网络安全：首席信息官与首席信息安全官须知

-4-网络安全：首席信息官与首席信息安全官须知首席信息官应当考虑使用基于角色的权限来访问电子邮件、应用程序以及其他资源。身份可以有多个关联帐户，假如管理人员能够通过身份验证来管理敏感信息的访问，并且保证打好网络平安基础，那么他们的防备措施就有可能大幅降低平安风险，避开发生事故、产生漏洞。

医疗行业在网络平安方面具有独特的地位。医疗行业是唯一一个旨在避开客户重复访问和供应服务的行业。为避开重大医疗问题，更倾向于为个人健康建立可持续的模式，而不盼望看到急诊成为常态。

虽然急诊是危重治疗的基础，但定期检查、预防性照护和其他低风险的干预措施始终是首选。从本质上讲，医疗保健正试图供应一个处理危机大事的常规程序。

数据到处可及

当提到个人医疗的模式时，用于维护和检查的数据并没有中心储存。通常它存在于全科、专科医生的办公室、保险公司或医院。此外，有关保险掩盖范围和支付金额的财务信息与全部这类信息混在一起，使得存储数据的敏感度再度提升。

最终，科技在医疗领域发挥了巨大作用，包括从诊断设备到植入活体的医疗设备，以及从例行检查到关键照护的过程。这些精密仪器和医疗机构中任何一个服务器、工作站和物联网设备都有类似的缺陷。它们与其他计算机受到黑客攻击和破坏的风险全都，收到攻击后可能危及患者生命。

从事特权管理、访问管理和网络平安的厂商BeyondTrust公司的首席技术官兼首席信息平安官MoreyHaber说："高管应努力确保他们不是个人身份信息供应链中最薄弱的一环。我们不是在一个平安的地点处理数据"。

依据定义，HIPAA法案为医疗信息与电子账单供应了重要的指导，并要求对受爱护的健康信息进行爱护和保密处理。'

基于网络平安净化挑战

Haber连续说道，即使在十年之后，面临的挑战也体现在基本的网络平安净化方面：

●通过进行漏洞评估、程序修补管理和特权访问管理来维护资产平安

●使用平安流程和协议对数据进行存储、处理和备份

●删除处理敏感数据的老旧操作系统

"从药房、全科医生到急诊中心，任何患者都不知道医疗机构是否在维护基本的网络平安方面能够爱护他们的信息。从统计上看，大多数医疗机构都无法确保患者信息的真正平安。'

依据2022年微软发布的漏洞报告显示，90%的漏洞都是与管理员的过度权限有关。BeyondTrust公司2022特权访问威逼报告显示，81%的漏洞始于密码被盗或弱密码。据Forrester讨论表示，80%的违规行为是特权账户滥用或误用的结果。

CIO和CISO可以做什么？

那么，CIO和CISO如何应对爱护广泛分散数据这一挑战呢？Haber建议："CIO和CISO应当回到网络平安的基础，把它们做好。'这些基本要素包括：

●探究网络上全部有价值的资源识别并移除设备影子。

●定期进行漏洞评估和配置管理，以识别风险。

●对标服务水平协议进行程序修补管理以降低风险

●使用权限治理法来管理用户、帐户、权利和角色，防止不当的用户访问。

●使用特权访问管理来爱护敏感帐户不被滥用。

●使用平安的远程访问技术供厂商访问。

●确保从防病毒软件、防火墙和VPN的平安防备是最新版本，定期维护，并审核设备预期寿命。

●制定应急响应方案并测试。

●考虑雇佣符合职业道德的白帽黑客来执行测试

数据的实时性和可用性

个人医疗信息需要在任何时间、地点可用。这意味着，数据必需是实时的，并实时供应给正确授权的个人。

尽管使数据始终保持可用不是一项难事，但保证正确的访问特别困难。这就是为什么身份权限管理如此重要，它可以为员工创建适当的角色，让他们有权访问，并在权限受限时上报。

Haber补充道"首席信息官和首席信息官应当考虑使用基于角色的权限来访问电子邮件、应用程序以及其他资源。身份可以