与费城儿童医院 CISO 和副 CIO Monique St. John 的问答：安全实际上促进了创新

Monique St. John，费城儿童医院副总裁、首席信息安全官/副首席信息官

长期以来，这种陈旧的先入之见一直将安全性排除在外——如果网络参与其中，整个项目就会失败，或者至少不会很快取得任何进展。 幸运的是，这种动态正在被抛在一边，因为企业领导者必须认识到，不包括安全性意味着承担未知级别的风险，不仅对数据系统，而且对患者安全。 对于 CHOP 首席信息安全官和副首席信息官 Monique St. John 来说，创新和网络安全必须齐头并进。 而且，如果做得好，两者实际上可以更快、更有效地合作。 当然，需要注意的是，为了使合作关系取得最大成果，这些人需要在旅程开始时紧握双手。 在接受 healthsystemCIO 创始人兼主编 Anthony Guerra 的采访中，St. John 还讨论了第三方风险管理的关键流程，以及安全管理人员如何保持健康的工作/生活平衡。

播客： 在新窗口中播放 | 下载 （持续时间：29:23 — 20.2MB）

订阅： 苹果播客 | 谷歌播客 | Spotify | 安卓 | 潘多拉 | 爱心电台 | 追球者 | 播客索引 | 电子邮件 | 调入 | RSS

大胆的声明

当我们谈论这一点时，确保全面嵌入安全原则和安全责任以及创新和安全之间的平衡非常关键。 这不仅仅是成为其中之一的问题。 为了开展业务，您必须创新，必须转变服务，提高效率，而安全性确实需要放在首位，以确保操作受到保护，数据受到保护，并且我们真正与企业合作推动战略向前发展。

我的职责是确保所有事实都一致，无论情况如何，都概述所有风险 – 如果它是解决方案，如果它是选项 – 并让企业知道，“这就是我们面临这些风险的情况”事实，这是您必须前进的选项，让他们根据业务需求做出决定，并让基于风险的方法告知他们的业务决策。

…依靠你的团队。 培养一支值得您真正信任的团队。 我一直说，是的，有些事情让我彻夜难眠，但帮助我入睡的是我的敬业团队，或者 CHOP 的敬业团队。 我几周前刚刚去度假，不必担心，因为团队很强大，他们致力于 CHOP，也致力于捍卫 CHOP。

安东尼： 欢迎接受 healthsystemCIO 对费城儿童医院副总裁、CISO 和副 CIO Monique St. John 的采访。 我是安东尼·格拉，创始人兼主编。 莫妮克，谢谢你加入我。

莫妮卡： 谢谢你邀请我，安东尼。 很高兴来到这里。

安东尼： 非常好。 期待有一个有趣的聊天。 您想首先告诉我一些关于您的组织和您的角色的信息吗？

莫妮卡： 当然。 CHOP 是一个位于宾夕法尼亚州费城的国家儿科卫生系统。 我们有两家基层医院。 我们即将在费城开设第三家行为健康中心医院。 我们在整个地区（费城-新泽西地区）拥有大约 50 个护理中心，我们位于费城大学城的中心位置，而且还在宾夕法尼亚州普鲁士国王设有额外的医院。

安东尼： 非常好。 让我们先讨论一下头衔、角色以及类似的事情。 我们看到医疗保健领域发生了很多事情。 正如我提到的，您目前担任 CISO 和副 CIO，并且曾经担任过 CISO 和 CTO。 我们知道 CISO 角色和 CTO 角色之间存在联系，这是从基础设施中获得的，这种情况经常发生。 我只是想知道你对所有角色的总体想法。 大多数人说它可以通过多种方式发挥作用。

莫妮卡： 我绝对认为一个组织需要一名安全官，尤其是像 CHOP 这样规模的组织。 正如我提到的，我们有 25,000 名员工，分布在多个地点，与多个监管机构打交道。 因此，根据组织的不同，这将真正定义需要哪些角色，绝对需要首席技术官。 正如你提到的，我的角色是合并的。 目前健康行业还有其他 CTSO（首席技术和安全官）。 我知道本地有一个，这完全取决于该组织希望如何构建其团队。

在 CHOP，信息安全是绝对关注的焦点，也是我们不断关注的第一领域。 因此，让一名安全官员专注于我们的安全计划、保护和防御层非常重要。 此外，由于数字化转型活动，CHOP 确实投资了首席技术官的角色，以确保从数字化转型的角度定义战略和路线图，以达到我们需要达到的目标。

安东尼： 有时，您可能会认为 CIO 角色是推动前进的角色，而 CISO 或安全角色可能会有点“嘿慢点，我们必须为此增加安全性”。 你知道，CISO 向 CIO 汇报工作存在一些问题，而 CIO 占大多数。 我认为这就是多数结构。 我认为几乎没有 CISO 向首席执行官汇报。 但是，您对整个动态以及确保安全永远不会因为处于整体 IT 结构之下而受到忽视有何想法？

莫妮卡： 对我来说，这一切都在于与我的同事和组织的执行领导团队合作。 信息安全不仅仅是我的职责，尽管这是我的主要职责。 信息安全确实是 CHOP 每个人的责任。 CHOP 的执行团队一直非常支持安全计划，并在围绕人工智能、新机遇和数字化转型的对话开始时就将安全问题摆在桌面上。 重要的是，对话应从信息安全开始，而不是事后进行。

当我们谈论这一点时，确保全面嵌入安全原则和安全责任以及创新和安全之间的平衡非常关键。 这不仅仅是成为其中之一的问题。 为了做生意，你必须创新。 您必须转变服务，提高效率，而安全性确实需要放在首位，以确保操作受到保护，数据受到保护，并且我们真正与业务合作以推动战略向前发展。

安东尼： 那太好了。 我昨天采访了一位首席信息官，他谈到——卫生系统建造了一个新的门诊中心/诊所，无论你想怎么称呼它，练习，而他在建筑师设计计划的阶段并没有被引入。 这不是世界末日，而是一个利用大量技术建造流动场所的积极故事。 这就是重点。

但从谈话中得出的结果是，至少在与建筑师制定计划之后，他确实进来了，我说，‘哦，如果你坐下来进行设计前不是会好一点吗？ ‘ 他说，‘嗯，是的，对的。 因为我本可以建议或做一些事情。

就你的观点和我的观点而言，人们必须意识到并且已经开始意识到必须从一开始就将 IT 和 IT 安全纳入其中，对吗？

莫妮卡： 正确的。 这不能再是旧的方式了，我并不是说这不会发生，我们一起努力——正如我提到的。 我与我的同事合作，确保考虑到安全性，以便事情按照您刚才描述的方式发生，但当事后发生时，我们会处理它。 我们共同合作，努力真正关注 CHOP 的最佳利益。 为了将来做得更好，我们会总结经验教训，并确定如何采取基于风险的方法向前推进，并从一开始就将安全放在桌面上，并在桌面上制定安全思维流程。

技术团队也是如此。 有时，当想法形成并开始讨论解决方案时，技术团队不一定在场。 非常重要的是，我们从整体的角度来看待这个问题，每个人都在合作开发解决方案，将其作为一个 CHOP 而不是孤岛。 CHOP 非常善于合作并创建这些工作组，以确保采取整体方法。

所以我明白 CIO 是从哪里来的。 我一直处于这个位置，我总是努力让我们在未来做得更好。

安东尼： 当然是。 未来我们可以做得更好——这实际上与文化变革有关，对吧？ 我们谈论过去的时光以及我们想去的地方、我们想要搬到的地方。 这就像移动一艘大船，对吧，比如泰坦尼克号？ 转动一艘大船很难，需要时间。 这需要教育。 因此，每次有什么事情从裂缝中溜走或迟到时突然出现，这都不是“不”，对吧？ 不是“算了，你搞砸了。” 这是关于确定这个过程中出现了什么问题并修复它，对吗？

莫妮卡： 正确的。 肯定要改变管理方式，并就哪些方面效果不佳以及哪些方面效果良好进行对话。 我认为你刚才提到的关键之一是它并不总是“否”。 问题在于我们如何共同努力找出什么是正确的、什么最符合 CHOP 的最佳利益、什么是基于风险的方法以及基于该方法我们的选择是什么。

我认为，信息安全被视为无部门，而我们确实不是。 我们实际上只是关注风险并确定，“好吧，这就是我们评估这些风险的方式”，然后帮助企业了解评估结果以及一些选项是什么，具体取决于这些风险是什么。 这绝对是方法的改变和观念的改变，引导这艘船走向“我们是这方面的合作伙伴”。 我们是组织的领导者，不仅仅是安全、不仅仅是技术、不仅仅是临床，我们是 CHOP 的领导者。

安东尼： 您提到了“基于风险的方法”一词，请告诉我您所说的意思。

莫妮卡： 当然。 我们所做的一切都是基于风险，并评估和评估解决方案是什么或不是什么，我们的选择是什么以及这些选项和解决方案固有的风险是什么，并将其评估到我们了解可能性的程度该风险是什么，影响是什么，并根据这些事实做出决定。 我们希望对这些风险、这些选择、影响做出真正深思熟虑的决策和评估，并确定企业的风险承受能力，让企业在对话中发挥积极作用，并真正参与决策。

事实上，当我们谈论做出基于风险的决策时，这是一个商业决策。 我的职责是确保所有事实都一致，无论情况如何，都概述所有风险 – 如果它是解决方案，如果它是选项 – 并让企业知道，“这就是我们面临这些风险的情况”事实，这是您必须前进的选项，让他们根据业务需求做出决定，并让基于风险的方法告知他们的业务决策。

安东尼： 通常在此类讨论中，我们通常讨论的是用户请求的应用程序吗？ 这是我们的想法还是您也在考虑其他事情？

莫妮卡： 它真的可以是任何东西。 它可能是软件。 这可能是数据的使用。 它可能正在实施一个新的解决方案。 这可能是他们想要实现的人工智能类型的学习模块。 CHOP 业务的不同用例中可能会出现数百种情况。

人们在消费市场上看到很多工具，他们想将其引入内部。 我不断接到电话，“我们可以这样做吗？”当我们评估它时，我们不仅要评估工具，还要评估供应商和供应商概况； 这导致了第三方风险管理。

引入可能访问网络、数据的第三方存在很多风险，这些数据可能是员工数据、医疗保健数据、学生数据、CHOP 拥有的任何数据、研究数据。 对其进行评估很重要。 我不一定要陷入第三方风险兔子洞，但我们需要确保考虑一些事情，这不仅仅是一个领域，而是我们需要评估作为解决方案的多个风险领域被要求并随着请求的到来。

安东尼： 那是很棒的东西。 您提到了几种不同类型的场景，您希望分配一个风险级别，并将其传达给业务部门。 当你列出这些内容时，我开始认为我完全可以看到许多场景，他们不涉及 IT 安全，他们说，‘好吧，我不知道这个特定的事情，我什至不知道我需要来找你，所以很抱歉。

莫妮卡： 正确的。 因此，我们在数字和技术服务中遵循一些流程，其中有新解决方案、新软件、新硬件、当前系统中的新集成点的入职流程。 关于如何提交新项目或新实施，CHOP 有一个广为人知的正式流程。

总会有一些人们说他们不知道的事情，这就是合作伙伴关系的切入点——确保我出去与我的同​​事交谈，进行路演，信息安全路演，并且真正只是进行讨论风险是什么、我们寻找什么、个人可以做什么、他们的个人责任，其中一部分是了解 CHOP 中真正标准的政策和程序。

安东尼： 正确的。 因此，您收到请求，您会查看它并为其分配一些风险级别。 我确信我过于简单化了，但是像红色、黄色、绿色这样的东西。 请带我了解一下它是如何工作的。

莫妮卡： 这完全取决于风险是什么。 让我们以软件供应商为例。 我们让一名员工提交了请求，“我想使用这个。” 我们审查供应商，供应商需要有一定的数据点和信息安全保护，以便我们能够与供应商合作，与供应商概况、供应商的风险概况以及第三方风险有关管理层，评估该供应商并确保其没问题。

那时，供应商正在其公司内部提供某些保护措施和详细信息，说明他们如何处理信息安全、防御层和保护措施。 正如你提到的，有些人是绿色的，他们做的一切都是正确的。 他们对数据进行加密，并采用不同的保护层，我们可以在其中签字，‘是的，这看起来很棒。 该供应商的个人资料似乎很准确。 实际上，我们使用第三方服务进行部分分析，以确保我们对该供应商及其保护级别进行客观审查。

有时，供应商会在存在与事物相关的风险的情况下回来。 也许他们没有在应用程序中使用多重身份验证。 这对我们来说实际上是一个危险信号。 就是：你要么解决这个问题，要么我们就不让你上船。 这是一个很难停下来的地方。 类似这样的事情，我需要与业务部门和业务同事合作说，‘好吧，这个供应商回来了。 它说他们没有这种保护，”我们将使用多因素作为例子。

该业务合作伙伴和我通常会合作与供应商进行对话，或者我的团队会与供应商进行对话，内容涉及“好吧，他们可以在什么时间之前将其纳入路线图”，并与供应商进行真正的对话。 加入 CHOP（没有 MFA）是很难的，但我们确实尝试与供应商合作，看看我们如何才能实现这一目标，他们是否可以与我们合作，在几个月的时间内简化实施，以便为我们服务能够与他们一起工作。

安东尼： 里面有很多好东西。 我只想谈谈您提出的几点。 您提到您使用第三方服务进行某些分析，这很有意义。

前几天我采访了一位 CISO，她说她非常沮丧、不高兴、不满意，对当前的问卷动态不满意。 她认为这毫无用处，做了很多工作却没有带来太多的舒适感，也没有提供太多的信心。 她说一定有更好的办法。 你已经有了这个第三方，这听起来像是比仅仅信任更好的方法之一，对吧？ 请告诉我一些相关情况。

莫妮卡： 正确的。 所有这些，它只涵盖了我们进行风险分析并收回调查问卷的一个时间点。 （我们仍然进行基于问卷的风险评估。） 这是安全姿态和供应商反馈的一个时间点。 第三方帮助我们协调所有这些数据点，团队不一定需要通过调查问卷和交叉检查。

是的，我同意，应该有更好的方法。 但风险如此之高，我们必须做点什么。 使用该供应商帮助我们简化流程，我们不仅在合同开始时进行风险评估，还在合同中期进行风险评估。 我们正在完善在整个合同生命周期中评估供应商的流程，使其成为一个持续的流程，而不是一次性的，特别是正如我刚才提到的，当您收到风险评估和数据时，这实际上是一个时间点，因为今天的。

因此，我们确实希望确保，特别是对于我们的核心供应商和关键平台，我们正在合同中途评估风险和供应商的风险状况，并进行交叉检查，以确保我们不仅仅是等到三年后。

此外，我们希望确保，如果出现问题，我们正在与供应商合作并进行补救，这也是这家第三方公司提供帮助的事情。 使用第三方帮助进行这些评估的好处之一是，如果他们确实在供应商档案中标记了某些内容，他们将与供应商合作帮助修复它 – 并至少四分卫修复 – 以便 CHOP 信息安全团队不必这样做。

安东尼： 非常好。 关于我们所讨论的内容，关于交付给业务用户的风险评估以及您为多因素身份验证提供的示例，您说，基本上“这没有发生”。 “我们不这样做。” 在这种情况下，IT 安全部门回过头来说，“与目前的情况不同，现在这是您的选择”，或者“我们可以与他们交谈，但就目前的情况而言，这是不行的”。

在某些情况下会发生这种情况，我想在某些情况下，“好吧，这是我们风险评估的结果”，假设这是中等风险，“你决定，”对吧？ 我们没有做出决定，因为情况还不够糟糕，我们绝对会坚定不移地致力于 IT 安全。 这还不够糟糕。 但这里存在一些风险，所以你自己决定。 那有意义吗？

莫妮卡： 如果我们不再讨论多因素话题，对吧，您只是在谈论一般风险？

安东尼： 是的，是的，完全正确。 我们正在摆脱我们所说的危险信号、大问题的多因素。

莫妮卡： 好的。

安东尼： 现在，我们的总体报告是中等风险。

莫妮卡： 作为值得信赖的顾问，我的部分职责是提供所有事实和风险，并与企业就风险是什么、他们的选择是什么进行对话，并真正让他们根据自己的业务做出决定需要。 我和我的同事之间就风险和他们的选择进行了很多对话，并根据业务需求确定他们需要采取什么方式，这就是我的角色 – 确保我正在评估风险，因为作为 CHOP 领导者，我正在与他们、我的同事合作，了解他们需要做什么以及业务需求是什么，并真正提供和展示围绕他们可以做什么的所有事实选项，而这不仅仅是一个 -双方选择方法，我只是想确保这一点很清楚。

当我们考虑选择时，是从商业角度、法律角度。 可能是从供应链的角度来看。 有一个多学科团队提出这些建议。

安东尼： 是的，它也可能是临床的。

莫妮卡： 绝对地。

安东尼： 超级临床应用程序，他们说，“好吧，莫妮克，只有这家公司，他们很棒，他们做了一件非常独特的事情。” 好吧，也许我们会接受更多的风险。 然而，如果你可以回来说或者一起，你会发现风险有点高，而且还有其他三个供应商也在做同样的事情，所以也许我们会看看他们，对吗？ 这些都是你要考虑的事情。

莫妮卡： 正确的。 有时我们会与供应商交谈，看看我们如何合作。 如果 CHOP 需要的应用程序中没有包含某些内容，我们如何合作？时间表是什么？他们是否愿意与我们合作？ 如果他们没有，好吧，让我们与多学科团队一起研究我们还有哪些其他选择。 因为这不仅仅是一个信息安全决策。

安东尼： 是的，非常好。 让我们谈谈其他一些事情。 在 CHOP 工作了 14 年，在那里度过了很长一段时间。 前几天我与一位 CIO 进行了交谈，我与他非常友好。 他说 CISO 的角色是最难的一个。 压力很大。

莫妮卡： 正确的。 它的范围和规模很大，压力也很大。 我的建议是， 依靠你的团队。 培养一支值得您真正信任的团队。 我一直说，是的，有些事情让我彻夜难眠，但帮助我入睡的是我的敬业团队 或 CHOP 的专业团队。 我几周前刚刚去度假，不必担心，因为团队很强大，他们致力于 CHOP，也致力于捍卫 CHOP。 我认为首先也是最重要的是依靠你的团队，因为你们都在保护 CHOP 并互相保护并确保平衡。

第二件事是要保持平衡，要有出口并能够断开连接。 重要的是要知道你可以断开连接，并且当你回来时工作仍然会在那里。 我向我的团队提到的一件事是，我相信如果他们需要我，他们会打电话给我。 否则，我会享受我的假期，并在回来时精神焕发，因为对我来说，为球队恢复精神也同样重要。

然后，工作与生活的平衡绝对是关键，人们会谈论它。 但我不确定是否有很多人都经历过这种情况。 但这是为了确保你不会一直在工作，我会认真审视自己的工作时间，当我开机时、当我查看电子邮件时，以及在某些时候真正断开连接时，当我可以断开连接时，我会做一些事情。从个人角度来说我喜欢的东西。 我认为即使在白天这也非常重要。 我确实工作很多，因为安全不会停止。 这几乎是一项 24×7 的工作。 如果我白天可以做一些事情，特别是如果我在清晨或深夜工作，我会确保以这种方式平衡我的工作量。

安东尼： 是的，那是很棒的东西。 前几天我采访了一位首席信息安全官，他谈到拥有一个爱好至关重要，它会以不同的方式占据你的注意力。

莫妮卡： 正确的。 你需要一个地方让你的思绪集中，这样你就不会一直100%专注于工作。

安东尼： 你还在游泳吗？ 我听说你是游泳健将。

莫妮卡： 我还在游泳，这绝对让我忙碌起来。 我不能在泳池里随身携带手机，这样有助于我平衡工作与生活（笑）。 我经常在新泽西州和费城地区的当地游泳池游泳，这是我百分百保持工作与生活平衡的事情。

安东尼： 你能保证在跑步时不会考虑网络安全吗？

莫妮卡： 我绝对不这么认为（笑）。 光是想想呼吸就已经很困难了，更不用说其他事情了。 这绝对是我能够脱离并真正冥想的东西。

安东尼： 太棒了，莫妮克。 那太完美了。 我非常感谢您今天抽出时间。 我认为人们会喜欢这个。 谢谢。

莫妮卡： 感谢您抽出时间，安东尼。 很高兴来到这里。