Priyanka Upendra:
Guten Morgen zusammen. Ich bin Priya, Leiterin der Abteilung Customer Success hier bei Asimily, und ich freue mich, heute wieder Gastgeber des Asimily-Podcasts zu sein. An der IoMT- oder Internet of Medical Things-Front sind wir nicht länger darauf fixiert, Datenschutzverletzungen zu verhindern, sondern wir machen wirklich Fortschritte, um strategisch und taktvoll Bedrohungen anzugehen, die sich auf die Abläufe im Gesundheitswesen und das Wohlbefinden der Patienten auswirken. Im Rahmen des Cybersecurity Awareness Month haben wir heute Brian Cayer, den Chief Information Security Officer bei Tufts Medicine, zu Gast, der uns die IoMT Essentials näher bringt.
Ein paar Worte zur Vorstellung von Brian. Brian ist CISO bei Tufts Medicine und leitet die Cybersicherheitsinitiativen für das Tufts Medical Center, das Tufts Children's Hospital, Melrose-Wakefield Healthcare, Lowell General Hospital, Home Health Foundation und New England Quality Care Alliance. Brian ist seit über 25 Jahren in der Branche tätig und gilt als Vordenker in den Bereichen Cybersicherheit, Risikomanagement, Anwendungssicherheit und mehr. Vor seiner Tätigkeit bei Tufts war er Vice President und Director of Cyber Resilience bei Stroz Friedberg, Vice President of Information Security bei State Street und hat über ein Jahrzehnt in der US-Armee als Intelligence Analyst und Army National Guard Fire Direction Control Chief gedient. Mein Team bei Asimily hatte die Gelegenheit, eng mit Brian und seinen Teams bei Tufts an der Operationalisierung des IoMT-Cybersicherheitsrisikomanagements zu arbeiten. Nochmals vielen Dank, Brian, dass Sie heute hier sind und Ihr Fachwissen mit uns teilen.
Brian Cayer:
Toll, danke für die Einführung.
Priyanka Upendra:
IoMT ist jetzt in das Gesundheitswesen eingebettet, und wir haben eine schnelle Digitalisierung in diesem Ökosystem erlebt. In den letzten Jahren und vor allem durch die Pandemie hat sich diese Entwicklung beschleunigt, da sich die Pflegeeinrichtungen verändern und der Zustand der Patienten intelligent überwacht werden muss. Bei dieser Art von Wachstum können böswillige Akteure durch ausgenutzte Schwachstellen in diesem Bereich die Kontrolle über diese Geräte erlangen, vertrauliche Informationen stehlen, den Netzwerkverkehr behindern und die kritische Pflege unterbrechen. Auch die böswilligen Akteure haben sich weiterentwickelt, sei es in Bezug auf die Motivation, die Mechanismen oder die Techniken, die sie einsetzen, um die wirtschaftlichen Transaktionen im Untergrund voranzutreiben. Zusätzlich zu dieser Beschleunigung haben wir bereits die Folgen von schlechter oder fehlender Sicherheit gesehen. Und im Gegensatz zu anderen Sektoren, sei es im Einzelhandel, im Bankwesen usw., kann die Sicherheit oder das Fehlen von Sicherheitsüberlegungen bei der Entwicklung dieser Technologien buchstäblich zu Sicherheitsvorfällen für den Anbieter und den Patienten und sogar zu Todesfällen führen. Brian, zunächst einmal möchte ich Sie dafür loben, dass Sie die Verantwortung für das IoMT-Risikomanagement an der Tufts University übernehmen und sich dafür einsetzen. Ihr Team treibt die Bemühungen wirklich voran, und das ist meiner Meinung nach eine einzigartige Position, in der die Cybersicherheit das Kommando übernommen hat und die gesamte Dynamik der Risikominderungsmaßnahmen mit verschiedenen Interessengruppen vorantreibt. Dadurch wird sichergestellt, dass es ein umfassendes Programm zum Management von Cyberrisiken gibt. Wie hat sich dieser Übergang zu Ihren Gunsten ausgewirkt, und können Sie anderen Gesundheitssystemen und/oder Zuhörern einen Ratschlag geben?
Brian Cayer:
Als ich an Bord von Tufts Medicine kam, hatte ich keinen wirklichen Überblick über die Zusammenhänge. Wir hatten dezentralisierte Informationspakete. Eines der ersten Dinge, die ich sagte, war, dass wir wirklich über eine Asset-Management-Lösung nachdenken müssen, die sich eher in einem passiven Zustand befindet... die Informationen sammelt. Ich begann also, verschiedene Analysen durchzugehen und stieß auf Asimily. Wir haben ein paar POCs mit Ihnen durchgeführt und das System aufgebaut, und dann haben wir uns gefragt: Was bringt mir das, um Transparenz zu schaffen? Wir begannen, auch unser Vulnerability Scanning zu implementieren. Wir haben uns darauf konzentriert und gesagt: "Was sehe ich jetzt? Was ist mein Risiko? Womit ist es verbunden? Wo geht es durch?". Wir begannen mit diesem Prozess und halfen allen, einen Risikomanagement-Ansatz zu verfolgen, um das Problem anzugehen. Denn wenn wir vorher ein traditionelles Schwachstellenmanagementprogramm hatten, wurden zwar alle Schwachstellen angesprochen, aber es wurde nicht berücksichtigt, wo sie sich befinden, welche Auswirkungen das Gerät hat, wie es angeschlossen ist und was es in der Praxis tut. Das ist immer ein Problem, oder? Alle wollen nicht, dass Sie ihre Geräte anfassen. Wir werden uns darum kümmern. Wir haben unsere Gruppe, die sich mit diesem Thema beschäftigt, von Vulnerability Management in Attack Surface Management umbenannt. Wenn ich darüber nachdenke, geht es wirklich darum, wie man sie angreifen kann. Lassen Sie uns das verstehen. Identifizierung von Bedrohungen. Identifizierung des Risikos. Identifizieren Sie Ihre Teile und gehen Sie diese durch. Das hat uns wirklich geholfen, als wir einen Anbieter hatten, der ein weiteres Gerät in unser System einbrachte, und wir sahen uns das an und sagten: "Moment mal. Sie haben noch zehn andere Geräte, aber die sind nicht aktualisiert und nicht gewartet worden." Das ist eine großartige Gelegenheit, wenn sie wissen, dass sie Ihnen etwas ganz Neues verkaufen, wie können wir dann einige Altlasten beheben. Also nutzen wir diese Gelegenheit, um sie dazu zu bringen, sich damit zu befassen. "Ich werde Ihre neue Lösung erst in Betrieb nehmen, wenn wir einige der Risiken angehen, die wir in Bezug auf Ihre bestehenden Lösungen haben, die Sie implementiert haben, und sie als Teil dieses Prozesses aktualisieren. Und tatsächlich, sie sind froh, das zu tun. Die Betriebsteams waren sich dessen nicht einmal bewusst, weil sie einfach nicht den Überblick hatten. So konnten wir alle aktualisierten Tools und Lösungen einsetzen und gleichzeitig diese neue Technologie implementieren, um die Probleme zu lösen. Das ist also die Idee: Wie gehen wir mit dem Risiko um, das ist wirklich ein Fortschritt. Wir haben also nicht nur das Cyber-Risiko reduziert, sondern auch das operative Risiko, weil wir die Ausrüstung auf den neuesten Stand gebracht und die operative Effizienz der klinischen Teams verbessert haben. Das sind also die Dinge, die wir gesehen haben, wie wir diesen risikobasierten Ansatz in die Praxis umsetzen und ihn den operativen Teams und dann auch den Anbietern vermitteln.
Priyanka Upendra:
Und das ist eine großartige Lösung für einen geschlossenen Kreislauf, Brian. Sie haben die Bestandsaufnahme angesprochen. Sie haben die Sichtbarkeit der Schwachstellen und Bedrohungen angesprochen und wie man sie beseitigen kann. Und eine weitere wichtige Komponente, die Sie angesprochen haben, ist die Verantwortlichkeit der Anbieter. Und wenn man sich IoMT Cybersecurity anschaut, sind die Herausforderungen, denen sich das Gesundheitswesen gegenübersieht, einfach zahlreich. Gibt es Ihrer Meinung nach etwas Bestimmtes, das Sie zu den drei wichtigsten zählen würden?
Brian Cayer:
Die drei größten Risiken? Einige der Dinge, die wir herausgefunden haben, wenn ich über medizinische IoT-Sicherheit nachdenke, haben wir eine große Migration unseres EMR in die Cloud durchgeführt. Als wir diesen Prozess durchliefen, fanden wir heraus, dass medizinische Geräte Daten auf unsichere Weise an den Management Counsel sendeten, ohne TLS zu verwenden. Diese Lösungen hatten also von Haus aus kein TLS aktiviert. Wenn man sich mit diesen Anbietern unterhält, sagen sie anfangs: "Nun, so sind wir gebaut worden. Es ist FDA-zugelassen", all diese Informationen, und wenn man sich in einem geschlossenen Netzwerk befindet, könnte man vielleicht argumentieren: "OK, ich sende Daten von diesem EKG-Gerät an den Monitor und den Server in einem geschlossenen Netzwerk hinter einer Firewall, vor Ort. OK." Ich könnte vielleicht sagen, dass wir einige abschwächende Kontrollen haben, um das zu ermöglichen. Jetzt schalten wir um und sagen: Wie übertragen wir das jetzt in die Cloud? Ich werde also diese Daten über das Internet an einen unverschlüsselten Cloud-Dienst senden. Wir mussten also zurückgehen und eine andere Lösung erarbeiten... Anbieter identifizieren. Einige Anbieter, die kein natives TLS in ihren Produkten unterstützen, kamen für uns nicht in Frage. Wir fangen an, auch sie zu drängen. Einige Anbieter waren in der Lage, diesen Prozess zu durchlaufen, und es war irgendwie in ihrer Roadmap enthalten, aber sie sagten nur, dass uns ehrlich gesagt niemand danach gefragt hat, was irgendwie interessant ist, wenn man bedenkt, wo wir heute in Sachen Sicherheit stehen, dass ihn die ganze Zeit niemand danach gefragt hat, die Übertragung seiner medizinischen Daten zu sichern. Das sind also einige Dinge, über die ich nachgedacht habe, wenn ich an die Risikobereiche denke. Wenn wir zu Cloud-Diensten oder Cloud-Hosting übergehen, ist dann jeder darauf vorbereitet? Ich kann eine virtuelle Maschine aufsetzen und jeder kann das. Aber wenn ich an die Konnektivität denke. Das ist also ein großer Bereich, auf den wir uns konzentrieren müssen.
Und außerdem... wie sieht es mit der Pflege zu Hause aus? Wir haben eine Einrichtung für die Pflege zu Hause, wie machen wir das? Wie stellen wir sicher, dass die Patientendaten sicher sind, dass sie gemeinsam genutzt werden und dass sie sicher sind. Wir konzentrieren uns also auch auf diesen Aspekt, um sicherzustellen, dass wir Einblick in die Vorgänge bei den Patienten haben und dass die anderen Daten sicher sind.
Und dann denke ich auch noch an die Fehlkonfiguration. Wir wissen nicht, was wir in unserem Netzwerk haben, wie es konfiguriert ist und was dort gemacht wird. Jemandem ist nicht klar, dass diese Daten unbeabsichtigt weitergegeben werden und ein Risiko darstellen könnten. Das sind die Bereiche, auf die wir uns in unserer Organisation konzentriert haben.
Priyanka Upendra:
Man könnte meinen, dass es sich bei der Cloud-Sicherheit um eine triviale Angelegenheit handelt, aber im Bereich der medizinischen Geräte ist das eine komplexe Herausforderung für sich. Und das bringt mich zu meinem nächsten Punkt. Im März dieses Jahres meldete Microsoft, dass 99,9 % der Vorfälle, bei denen Konten kompromittiert wurden, durch den Einsatz der Multi-Faktor-Authentifizierung hätten verhindert werden können. Und diese Statistik macht mir wirklich Sorgen, wenn es um medizinische Geräte geht. Zu Recht, denn wir haben es hier mit schwachen Passwörtern, festcodierten Anmeldedaten und gemeinsam genutzten Anmeldedaten zu tun, und zwar nicht nur intern, sondern auch unter den Anbietern. Hinzu kommt die Tatsache, dass viele Ärzte diese IoMT-Geräte in öffentlichen Domänen oder Gastnetzwerken verwenden. Wie können IT, Cyber und Biomedizin bei diesem kritischen Schritt besser zusammenarbeiten, um die Verwendung solch schwacher Anmeldedaten zu verhindern? Ein weiteres Problem, das ich als Führungskraft sehe, ist es, das Vertrauen des klinischen Personals für solche kompensierenden Kontrollen zu gewinnen. Wie können wir eine Ermüdung bei Sicherheitswarnungen vermeiden?
Brian Cayer:
Das sind also eine Menge Bereiche, die wir abdecken müssen. Sprechen Sie also über 2FA, wir haben 2FA Crosswordization implementiert - das muss unbedingt geschehen. Warum tun wir das? Wir überwachen, welche Geräte mit unserem Gastnetzwerk verbunden sind, und stellen sicher, dass es sich nicht um kritische Geräte handelt... und gehen diesen Prozess durch. Ich verstehe die Notwendigkeit zu sagen: "Nun, das muss geschehen, aber wir müssen sicherstellen, dass es in diesem sicheren Prozess geschieht." Wir werden uns also auch das ansehen und sicherstellen, dass wir keine unsicheren Methoden anwenden. Wie Sie wissen, ist das Gastnetzwerk eines davon. Aber wie Sie sagten, "Alarmmüdigkeit". Wie können wir das angehen? Denn es gibt definitiv eine Menge von Warnungen, die wir überprüfen müssen. Für mich geht es darum, den Kontrollaspekt dessen, was wir tun, zu verstehen. Wir müssen die Bedrohung, das Risiko und das Kontrollverfahren verstehen und uns darauf konzentrieren, anstatt einer Vielzahl von Alarmen nachzujagen... Das führt zu einer Ermüdung. Gehen Sie also von diesem Punkt aus. Was wollen wir schützen? Warum wollen wir es schützen? Wie wollen wir es schützen? Was werden wir tun, wenn das passiert? Mein Gedankengang dabei ist sehr realitätsnah. Ich werde mich also mit etwas befassen, das eine hohe Wiedergabetreue aufweist, im Gegensatz zum Senden einer ganzen Reihe von Daten und Tausenden von Warnungen, die nicht wirklich unbeantwortet bleiben und bei denen man Dinge übersieht, die auf diesem Weg potenziell kritisch sind. Das sind also die Aspekte, auf die wir achten, sowie Sensibilisierung und Schulung - wir schulen alle Beteiligten. Als Teil unseres Teams für das Management von Angriffsdiensten haben wir biomedizinische Ingenieurteams, die innerhalb der Organisation ausgelagert sind. Wir arbeiten jetzt also wirklich mit diesen Organisationen zusammen, um zu sagen, wie wir sicherstellen können, dass wir Sicherheitsprobleme gemeinsam angehen, ob es sich nun um einen Rückrufaspekt oder um bestimmte Risiken handelt, und um sicherzustellen, dass wir diese gezielt angehen und einbauen. Über unser Attack Service Management-Team leiten wir Anrufe an unsere Teams zur Bewertung von Schwachstellen weiter. Wir nennen es VAT. Wir setzen uns zusammen, schauen uns das Problem an. Was ist die neueste Sicherheitslücke? Wo? Wo ist sie? Wie kritisch ist sie? Wo sind wir gefährdet? Was sind potenzielle Ausgleichskontrollen, um diese Schwachstelle zunächst zu entschärfen, und wie sieht dann unser Plan für Korrekturmaßnahmen aus, um sie zu beseitigen? Manchmal ist es einfach nicht so einfach, Patches zu finden, und manchmal gibt es keine Patches. Schwachstelle gefunden. Patch nicht verfügbar. Wie gehen wir mit diesem Risiko um? Wie gehen wir es an? Wir haben jetzt ein Team, das sich zusammenfindet und das Problem gemeinsam angeht. Wir erarbeiten einen Plan und eine Vorgehensweise, um diese Liste abzuarbeiten. Auf diese Weise sind wir an die Sache herangegangen.
Priyanka Upendra:
Was mir in der Vergangenheit geholfen hat, Brian, ist, dass sich meine Biomediziner und IT-Leute an einen Tisch setzen, diskutieren und dann am so genannten Nursing Educators Forum teilnehmen. Das ist etwas, das die meisten Pflegestationen monatlich veranstalten, und ich hatte dort ein 15- bis 20-minütiges Update nur über Sicherheitskontrollen. Und das war nicht nur eine einmalige Sache, sondern eine Auffrischung und Umschulung während des ganzen Jahres, nicht nur als jährliches LMS [Learning Management System]-Modul. Das hat wirklich dazu beigetragen, die Alarmmüdigkeit bei den Klinikern zu verringern, und ich habe auch einen klinischen Befürworter in meinen Sicherheitsbemühungen. Das hat wirklich Wunder gewirkt, würde ich sagen. Und Prioritäten setzen ist alles. Wie Sie in Asimily sehen können, setzen wir Prioritäten bei der Erkennung von Anomalien oder Schwachstellen, und das scheint wirklich zu helfen, nicht nur die Nadel im Heusack zu suchen, sondern tatsächlich die kritischsten, die schwächsten Punkte in Ihrer Umgebung anzugehen.
Lassen Sie mich hier ein wenig von der technischen zur administrativen Front wechseln. Eines der wachsenden Probleme für CIOs und CISOs im Gesundheitswesen ist die Personalbeschaffung. Trotz solider Cybersicherheitsstrategien und -taktiken und der Einführung von KI- und ML-Technologien (maschinelles Lernen) ist die Rekrutierung von gemischtem Fachwissen eine Herausforderung, und wir haben nicht nur in den letzten zwei Jahren, sondern schon immer mit gemischtem Fachwissen zu kämpfen, aber jetzt nach der Pandemie erst recht. Welche Strategien haben Sie mit Ihren Teams eingeführt, um den Mangel an Fachwissen der Anbieter zu beheben und eine proaktive Methodik für das Risikomanagement zu gewährleisten, damit Prävention an erster Stelle steht?
Brian Cayer:
Ich gebe zu, ja, die Personalausstattung [ist ein Problem]. In meinem Team hatten wir dieses Problem noch nicht, was großartig ist. Niemand hat mein Team verlassen, aber ich habe Leute mit IT-Hintergrund in meine Gruppe geholt, als sie kamen. Bei diesem Prozess geht es also um die Definition der Aufgabe, die wir zu erledigen haben. Das ist die Rolle. Hier ist die Beschreibung dessen, was erreicht werden muss. Verfügen sie über diese notwendigen Fähigkeiten? Nicht in allen Fällen. Also haben wir einen Fahrplan für den Erfolg erstellt. Wie komme ich ans Ziel? Welche Fähigkeiten muss ich haben, um diese Personen zu bekommen? Ich schaue mir die Anwendungszertifizierung an. Mit welchen Anwendungen haben sie zu tun? Was sind die Teile, die sie tun? Das ist der Zertifizierungsprozess. Es muss nicht unbedingt eine formale Zertifizierung sein, die besagt, dass ich diese Sache bestanden habe, aber wissen Sie, wo ich einen SME [subject matter expert] für die Technologie finde, die am engsten mit Ihrem Fachgebiet verbunden ist. Das wird einer davon sein. Ich möchte also sicherstellen, dass sie das verstehen, und dann werde ich ihm einen weiteren Schwerpunkt auf dem Gebiet der Cybersicherheit geben. Was sind die Dinge, die Sie tun müssen? An Webinaren und anderen Schulungen teilnehmen, um andere Aspekte von Risiken oder Bedrohungen zu verstehen, damit Sie verstehen, was wir jetzt brauchen, um es in meiner Rolle anwenden zu können. Wenn ich ein Grundgerüst an Fähigkeiten oder Technologien habe und sicherstellen kann, dass ich die Risiken kenne, die ich in Bezug auf diese beiden Teile abarbeiten muss, dann werden Sie zum Experten in diesem Bereich.
Wir führen dann Krisenmanagementübungen durch, also machen wir auch etwas davon. In unserer Organisation haben wir ein Krisensimulationstool gekauft, das eine Reihe von Szenarien durchläuft. Ich glaube, es sind etwa 40 bis 50 verschiedene Szenarien, die wir durchspielen. Eines davon führe ich gerade mit unserem Schwachstellenbewertungsteam durch, zu dem auch Beteiligte aus unseren Biomed-Teams gehören, die einen Zero-Day-Exploit befürchten. Was ist zu tun? Lassen Sie uns also dieses Szenario durchspielen und sicherstellen, dass wir uns dessen bewusst sind.
Und dann ist es das Nächste, ein breiteres Sicherheitsbewusstsein in Ihrer Organisation zu schaffen. Das ist die nächste Ebene... die Sicherheitsbeauftragten. Wie bringe ich die klinischen Mitarbeiter dazu, sich für die Sicherheit zu engagieren? Das will doch jeder. Wie können sie Teil davon werden? Wie können sie etwas zur Verfügung stellen, weil sie etwas sehen könnten? Risikobewusstsein. Was sollte ich tun? Wir haben auch selbst eine Reihe von 20-minütigen, 10-teiligen Schulungsvideos erstellt, die sich speziell auf das Gesundheitswesen und die Sicherheit konzentrieren. Es handelt sich dabei um reale Szenarien, vielleicht nicht immer spezifisch für unsere Organisation, aber Dinge, die wir da draußen gesehen haben. In einer Krankenhausstudie nehmen wir dies und gehen dann ein spezifisches Sicherheitsproblem durch. Jemand nimmt ein USB-Laufwerk in die Hand. Was soll ich damit machen? Soll ich es einstecken und nachsehen, was es ist? Nein. Wir gehen also durch, was passieren könnte. Sie werden animiert, um den Kontext aufzuhellen, aber sie haben auch eine Botschaft. Wir machen das also als Teil der Orientierung. Wir machen das auch bei der klinischen Orientierung und bei allen Neueinstellungen. Es zeigt einfach auf, was zu tun ist, welche Schritte man unternehmen sollte, welche Maßnahmen man als Einzelperson in Betracht ziehen muss, damit wir einen Raum für Sicherheitsbeauftragte schaffen können. So weit sind wir noch nicht. Manchmal ist es schwierig. Ich glaube, nicht jeder versteht, wie wichtig Cybersicherheit ist. Für mich ist Cybersicherheit gleichbedeutend mit Patientensicherheit. Meiner Meinung nach sind sie ein Synonym. Das ist die Botschaft, die wir zu vermitteln versuchen, um das zu erreichen.
Das sind die Herausforderungen, und dann geht es um die Mitarbeiterbindung. Was gibt man den Leuten... man macht ihre Arbeit anspruchsvoll, aber nicht überfordernd. Man muss ihnen Freude an ihrer Arbeit vermitteln, damit sie nicht in einer Sackgasse feststecken. Ich habe mein Cybersicherheitsteam so organisiert, dass ich so genannte Erfolgstürme geschaffen habe. Ich konzentriere mich darauf, dass jeder sein Fachwissen und seine Fachkenntnisse ausbaut und an einen Punkt gelangt, an dem er das Gefühl hat, dass er sein Maximum erreicht hat und sich für etwas anderes interessiert. Ich könnte jetzt die Rollen tauschen, damit sich das Wissen und die Kenntnisse überschneiden und das Team weiterhin fokussiert und informiert ist und hier bleiben möchte, anstatt zu versuchen, neue Mitarbeiter zu finden. Denn es ist schwierig, jemanden zu finden, der diese Aufgabe übernehmen kann, und dann verfügt er vielleicht nicht mehr über alle Fähigkeiten, die man braucht. Es gibt also eine kontinuierliche Praxis für die Ausbildung des Teams.
Priyanka Upendra:
Ich denke, das ist ein großer Pluspunkt, wenn es darum geht, Mitarbeiter zu halten und eine hohe Bindungsrate zu erreichen. Diese Autonomie zu haben, um zu sehen, wie das Interesse mit der Zeit wächst, vor allem in einem sich entwickelnden Bereich wie der Cybersicherheit. Und Sie haben einen wirklich interessanten Punkt angesprochen: Cybersicherheit ist Patientensicherheit, und ich habe gestern Abend gelesen, dass die Joint Commission ab dem 1. Januar 2023 eine Sicherheitsunterweisung am ersten Tag ihrer Ankunft in einer Gesundheitseinrichtung verlangt. Dabei erwarten die Prüfer, dass die Gesundheitssysteme darauf vorbereitet sind, wie sie auf einen Notfall wie Feuer, Rauch oder andere Ereignisse reagieren. Und meiner Meinung nach sind auch alle Sicherheitsvorfälle, Vorfälle im Zusammenhang mit Cyberrisiken und Ausfallzeiten als Notfälle einzustufen. Ich finde es großartig, dass Sie diese Krisenmanagementübungen durchführen. Das wird uns sehr weiterbringen. Um das alles zusammenzufassen: Gibt es spezielle Rahmenwerke, Standards oder Leitlinien, die Sie unseren Zuhörern heute empfehlen möchten?
Brian Cayer:
Wir haben den NIST-Rahmen für Cybersicherheit übernommen und ihn auch mit dem HiTrust-Rahmen für Cybersicherheit verglichen. Ich mag NYST und habe es in anderen Organisationen verwendet, weil es eine einfache Möglichkeit ist, über die fünf Punkte zu denken: identifizieren, schützen, erkennen, reagieren und wiederherstellen. Wie sieht es damit aus und welche Bereiche sind darin enthalten? Wenn ich sage, wir kombinieren es, dann gibt es auch innerhalb des High Trust Frameworks Überschneidungen. Wie arbeiten wir dann speziell daran, denn das ist für uns offensichtlich ein Bereich der Regulierung. Es ist also die Verschmelzung dieser beiden Bereiche, auf die wir uns konzentrieren und die wir ansprechen. So habe ich also mein Team ausgerichtet. Dann gehen wir die einzelnen Punkte durch, auf die sich die einzelnen Mitglieder meines Teams konzentrieren müssen, um die Fähigkeiten in den fünf Funktionsbereichen des Cybersicherheitsrahmens zu fördern.
Priyanka Upendra:
Vielen Dank, Brian. Das ist ein großartiger Einblick für unsere Hörer und Sie wissen, alle Nutzer von Asimily. Brian, ich danke Ihnen, dass Sie heute hier bei uns sind und Ihr Fachwissen mit uns teilen. Im Namen von Asimily bedanken wir uns dafür, dass Sie sich die Zeit genommen haben und freuen uns auf unsere weitere Zusammenarbeit. Wenn Sie Fragen haben oder mehr über das Angebot von Asimily erfahren möchten, kontaktieren Sie uns unter info@asimily.com. Bis dahin, passen Sie auf sich auf und bleiben Sie sicher.
[Ende]
