三种以确保和优化网络安全成熟的方式

2020年的截止日期为朝向医疗组织的网络攻击增加45％。所有类型和大小的医疗保健提供者都已违反。黑书市场研究的报告预测，医疗保健行业的数据泄露可能在2021年的批量上有三倍。事实上，最近的Solarwinds违规行为及其涟漪效应已经留下了许多有关组织。

那么，一个组织如何在当今动态的环境中安全地运作呢?一个简单的答案是，建议组织加强对网络安全“管理”的关注，并将其作为战略优先事项。人们不能低估良好管理的重要性，特别是要知道85%以上的网络事件涉及人为因素，65%的事件源于内部行为者或合作伙伴。良好的网络安全管理有三个关键要素:战略、卓越运营和组织参与。最近对HITECH的修正案(于2021年1月5日签署为法律)进一步强化了这一机遇。

HITECH修正案使美国卫生和公众健康福利部(HHS)部长有可能减少处罚，减少被破坏实体的审计时间和范围，因为这些实体的网络安全计划具有至少12个月的公认标准(如NIST、HHS指南等)。罚款和调查费用约占事故总费用的33%。数据显示，对于年收入500万美元的医疗保健提供商来说，一场事故可能会造成高达54%的年收入损失，对于年收入15亿美元以上的实体来说，则会造成4%的年收入损失。

网络安全管理的三个关键要素

1.网络安全策略。网络安全工作主要遵循特定技术工具所支持的个人用例。这种方法导致了效率低下的资本部署和许多组织的整体保护。此外，许多组织通常仅向其内部IT /是团队或外部IT合作伙伴委派网络安全的努力。当大部分事件涉及人类因素和合作伙伴/内部演员是最大的贡献者，而不是涉及所有员工，职能和合作伙伴的网络安全工作会让许多风险丧失。使用标准驱动（例如，NIST，HHS指南等）的基于风险的方法。最佳实践可确保所需的全面性和良好的投资回报率。它还使得更容易沟通和运作组织中的策略 - “我们必须坚持XYZ标准”。HHS指南推荐为组织实施最多九十个控件。该指南是通过从卫生系统首席信息安全官员提供的100多个行业从业者开发的。

2.卓越运营。有人曾经说过，“我们是我们反复做的。因此，卓越不是一种行为而是一种习惯。”为实现卓越，组织必须成熟其网络安全相关实践。网络安全成熟是关键考虑到现在的组织在现有的环境中运营的组织，员工营业额和新技术介绍已成为常态。CMMI Framework为组织提供了一种衡量，管理和成熟能力的一种方法。事实上，美国HHS倡导在2020年8月的HC3智能通报中采用成熟度模型。渐进组织使用关键绩效指标（KPI）有效地制度化和成熟过程。

3.组织参与。组织经常在职能竖井中运作。同时，许多网络安全控制跨越多个功能，需要跨职能参与。然而，网络安全相关的技术术语可能会让许多非IT或IS功能的人感到恐惧。因此，对于员工来说，了解他们各自的角色如何影响组织的网络安全态势是至关重要的。通过建立一个跨职能的项目结构，并将评估进展的操作节奏制度化，领导者可以有效地吸引其他职能参与者，帮助他们认识到自己对网络安全、成熟流程的贡献，并建立一种安全文化。

总的来说，系统工程方法和良好的管理可以使网络安全变得简单、经济有效，并成为组织DNA的一部分。

——这篇文章最初出现在Meditechsafe的网站上．Meditechsafe是CFE Media的内容合作伙伴。