Wichtige Sicherheits-Tipps für Anbieter CIOs mit öffentlichen clouds

Wichtige Sicherheits-Tipps für Anbieter CIOs mit öffentlichen clouds

2019-08-16

Healthcare-Anbieter sind Organisationen, die jenseits der ersten Sicherheits-ängste, wenn es um bewegliche Systeme und Daten in eine public cloud. Es gibt jetzt ein Komfort-Niveau, das war einfach nicht dort noch vor ein paar Jahren.

Aber im Gesundheitswesen CIOs und CISOs noch durchaus bereit, wenn es um die Verwendung einer public cloud. Während öffentliche cloud-Betreiber genommen haben außergewöhnliche Maßnahmen, wenn es um Sicherheit geht, Krankenhäuser und die Gesundheitssysteme haben noch einen job zu tun, auf Ihrer Seite, wenn es darum geht zu gewährleisten, dass Ihre Systeme und Daten geschützt sind.

Hier zwei Anbieter im Gesundheitswesen CIOs und stellvertretender KKV bieten Ihre kompetente Anleitung zur Arbeit mit öffentlichen clouds, basierend auf Ihren Erfahrungen mit diesen immer hilfreich technologischen Werkzeuge.

Fünf Faktoren-Taste, bis

Die cloud hat sich zu dem Punkt, wo es hat eine gewisse „sexy“ Qualität, weil es bewiesen hat, attraktiv für Zuverlässigkeit, Skalierung, performance und ein großer Favorit – Kosteneinsparungen.

John Fowler, der stellvertretende information security officer bei Henry Ford Health System in Detroit, darauf hingewiesen, dass bei der Betrachtung der Bereitstellung von Systemen und/oder Daten, die auf einer public cloud CIOs sollten prüfen, fünf Faktoren.

„Zunächst ist zu lernen,“ Fowler sagte. “Während it-Chefs haben auf dem Höhepunkt des Erfolgs in der IT-Karriere verfolgen, ist es Zeit, wieder zur Schule gehen. Es ist nicht so einfach als „on-premise vs. off-premise „oder“ in-house versus managed service.‘ Bestehende in der cloud sind Geschäfts-und technische Komplexität, die fundierte Kenntnisse aus der top-down.“

„Vorhandenes in die cloud-Geschäfts-und technische Komplexität, die fundierte Kenntnisse aus der top-down.“

John Fowler, Henry Ford Health System

Die Entscheidung zum Umzug in die cloud, sollten Sie nicht auf eine tolle Stunde lange Präsentation, die von einem Hersteller, fügte er hinzu. CIOs sollten top-down-Ansatz zum lernen, sagte er.

„Die Gewährleistung, sich selbst und Ihre teams haben ein umfassendes Verständnis von Infrastruktur -, security -, identity-und access -, support-Modell, Risiken, und eine Vielzahl von anderen Dingen,“ sagte er. „Gehen wir zurück in die Schule in Zusammenarbeit mit dem CISO ermöglichen eine engere Zusammenarbeit und das Verständnis zwischen operative Umsetzung einer cloud-Lösung und die notwendige Sicherheit Kontrollen, die durchgeführt werden müssen, bevor, während und nach dem launch.“

Vorsicht vor dem Riesen-Oktopus

Der zweite Faktor Fowler zitiert wird, wie er es nannte – „Tentakeln.“

„Public cloud computing hat erhebliche Reichweite in Organisation, Infrastruktur, Daten, Anwendungen und oft auch andere Organisationen außerhalb der hosting-Umgebung“, erklärte er. “Technische Architektur-Diagramme und Daten-Ströme identifizieren können hoch-Risiko-Umgebungen, die erfordern möglicherweise zusätzliche Ebenen der Steuerung und überwachung. Der CIO und CISO sollte partner und zusätzliche technische Maßnahmen und die überwachung auf jene Bereiche identifiziert, die als hoch-Risiko“.

Die Dritte ist, punktieren die „i“ und überqueren Sie die „t ‚ s“ Fowler sagte. Es ist wichtig, dass CIOs haben ein umfassendes Verständnis für die vertraglichen Verpflichtungen des cloud-hosting-Anbieter, um Sicherheit Kontrollen, forderte er.

„Oft sind Unternehmen, die unter das Missverständnis, dass der cloud-hosting-provider ist verantwortlich für die Gewährleistung der Sicherheit Kontrollen,“ Fowler angegeben. “Inmitten einer Verletzung nicht die Zeit oder Ort zu überprüfen, Sicherheits-Verpflichtungen. Ein umfassendes Verständnis der Aufgaben ist entscheidend, um sicherzustellen, dass keine Lücken vorhanden sind in der cloud-security-Kontrollen.“

CIOs müssen, befolgen Sie best practices

No. 4 auf Fowlers Liste ist, die besten Praktiken sind in der Tat am besten.

„Nach einer cloud-bezogene security-framework verringert die Wahrscheinlichkeit, dass ein Sicherheits-Fehlkonfiguration dazu führen könnte, dass system-Verstöße,“ riet er. „Die Komplexität der cloud-Umfeld werden verstärkt neue Arten von security-Kontrollen sind erforderlich, um die Lücke zwischen on-premise und off-premise-Lieferung von Infrastruktur -, Plattform-und software-services.“

Ausbildung, Einhaltung von cloud security-best-practices und gutes change-management-Prozesse weiter akklimatisieren Administratoren randlos-Umgebungen, fügte er hinzu.

Und fünftens und schließlich, Gesundheitswesen CIOs müssen verstehen, dass die Identität ist alles, Fowler hingewiesen. Vor der cloud, on-premise-perimeter wurde vorteilhaft als Netzwerk-Konnektivität wurde in der Regel erforderlich, um zu authentifizieren, den Zugang, sagte er.

„Jedoch, in einer cloud-Umgebung, Zugang zu Systemen und Daten können jederzeit und von überall auf der Welt“, erklärte er. „Die rechtzeitige Bereitstellung und Entfernung von Benutzerkonten und die nach der Regel der geringsten Rechte sind grundlegende hygiene-Kontrollen, die gehen einen langen, langen Weg.“

Bringen in Dritte-Partei-security-Hersteller

Joe Fisne, associate CIO bei Geisinger Health System in Danville, Pennsylvania, hat Erfahrung in der Arbeit in einer öffentlichen cloud-Umgebung, und er sagte, es gibt viele überlegungen für CIOs Sprung in die cloud.

„Es gibt verschiedene Elemente, die Sie berücksichtigen sollten,“ riet er. “Wir engagieren Drittanbieter für die Einhaltung der Zertifizierungen für HIPAA und HITrust, um sicherzustellen, dass wir treffen auf die volle Absicht Sicherheit. Wir auch genutzt third-party-Lösungen für virtual private network und transport layer security, die hatte genug Erfahrung mit arbeiten an der öffentlichen cloud, um sicherzustellen, die Verbindung sicher ist.“

Auch vom Standpunkt der Sicherheit, der Verwaltung von Konten in active directory in der cloud ist Voraussetzung für eine nahtlose integration, Fisne Hinzugefügt.

„Wir hatten zu verhärten unsere test-Umgebung und Durchführung der Validierung prüft auf der test-Umgebung, bevor Sie vollständig auf die cloud, mit deren Hilfe wir garantieren, dass wir hatten eine sichere cloud zu übertragen alle Informationen“, sagte er. „Für eine best practice, die wir fühlen, die Sie erstellen sollten Ihre Umgebung und haben es überprüft, indem Sie Ihr cloud-Anbieter der Wahl.“

Keeping Sicherheit Kosten top of mind

Eines der ersten Anliegen berücksichtigt werden, wenn die Sicherung ein public-cloud-set-up ist die Kosten für die Sicherheits-Infrastruktur – firewalls, die ergriffen werden müssen, um Daten sicher zu bewegen zwischen Umgebungen, sagte Leonard T. „Überspringen“ Rollins, CIO bei Freeman Health System in Joplin, Missouri. Diese Geräte können sehr teuer sein und erfordern einen angemessenen Betrag von technischem know-how bereitstellen, fügte er hinzu.

„Stellen Sie sicher, dass Sie verstehen, wie Ihre Daten geschützt werden, die in einem cloud-Umfeld“, so Rollins weiter. “Sie müssen verstehen, was passiert mit Ihren Daten, wenn es in Ruhe ist. Ist es verschlüsselt ist, wie ist es komprimiert, sind es proprietäre Werkzeuge, die in irgendeiner Weise verwendet, können Sie leicht Ihre Daten abzurufen.“

Wie werden die Daten gesichert, was tool-cloud-Anbieter nutzen, er fragte weiter. Und hat der Anbieter die Daten gehostet oder sind Sie leasing von einer Drittanbieter-cloud-Anbieter“, fügte er hinzu.

„Stellen Sie sicher, dass Ihre Mitarbeiter versteht, was es bedeutet, wenn Daten in die konnte, und wie sollten Sie die Daten verwenden,“ Rollins sagte. „Stellen Sie sicher, es ist ein governance-Prozess in Ort, um zu versichern, jegliche änderungen der Daten sind dokumentiert und genehmigt durch die governance-Organisation.“

Ein weiteres best-practice Rollins sagte, dass, wenn ein Verkäufer reagiert nicht auf eine Sicherheit Risiko-und business continuity-Fragebogen, nicht mit Ihnen Geschäfte machen.

„Wenn Sie die Speicherung von Daten von einer Anwendung verwendet werden, müssen Sie Tests durchführen, um sicherzustellen, dass die Anwendung den Benutzern ein positives Erlebnis haben“, Schloss er. “Tun benchmark-tests, um zu bestimmen, wie die Benutzeroberfläche wird oder beeinflusst werden. Sie sind auf der Suche für ein „Oh, wusste ich nicht, dass die Daten in der cloud‘ – Antwort.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.

Zusammenhängende Posts:
  1. MRI cardiac stress test zeigt Versprechen bei der Identifizierung von tödlichen Herzerkrankungen: Vorhersage der Mortalität ist eine wichtige Voraussetzung für die Technologie weit verbreitet ist
  2. Verschriebene Opioide im Zusammenhang mit einer überdosierung Risiko für Familienmitglieder ohne Rezept: Fall-Kontroll-Studie findet fast Verdreifachung in überdosis Preisen für diejenigen, die auf der gleichen Krankenversicherung als person mit opioid-Rezept
  3. Aufmerksamkeit für Apotheken mit dem Oberbürgermeister vor Ort
  4. Beurteilung der Durchblutung ist der Schlüssel zur Früherkennung und Behandlung für Menschen mit Kritischer Ischämie der Extremität