Upendra:

Vielen Dank, Matt.

In diesem Sinne haben Sie mir in meiner früheren Funktion bei einem integrierten Versorgungsnetz geholfen, Asimily einzuführen - von der Entwicklung von Prozessen, Leistungskennzahlen und Schulungsmaterialien. Können Sie die spezifischen Merkmale und Funktionalitäten von Asimily erläutern, die HDOs übernehmen können, um diese Transformation voranzutreiben, und wie geht First Health Advisory dabei vor?

Matt Dimino:

Einige der Elemente in Ihrem Tool, die ich aus programmatischer Sicht als äußerst vorteilhaft empfinde, sind das Richtlinienmanagement. Sie haben die Möglichkeit, ein Profil für diese Assets zu erstellen. Sie können sehen, was sie tun. Sie haben Ihre Sichtbarkeit, und jetzt gehen Sie noch einen Schritt weiter und sagen: "Ich möchte wissen, ob sich das Verhalten dieses Geräts ändert, ob sich etwas in der Umgebung ändert, ob wir ein neues Gerät an Bord nehmen, das nicht dem entspricht, was wir von der Grundlinie aus gesehen haben." Die Anpassungsmöglichkeiten innerhalb des Produkts selbst sind für mich Gold wert. Das ist nur eines der Elemente, mit denen Sie die Einhaltung der Vorschriften sicherstellen können. Sie arbeiten so hart daran, ein iteratives Programm zu erstellen, und am Ende dieses Programms ... müssen Sie es überwachen, und das tun Ihre Tools. So wie ein Produkt, das es Ihnen ermöglicht, dies sehr granular zu überwachen, um zu sehen, ob es irgendwelche Abweichungen gibt. Hinzu kommt das Risiko-Scoring. Jeder fragt sich: "Wie bewerte ich das Risiko und welchen Arzt sollte ich in Betracht ziehen?". Asimily hat einen Algorithmus, der die Umgebung wirklich kontextualisiert. Er kontextualisiert das Produkt insgesamt. Es gibt Ihnen eine sehr klare Zahl, was dies darstellt, und diese Zahl sagt Ihnen, was Sie. Das ist das Verständnis dafür, wie wichtig diese Anlage für Ihr Unternehmen sein könnte. Ohne eine Analyse der Auswirkungen auf das Unternehmen durchzuführen, reichen der Risikowert selbst und die Wahrscheinlichkeit der Auswirkungen, die Asimily aufzeigt, aus, um wirklich fundierte Entscheidungen zu treffen. Sie wissen, worauf Sie Ihre Bemühungen konzentrieren müssen.

Ein weiteres Schlüsselelement sind die CVE- und Schwachstellen-Informationen, die Asimily bereitstellt. Es nimmt Ihnen die Arbeit ab, sich durch 2.000, 4.000 oder 6.000 angeschlossene medizinische Geräte zu wühlen, und wenn Sie ein HTM-Sicherheitsanalytiker sind und diese in Ihrer Lektüre durchgehen. Sie fragen sich: "Wohin soll ich gehen? Was soll ich tun?" Das Asimily-Inside-Produkt gibt Ihnen Empfehlungen und einen guten Arbeitsablauf, den wir Ihnen empfehlen, um das Risiko zu verringern. Es macht es ein wenig einfacher und weniger schwierig für die Person, die wirklich etwas verändern möchte. Aus Sicht von First Health Advisory ist es genau das, was wir anstreben. Wir möchten den Kunden im Wesentlichen dabei helfen, wo sie anfangen sollen. Es geht darum, die Kritikalität, die Sensibilität der Vermögenswerte und das Risiko zu ermitteln, denn meiner Meinung nach geht es hier um die Perspektive des Risikomanagements. Wenn Sie 4.000 angeschlossene Anlagen haben und versuchen, sie alle in Angriff zu nehmen... werden Sie sich nur im Kreise drehen. Wenn man sich die Kritikalität ansieht, die Umgebung versteht und dann davon ausgeht, dass man die CVE-Empfehlungen und Schwachstelleninformationen und das Richtlinienmanagement hat, hat man fast einen kompletten iterativen Prozess der Risikobewertung, was kann ich tun, um mein Risiko zu reduzieren, und wie überwache ich mein Risiko.

Priyanka Upendra:

Vielen Dank, Matt.

Ich denke, dass Asimily genau das tut, weil es die Ungewissheit für Fachleute aus dem Bereich des Technologiemanagements im Gesundheitswesen oder auch nur für andere IT-Fachleute im Gesundheitswesen verringert, indem es die Herausforderungen bei der Bestandsaufnahme, der Priorisierung der zahlreichen Schwachstellen, auf die wir stoßen, und der Definition der ausnutzbaren Schwachstellen löst. Und worauf müssen wir uns wirklich konzentrieren und was hat die größten Auswirkungen auf die Patientendaten und das Unternehmen. Und darauf konzentrieren Sie alle Ihre Ressourcen, zumindest in diesem kurzfristigen Zeitraum.

Sie haben einen wichtigen Punkt zur Einhaltung der Vorschriften angesprochen. Wir alle wissen, dass Sicherheit nicht gleichbedeutend mit Compliance ist. Dementsprechend haben wir auch keine expliziten regulatorischen Anforderungen in den Environment of Care Standards gesehen. Ganz besonders für HTM in den Leistungselementen, die das Cybersecurity-Risikomanagement vorantreiben. Was wir bisher gesehen haben, sind Gesundheitssysteme, die zunehmend Cyber-Versicherungspolicen abschließen, um bestimmte Kompromisse in der Infrastruktur abzudecken, und Gesundheitssysteme, die jetzt auch damit beginnen, in spezielles HTM-Cybersicherheitspersonal zu investieren. Glauben Sie, dass es angesichts dieser Lücke in den gesetzlichen Anforderungen etwas gibt, das HTMs nutzen können, um dieses Center of Excellence einzurichten, oder wie schwierig ist oder wird dies sein, und können sie bestehende Datensätze aus ihrem CMMS oder einen Konzeptnachweis vielleicht mit Asimily nutzen, um die Rechtfertigung für die Installation eines dedizierten Programms zu schaffen und diese Technologie dann vollumfänglich zu übernehmen?

Matt Dimino:

Erstens, ohne das begrenzte regulatorische Element, nein, ich glaube nicht, dass dies schwieriger ist. Ich würde sogar sagen, dass es genau andersherum ist. Die Cyber-Versicherungsunternehmen sind nicht mehr bereit, die Kosten zu übernehmen. Sie stellen lediglich sicher, dass Sie die entsprechenden Anforderungen erfüllen. Erfüllen Sie diese Mindestanforderungen, so dass wir im Falle eines negativen Vorfalls auszahlen, aber Sie müssen diese Mindestanforderungen erfüllen? Natürlich gibt es im Moment keine Mindestanforderungen für Medizinprodukte in HTM per se, aber was sie suchen, ist die Tatsache, dass Sie einen ganzheitlichen, iterativen Prozess haben. Sie haben etwas dokumentiert. Sie zeigen deutlich, dass Sie Ihre Sorgfaltspflicht erfüllt haben, und zwar wiederum auf der Grundlage eines Rahmens. Hier kommt ein Großteil der First Health Advisory ins Spiel. Alles, was wir tun, ist nicht ad hoc und basiert auf dem Nest Cybersicherheitsrahmen. Und wir sehen, dass sich immer mehr Gesundheitseinrichtungen und Sicherheitsabteilungen in diese Richtung bewegen. Eines der Dinge, die wir für das Cyber Center of Excellence oder das HTM Cyber Center of Excellence tun, ist ... genau das. Spiegelung dessen, was IS oder IT aus der Kontrollperspektive und aus der Rahmenperspektive tun.

Und jetzt haben wir diese grundlegenden Elemente, um noch einmal den NIST-Rahmen für Cybersicherheit in den Kontext zu stellen. Es gibt fünf Kernfunktionen und -ebenen und Profile. Wenn Sie versuchen, Ihr Programm zu entwickeln, können Sie sich die fünf Kernfunktionen ansehen. Sie ordnen sie dem zu, was Sie tun können, und insbesondere mit einem Tool wie Asimily können Sie eine große Handvoll dieser Kernfunktionen vom Tool abbilden. Das Tool bietet Ihnen also das, was Sie brauchen, um die Lücke in einer dieser Funktionen zu füllen. Und dann schauen Sie sich die Profile und die Ebenen an. Ich will nicht sagen, dass eine Stufe eine Art Reifegrad darstellt, aber bis zu einem gewissen Grad ist es ein Fahrplan für "Hier stehe ich heute. Ich befinde mich auf einem Reifegrad von eins oder null, d. h. es ist eine Art Ad-hoc-Maßnahme oder existiert überhaupt nicht, und ich möchte eine Stufe drei erreichen. Die Profile helfen Ihnen wirklich dabei, herauszufinden, wie eine Eins aussieht, wie eine Zwei aussieht, was für eine Drei nötig ist, und was für eine Vier und Fünf nötig ist. Jetzt wissen Sie, worauf Sie Ihr Geld und Ihre Bemühungen konzentrieren müssen, und wir werden uns auf all diese Punkte konzentrieren. Sie werden feststellen, dass Sie, obwohl Sie fünf Kernfunktionen und, sagen wir, 123 Kategorien haben, diese nicht alle ausfüllen können. Das ist unmöglich. Es ist zu kostspielig, zu schwierig und alles dazwischen.

Der Rahmen ist nicht als Vorschrift gedacht, sondern Sie sollen ihn nur auswerten und auf Ihre Umgebung abstimmen. Sie werden es abbilden und sich wiederum die Profile und Stufen ansehen und sagen: "Heute ist es für mich in Ordnung, eine Zwei zu sein. Es kostet mich x und oder diese Menge an Aufwand, um eine Drei zu sein, und bei drei fühlen wir uns sehr wohl. Bei drei haben wir das Gefühl, dass wir unser Risiko für die Umwelt reduziert haben. Ich kann das mit den Führungskräften teilen. Das ist großartig." Und dann das Gleiche noch einmal. Sie sehen sich ein anderes Profil oder eine andere Funktion an, bewerten es und sagen: "Das wird mich Geld kosten. Ich muss zum Vorstand oder zu anderen Stakeholdern gehen und einen Business Case erstellen, um dies zu unterstützen."

Der andere Punkt ist, dass der Rahmen wirklich das Wer, Was, Wann, Wo und Warum beschreibt. Die Tatsache, dass es dokumentiert ist, dass Sie die Elemente haben, die Sie brauchen, dass Sie Arbeitsabläufe, Menschen und Prozesse direkt auf das Rahmenwerk zurückführen können, zeigt den Cyber-Versicherern, dass Sie sich wirklich bemühen. Ich ordne Asimily der Identifizierung von Vermögenswerten zu. Ich ordne ein Programm der Governance als Funktion zu. Sie können all dies abbilden und den Versicherern zeigen, dass sie im Falle eines Vorfalls, bei dem wir kompromittiert werden und der negative Folgen hat (all die Elemente, von denen wir in den Nachrichten hören), eher bereit sind, die Kosten zu übernehmen, weil Sie etwas unternommen haben. Sie haben Ihre Sorgfaltspflicht erfüllt.

Aus der HTM-Perspektive oder aus der Sicht dessen, was HTM-Führungskräfte tun können, erfordert dies im Wesentlichen einen Business Case. Sie werden sich den Rahmen ansehen. Wie passe ich das an oder was muss ich damit machen? Und manchmal muss man sich mit dem IS zusammensetzen und herausfinden, was sie haben und was sie nicht haben. Einfach die Tatsache teilen, dass "Hey, benutzt ihr alle ein Framework? Ist es dieses? Gut. Wir werden versuchen, das in die HTM-Umgebung zu kopieren, und hier ist, was wir haben. Hier ist, was wir nicht haben. Können Sie uns vielleicht dabei helfen?" Sie wissen also aus der Perspektive der Ressourcen, dass es vielleicht eine Unternehmenskontrolle gibt, die spezifisch oder förderlich für HTM sein kann. HTM ist also nicht aufgeschmissen, wenn sie versuchen, etwas zu kaufen oder zu beschaffen und nicht sicher sind, was es ihnen bringen wird. Die Sicherheitsabteilung oder die IT-Abteilung haben es vielleicht schon. Das muss man sich also ansehen.

Und ein weiteres Element ist die Betrachtung der Personalausstattung, der Ressourcen und der Talente. Was müssen Sie tun, um die Einrichtung des Zentrums zu rechtfertigen? Nun, nicht jeder wird losrennen und jemanden holen können. Wir werden nicht in der Lage sein, eine Ressource auf Anhieb einzustellen. Die digitale Transformation... die Strategie, die dabei ins Spiel kommen muss, lautet also: "Also gut, ich möchte sicherstellen, dass die Organisation geschützt ist. Ich muss das aus der Geschäftsperspektive und dann aus der Ressourcenperspektive betrachten." Die Strategie besteht also darin, zu prüfen, welche Ressourcen Sie haben, und diese auf den gewünschten zukünftigen Zustand abzustimmen. So können Sie feststellen, wo Ihre Lücken sind, und auf diese Weise können Sie Ihre Ressourcen beschaffen und Ihren Business Case erstellen.

Priyanka Upendra:

Sie haben den Nagel auf den Kopf getroffen, Matt. Offensichtlich sprechen wir über viele verschiedene Aktivitäten, angefangen bei der Vermögensverwaltung über verschiedene Prozesse innerhalb der Vermögensverwaltung bis hin zur Einstellung von Mitarbeitern und dem Aufbau des Personals und der erforderlichen Fähigkeiten, die HTM als IT-Erfahrung mit sich bringen. Und dann geht es auch um die Einführung von Technologien. Sie haben also an HTM-Programmen mitgewirkt, die sich auf die Cybersicherheit medizinischer Geräte konzentrieren, und dann haben Sie Gesundheitssystemen Ihr Fachwissen zur Verfügung gestellt, um spezielle Programme aufzubauen. Wenn man all diese Bedürfnisse und Wünsche berücksichtigt, was sind Ihrer Meinung nach die größten Herausforderungen beim Aufbau eines Programms?

Matt Dimino:

Manchmal liegen die Herausforderungen in den Zwängen der Beteiligten. Im Wesentlichen sehe ich in vielen Fällen, dass alle in einem Silo arbeiten, und ich denke, wir sind uns dessen alle bewusst. Aber wenn wir isoliert sind, gehen die anderen Abteilungen fast schon davon aus, dass HTM etwas tut, als wären sie die Haupteigentümer und würden schon etwas tun. Und HTM geht davon aus, dass die Sicherheitsabteilung schon etwas tut, warum muss ich also noch etwas tun. Und genau da ist die Grauzone. Jemand muss diesen Aha-Moment haben und verstehen, dass wir eine Lücke haben. Und das führt direkt zu den vorherigen Elementen des Rahmens zurück. Wenn wir uns aus der Unternehmensperspektive zusammensetzen und uns den Rahmen ansehen. Wir haben die anderen Geschäftsbereiche gefragt. "Worauf beziehen Sie sich und worauf nicht?" Und dann können wir herausfinden, wo einige dieser Lücken sind. Das ist also nur eine [der Herausforderungen] für die Stakeholder.

Was ich oft sehe, ist, dass ein Produkt wie Asimily oder ein anderes Tool oder ein anderer Prozess von der Sicherheit oder der IT oder einer anderen Gruppe oder sogar von HTM übernommen wird, aber es wird nicht wirklich gemeinsam genutzt. Das heißt, sie bekommen es, sie beschaffen es, aber sie nutzen es nur für 15 bis 25 % dessen, was es kann. Sie schaffen nicht diesen geschäftlichen Wert und haben nicht diese sich wiederholenden Prozesse. Sie haben nicht die Möglichkeit, dieses Unternehmenstool mit den verschiedenen Geschäftsbereichen zu teilen. Auch hier gilt also, dass Sie für die Bereitstellung dieses Werts viel Geld für eines dieser Tools bezahlen müssen, und das ist nur eine Einschränkung, die ich sehe. Eine Abteilung könnte es kaufen und dann wiederum entweder einige der anderen verneinen oder schließlich sagen: "Wow. Das sind nicht wirklich alle von uns. Kommen Sie rüber zu HTM." Und dann sagt HTM: "Nun, ich habe nicht die Ressourcen, die ihr gekauft habt. Was soll ich dagegen tun?" Was ich also sagen will, und das ist es, was wir von einem Beratungsstandpunkt aus sehen, ist, dass es jetzt OK ist, um Hilfe zu bitten. Denn wir befinden uns in einer neuen Ära und in einem neuen Bereich der Dinge. Nicht jeder weiß wirklich, wie man diese Herausforderungen bewältigen kann. Wenn Sie also Ressourcen und Unterstützung benötigen, um die Sache in Gang zu bringen und einige dieser Herausforderungen zu bewältigen, dann ist es in Ordnung, um Hilfe zu bitten. Es ist inzwischen allgemein bekannt, dass es Unternehmen gibt, die auf diese Weise helfen können.

Zum anderen gehen einige der vorhandenen Unternehmens-Tools davon aus, dass sie dasselbe können wie Asimily oder diese passiven Scan-Tools. Und das ist nicht die Wahrheit. Es kann keine Profile erstellen. Es kann keine Fingerabdrücke nehmen und hat nicht die Granularität, die Ihre Tools haben. Sie nehmen an, dass sie es haben, oder sie nehmen an, dass sie gut genug sind, aber es ist nicht gut genug. Es ist schwer, diesen Leuten zu sagen, dass das, was ihr habt, nicht gut genug ist, denn niemand will das hören. Wir brauchen also die Sichtbarkeit, und das ist der absolute Ausgangspunkt. Ich muss die Sichtbarkeit haben. Man kann nichts schützen, von dem man nicht weiß, dass man es hat. Die Transparenz in Bezug auf die Granularität und die Fingerabdrücke und all das von Asimily ist dazu da, um zu helfen. Die Herausforderung besteht also darin, den Geschäftsbereichen zu vermitteln, dass diese Lösung in ihre Tools integriert werden kann und ihnen das Leben erleichtert, denn sie müssen das verstehen. Manchmal kann es problematisch sein, wenn ihnen jemand außerhalb ihres Bereichs sagt, dass es so ist, weil wir in diesen Silos arbeiten. Das sind also viele der Herausforderungen, die wir heute sehen.

Priyanka Upendra:

Vielen Dank, Matt.

Meine letzte Frage an Sie lautet: Können Sie unseren Zuhörern in weniger als 60 Sekunden einige der Schlüsselelemente für die Einführung der digitalen Transformation im Umfeld der Pflege nennen?

Matt Dimino:

Ich würde sagen, der Rahmen. Das NIST-Rahmenwerk für Cybersicherheit ist ein Schlüsselelement. Anstatt es als "ja, es ist überwältigend" zu betrachten. Das muss es nicht sein. Brechen Sie es auf die grundlegenden Elemente herunter und ordnen Sie das, was Sie haben, diesem Rahmen zu. Die andere Sache ist, zu vergessen, was Sie die längste Zeit wussten. Lösen Sie sich von den Barrieren. Hören Sie auf mit dem "Ich habe nicht die Ressourcen " oder "Ich will nicht, es ist zu schwierig". Bei der digitalen Transformation geht es nicht darum, kleine inkrementelle Änderungen vorzunehmen. Es geht vielmehr darum, über den Tellerrand hinauszuschauen und sich auszutoben. Ihr Ziel ist es, Ihre Geschäftseinheit umzugestalten und sie für das Unternehmen förderlich zu machen. Aus der Sicherheitsperspektive soll es für die Organisation der Gesundheitsversorgung vorteilhafter werden. Machen Sie wieder große Dinge. Seien Sie innovativ. Denken Sie über den Tellerrand hinaus. Und bringen Sie alles zusammen.

Priyanka Upendra:

Vielen Dank, Matt.

Es ist jetzt der Monat der Cybersicherheit und Matt, ich danke Ihnen, dass Sie hier bei Asimily sind und Ihr Fachwissen mit uns teilen. Wir schätzen Ihre Vordenkerrolle sehr und freuen uns auf die weitere Zusammenarbeit mit Ihnen und mit First Health Advisory Services. Wenn Sie Fragen haben oder mehr über Asimily und sein Angebot erfahren möchten, kontaktieren Sie uns unter info@assembly.com. Wenn Sie Fragen zu First Health Advisory haben und dazu, wie das Unternehmen Ihr Gesundheitssystem dabei unterstützen kann, proaktiver zu werden und die digitale Transformation im Bereich der Pflege voranzutreiben, kontaktieren Sie es unter info at firsthealthadvisory.com. Bis dahin: Passen Sie auf sich auf und bleiben Sie gesund.

[Ende]

Priyanka Upendra:

Guten Morgen, allerseits. Ich bin Priyanka Upendra, Senior Director of Customer Success bei Asimily, und ich freue mich, Sie zur Podcast-Reihe IoT Security Talks begrüßen zu dürfen. In der heutigen dritten Folge werden wir uns auf folgende Themen konzentrieren Aufbau des Cybersecurity Center of Excellence für das Technologiemanagement im Gesundheitswesen mit Matt Dimino, Vice President of Advisory Services bei First Health Advisory mit Sitz in Scottsdale, Arizona.

Matt bringt ein breites Spektrum an technischem, sicherheitstechnischem, akademischem und HTM-Wissen in diese Szene ein. Er verfügt über mehr als 15 Jahre Erfahrung in verschiedenen Funktionen, die von der Lehrtätigkeit an der IUPUI bis hin zu Führungsaufgaben im Bereich HTM reichen. Viele dieser Jahre verbrachte er als Praktiker im Bereich der Sicherheit medizinischer Geräte. Im Laufe seiner Karriere entwickelte er mehrere Sicherheitsprogramme, integrierte komplexe Architekturen, führte Sicherheitsberatungen durch und entwickelte Risikobewertungsmethoden in Verbindung mit praktischer Erfahrung in der Gerätehärtung. Ein wichtiger Schwerpunkt von Matt ist die Erweiterung der IoMT- oder Internet of Medical Things-Risikomanagement-Strategien und die Vorbereitung der Kunden und Partner von First Health Advisory auf die Zukunft des IoMT und die Schaffung einer sichereren Pflegeumgebung. Matt, vielen Dank, dass Sie heute bei uns sind.

Wie wir alle in den letzten zehn Jahren gesehen haben, sind medizinische Geräte immer stärker vernetzt und unsere Sorge um die Cybersicherheit dieser Geräte ist exponentiell gewachsen. Da ich selbst seit über 15 Jahren in der Branche tätig bin, habe ich im Laufe der Zeit gesehen, wie wir die Geräte über ihren gesamten Lebenszyklus hinweg verwalten - sei es bei der Anschaffung, der Installation, der Wartung oder der Außerbetriebnahme. Zu den wenigen Bedenken von HTM und anderen IT-Fachleuten im Gesundheitswesen gehört jedoch, dass sie nicht vollständig für die Cybersicherheitsherausforderungen dieser medizinischen Geräte gerüstet sind. In diesem Podcast erfahren wir von Matt, wie man die Cybersecurity bei HTM auf ein hohes Niveau bringt.

Matt, wenn wir von einem HTM Cybersecurity Center of Excellence sprechen, was bedeutet das eigentlich und wie können Führungskräfte die Grundsteine für das Center of Excellence legen?

Matt Dimino:

Ich glaube, das bedeutet, dass Sie Ihre Marke verändern müssen. Einen neuen Ruf für HTM aufzubauen. Viele Jahre lang waren wir in diesem "Break-Fix"-Modell, wir waren isoliert und steckten in einer Generation von So machen wir es immer. Wenn es um den Aufbau eines Kompetenzzentrums geht, ist das eine neue Herausforderung, die wir im Bereich der Cybersicherheit angehen wollen. Wir werden also auf die Unternehmenssicherheit hinarbeiten... und sie für die Organisation förderlicher gestalten. Die Idee besteht darin, diese isolierten Bemühungen, diese isolierten Effekte zu vergessen und das Ganze aus der Unternehmensperspektive zu betrachten und nicht nur aus der Perspektive von Biomed oder HTM. Im Wesentlichen geht es darum, ein Programm zu entwickeln, das der Organisation bei ihren Sicherheitsbemühungen hilft.

Die grundlegenden Bausteine dafür sind im Wesentlichen Menschen, Prozesse und Technologie. Man beginnt mit den Menschen und bewertet die Kultur. Schauen Sie sich an, wen Sie in Ihrer Organisation haben. Wen haben Sie in Ihrem eigenen Team? Wer sind Ihre internen Champions und wer sind im Wesentlichen Ihre externen Champions? Wenn ich sage "externe Verfechter", dann sind das auch Ihre Partner... Leute wie Sie mit einigen der Tools und Leute wie ich von einer Beratungsfirma. Es sind nicht nur die innerhalb Ihrer Organisation. Und dann kann "extern" auch außerhalb Ihrer Abteilung bedeuten, also zwischen IT und IS, ganz gleich, ob es sich um eine gute, faire oder schlechte Beziehung handelt, sie muss sich ausweiten, sie muss aufgebaut werden und sie muss sich ändern, um diese Kultur zu schaffen, die als Baustein notwendig ist.

Der technologische Aspekt ist ebenfalls von entscheidender Bedeutung, d. h. ob Sie bereits über die entsprechende Technologie verfügen. Setzen Sie sie richtig ein? Nutzen Sie sie zu Ihrem Vorteil? Zeigen Sie unseren ROI (Return on Investment)? Ist es nur ein weiteres Tool, das im Regal steht, oder ist es etwas, das wirklich in Ihr gesamtes Programm integriert und eingebunden ist? Wenn Sie nicht über die Technologie verfügen, müssen Sie den Business Case für die Beschaffung der Technologien erstellen. Die Technologien sind Teilaspekte, die notwendig und entscheidend sind, um das angestrebte Kompetenzzentrum wirklich aufzubauen. Das andere Element oder die Grundlage sind die Prozesse und Arbeitsabläufe. Verfügen Sie über wiederholbare Prozesse? Sind Sie in der Lage, mit Ihren Mitarbeitern und Ihrer Technologie Arbeitsabläufe zu schaffen, die wiederholbar sind? Wir erleben derzeit einen Mangel an Talenten, und wenn Sie Talente akquirieren oder hochqualifizierte Mitarbeiter in Ihrem Team haben, was passiert, wenn diese Mitarbeiter das Unternehmen verlassen? Verfügen Sie über wiederholbare Prozesse, die Sie den Führungskräften nachweisen können, dass Sie diese Mitarbeiter halten können? Sind Sie in der Lage, dieses Programm und diesen Prozess fortzusetzen und weiterzuführen?

Priyanka Upendra:

Vielen Dank, Matt.

Sie sprachen ein wenig darüber, dass Sie praktische Erfahrung mit dem Härten dieser Geräte haben. Wir sehen das als eine der größten Herausforderungen. Wenn wir uns also mit den Cybersicherheitsänderungen oder -kontrollen befassen, die an medizinischen Geräten oder sogar an ihren Netzwerken angebracht werden und Auswirkungen auf die Patientenversorgung und die Arbeitsabläufe der Ärzte haben, wie können HTM-Experten die Anwendung dieser Kontrollen oder Härtungsleitfäden in der Pflegeumgebung erleichtern?

Matt Dimino:

Dabei ist zu beachten, dass die Kontrolle in erster Linie auf ein Risiko zurückgeführt werden muss. Sie muss auf ein ganz bestimmtes Risiko zurückgeführt werden. Andernfalls werden Sie letztlich einen Haufen Kontrollen anordnen, die Zeit, Geld und Mühe kosten, aber möglicherweise nicht einmal das Risiko verringern. Es geht darum, diese Vermögenswerte unter Risikogesichtspunkten zu bewerten und dafür zu sorgen, dass die Kontrollen auf dieses Risiko abgestimmt sind. Verfügen Sie über Verfahren zur Überwachung der Kontrollen? Wenn dies nicht der Fall ist, handelt es sich um einen Ad-hoc-Prozess, bei dem Sie nicht sicher sind, wo Sie stehen, und Sie haben immer noch keine Daten und keine Elemente, die Sie mit der Sicherheitsbehörde oder Ihren Stakeholdern, die an diesem Prozess beteiligt sein werden, teilen können.

Dies geschieht durch die Betrachtung von RACI-Diagrammen, durch geänderte Kontrollkonfigurationen, Verfahren und Prozesse und sogar durch sichere Konfigurationsstandards. Man muss also in der Lage sein, all dies vom Ausgangszustand bis zum Endergebnis oder aus der Perspektive des Lebenszyklus zu betrachten. Darüber hinaus benötigen CE und HTM manchmal eine Sandbox, um einige dieser Kontrollen zu testen. Man kann nicht einfach ad hoc gehen oder eine wilde Entscheidung treffen, dass dies die beste Herangehensweise ist... das ist, was wir tun werden. Es muss eine Art von Änderungskontrolle und Testumgebung geben. Und das letzte Element ist die Kommunikation mit den Klinikern. HTM und CE sind im Wesentlichen die Stiefel auf dem Boden. Wir haben es mit diesen Leuten zu tun und müssen ihnen mitteilen, dass wir eine Änderung vornehmen werden, die sich auf ihre Arbeitsabläufe auswirken könnte. Oftmals werden diese Personen in einen Ausschuss gebracht, und ich weiß, wir sind voller Ausschüsse, aber in eine Art Arbeitsgruppe, um diese Gespräche zu führen. Wir alle wollen die Dinge sichern, wir wollen Kontrollen durchführen, aber wir wollen die Pflege nicht behindern. Wir neigen dazu, einfach zu sagen. "Wisst ihr was? Vergesst es. Ich bin zu besorgt darüber, was passieren könnte." Wir denken, wir wüssten alles, weil wir so sehr in die Pflegeumgebung integriert sind, aber solange wir nicht die Leute aus der Pflegeumgebung zu uns holen und einfach mit ihnen reden und ihre Arbeitsabläufe verstehen, können wir die Kontrollen angemessener gestalten und das Risiko einer Beeinträchtigung ihrer klinischen Pflegeumgebung verringern.

Priyanka Upendra:

Vielen Dank, Matt.

In diesem Sinne haben Sie mir in meiner früheren Funktion bei einem integrierten Versorgungsnetz geholfen, Asimily einzuführen - von der Entwicklung von Prozessen, Leistungskennzahlen und Schulungsmaterialien. Können Sie die spezifischen Merkmale und Funktionalitäten von Asimily erläutern, die HDOs übernehmen können, um diese Transformation voranzutreiben, und wie geht First Health Advisory dabei vor?

Matt Dimino:

Einige der Elemente in Ihrem Tool, die ich aus programmatischer Sicht äußerst vorteilhaft finde, sind das Richtlinienmanagement. Sie haben die Möglichkeit, ein Profil für diese Assets zu erstellen. Sie können sehen, was sie tun. Sie haben Ihre Sichtbarkeit, und jetzt gehen Sie noch einen Schritt weiter und sagen: "Ich möchte wissen, ob sich das Verhalten dieses Geräts ändert, ob sich etwas in der Umgebung ändert, ob wir ein neues Gerät an Bord nehmen, das nicht dem entspricht, was wir von der Grundlinie aus gesehen haben." Die Anpassungsmöglichkeiten innerhalb des Produkts selbst sind für mich ist Gold wert. Das ist nur eines der Elemente, mit denen Sie die Einhaltung der Vorschriften sicherstellen können. Sie arbeiten so hart daran, ein iteratives Programm zu erstellen, und am Ende dieses Programms ... müssen Sie es überwachen, und das tun Ihre Tools. So wie ein Produkt, das es Ihnen ermöglicht, dies sehr granular zu überwachen, um zu sehen, ob es eine Abweichung gibt. Hinzu kommt das Risiko-Scoring. Jeder fragt sich: "Wie bewerte ich das Risiko und welchen Arzt sollte ich in Betracht ziehen?". Asimily hat einen Algorithmus, der die Umgebung wirklich kontextualisiert. Er kontextualisiert das Produkt insgesamt. Es gibt Ihnen eine sehr klare Zahl, was dies darstellt, und diese Zahl sagt Ihnen, was Sie. Das ist das Verständnis dafür, wie wichtig diese Anlage für Ihr Unternehmen sein könnte. Ohne eine Analyse der Auswirkungen auf das Unternehmen durchzuführen, reichen der Risikowert selbst und die Wahrscheinlichkeit der Auswirkungen, die Asimily aufzeigt, aus, um wirklich fundierte Entscheidungen zu treffen. Sie wissen, worauf Sie Ihre Bemühungen konzentrieren müssen.

Ein weiteres Schlüsselelement sind die CVE- und Schwachstellen-Informationen, die Asimily bereitstellt. Es nimmt Ihnen die Arbeit ab, sich durch 2.000, 4.000 oder 6.000 angeschlossene medizinische Geräte zu wühlen, und wenn Sie ein HTM-Sicherheitsanalytiker sind und diese in Ihrer Lektüre durchgehen. Sie fragen sich: "Wohin soll ich gehen? Was soll ich tun?" Das Asimily-Inside-Produkt gibt Ihnen Empfehlungen und einen guten Arbeitsablauf, den wir Ihnen empfehlen, um das Risiko zu verringern. Es macht es ein wenig einfacher und weniger schwierig für die Person, die wirklich etwas verändern möchte. Aus Sicht von First Health Advisory ist es genau das, was wir anstreben. Wir möchten den Kunden im Wesentlichen dabei helfen, wo sie anfangen sollen. Es geht darum, die Kritikalität, die Sensibilität der Vermögenswerte und das Risiko zu ermitteln, denn meiner Meinung nach geht es hier um die Perspektive des Risikomanagements. Wenn Sie 4.000 angeschlossene Anlagen haben und versuchen, sie alle in Angriff zu nehmen... werden Sie sich nur im Kreise drehen. Wenn man sich die Kritikalität ansieht, die Umgebung versteht und dann davon ausgeht, dass man die CVE-Empfehlungen und Schwachstelleninformationen und das Richtlinienmanagement hat, hat man fast einen kompletten iterativen Prozess der Risikobewertung, was kann ich tun, um mein Risiko zu reduzieren, und wie überwache ich mein Risiko.

Priyanka Upendra:

Vielen Dank, Matt.

Ich denke, dass Asimily genau das tut, weil es die Ungewissheit für Fachleute aus dem Bereich des Technologiemanagements im Gesundheitswesen oder auch nur für andere IT-Fachleute im Gesundheitswesen verringert, indem es die Herausforderungen bei der Bestandsaufnahme, der Priorisierung der zahlreichen Schwachstellen, auf die wir stoßen, und der Definition der ausnutzbaren Schwachstellen löst. Und worauf müssen wir uns wirklich konzentrieren und was hat die größten Auswirkungen auf die Patientendaten und das Unternehmen. Und darauf konzentrieren Sie alle Ihre Ressourcen, zumindest in diesem kurzfristigen Zeitraum.

Sie haben einen wichtigen Punkt zur Einhaltung der Vorschriften angesprochen. Wir alle wissen, dass Sicherheit nicht gleichbedeutend mit Compliance ist. Dementsprechend haben wir auch keine expliziten regulatorischen Anforderungen in den Environment of Care Standards gesehen. Ganz besonders für HTM in den Leistungselementen, die das Cybersecurity-Risikomanagement vorantreiben. Was wir bisher gesehen haben, sind Gesundheitssysteme, die zunehmend Cyber-Versicherungspolicen abschließen, um bestimmte Kompromisse in der Infrastruktur abzudecken, und Gesundheitssysteme, die jetzt auch damit beginnen, in spezielles HTM-Cybersicherheitspersonal zu investieren. Glauben Sie, dass es angesichts dieser Lücke in den gesetzlichen Anforderungen etwas gibt, das HTMs nutzen können, um dieses Center of Excellence einzurichten, oder wie schwierig ist oder wird dies sein, und können sie bestehende Datensätze aus ihrem CMMS oder einen Konzeptnachweis vielleicht mit Asimily nutzen, um die Rechtfertigung für die Installation eines dedizierten Programms zu schaffen und diese Technologie dann vollumfänglich zu übernehmen?

Matt Dimino:

Erstens, ohne das begrenzte regulatorische Element, nein, ich glaube nicht, dass dies schwieriger ist. Ich würde sogar sagen, dass es genau andersherum ist. Die Cyber-Versicherungsunternehmen sind nicht mehr bereit, die Kosten zu übernehmen. Sie stellen lediglich sicher, dass Sie die entsprechenden Anforderungen erfüllen. Erfüllen Sie diese Mindestanforderungen, so dass wir im Falle eines negativen Vorfalls auszahlen, aber Sie müssen diese Mindestanforderungen erfüllen? Natürlich gibt es im Moment keine Mindestanforderungen für Medizinprodukte in HTM per se, aber was sie suchen, ist die Tatsache, dass Sie einen ganzheitlichen, iterativen Prozess haben. Sie haben etwas dokumentiert. Sie zeigen deutlich, dass Sie Ihre Sorgfaltspflicht erfüllt haben, und zwar wiederum auf der Grundlage eines Rahmens. Hier kommt ein Großteil der First Health Advisory ins Spiel. Alles, was wir tun, ist nicht ad hoc und basiert auf dem Nest Cybersicherheitsrahmen. Und wir sehen, dass sich immer mehr Gesundheitseinrichtungen und Sicherheitsabteilungen in diese Richtung bewegen. Eines der Dinge, die wir für das Cyber Center of Excellence oder das HTM Cyber Center of Excellence tun, ist ... genau das. Spiegelung dessen, was IS oder IT aus der Kontrollperspektive und aus der Rahmenperspektive tun.

Und jetzt haben wir diese grundlegenden Elemente, um noch einmal den NIST-Rahmen für Cybersicherheit in den Kontext zu stellen. Es gibt fünf Kernfunktionen und -ebenen und Profile. Wenn Sie versuchen, Ihr Programm zu entwickeln, können Sie sich die fünf Kernfunktionen ansehen. Sie ordnen sie dem zu, was Sie tun können, und insbesondere mit einem Tool wie Asimily können Sie eine große Handvoll dieser Kernfunktionen vom Tool abbilden. Das Tool bietet Ihnen also das, was Sie brauchen, um die Lücke in einer dieser Funktionen zu füllen. Und dann schauen Sie sich die Profile und die Ebenen an. Ich will nicht sagen, dass eine Stufe eine Art Reifegrad darstellt, aber bis zu einem gewissen Grad ist es ein Fahrplan für "Hier stehe ich heute. Ich befinde mich auf einem Reifegrad von eins oder null, d. h. es ist eine Art Ad-hoc-Maßnahme oder existiert überhaupt nicht, und ich möchte eine Stufe drei erreichen. Die Profile helfen Ihnen wirklich dabei, herauszufinden, wie eine Eins aussieht, wie eine Zwei aussieht, was für eine Drei nötig ist, und was für eine Vier und Fünf nötig ist. Jetzt wissen Sie, worauf Sie Ihr Geld und Ihre Bemühungen konzentrieren müssen, und wir werden uns auf all diese Punkte konzentrieren. Sie werden feststellen, dass Sie, obwohl Sie fünf Kernfunktionen und, sagen wir, 123 Kategorien haben, diese nicht alle ausfüllen können. Das ist unmöglich. Es ist zu kostspielig, zu schwierig und alles dazwischen.

Der Rahmen ist nicht als Vorschrift gedacht, sondern Sie sollen ihn nur auswerten und auf Ihre Umgebung abstimmen. Sie werden es abbilden und sich wiederum die Profile und Stufen ansehen und sagen: "Heute ist es für mich in Ordnung, eine Zwei zu sein. Es kostet mich x und oder diese Menge an Aufwand, um eine Drei zu sein, und bei drei fühlen wir uns sehr wohl. Bei drei haben wir das Gefühl, dass wir unser Risiko für die Umwelt reduziert haben. Ich kann das mit den Führungskräften teilen. Das ist großartig." Und dann das Gleiche noch einmal. Sie sehen sich ein anderes Profil oder eine andere Funktion an, bewerten es und sagen: "Das wird mich Geld kosten. Ich muss zum Vorstand oder zu anderen Stakeholdern gehen und einen Business Case erstellen, um dies zu unterstützen."

Der andere Punkt ist, dass der Rahmen wirklich das wer, was, wann, wo und warum. Die Tatsache, dass es dokumentiert ist, dass Sie die Elemente haben, die Sie brauchen, dass Sie Arbeitsabläufe, Menschen und Prozesse direkt auf den Rahmen zurückführen können, zeigt den Cyber-Versicherern, dass Sie sich wirklich bemühen. Ich ordne Asimily der Identifizierung von Vermögenswerten zu. Ich ordne ein Programm der Governance als Funktion zu. Sie können all dies abbilden und den Versicherern zeigen, dass sie im Falle eines Vorfalls, bei dem wir kompromittiert werden und der negative Folgen hat (all die Elemente, von denen wir in den Nachrichten hören), eher bereit sind, die Kosten zu übernehmen, weil Sie etwas unternommen haben. Sie haben Ihre Sorgfaltspflicht erfüllt.

Aus der HTM-Perspektive oder aus der Sicht dessen, was HTM-Führungskräfte tun können, erfordert dies im Wesentlichen einen Business Case. Sie werden sich den Rahmen ansehen. Wie passe ich das an oder was muss ich damit machen? Und manchmal muss man sich mit dem IS zusammensetzen und herausfinden, was sie haben und was sie nicht haben. Einfach die Tatsache teilen, dass "Hey, benutzt ihr alle ein Framework? Ist es dieses? Gut. Wir werden versuchen, das in die HTM-Umgebung zu kopieren, und hier ist, was wir haben. Hier ist, was wir nicht haben. Können Sie uns vielleicht dabei helfen?" Sie wissen also aus der Perspektive der Ressourcen, dass es vielleicht eine Unternehmenskontrolle gibt, die spezifisch oder förderlich für HTM sein kann. HTM ist also nicht aufgeschmissen, wenn sie versuchen, etwas zu kaufen oder zu beschaffen und nicht sicher sind, was es ihnen bringen wird. Die Sicherheitsabteilung oder die IT-Abteilung haben es vielleicht schon. Das muss man sich also ansehen.

Und ein weiteres Element ist die Betrachtung der Personalausstattung, der Ressourcen und der Talente. Was müssen Sie tun, um die Einrichtung des Zentrums zu rechtfertigen? Nun, nicht jeder wird losrennen und jemanden holen können. Wir werden nicht in der Lage sein, eine Ressource auf Anhieb einzustellen. Die digitale Transformation... die Strategie, die dabei ins Spiel kommen muss, lautet also: "Also gut, ich möchte sicherstellen, dass die Organisation geschützt ist. Ich muss das aus der Geschäftsperspektive und dann aus der Ressourcenperspektive betrachten." Die Strategie besteht also darin, zu prüfen, welche Ressourcen Sie haben, und diese auf den gewünschten zukünftigen Zustand abzustimmen. So können Sie feststellen, wo Ihre Lücken sind, und auf diese Weise können Sie Ihre Ressourcen beschaffen und Ihren Business Case erstellen.

Priyanka Upendra:

Sie haben den Nagel auf den Kopf getroffen, Matt. Offensichtlich sprechen wir über viele verschiedene Aktivitäten, angefangen bei der Vermögensverwaltung über verschiedene Prozesse innerhalb der Vermögensverwaltung bis hin zur Einstellung von Mitarbeitern und dem Aufbau des Personals und der erforderlichen Fähigkeiten, die HTM als IT-Erfahrung mit sich bringen. Und dann geht es auch um die Einführung von Technologien. Sie haben also an HTM-Programmen mitgewirkt, die sich auf die Cybersicherheit medizinischer Geräte konzentrieren, und dann haben Sie Gesundheitssystemen Ihr Fachwissen zur Verfügung gestellt, um spezielle Programme aufzubauen. Wenn man all diese Bedürfnisse und Wünsche berücksichtigt, was sind Ihrer Meinung nach die größten Herausforderungen beim Aufbau eines Programms?

Matt Dimino:

Manchmal liegen die Herausforderungen in den Zwängen der Beteiligten. Im Wesentlichen sehe ich in vielen Fällen, dass alle in einem Silo arbeiten, und ich denke, wir sind uns dessen alle bewusst. Aber wenn wir isoliert sind, gehen die anderen Abteilungen fast schon davon aus, dass HTM etwas tut, als wären sie die Haupteigentümer und würden schon etwas tun. Und HTM geht davon aus, dass die Sicherheitsabteilung schon etwas tut, warum muss ich also noch etwas tun. Und genau da ist die Grauzone. Jemand muss dieses Aha-Erlebnis Moment haben und verstehen, dass wir eine Lücke haben. Und das führt direkt zu den vorherigen Elementen des Rahmens zurück. Wenn wir uns aus der Unternehmensperspektive zusammensetzen und uns den Rahmen ansehen. Wir haben die anderen Geschäftsbereiche gefragt. "Worauf beziehen Sie sich und worauf nicht?" Und dann können wir herausfinden, wo einige dieser Lücken sind. Das ist also nur eine [der Herausforderungen] für die Stakeholder.

Was ich oft sehe, ist, dass ein Produkt wie Asimily oder ein anderes Tool oder ein anderer Prozess von der Sicherheit oder der IT oder einer anderen Gruppe oder sogar von HTM übernommen wird, aber es wird nicht wirklich gemeinsam genutzt. Das heißt, sie bekommen es, sie beschaffen es, aber sie nutzen es nur für 15 bis 25 % dessen, was es kann. Sie schaffen nicht diesen geschäftlichen Wert und haben nicht diese sich wiederholenden Prozesse. Sie haben nicht die Möglichkeit, dieses Unternehmenstool mit den verschiedenen Geschäftsbereichen zu teilen. Auch hier gilt also, dass Sie für die Bereitstellung dieses Werts viel Geld für eines dieser Tools bezahlen müssen, und das ist nur eine Einschränkung, die ich sehe. Eine Abteilung könnte es kaufen und dann wiederum entweder einige der anderen verneinen oder schließlich sagen: "Wow. Das sind nicht wirklich alle von uns. Kommen Sie rüber zu HTM." Und dann sagt HTM: "Nun, ich habe nicht die Ressourcen, die ihr gekauft habt. Was soll ich dagegen tun?" Was ich also sagen will, und das ist es, was wir von einem Beratungsstandpunkt aus sehen, ist, dass es jetzt OK ist, um Hilfe zu bitten. Denn wir befinden uns in einer neuen Ära und in einem neuen Bereich der Dinge. Nicht jeder weiß wirklich, wie man diese Herausforderungen bewältigen kann. Wenn Sie also Ressourcen und Unterstützung benötigen, um die Sache in Gang zu bringen und einige dieser Herausforderungen zu bewältigen, dann ist es in Ordnung, um Hilfe zu bitten. Es ist inzwischen allgemein bekannt, dass es Unternehmen gibt, die auf diese Weise helfen können.

Zum anderen gehen einige der vorhandenen Unternehmens-Tools davon aus, dass sie dasselbe können wie Asimily oder diese passiven Scan-Tools. Und das ist nicht die Wahrheit. Es kann keine Profile erstellen. Es kann keine Fingerabdrücke nehmen und hat nicht die Granularität, die Ihre Tools haben. Sie nehmen an, dass sie es haben, oder sie nehmen an, dass sie gut genug sind, aber es ist nicht gut genug. Es ist schwer, diesen Leuten zu sagen, dass das, was ihr habt, nicht gut genug ist, denn niemand will das hören. Wir brauchen also die Sichtbarkeit, und das ist der absolute Ausgangspunkt. Ich muss die Sichtbarkeit haben. Man kann nichts schützen, von dem man nicht weiß, dass man es hat. Die Transparenz in Bezug auf die Granularität und die Fingerabdrücke und all das von Asimily ist dazu da, um zu helfen. Die Herausforderung besteht also darin, den Geschäftsbereichen zu vermitteln, dass diese Lösung in ihre Tools integriert werden kann und ihnen das Leben erleichtert, denn sie müssen das verstehen. Manchmal kann es problematisch sein, wenn ihnen jemand außerhalb ihres Bereichs sagt, dass es so ist, weil wir in diesen Silos arbeiten. Das sind also viele der Herausforderungen, die wir heute sehen.

Priyanka Upendra:

Vielen Dank, Matt.

Meine letzte Frage an Sie lautet: Können Sie unseren Zuhörern in weniger als 60 Sekunden einige der Schlüsselelemente für die Einführung der digitalen Transformation im Umfeld der Pflege nennen?

Matt Dimino:

Ich würde sagen, der Rahmen. Das NIST-Rahmenwerk für Cybersicherheit ist ein Schlüsselelement. Anstatt es als "ja, es ist überwältigend" zu betrachten. Das muss es nicht sein. Brechen Sie es auf die grundlegenden Elemente herunter und ordnen Sie das, was Sie haben, diesem Rahmen zu. Die andere Sache ist, zu vergessen, was Sie die längste Zeit wussten. Verlassen Sie die Barrieren. Lösen Sie sich von dem Ich habe nicht die Mittel oder ich will nicht, es ist zu schwer. Bei der digitalen Transformation geht es nicht darum, kleine inkrementelle Änderungen vorzunehmen. Es geht vielmehr darum, über den Tellerrand hinauszuschauen und sich auszutoben. Ihr Ziel ist es, Ihre Geschäftseinheit so umzugestalten, dass sie für die Organisation förderlich ist. Es geht darum, die Organisation des Gesundheitswesens aus einer Sicherheitsperspektive heraus vorteilhafter zu gestalten. Machen Sie wieder große Dinge. Seien Sie innovativ. Denken Sie über den Tellerrand hinaus. Und bringen Sie alles zusammen.

Priyanka Upendra:

Vielen Dank, Matt.

Es ist jetzt der Monat der Cybersicherheit und Matt, ich danke Ihnen, dass Sie hier bei Asimily sind und Ihr Fachwissen mit uns teilen. Wir schätzen Ihre Vordenkerrolle sehr und freuen uns auf die weitere Zusammenarbeit mit Ihnen und mit First Health Advisory Services. Wenn Sie Fragen haben oder mehr über Asimily und sein Angebot erfahren möchten, kontaktieren Sie uns unter info@assembly.com. Wenn Sie Fragen zu First Health Advisory haben und dazu, wie das Unternehmen Ihr Gesundheitssystem dabei unterstützen kann, proaktiver zu werden und die digitale Transformation im Bereich der Pflege voranzutreiben, kontaktieren Sie es unter info at firsthealthadvisory.com. Bis dahin: Passen Sie auf sich auf und bleiben Sie gesund.

[Ende]