Conversas CISO: UW Medicine e Sentara Healthcare CISOs falam de segurança em saúde

Views: 468

Os CISOs precisam entender que existem alguns problemas que não podem ser resolvidos. Se você faz de tudo uma prioridade, então nada é uma prioridade

Esta edição das Conversas CISO da SecurityWeek com os principais CISOs das indústrias críticas analisa o setor de saúde. Neste recurso conversamoscom Cris Ewell, CISO do Centro Médico da Universidade de Washington (UW Medicine), e Dan Bowden, VP e CISO da Sentara Healthcare. Eles fornecem insights profundos sobre ameaças futuras, o papel das soft skills, conformidade, manuseio de estresse e muito mais.

Ameaças futuras

A saúde tem sido um dos setores mais atacados por muitos anos. As razões básicas são o valor das informações de saúde pessoal (PHI) para os criminosos, a necessidade persistente de as instituições de saúde investirem fundos de sobra para salvar vidas em vez de melhorar a segurança, e a exigência de vida ou morte para manter a tecnologia operacional funcionando o tempo todo.

O último deles atraiu os criminosos de ransomware na crença de que as instituições de saúde pagarão mais facilmente pela recuperação do que arriscarão a vida dos pacientes. Nos últimos anos, ransomware e saúde tornaram-se quase inseparáveis

Na semana passada, o governo dos EUA alertou os hospitais e os prestadores de cuidados de saúde de uma ameaça de ransomware “aumentada e iminente”, que um especialista descreveu como “a ameaça mais significativa de segurança cibernética que já vimos nos Estados Unidos”.

Surpreendentemente, no entanto, nem Cris Ewell nem Dan Bowden consideram o ransomware sua maior ameaça futura. Isso é reservado para gerenciar a superfície de ataque aumentada a partir de uma força de trabalho móvel e portátil em expansão – um processo natural que foi empurrado para overdrive pela pandemia COVID-19. “Mobilidade e trabalho remoto é para onde a saúde está indo”, comentou Cris Ewell.

Bowden elaborou: “O Covid-19 impulsionou o que já estava acontecendo – um movimento em direção aos serviços de teleemussunal. Passamos de fazer algumas centenas de visitas de vídeo por mês em fevereiro para fazer mais de 50.000 em março e abril. A mesma coisa com nossos aplicativos digitais e móveis – em maio, tínhamos passado nossa meta anual para downloads de aplicativos móveis.”

Essa aceleração para o aumento do trabalho remoto está sendo experimentada em um grau ou outro por todos os setores da indústria. Há um número de dispositivos em rápida expansão localizados fora da rede corporativa e além do controle direto da equipe de segurança interna. Está acontecendo mais rápido na área da saúde do que em outros setores por causa da pandemia do coronavírus, forçando o trabalho remoto ao mesmo tempo em que aumenta as cargas de trabalho. O trabalho remoto não desaparecerá de repente com a passagem da pandemia – os benefícios econômicos da redução dos custos imobiliários não serão facilmente abandonados.

Mas… “Como fazemos investigações forenses sobre todos em casa?”, pergunta Ewell. “Eu não tenho uma resposta para isso. Estamos tentando resolver esse problema agora. Meus dados já proliferados agora são ainda mais proliferados sentados em computadores domésticos. Vamos ter que descobrir como fazemos isso com uma força de trabalho muito móvel e portátil.”

E pode ficar ainda pior. Assim como a pandemia impulsionou o trabalho remoto, o trabalho remoto pode impulsionar outro processo – uma expansão mais rápida de uma economia de gig mais ampla, onde as empresas entram no pool de trabalhadores remotos como, e somente quando, necessários. Isso, sem dúvida, terá um efeito sobre a lealdade dos funcionários e criará um novo vetor de ameaça para os CISOs considerarem.

Hierarquia organizacional

É claro que a necessidade de realinhamentos rápidos nas prioridades de segurança é constante, o que leva a uma das questões perenes enfrentadas pelos CISOs: onde na hierarquia organizacional o CISO deveria se sentar, para poder realizar mudanças repentinas, dramáticas e de longo alcance na postura de segurança?

“Depende”, diz Bowden. Ele acredita que a liderança tem mais a ver com a capacidade de construir e manter relacionamentos, e liderar por influência em vez de ocupar uma posição particular. “Não importa onde você está, respeito é algo que você tem que ganhar. Você deve liderar e fazer as coisas através da influência e convencendo a organização de que o que você quer fazer é a coisa certa para a organização. Eu diria que não importa onde você reporte, se você não pode realizar essas coisas, você não vai ser bem sucedido.

Ewell concorda. “Enquanto o CISO tiver a capacidade de afetar a mudança, e realmente avaliar o risco e apresentar isso ao negócio, a hierarquia não importa, desde que seja livre.” Dito isso, ele não acredita que o relatório direto para o CEO ou CIO seja ótimo, uma vez que ambos têm suas próprias e diferentes prioridades – embora ele realmente faça reportagens ao CIO. Mais importante, no entanto, ele também se reporta ao Diretor do Sistema de Saúde, enquanto ele e todos os VPs da organização são membros de um comitê executivo de segurança. É sua capacidade de influenciar e orientar esse comitê que é essencial para o seu papel.

A necessidade de soft skills

Isso nos leva a um dos requisitos mais essenciais do CISO moderno – soft skills bem aprimorados. “Eu realmente gerencio muito pouco”, comenta Ewell; “mas eu preciso influenciar muito. É aí que as soft skills são importantes, onde você precisa ter relações com pessoas como o CFO e diretores de negócios e técnicos – você precisa ter um relacionamento com todas essas pessoas.”

Parte disso, continuou ele, “é que você tem que ter muito cuidado em como você apresenta dados; e é aí que as soft skills entram em jogo. Você não pode continuar dizendo, como Chicken Little, “o céu está caindo, o céu está caindo”; porque se você olhar para o nosso risco, é muito ruim – somos atacados a cada hora de cada dia; mas eles não são bem sucedidos todos os dias. Se continuarmos com sim, você vai ser atacado agora porque temos uma máquina não reparada quando temos centenas de milhares deles, logo é só barulho. E se você continuar dizendo que toda vez que você se encontrar com alguém, não vai funcionar.”

Dito isso, às vezes o céu realmente está caindo. É um simples fato que “o medo vende”. O medo é provavelmente o maior motor único de qualquer economia – ele está por trás de todo o mercado de produtos de segurança; é usado pelos governos para tornar aceitável a legislação onerosa; é habilmente manipulado por criminosos cibernéticos de engenharia social; e é uma oportunidade que pode ser usada por CISOs. Uma boa crise nunca deve ser desperdiçada, mas só deve ser explorada com moderação.

“Você pode usar um incidente”, explica Ewell, “para destacar as fraquezas em sua postura. e introduzir algumas das soluções que poderiam ser usadas para levar a gestão de riscos a um nível aceitável.”

Mas há o contexto dos negócios. “Quando você começa a olhar para o atendimento ao paciente, é realmente sóbrio eu acho que para cisos entrando em uma unidade de saúde. Eles têm que lidar com coisas como, OK você tem $100, e nós podemos gastá-lo em nova segurança, ou podemos gastá-lo em salvar a vida dos pacientes. Então você tem que começar a realmente priorizar, e dizer que cada dólar que eu gasto tira isso do atendimento ao paciente. Embora seja muito importante proteger a segurança e os dados dos pacientes, há um equilíbrio a ser atingido; e é aí que muitos CISOs começam a falhar”, – o equilíbrio entre o propósito da organização e a segurança da organização. As soft skills são essenciais para encontrar e, em seguida, garantir o equilíbrio certo entre segurança e eficiência do negócio.

Businessperson ou techie?

This is the new reality for the CISO – he or she must be part security technician and part businessperson able to understand and accommodate the business realities of the organization. This raises an interesting question: can the modern CISO be a businessperson who surrounds himself with security expertise, or even a security technician who employs MBAs among his or her team?

For the moment, both Bowden and Ewell believe the CISO must combine both skills. “It’s a question of credibility,” says Ewell. “I bring credibility because of my technical background – but CISOs prosper best where they can blend both disciplines.” His business skills help determine whether the engineers are over-thinking a problem; but because “I’ve been in the trenches with them,” he can explain business realities to the engineers and technical requirements to the business leaders.

Bowden agrees, but thinks the situation is fluid. “Three or four years ago, being a techie was good enough – and I think if you work in Silicon Valley for one of the big tech companies you still need to be pretty technical in order to gain the trust and the respect of the CTO, the development team, and so on.”

Mas fora das empresas de tecnologia, a necessidade de habilidades de negócios é mais importante. “Se você está trabalhando em empresas mais orientadas a serviços, como saúde, seguros e bancos, então você precisa absolutamente de boa perspicácia nos negócios e comunicações, até mais do que habilidades técnicas. Você precisa ser capaz de entender os líderes em outras partes da organização, e aprender como eles falam, aprender como eles avaliam o risco e como modelar o que você está tentando fazer em sua metodologia. A tendência é que você precisa ser melhor nos negócios, mas é difícil para aqueles em empresas de tecnologia, porque eles têm que ser os dois.”

Juntamente com a crescente necessidade de entendimento dos negócios é uma nova necessidade para o CISO – a necessidade crescente de ser um estrategista e não um estrategista. “Na minha posição hoje”, comenta Ewell, “Sou cerca de 80% um estrategista e apenas 20% um estrategista. Eu não me envolvo muito com a ponta afiada, porque isso pode acabar comigo atrapalhando minha equipe – eu só faço o suficiente para manter meu nível de habilidade alto o suficiente para entender o que todos estão fazendo.”

A questão da conformidade

A base de conhecimentos exigida do CISO moderno cresceu além do técnico e dos negócios, e agora também requer um conhecimento de trabalho de alguns aspectos legais. A questão aqui é a “conformidade”. Muitas organizações têm um oficial de privacidade separado, oficial de conformidade ou advogado geral que ‘possui’ conformidade – mas quem quer que seja o dono, é o CISO que deve implementá-lo.

As atitudes do CISO em relação à conformidade estão longe de ser uniformes – alguns consideram isso um benefício para a segurança, enquanto outros a consideram um fardo. A visão de Bowden é complexa. “Acredito que a segurança permite a conformidade, mas a conformidade pode não permitir a segurança”, diz ele, “Esse é o aspecto importante”. Conformidade e segurança são questões separadas.

Ele dá um exemplo onde teve que lidar com a conformidade com o PCI. “Tínhamos um aplicativo que tinha uma vulnerabilidade crítica a um ataque DDoS. Minha pergunta era, quando o aplicativo cai, o invasor pode chegar aos dados. A resposta foi não. Bem, tomando a rota puramente de conformidade (PCI é sobre confidencialidade muito mais do que disponibilidade), eu apenas encaminhei os detalhes como uma vulnerabilidade FYI para o proprietário do negócio do aplicativo – mas eu não considerei um item de caminho crítico para a conformidade.”

Bowden continuou: “Para a segurança, acreditamos na confidencialidade, integridade e disponibilidade; então, com meu chapéu de segurança ligado, eu rastreo e tento gerenciar essa vulnerabilidade. Do ponto de vista da conformidade, talvez não. Não sou um que tem um argumento emocional de que eles devem estar separados, ou juntos, mas acho que as pessoas precisam entender se estão olhando para o risco através de uma lente de segurança ou de uma lente de conformidade.”

Os requisitos de conformidade também podem ser usados para avançar na segurança. “Em algumas circunstâncias”, diz Ewell, “Uso o cumprimento das leis federais para levar as coisas adiante se isso ajudar o meu argumento; mas eu não conduzo minha estratégia por conformidade. Somos uma organização muito focada em conformidade. Há quase quarenta leis federais, estaduais e internacionais diferentes que tentamos cumprir. Então, a conformidade realmente tem um assento mais alto na mesa do que eu.”

Aqui ele usa suas soft skills e relacionamentos para que ele permaneça no controle. “Certamente farei parceria com os proprietários de compliance quando precisar conduzir iniciativas. Então, eu uso a conformidade como uma ferramenta, e se eu precisar usar essa ferramenta, eu absolutamente vou usar essa ferramenta. Se eu não fizer isso, e isso não afetar minha estratégia geral, então eu vou deixar essa ferramenta para quando eu realmente precisar tê-la.”

Mas continua sendo uma questão complexa, e muitas vezes é difícil saber se uma organização está em conformidade ou não. A HIPAA – central para a saúde – é um exemplo. Os requisitos são especificados, mas não há auditoria federal da HIPAA. Qualquer organização pode dizer que é compatível com HIPAA – e pode muito bem estar com controles de segurança e privacidade mapeados para controles NIST. Mas a prova de conformidade ou não conformidade só vem após uma violação e auditoria subsequente do órgão. Efetivamente, você é compatível com HIPAA até que se prove a não conformidade após o evento.

Estresse e conselhos

Há pouca dúvida de que o papel do CISO é complexo, ficando mais complexo e altamente estressante. Bowden acredita que o segredo para lidar com o estresse é saber quando deixar ir. “O estresse é um grande problema para os CISOs”, diz ele. “Conheço histórias sobre abuso de substâncias, depressão e ansiedade – é uma coisa difícil porque todos levamos tudo tão a sério. E essa é a melhor e pior coisa sobre nós.

Um CISO precisa entender que existem alguns problemas que não podem ser resolvidos, pelo menos não aqui e agora. “Como CISOs, estamos todos conectados para gerenciar o risco, e é difícil deixar qualquer coisa passar. Mas a verdade é que, se colocarmos uma coisa para baixo, há sempre noventa e nove outras coisas em que podemos trabalhar e fazer progressos reais. Acho que às vezes nos apegamos a coisas que estamos tentando fazer, e enfatizamos sobre coisas que naquele momento ou não temos os recursos ou o apoio ou as outras coisas que precisamos para avançar; mas ainda assim alguns de nós não podem deixá-lo ir. O que eu aprendi é que provavelmente há outras dez coisas que eu posso ir fazer, e esta ainda estará aqui quando eu voltar a ele.

A capacidade de saber quando deixar algo ir é importante – mas isso também requer compreensão quando avançar. Aqui, o conselho de Bowden é quase o oposto: “Se você acredita que está certo, você não precisa esperar por permissão para agir, ou esperar pelas circunstâncias perfeitas antes de seguir em frente e fazer algo melhor. Por 80% das coisas boas que realizei na minha vida, acho que foi mais frequentemente agindo sobre isso.” É uma variação de “a sorte favorece os corajosos”.

A atitude de Ewell em relação ao estresse é um pouco diferente – ele é uma dessas pessoas raras que simplesmente não fica estressado. “Eu vi alguns dos meus colegas sendo estressado, mas eu não tenho certeza de que ele mas não é um grande problema para mim”, diz ele: “lidar com situações estressantes nunca me incomoda. É uma ótima vida.” Sua posição é “à vontade” – ele sabe que pode ser demitido amanhã, sem motivo, no golpe de uma caneta; e talvez chegar a um acordo com isso ajuda a reduzir os níveis de estresse. ‘At awill’ é algo que todos nós precisaremos lidar no futuro à medida que a economia de gig e o trabalho móvel se tornam mais prevalentes.

Seu conselho, no entanto, é notavelmente semelhante ao conselho de Bowden: você precisa ser capaz de deixar algumas coisas apenas ferver. “Você tem que ser capaz de dizer, esse é um problema que eu não vou lidar agora. Vou esperar para ver como as coisas vão acabar antes de me envolver”, diz ele. “Isso tem sido muito benéfico ao longo dos anos. Às vezes, lidar com um problema de cabeça não é a maneira certa de fazê-lo – às vezes você deve deixar as soluções se materializar organicamente, e para que as pessoas venham a bordo naturalmente. Isso vem da experiência e de um conhecimento sutil da organização e das pessoas nela. Se você faz de tudo uma prioridade, então nada é uma prioridade. Você tem que ser capaz de dizer, não, que só vai sentar lá por um tempo.

FONTE: SECURITY WEEK