Este é o terceiro de uma série de artigos e entrevistas sobre o assunto de melhorar o cibernético - a capacidade de empresas, organizações e instituições para se preparar para, e recuperar e recuperar os batimentos cibernéticos. A série cresce fora do trabalho do Boston Consulting Group com o Fórum Econômico Mundial sobre este tópico. Conversamos com George DeCesare, vice -presidente sênior e diretor de risco de tecnologia da Kaiser Permanente, para discutir os papéis dos conselhos de diretores (bem como a alta gerência) em segurança cibernética e governança cibernética. A DeCesare fazia parte do grupo de trabalho do Fórum Econômico Mundial que desenvolveu um conjunto de Princípios e ferramentas cibernéticas Expressamente para os conselhos de diretores. Responsável por liderar a segurança cibernética, a governança tecnológica, o risco e a conformidade, bem como o gerenciamento de identidade e acesso. Nesta posição, ele mantém a segurança e a integridade dos dados da Kaiser Permanente, garante a conformidade regulatória no espaço tecnológico e gerencia o amplo espectro de riscos tecnológicos. Ele ocupou vários cargos, incluindo o advogado interno com uma prática primária de lei de privacidade e segurança cibernética, diretor de conformidade e segurança de TI, oficial de tecnologia da informação e diretor de segurança da informação (CISO). No decorrer dessas funções, a DeCesare projetou e implementou um programa de segurança de dados que incluía estratégia, estrutura, políticas, procedimentos e padrões para atender às necessidades de negócios e regulamentação. Ele também preside a liderança executiva de Evanta - Ciso.
About George DeCesare
George DeCesare serves as Kaiser Permanente’s senior vice president and chief technology risk officer and is responsible for leading cybersecurity, technology governance, risk, and compliance, as well as identity and access management. In this position, he maintains the security and integrity of Kaiser Permanente's data, ensures regulatory compliance in the technology space, and manages the broad spectrum of technology risks.
DeCesare joined Kaiser Permanente in 2015 following a more than 20-year career in the health care industry. He held various positions, including in-house counsel with a primary practice of privacy and cybersecurity law, director of IT compliance and security, information technology officer, and chief information security officer (CISO). In the course of these roles, DeCesare designed and implemented a data security program that included strategy, framework, policies, procedures, and standards to address business and regulatory needs.
He serves on the Health Information Trust Alliance (HITRUST) Board of Directors, the Health Care Industry Cybersecurity Task Force formed by the Department of Health and Human Services, and the World Economic Forum’s Advancing Cyber Resilience project. He also chairs the Evanta Executive Leadership—CISO.
DeCesare graduated with a JD from Northwestern California University and holds a long list of professional certifications.Leia mais na série de segurança cibernética
- A assistência de segurança cibernética necessidade dos governos locais
- RESOMENTO CONFRASTRUTURA CRÍTICA: uma entrevista com a Israel Electric yosi Shneck | McGuire
- Giving Cybersecurity Its Due in the Boardroom: An Interview with Standard Chartered’s Cheri McGuire
- Avançando a resiliência cibernética no ecossistema de eletricidade: uma entrevista com a Rosa Kariger de Iberdrola
What are the biggest challenges in trying to get a board to adopt the kind of cybergovernance principles and tools that you helped the World Economic Forum develop in 2016?
The first challenge is encouraging a board to think comprehensively about risk modeling, appetite, and tolerance. Cyberrisk should be established as an important category within that framework. Lots of organizations talk about risk tolerance or appetite from the perspective of more common business risks, such as strategic or financial risk; however, risks introduced through technology are typically more difficult to incorporate into traditional risk frameworks. Companies should broaden the discussion—and use a common language when they talk about all types of risk.
O segundo desafio é identificar a responsabilidade. Quem é responsável pelo gerenciamento do cibernício? Ainda é um fenômeno relativamente novo, portanto, a responsabilidade não é clara em muitas organizações. Normalmente, se você tem alguém que já é um oficial responsável, é o CIO. Mas pode ser outra pessoa. Então a pergunta se torna: como você segmentou uma responsabilidade mais específica - quem é responsável por quais aspectos do cyberRisk?
Fale sobre como você transmite esse primeiro ponto - o idioma comum. Quais são as métricas que os membros do conselho podem avaliar? O que constitui progresso quando se trata de postura de segurança?
É uma jornada e, como muitas viagens de empresa, começa com a avaliação de seus recursos. Um primeiro passo razoável é adotar uma estrutura de segurança comum. Dentro dessa estrutura, você avalia seu estado atual, cria suas capacidades e mede seu nível de maturidade e progresso. Em seguida, usando uma linguagem de risco comum, você discute as áreas de risco da sua organização, incluindo cibernética e o que a organização está disposta a fazer sobre esses riscos. Quais riscos é uma organização disposta a abordar através do investimento e ação, que riscos fazem sentido para aceitar e, finalmente, que risco residual permanece e o que a organização fará sobre isso? Que nível de risco você está disposto a manter como parte do seu perfil de risco e gerenciamento contínuos? O objetivo é um nível de maturidade -alvo com o qual você se sinta confortável e isso é adequado para a organização. Depois que tudo isso é feito, a organização deve definir metas claras e mensuráveis que o levem ao nível de maturidade que você determina é apropriado.
Como você mede o risco em sua organização? É baseado na auto-avaliação?
pode ser medido de algumas maneiras. O primeiro envolve uma auto-avaliação contínua de onde você está, com base no que está construindo e em quais são suas capacidades à medida que avança no amadurecimento de suas capacidades. Você precisa ter certeza de que está fazendo as coisas certas e, é claro, precisa ajustar o curso, se não estiver. Gerenciar o CyberRisk é um processo dinâmico. Portanto, usando uma estrutura comum como ISO [Organização Internacional de Padronização], NIST [Instituto Nacional de Padrões e Tecnologia] ou Hitrust, que é mais específico para o setor de saúde, você tem terceiros entra e determina onde está atualmente quando se trata de cyberRisk. Em seguida, você pode observar se sua auto-avaliação corresponde à avaliação de terceiros, sempre no contexto de que nível de maturidade do gerenciamento de riscos você precisa alcançar. Uma boa cadência de reportagens cibernéticas para uma placa é a seguinte. No início do ano, você diz ao conselho: aqui é onde estamos, eis o que estamos planejando fazer e aqui é onde queremos chegar em nossa escala de maturidade. É claro que isso depende de determinar qual nível de risco a organização está disposta a aceitar. No final do ano, usando a auto-avaliação e a avaliação de terceiros, você relata o que fez, o que realizou e até onde você realmente mudou a barra. É um dos muitos riscos ou você posiciona cibernético como um risco único ou distinto? Você está tentando incutir essa linguagem comum de risco através de todos os vários aspectos do gerenciamento de riscos. O CyberRisk é como qualquer outro risco comercial significativo - pode afetar sua estratégia, pode afetar suas finanças, pode impactar muitas das mesmas coisas que outros tipos de impacto de risco. Pode ser muito mais fácil traduzir o ciberrasck na discussão mais tradicional do riscos do que tentar estabelecer uma linguagem distinta e separada para ele. Como você torna o cibernético um tópico confortável, especialmente quando o CISO provavelmente tem formação técnica e os antecedentes dos membros do conselho são não técnicos?
You should also have an independent party assess the company’s current capabilities—that’s the second part. So, using a common framework such as ISO [International Organization for Standardization], NIST [National Institute of Standards and Technology], or HiTrust, which is more specific to the health care industry, you have a third party come in and determine where you currently stand when it comes to cyberrisk. Then you can look at whether your self-assessment matches the third party’s assessment, always in the context of what level of risk management maturity you need to reach.
This process of risk reduction is an important topic for a board from an oversight perspective. One good cadence of cyberrisk reporting to a board is as follows. At the beginning of the year, you tell the board, here’s where we’re at, here’s what we’re planning on doing, and here’s where we want to get to on our maturity scale. This, of course, is dependent on having determined what level of risk the organization is willing to accept. At the end of the year, using both the self-assessment and the third-party evaluation, you report on what you did, what you accomplished, and how far you actually moved the bar.
Within this context of establishing—and moving toward—a risk maturity profile, how do you position cyber? Is it one of many risks, or do you position cyber as a unique or distinct risk?
I think it’s the former, which is to say that it’s part of a portfolio of high-priority business risks, and it should be treated as a business risk, not a separate type of concern. You are trying to instill that common language of risk through all the various aspects of risk management. Cyberrisk is like any other significant business risk—it could impact your strategy, it could impact your finances, it could impact many of the same things that other types of risk impact. It can be much easier to translate cyberrisk into the more traditional risk discussion than attempt to establish a distinct and separate language for it.
How do you find that common language you have been talking about? How do you make cyber a comfortable topic, especially when the CISO probably has a technical background and board members’ backgrounds are nontechnical?
da minha perspectiva, você fala sobre risco comercial. Não os controles técnicos, soluções e assim por diante. Essas são partes integrais disso, mas a discussão é realmente sobre mitigação de riscos de negócios - onde estamos, o que estamos fazendo sobre isso - porque é isso que os membros do conselho estão mais interessados. Você não fala sobre o espaço do servidor ou o que precisamos fazer para um aplicativo específico. Essas são as coisas que mantêm as luzes-pupamente operacionais. Você mantém a conversa em um nível que se vincula ao portfólio geral de riscos da organização, o que é importante para a supervisão corporativa. Onde e como você começa a avaliar a cibernética organizacionalmente?
It’s great to have boards onboard, but there’s also basic hygiene for organizations when it comes to cyberawareness. Where and how do you begin to assess cyberawareness organizationally?
Existem algumas práticas recomendadas. Criar um programa de cibernética é o começo. Esse programa não deve apenas educar a força de trabalho sobre práticas, políticas, políticas e similares apropriadas, também devem comunicar a maturidade da gestão cibernética. Vi muitos casos em que as organizações investem pesadamente em proteções de segurança cibernética, e a força de trabalho não sabe nada sobre isso. A maioria das organizações de saúde passa pelo treinamento de conformidade. Eles devem incluir os componentes de segurança cibernética e cibernética em seu treinamento em conformidade, bem como algum treinamento focado em outras áreas cibernéticas, como phishing, porque essas áreas representam riscos significativos para as organizações. Educação constante e lembretes constantes são importantes. Ser muito claro sobre o que um funcionário deve fazer nesses tipos de circunstâncias é essencial para modificar comportamentos de risco.
I can’t emphasize the importance of educational programs enough. Most health care organizations go through compliance training. They should include cybersecurity and cyberprivacy components in their compliance training, as well as some training focused on other cyberrisk areas, such as phishing, because those areas pose significant risks to organizations. Constant education and constant reminders are important. Being very clear about what an employee should do in those types of circumstances is key to modifying risky behaviors.
A segunda prática está testando. Um bom exemplo disso é conduzir campanhas de phishing internas. Mas lembre -se de que o diabo está nos detalhes desses resultados dos testes. Os comportamentos não mudam necessariamente porque o conteúdo do treinamento foi fornecido. Portanto, os dados dos resultados de tais testes se tornam muito valiosos na mudança de comportamento de risco. O risco humano - tanto acidental quanto malicioso - é uma das maiores categorias de risco quando se trata de segurança cibernética. Seus funcionários estão cientes do que é a coisa certa a fazer em várias circunstâncias, como o que fazer com esse e -mail de phishing? Outra boa prática é a realização de pesquisas, que podem ser ferramentas de avaliação muito úteis. O risco de tecnologia é diferente devido ao modelo de assistência integrada? uma empresa por trás de um firewall. Mas, ainda assim, nos cuidados de saúde, todas as organizações precisam compartilhar dados seguros. O que todas as organizações de saúde precisam ter em mente é que não é apenas o que você faz dentro de sua própria empresa para proteger contra o cibernício; Você também precisa manter quaisquer organizações externas com as quais compartilhe dados com altos padrões de segurança. Nessa reunião da Força -Tarefa, houve uma longa discussão sobre uma “linha de pobreza de segurança cibernética” e o fato de que 75% do setor de saúde se acredita estar abaixo dessa linha de pobreza quando se trata de investir em prototeção cibernética. É aí que o gerenciamento de risco de terceiros
Let’s talk about the interaction between business risk and cyberrisk, especially in the context of your company’s integrated-care—payer and provider—model. Is the technology risk different because of the integrated-care model?
In terms of patients—for example, the security of their data or the security of communication between health care facilities and the devices they might wear or carry—the integrated model is a positive because we are their carrier and provider; one company behind one firewall. But still, across health care, all organizations have some need to share secure data. What all health care organizations need to keep in mind is that it’s not just what you do within your own company to protect against cyberrisk; you also need to hold any outside organizations with which you share data to high security standards.
I recently had the opportunity to participate in the US Department of Health and Human Services Cybersecurity Task Force. In that task force meeting, there was a lengthy discussion about a “cybersecurity poverty line” and the fact that 75% of the health care industry is believed to be below that poverty line when it comes to investing in cyberprotection. That’s where managing third-party risk-, como fornecedores, contratados e parceiros de negociação- Torna-se essencial. Para organizações que estão tentando chegar acima dessa linha de pobreza, tentando aumentar seus orçamentos, como você enquadra a conversa?
So one of the difficulties, and this goes back to risk, is having a conversation about cybersecurity and cybertechnology budgets in a way that’s informed. For organizations that are trying to get above this poverty line, trying to increase their budgets, how do you frame the conversation?
A primeira coisa é: não enquadre a conversa sobre os recursos de segurança. Os recursos de segurança geralmente só estão no topo da mente quando houve uma grande violação recente nas notícias. Como estamos conversando, é realmente uma questão de redução de risco. Os executivos entendem o valor do risco, entendem o impacto na organização e entendem que há uma probabilidade de que as coisas possam acontecer porque as viram acontecer em outros lugares. Como mitigamos certos riscos que sabemos que temos em nosso ambiente? Isso requer uma compreensão clara dos riscos - e determinar os processos e tecnologias corretos é um resultado. E sim, há um custo para alcançar esses resultados e mitigar os riscos identificados de acordo com a postura de risco da organização, mas não abordar esses riscos tem seu próprio impacto financeiro. デジタル/テクノロジー/データ
