Loncat ke daftar isi utama

Health-ISAC membagikan panduan implementasi zero trust untuk CISO layanan kesehatan

Tantangan dalam mengadopsi model keamanan zero trust dalam layanan kesehatan bermuara pada dua isu utama: perluasan perangkat IoT yang cepat dan kompleksitas otentikasi yang terkait dengan “sifat roaming dari beberapa pekerja layanan kesehatan,” menurut sebuah penelitian kertas putih baru dari Health-ISAC.

Tautan ke artikel:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Kendala-kendala ini harus diatasi sebelum beralih ke zero trust, karena “menerapkan arsitektur zero trust tidak semudah mendatangi satu vendor dan memilih solusi yang sudah ada.”

Seperti yang dilaporkan sebelumnya, kepercayaan nol sangat ideal untuk perawatan kesehatan, tetapi sebagian besar organisasi penyedia telah berjuang untuk melakukan lompatan tersebut karena kompleksitas sistem dan hambatan lainnya.

Namun seiring dengan Departemen Kesehatan dan Layanan Kemanusiaan yang terus membuat kemajuan dalam interoperabilitas, yang sangat bergantung pada API, adopsi tanpa kepercayaan harus menjadi prioritas agar rumah sakit dapat beradaptasi lebih baik dengan jaringan yang luas.

Identitas adalah "inti dari zero trust," termasuk autentikasi multifaktor, tata kelola otorisasi, dan "penyediaan peran dan atribut yang tepat untuk akses," catat Health-ISAC. "Aturan akses harus sedetail mungkin untuk memungkinkan hak istimewa paling rendah dan semua subjek, aset, dan alur kerja harus diautentikasi dan diotorisasi secara eksplisit."

Misalnya, zero trust memastikan bahwa karyawan hanya memiliki akses ke elemen yang dibutuhkan untuk menjalankan fungsi pekerjaan yang dibutuhkan. Model ini memastikan jaringan tersegmentasi berdasarkan akses dengan hak istimewa paling rendah, menyediakan akses minimal berdasarkan kebijakan kepercayaan yang disesuaikan dengan pengguna.

Kertas bertujuan untuk mendukung kepala petugas keamanan informasi di bidang perawatan kesehatan agar lebih memahami keamanan zero-trust dan pendekatan yang direkomendasikan terhadap arsitektur model guna membangun pendekatan yang berpusat pada identitas terhadap keamanan siber.

Health-ISAC mencatat bahwa panduan ini dirancang untuk mendidik CISO tentang zero trust dan fondasi yang dibutuhkannya, beserta prinsip dasar, tantangan umum dalam migrasi zero-trust, dan cara memulai perubahan. Panduan ini ditulis untuk entitas dari semua ukuran dan tingkat kematangan dengan harapan CISO ini akan memahami pentingnya pendekatan yang berpusat pada identitas terhadap keamanan siber.

Para pemimpin keamanan akan menemukan definisi dari kepercayaan nol, implikasi dari model keamanan, dan langkah-langkah khusus untuk menerapkan zero trust dalam lingkungan layanan kesehatan. Makalah ini juga menambahkan komponen zero trust ke dalam Kerangka ISAC Kesehatan untuk Mengelola Identitas dirilis pada tahun 2020.

Kerangka kerja tersebut telah diperbarui dengan konsep zero trust dan “menggabungkan kontrol tambahan untuk memberikan elemen inti dari arsitektur zero trust,” termasuk standar untuk mengamankan komunikasi, pemantauan aset, perimeter untuk memberikan akses, otorisasi berbasis kebijakan, dan menambahkan perangkat ke sistem dan sumber daya target.

CISO di bidang kesehatan dapat memanfaatkan panduan ini untuk menilai tantangan spesifik yang mungkin dihadapi organisasi mereka dalam upaya mengadopsi model tersebut. Health-ISAC juga meminta masukan dari para pemangku kepentingan di industri.

"Kriteria tersebut mungkin tampak menakutkan pada awalnya, tetapi pada akhirnya akan mengarah pada keamanan yang lebih baik bagi organisasi dalam jangka panjang," Health-ISAC menyimpulkan. "Sudah lewat masa-masa di mana seseorang diizinkan masuk melalui pintu depan, diberi peran dengan hak akses, lalu dibiarkan begitu saja."

Health-ISAC Memberikan Panduan Keamanan Zero Trust kepada CISO Layanan Kesehatan
Identitas dan Zero Trust: Panduan Health-ISAC untuk CISO