編集者注:この記事は、8月12日に開催されたCIO DiveおよびCybersecurity Diveのライブバーチャルイベントでの洞察に基づいています。セッションはオンデマンドで視聴できます。
テクノロジー担当役員やサイバーセキュリティリーダーは、企業のIT資産を異なる視点で見るかもしれませんが、両者は企業のセキュリティに焦点を当てている点で共通しています。CIOはテックスタックの近代化によるデジタルトランスフォーメーションを推進しようとしますが、CISOは組織の防御を弱める可能性のある技術には本質的に慎重です。
「私たちは指標が大好きで、他の誰にも理解できないような数字やダイヤルをたくさん出します」と、タンパ総合病院のCISOであるジェームズ・ボウイ氏は今月初めのCIO Diveパネルで語りました。「見た目は悪いかもしれませんが、『これだけ多くのアラートがあるのは、より多くのものを監視しているからで問題ないんです』と説明しなければならず、なぜ数字がこうなっているのかを説明するために多くのリソースとエネルギーを費やしています。」
病院の経営陣を圧倒したり、さらに悪いことにサイバー上の懸念を曖昧にしたりするために指標を使うのではなく、ボウイ氏はタンパ総合病院のCIOであるスコット・アーノルド氏と協力し、Cスイートの経営陣にも伝わる形で技術リスクを定量化しました。
イノベーション推進の中でビジネス運営とセキュリティの要請が衝突すると、企業は「サイバー地獄への入り口」を開くリスクがあると、アーノルド氏はパネルで語りました。「最終的には、経営判断として私たちが取るリスクは、一緒に決めるものです。取締役会に報告する際、私はジム(ボウイ氏)を取締役会の前に立たせ、彼は誰もが理解できる形でそれを定量化できます。」
CIOとCISOは、業界や分野を問わず、サイバーリスクやわずかなセキュリティの失敗がもたらす結果に取り組んでいます。特に医療分野では、そのリスクが非常に高くなります。
IBMの年次データ侵害のコストレポート(先月発表)によると、2024年も医療分野は14年連続でセキュリティ侵害による経済的損失が最大となりました。医療分野での1件あたりの平均被害額は742万ドルで、全世界の全業種平均の444万ドルを大きく上回っています。また、医療分野での侵害の特定と封じ込めには平均279日かかり、これは世界平均より5週間以上長いことが分かりました。
数字は、適切に枠組みを設定すれば重要です。
「セキュリティリスクを管理する最良の方法は、それを定量化し、その影響を説明することです。そうすればCIOやCISOだけが最終判断を下すのではなくなります」とボウイ氏は述べています。「企業やビジネス運営に関わる全員が、財務的な影響を理解しています。」
潜在的なコストを強調するために、ボウイ氏は分析をITやプロセスの意思決定に活用し、病院のテックスタックに新たな要素を加えるごとにリスクを数値化しました。
最新情報をチェックしよう。Cybersecurity Diveの無料デイリーニュースレターを購読
「彼と彼のチームが導入したプロセスは、率直に言って、私たちのCスイートだけでなく取締役会にも変革をもたらしました。特定の事象に対するリスクの種類を、誰もが理解できる視点で示してくれます」とアーノルド氏は述べています。
脅威の状況
医療分野は他の業界と同様、多くのサイバー上の懸念に直面しています。レガシーシステムの脆弱性、ベンダー関連の弱点、セキュリティ意識の欠如が、CIOやCISOにとって複数の課題となっています。
「私たちは広範なレガシーシステムを抱えています」とボウイ氏は言います。「FDAの認証プロセスを経なければならないため、アップグレードできない機器もたくさんあります。」
タンパ総合のような研究病院では、データセキュリティはさらに複雑さを増します。
「企業の知的財産を守るという点では他業界と変わりませんが、研究分野では少し柔軟に対応しなければならないこともあります」とアーノルド氏は述べています。「時にはデータの管理や所在を完全に把握できない場合もあり、それが私たちの追加の課題となっています。」
昨年、悪意のある内部関係者による攻撃が最も高額な被害をもたらしましたが、サードパーティベンダーやサプライチェーンの問題が2位だったとIBMの分析は示しています。
タンパ総合でボウイ氏が唯一覚えているセキュリティ関連の購入に関する大きな意見の相違は、ベンダーの選定に関するものでした。
「そのベンダーは当時、実際にランサムウェア攻撃を受けていました」とボウイ氏。「私は『今はそのベンダーと契約を結ぶ時ではありません……少し待ちましょう』と言いました。」
この出来事は、CISOが機会を与えられた時に果たせる積極的な役割を浮き彫りにしました。
「サードパーティベンダーの誤ったテクノロジースタックで、特に医療分野では企業全体を危険にさらすことができます」とボウイ氏。「もし事前に関与し、契約プロセスに参加できれば、ITセキュリティの管理基準や標準を契約書に盛り込むことができ、サードパーティリスクの多くを排除できます。」
ボウイ氏の見解がしっかり伝わるよう、アーノルド氏は数か月ごとに病院の経営陣との面会の場を設けていると、両氏は述べています。
「これは上下関係ではありません」とアーノルド氏。「書類上はそうなっているかもしれませんし、何か問題が起きたら私が責任を取ります……でも実際はパートナーシップです。」
このCIOとCISOの緊密なパートナーシップが、医療センターの成長を後押ししたとアーノルド氏は述べています。
「私たちは過去6年間で組織をほぼ300%成長させることができました。それは数十億ドル規模です」とアーノルド氏。「コミュニケーションが取れて、柔軟に対応できて、性格が合う相手を見つけることが大切です。」
翻訳元: https://www.cybersecuritydive.com/news/tampa-general-hospital-cio-ciso-cyber-risk/759132/