CISO Sicherheits-Tipps für die Verwaltung von hybrid-cloud-Bereitstellungen

Veröffentlicht am

Ganz schnell, healthcare-Anbieter haben sich aus einer tiefen Skepsis, wenn nicht gar opposition zur cloud-Bereitstellung, so etwas wie enthusiastisch umarmen. In der Tat, mit Ihren Sicherheits-Bedenken wurden ausgeräumt, die in den letzten Jahren, mehr als ein paar security-Experten drängen in Richtung cloud-ersten, wenn nicht der cloud-exklusive hosting-Strategien.

Wie dieser erhöhte Komfort hat geschoben größer exploration, viele Organisationen im Gesundheitswesen sind nun in der Auseinandersetzung mit der Dutzende, sogar Hunderte von verschiedenen cloud-Anbietern. Die meisten getan haben, yeoman Arbeit gewinnt der Reife und Zertifizierungen erforderlich, um Ihren Mut zu beweisen für die Handhabung von geschützten Gesundheitsinformationen. Aber die Herausforderungen bei der Verwaltung von multi-cloud-Implementierungen sind kaum ein Spaziergang im park.

Eine Menge von Nuancen bleiben

“Es gibt noch eine Menge von Nuancen, die in einer cloud-Umgebung. Es gibt eine Menge von Sicherheits-Einstellungen (werden müssen) richtig konfiguriert ist“, erklärt Winston Armstrong, chief information security officer des San Diego Super Computer Center.

„Es gibt definitiv einen Platz für die cloud“, sagte er. “Es gibt Kostenvorteile, es gibt eine Menge toller Funktionen und Automatisierung. Aber es gibt auch viel zu tun noch, von wem auch immer, ist die Verwaltung dieser Anwendungen, wer mit der Verwaltung der Sicherheit. Es ist nicht alles nur plug and play. Es ist eine großartige Umgebung. Sie habe nur zu setzen in die Arbeit, um es getan.“

Anahi Santiago, CISO in Wilmington, Delaware-basierten Christiana Care Health System, der weiß, dass aus Erster hand erfahren. In den letzten Jahren durch die Unternehmens-cloud-Infrastruktur gehalten hat, erweitert sich in Größe und Komplexität.

Aus einer Datenbank verwalten von Daten aus der Personalwirtschaft zu cloud-basierten desktop-apps, die aus einem Lager PHI hosting-und cloud-basierten EHR -, „wir weiter wachsen, unsere Präsenz,“ Santiago sagte.

Nische cloud-Lösungen

Außerdem, sagte Sie, “wir setzen weiterhin auf die Partnerschaft mit Organisationen, die cloud-basierte, um uns mit Nischen-Lösungen, die dazu dienen, unsere Bedürfnisse. So haben wir verschoben unser patient die Abrechnung in die cloud. Wir schauen jetzt auf cloud-Dienste zu engagieren, mit unseren Patienten aus kommunikativer Perspektive. Und eines unserer großen Projekte ist jetzt nach Umzug unser zweites Rechenzentrum in die cloud. So, dass ist eine Menge.“

Christiana Care ist noch in einer hybrid-Umgebung, da es hosts Daten vor Ort zu, aber „wir haben definitiv eine cloud-first-Strategie“, sagt Santiago. “Ich weiß nicht, ob wir jemals komplett in der cloud. Aber wir werden mehr in der cloud als auch on-premise, das ist sicher.“

Aber auch jetzt, Sie hat Ihre Arbeit ausgeschnitten für Sie, die sich mit „Hunderten“ verschiedener cloud-Anbieter zu einem bestimmten Zeitpunkt, sagte Sie.

Was ist also das Geheimnis der Jonglage nicht nur, dass die große Anzahl, sondern auch die Vielzahl der verschiedenen Anwendungen und Anbietern?

„Alles beginnt mit der Risikobeurteilung,“ Santiago angegeben ist. “Wir beteiligen Sie sich nicht mit jedem beliebigen cloud-basierten Partei, bis mein team getan hat, eine Risikoanalyse des cloud-Umgebung.

Nicht oberflächlich Bewertungen

Und diese sind nicht die oberflächlichen Angelegenheiten, sagte Sie.

„Was das bedeutet ist, dass Sie einen Blick auf die Art der Informationen, die gespeichert wird in der cloud, die Kritikalität aus Sicht der Unternehmen, dass diese cloud-service jederzeit verfügbar sein und den gesamten workflow, dass unsere Betreuerinnen sind gehen nutzen in der cloud,“ Santiago erklärt.

“Und dann ist mein team erreicht. Sie machen den typischen Fragebogen, Fragen Sie für ein SOC2 Typ II Berichts – und was wirklich wichtig ist, dass wir verlangen einen Bericht für die spezifische Instanz der Anbieter die cloud-Umgebung“, sagte Sie. “Die cloud ist eine gemeinsame Verantwortung-Modell. Und so müssen wir SOC2 Typ II, die für diesen Kreditor die Konfiguration und die Instanz der cloud, so dass wir wissen, dass Sie Schritte unternommen haben, um Ihrer Umwelt.“

Während eine „große“ must-have von Christiana Care-Sicht „eine Menge Zeit, es überrascht Verkäufer zu bitten,“ Santiago sagte. „Das kann ein deal-breaker, je nach Kritikalität der Daten.“

Nächste Schritte: Prüfung der Sicherheits-Kontrollen

Santiago ist auch erforderlich, dass weitere Schritte unternommen werden, wie die Sicherstellung der Anbieter wird zu “authentifizieren Sie sich, um unsere SML-Umgebungen, um unsere Identität zu speichern, so dass wir nicht verwalten, wissen Sie, 100 verschiedene identity-und access-management-Geschäfte. Wir wollen, dass alles in über unsere-Authentifizierung.“

Darüber hinaus: „wir benötigen eine sehr lange Liste von hosting-security-Bedingungen, die Sie dafür zur Rechenschaft ziehen, um sicherzustellen, dass Sie haben ein Risiko-management-Programm, ein Sicherheits-und awareness-Programm, dass unsere Daten in den Vereinigten Staaten bleiben und dass wir wissen, es ist zu erreichen von der Küste.“

Im Grunde, es sind alle gemeint, um zu gewährleisten, dass „wir wissen, aus einer Risiko-Perspektive, dass wir haben, eine Entscheidung Punkt gibt es in Bezug auf das, was wir nicht zulassen“, fügte Sie hinzu.

“Alles aus machen Sie sicher, dass Sie tun, vulnerability scans, penetration testing, ein Recht auf audit – der Weg nach unten zum kriminellen hintergrund-Kontrollen. Es ist eine umfangreiche Liste von Sicherheits-Anforderungen. Und dann verlangen wir auch von Ihnen, um uns mit irgendeiner Art zu melden, wieder auf Ihre eigenen Vorfälle auf einer jährlichen basis – und, je nach Schweregrad, eine Bescheinigung darüber, dass Sie getan haben, eine Schwachstellenanalyse und eine Bescheinigung, dass Sie getan hatte, eine failover-oder disaster recovery-übung.“

Was ist vor Ort?

It ‚ s all about „dafür, dass wir verstehen, was die Sicherheitskontrollen, die Sie haben und was Ihre due-diligence-Prüfungen, um uns ein Komfort-Niveau, dass Sie die Einhaltung unserer Sicherheitsstandards“ Santiago erklärt.

Die gute Nachricht ist, dass mehr und mehr cloud-Anbieter sind bis zu der Aufgabe, sagte Sie. “Sie haben immer viel besser. Wenn ich hier begannen vor vier Jahren, in denen ein SOC-2 Type II-Bericht über das eigene Instanz, eine Menge Leute überrascht. Aber jetzt bekommen wir viel mehr. Wir sind auch immer mehr Leute, dass wird so weit gehen, wie man HITRUST-Zertifizierung oder ISO-Zertifizierung, die sicherlich gibt uns eine weit größere Komfort, dass Sie die Priorisierung von Sicherheit.“

Selbst wenn der Verkäufer macht alles richtig, jedoch eine multi-cloud-Bereitstellungen nicht optimal funktionieren, wenn der Anbieter die eigenen Mitarbeiter nicht zu den neuen Anforderungen der Betrieb in einer meist remote-hosted-Umgebung.

„Die wirklich wichtige Lektion, die wir lernten, als wir zum ersten mal wirklich schauen, bewegen sich unsere Infrastruktur in der cloud ist, wie unterschiedlich die verschiedenen skill-sets sind aus Sicht der Sicherheit und auch einer Infrastruktur-Perspektive, wenn man die Dinge in der cloud, im Gegensatz zu, wenn Sie Sie zu tun in dem Daten-center,“ Santiago sagte.

Verlangsamen, um besser vorbereiten zu können

„Wir haben verlangsamt einige Projekte in der Vergangenheit – ein Projekt, das war ja vielleicht ein paar Monate länger gedauert hat aufgrund der Tatsache, dass wir hatten, um wirklich einen Schritt zurück, re-erziehen uns selbst, exklusiven unsere Mitarbeiter, Einstellung unterschiedliche Berater, die wissen, dass die Wolke, so dass wir uns vorwärts bewegen können, tun es auch aus Sicht der Sicherheit“, sagte Sie. „Und ich denke, dass ich denke, wir waren überrascht, wie unterschiedlich die verschiedenen skill-sets sind wirklich notwendig sind, um eine Funktion in der cloud.“

Verwaltung einer komplexen multi-cloud-Umgebung ist eine gemeinsame Verantwortung-Modell, Santiago Hinzugefügt, und Organisationen im Gesundheitswesen haben auf schauen Sie genau auf Ihre Prozesse, um sicherzustellen, dass Sie die richtigen Schritte zur Bewältigung der sich schnell ändernden Natur von cloud-Anwendungen.

„Eines der Dinge, die wir jetzt sehen, ist change-management,“ Schloss Sie. “Die cloud ändert sich fast täglich. Und Sie fallen in der Liebe mit allen der Marke neue features und Funktionen. Aber das kann auch geöffnet werden, bis das Risiko. Und ich denke, es ist wirklich wichtig, um sicherzustellen, dass Sie haben eine wirklich starke change-management-Programm, zusammen mit einer Risiko-management-Programm, das hält eine Organisation reglementiert darüber, wie man sich all die verschiedenen Funktionalitäten in der cloud – so sind Sie nicht die Einführung von übermäßigen Risiken für das wohl von einem glänzenden neuen Stück Funktionalität.“

Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist eine Publikation der HIMSS Medien.

Zusammenhängende Posts:
  1. Ursache von Knochenschwund im Gelenk-Implantat-Patienten aufgedeckt neue Studie: Entdeckung des Immunsystems die Rolle kann helfen, zu verhindern Schmerzen, müssen für die neue Chirurgie
  2. Neue Kombination von Medikamenten zeigt Versprechen für die gemeinsame pediatric brain tumor: Everolimus, carboplatin zusammen langsamen low-grade-glioma tumor-Wachstums, die Verringerung der Größe des Tumors
  3. Ein solarium für die Hennen? So erhöhen Sie die vitamin-D-Gehalt von Eiern
  4. Die menschliche Bauchspeicheldrüse, die auf einem chip eröffnet neue Möglichkeiten für das studieren von Krankheit: Organoids gewachsen in mikrofluidischen Gerät kann helfen, die cf-Patienten mit diabetes
  5. Die wachsende Tendenz von Tieren zur emotionalen Unterstützung: Forscher schlagen standard Bewertung für Zertifizierungen