El Departamento de Salud y Atención Social (DHSC) ha iniciado el proceso de contratación de un director nacional de seguridad de la información (CISO) para formar parte de la Unidad de Política Digital (DPU) de la Dirección de Transformación del NHS de Inglaterra (NHSE).
El puesto con sede en Leeds viene con un salario de £ 150,000, que es £ 5,000 por encima de la media nacional para tal puesto, según ITJobsWatch, y £ 30,000 más si se excluye Londres.
El candidato seleccionado tendrá la tarea de proporcionar “liderazgo estratégico, dirección y experiencia especializada en seguridad cibernética para DHSC y el sistema de salud y atención más amplio, que incluye el NHS local y las organizaciones de atención social para adultos, así como los organismos independientes de DHSC”.
Se encargarán de implementar una estrategia, un enfoque y procesos organizacionales para permitir el buen funcionamiento de los servicios y reducir los riesgos cibernéticos que enfrenta el NHS, que, como organismo crítico a nivel nacional de alto perfil, ve un gran volumen de incidentes diariamente, y anteriormente ha estado en el extremo receptor de algunos de los eventos cibernéticos más impactantes a nivel mundial jamás vistos, como WannaCry.
Esto incluirá el establecimiento de una estrategia, estándares y controles a nivel nacional, y la implementación de políticas y regímenes de garantía para proteger los activos, servicios y tecnologías de TI del sistema de salud y atención social. También se desempeñarán como los asesores de riesgo cibernético más importantes de DHSC y NHSE, con la posibilidad de que se agreguen responsabilidades adicionales para el gobierno de la información y la política de datos a la bandeja de entrada.
Entre los deberes anticipados de NCISO se encuentran el cumplimiento de una estrategia de tres años para la seguridad cibernética, incluida la entrega de un caso comercial completo del programa para asegurar el financiamiento, la creación y el liderazgo de una función de riesgo cibernético en todo el sistema.
Los aspectos más prácticos incluirán informes sobre el riesgo cibernético, proporcionando evaluaciones de amenazas en todo el sistema con el apoyo del Centro Nacional de Seguridad Cibernética (NCSC), estableciendo una cultura de seguridad cibernética más efectiva entre los médicos de primera línea y otros miembros del personal, y actuando como director de incidentes en el caso de un ataque cibernético importante, trabajar con el Centro de Respuesta Operacional del DHSC y socios intergubernamentales, incluidos ministros, y asistir a reuniones de emergencia de COBRA si es necesario.
Javvad Malik, principal defensor de la conciencia de seguridad en KnowBe4, dijo: “Un papel de CISO para el NHS no será un trabajo fácil dado que el patrimonio digital es extremadamente amplio, que ha evolucionado y crecido de diferentes maneras a lo largo de los años. Cualquier violación o ataque contra los sistemas del NHS tiene un impacto muy real sobre las personas, lo que se suma a un papel ya de por sí exigente y de alta presión.
“El NHS es un objetivo atractivo para muchos atacantes, desde aquellos que buscan robar datos de pacientes, delincuentes motivados por el dinero, hasta estados hostiles que desean hacer una declaración”, dijo.
“Quienquiera que asuma este rol tendrá una gran responsabilidad, no solo de comprender técnicamente el panorama e implementar controles de seguridad, sino también de construir una cultura de seguridad para que los controles de seguridad diseñados y entregados no afecten a los trabajadores de primera línea y traigan a todos. a bordo”, agregó Malik.
Erfan Shadabi, experto en seguridad cibernética de comforte AG, dijo que la industria estaba de acuerdo en que la cibernética era ahora la mayor fuente de riesgo que enfrenta cualquier organización, y que en tal entorno, las organizaciones están cada vez más obligadas a hacer más que lo mínimo para asegurar la seguridad. datos de sus usuarios, especialmente porque regulaciones como GDPR les transfieren más derechos.
“BLos líderes empresariales deben considerar los datos personales como una donación confiable, no solo como una adquisición de datos. El desafío para el futuro CISO del NHS es equilibrar el uso de datos, la seguridad y la privacidad de los datos en medidas iguales y decidir cuál podría ser la mejor postura de seguridad para el NHS”, dijo Shadabi.
“Un CISO siempre debe tener en mente el negocio. Si bien es posible que no estén capacitados en el negocio, es una habilidad necesaria para el modelado de amenazas. Después de todo, es su trabajo resaltar y comunicar el riesgo. Después de eso, depende del negocio si ese riesgo es aceptable o no”.