A 最近的文章 关于医疗保健中的信息安全挑战,指出许多安全团队报告缺乏资源. 他们面临着人员短缺、专业知识缺乏和预算紧张的问题. 他们发现自己无法完成他们认为需要完成的工作.
在思考任何问题时,我总是专注于什么 可以 做. 事实是, 即使你不能解决更大的问题,也总有一些事情是可以做的. 毕竟, 风险管理的一部分就是降低风险, 那么,为什么不以同样的方式来应对资源挑战呢?
解决小团队问题
当面对一个小的安全团队, 一家医疗保健组织决定将安全团队的工作分配给基础设施团队. 虽然他们有两个人专门负责信息安全, 他们还改变了文化和期望,让每个人, 从服务台分析师到桌面分析师,再到服务器和网络工程师, 知道安全是他们工作的一部分. 他们最终添加了应用程序,以确保安全真正成为IT部门的重点, 不仅仅是安全团队的焦点. 这样可以在不增加人员的情况下扩展安全团队. 它还创造了许多额外的好处,因为现在管理和监控安全性不再是“其他人的工作”,“这是每个人的工作.
更新职位描述, 设定预期, 培训员工信息安全基础知识(根据他们的工作职能), 审核和监控. 给他们工具,让他们成为IT部门的有效成员, 在今天的环境下, 安全是每个人的工作. 当服务器团队采用系统加固流程并自行审核这些结果时, 安全性的提高要比让一些安全团队的人喋喋不休地加固服务器有效得多. 管理应用程序安全性也是如此. 当应用程序团队了解如何评估, 部署和测试安全应用程序, 安全性在初始点得到改进,而不是稍后修复缺陷(对于那些熟悉精益的人来说), 这是一个核心概念). 将安全性构建到每个团队的标准工作中,不仅可以教会他们在其专业领域中的安全性(同时增加他们的工作专业知识,通常还可以提高他们的满意度)。, 它从整体上增强了组织.
解决缺乏专业知识的问题
安全服务提供商的行业正在成长. 每个人都面临着人才短缺, 但医疗保健行业受到的冲击尤其严重,因为财务利润率不允许在信息安全等竞争激烈的领域花高价聘请人才. 一些医疗机构通过提供良好的工作条件和持续的专业发展来招聘和留住顶尖人才,但这并不意味着你能找到, 在就业市场紧张的情况下,保留或奖励这些人. 这就是专业服务可以发挥作用的地方. 租用保安监控, 例如, 在每年的基础上能比增加一个人更便宜吗. So, 拥有24x7安全监控和警报服务可能是一种无需增加额外人员就能提高安全性的极好方法. 寻找您可以订阅或按需使用的服务,以便在不破坏银行的情况下将其添加到安全程序中.
管理紧张的预算
另一个经常出现的主要抱怨是缺乏预算来购买和实现新的安全工具,如网络监控或用户行为分析. 虽然这些工具在正确实现和使用时提供了巨大的好处, 有两件事是正确的. 购买的工具通常只能部分实现,因为医疗保健IT有很多自发的项目和需求,团队变得不堪重负或分心. 因此,购买最新的工具可能并不能真正解决问题. 其次, 如果你没有预算买新工具, 你的第一步应该是重新评估你所拥有的工具. 有时,您没有完全实现该工具,或者没有以最有利的方式实现它. 有时,您在使用工具的过程中存在一些可以改进的问题. 如果你没有充分利用你所拥有的,这应该是你的第一个努力.
有时,您可以找到现有工具的附加组件或扩展,这可能比引入一个全新的软件解决方案更便宜. 你的供应商有没有来和你讨论他们的解决方案还能为你做些什么. 有时候,没有成本或低成本的解决方案是你不会考虑的.
还有一些时候, 如果您强烈地感到需要一个特定的工具, 让供应商帮你做商业案例吗. 他们应该能够提供行业数据、比较数据和福利数据. 如果他们能帮你实现概念验证, 做大量关于前后状态的笔记,这样你就可以收集数据来证明你的观点.
通过培训获得创意
有很多优秀的培训机会可以提高您团队的安全技能. 有些很贵,但很多都不贵. 当你签订新合同或大采购时,试着与主要供应商协商培训费用或培训学分. 如果被要求,供应商通常会把这些扔给你. 如果你的费用仅限于旅行(而不是支付课程费用), 你的培训费会有更大的用处. 寻找在线或远程学习的选择,以减少差旅费用, 并考虑由行业领袖(ISACA)举办的免费网络研讨会, 无, HIMSS, 等.)以及供应商网络研讨会, 这可能偏向于他们的产品,但也可能对手头更广泛的话题有教育意义. 让员工接受培训将提高他们的工作满意度,并提高组织的安全性. 此外, 认证 在安全或审计领域,为你的工作增加可信度,并可能帮助你争取到更多的人或更多的资金.
制定商业案例
通常,那些要求额外资源的人无法提出令人信服的商业案例. 确保你已经编写了一份简明的文档来解释当前的状态, 那种状态的风险, 建议的解决方案以及为什么需要投资. 它可能并不总是被认可,但没有它,你不可能得到你想要的任何东西. 和, 作为领导者, 提供一个专业的商业案例来支持你的请求是一个很好的做法.
这些想法都不能解决人手短缺或预算不足的问题, 但是,当您向执行团队说明为什么他们需要支持这些类型的投资时,它们将有助于减轻这些风险. 通常很难争取资金来防止“假设”事件(同样的问题也存在于业务连续性计划中)。. 医疗保健管理人员应该明白,医疗保健数据是攻击者的中心目标, 最终, 他们需要进行必要的投资,以保持组织尽可能的安全. 与此同时,你可以通过朝着目标迈出有意义的小步来降低风险.
作者附言: 有关IT领导力的其他文章和资源,请访问Susan的网站, www.susansnedaker.com.
