Управление, партнерство с поставщиками и рамки: лидеры разделяют формулу облачной безопасности

В последние годы отношение к облачным вычислениям в здравоохранении сильно изменилось. То, к чему когда-то относились со здоровой долей скептицизма, теперь получает широкое распространение. Фактически, по мере того, как организации все глубже погружаются в цифровую трансформацию, роль облачных сервисов становится все более важной. «Эти решения играют решающую роль в определении того, насколько быстро мы сможем адаптировать, преуспеть и ускорить наши цифровые стратегии», — сказал Санджив Сах, директор по информационным технологиям в Centura Health, в отчете. панельная дискуссия.

Конечно, это сопряжено со значительными рисками, а это означает, что руководители должны «испытывать повышенное доверие и уверенность в эффективности, безопасности и отказоустойчивости сервиса», добавил он. «Необходим продуманный и программный подход».

И он должен охватывать все основы, включая выбор правильного поставщика, использование таких стандартов, как HITRUST, обеспечение надлежащих мер безопасности и контроля и формирование надежной стратегии управления.

Во время вебинара он и соучастники дискуссии Майкл Карр (ИТ-директор, Health First) и Энди Гилберт (директор по доходам, ClearDATA) поделились своими взглядами на свои собственные подходы к облачной безопасности.

Управление: «Открытые беседы»

Во-первых, это структура управления, которая должна облегчать партнерские отношения между безопасностью и бизнесом, позволяя первому «предоставлять информацию, советы и архитектурные решения и стандарты, которые помогают формировать общее принятие решений». А это означает открытое обсуждение того, как представленная идея может вписаться в архитектуру и какие соображения безопасности необходимо принять во внимание.

По словам Сах, имея возможность вносить свой вклад, группы информационной безопасности могут «направлять наших деловых партнеров и коллег» таким образом, чтобы добиться положительных результатов с точки зрения стабильности и отказоустойчивости.

Сделав еще один шаг, Карр посоветовал привлечь инженеров, технологов и специалистов по безопасности к процессу планирования с поставщиками. Таким образом, они могут помочь «влиять на дорожную карту, чтобы убедиться, что при создании новых функций и возможностей они не забывают об аспекте безопасности», — отметил он. И «чем раньше вы примете участие, тем лучше».

Партнерство с поставщиками: красные флажки и проверки

Однако для этого требуется прочное партнерство с поставщиками, по мнению участников дискуссии, которые дали рекомендации о том, чего ожидать и где провести черту.

• Проявите должную осмотрительность. На рынке нет недостатка в облачных продуктах. Итак, в процессе проверки руководители должны спросить: «Это действительно облачное решение или вы размещаете его в чьем-то другом центре обработки данных?» по словам Карра. Следующий вопрос касается уровня безопасности, который продавцы могут переоценить. «Просто переход в облако по своей сути не делает его более или менее безопасным». Важно понимать, какой тип услуги предлагается и как она работает по сравнению с локальными решениями.
• Совместная ответственность. По его словам, с самого начала лидеры должны установить общую ответственность с поставщиками, когда речь идет о защите активов. «Когда они управляют этим, люди иногда склонны говорить: «Ну, это принадлежит поставщику». Нет. Мы по-прежнему несем ответственность, даже если этим занимается поставщик. Нам еще предстоит их оценить».
• Докажите это. То же самое относится и к аудиту, отметил Карр, добавив, что поставщики иногда не в состоянии восполнить пробелы. «Вот где многие из них борются», сказал он. «Здорово, что у вас есть сертификация, но покажите мне, что у вас есть эти элементы управления». Сах согласился, отметив, что он также видел, как поставщики «борются за то, чтобы оправдать ожидания», когда дело доходит до аудита.
• Тестирование, тестирование, тестирование. Еще один тревожный сигнал — когда поставщики описывают наличие отказоустойчивой архитектуры с географически разнесенными центрами обработки данных и полной средой аварийного восстановления, но не тестировали ее, отметил Карр. «У вас может быть один, но он неэффективен, если вы не можете доказать, что он действительно работает». Сах сравнил это с наличием плана инцидента и реагирования, но никогда не проводил кабинетных учений, которые мало что дают в случае стихийного бедствия. «Если он у вас есть, пожалуйста, используйте его», — предупредил он. «Если нет, соберите один и проведите упражнение. Это будет огромным преимуществом, когда вам это понадобится».
• Регулярные проверки. Благодаря многолетнему опыту работы на стороне поставщика Гилберт обнаружил, что одним из компонентов, который больше всего ценят ИТ-директора и директора по информационной безопасности, является «регулярная работа с ними, будь то ежемесячно или ежеквартально, а также процесс постоянного анализа того, что происходит». сказал. «Они хотят видеть эту историю».

Чтобы помочь занятым клиентам, которые иногда забывают щелкнуть один или два переключателя, платформа ClearDATA автоматически выполняет некоторые исправления с точки зрения соответствия, например, если функция шифрования не была включена. Он также может использовать свою большую клиентскую базу (более 250) для сбора информации об угрозах и составления отчетов о тенденциях в отрасли, добавил он. «Мы можем сказать: «Вот три вещи, которые имели значение в прошлом месяце, и вот как мы с ними справились. Возможность представить аналитику и продемонстрировать постоянное знание того, что происходит, очень ценно для наших клиентов».

Фреймворки: «Постоянное присутствие»

Другим важным компонентом стратегии облачной безопасности является соответствие таким фреймворкам, как HITRUST, что особенно важно для организаций, которые обрабатывают конфиденциальную информацию о пациентах и ​​должны соблюдать строгие правила. Веб-сайт. С помощью своей платформы CyberHealth ClearDATA создает сопоставление отчетов с элементами управления и требованиями HIPAA и позволяет клиентам наследовать около 60 процентов требований 545.

И Сах высоко оценивает HITRUST, говоря, что «это дает нам уверенность в том, что организация способна справиться со всеми аспектами, важными с точки зрения безопасности, конфиденциальности и соответствия требованиям. По его мнению, наличие сертификата HITRUST помогает обеспечить проведение периодических оценок. «Нам необходимо постоянное присутствие мер безопасности и контроля, а также их эффективность», — отметил он, тем более что ситуация продолжает меняться. «Среда меняется. Меняются архитектуры. Меняются люди, процессы и технологии».

По словам Гилберта, в качестве дополнительного бонуса, имея внешнюю сторону, контролирующую безопасность и соответствие требованиям, руководители могут снять часть бремени с тех, кому это поручено. «Часто этим обременены разработчики приложений. Они не хотят иметь с этим дело; они хотят сосредоточиться на своей повседневной работе».

Их повседневная работа сосредоточена на создании ценности для бизнеса, поэтому важно, чтобы никто не увяз в «повседневной рутине» настолько, чтобы упускать из виду общую картину, сказал Карр. «Они продолжают получать нужные данные и анализ от инструментов обнаружения и реагирования на конечных точках, чтобы обеспечить вашу защиту от новых угроз». В то же время ИТ-директора и другие лица должны по-прежнему использовать «продуманный подход к правильному построению, выполнению и периодической проверке, чтобы убедиться, что эти вещи выполняются», а также не отставать от требований пользователей — как внутренних, так и внутренних. вне организации — и разработка аналитики. «Это лучшие практики, которые мы видим».

Может показаться, что это много, но для лидеров ИТ и безопасности это реальность.

«В конце концов, вам нужен вдумчивый, методичный процесс, который придаст вам смелости и уверенности в принятии любой новой технологии, включая облачные сервисы», — сказал Сах. «Это то, что мы все ищем».

Чтобы просмотреть архив этого вебинара — Стратегии безопасного перехода в облако (при поддержке ClearDATA) — пожалуйста кликните сюда.