Przejdź do głównej zawartości

Health-ISAC udostępnia przewodnik wdrażania podejścia Zero Trust dla dyrektorów ds. bezpieczeństwa informacji w służbie zdrowia

Wyzwania związane z przyjęciem modelu bezpieczeństwa opartego na zerowym zaufaniu w opiece zdrowotnej sprowadzają się do dwóch kluczowych kwestii: szybkiej ekspansji urządzeń IoT i złożoności uwierzytelniania związanej z „migracyjną naturą niektórych pracowników służby zdrowia” – zgodnie z nowa biała księga z Health-ISAC.

Link do artykułu:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Te przeszkody muszą zostać pokonane przed przejściem na model zerowego zaufania, ponieważ „wdrożenie architektury zerowego zaufania nie jest tak proste, jak udanie się do jednego dostawcy i wybranie gotowego rozwiązania”.

Jak wcześniej informowaliśmyZerowe zaufanie jest idealnym rozwiązaniem dla opieki zdrowotnej, ale większość organizacji świadczących usługi opieki zdrowotnej ma trudności z wdrożeniem go z powodu złożoności systemu i innych przeszkód.

Jednak w miarę jak Departament Zdrowia i Opieki Społecznej podejmuje dalsze kroki w zakresie interoperacyjności, która w dużym stopniu opiera się na interfejsach API, przyjęcie zasady zerowego zaufania powinno być priorytetem, aby szpitale mogły lepiej dostosować się do rozrastających się sieci.

Tożsamość jest „rdzeniem zerowego zaufania”, w tym uwierzytelnianie wieloskładnikowe, zarządzanie autoryzacją i „właściwe dostarczanie ról i atrybutów dostępu”, zauważył Health-ISAC. „Zasady dostępu muszą być tak szczegółowe, jak to możliwe, aby umożliwić jak najmniejsze uprawnienia, a wszystkie podmioty, zasoby i przepływy pracy muszą być wyraźnie uwierzytelniane i autoryzowane”.

Na przykład, zero trust zapewnia, że ​​pracownicy mają dostęp tylko do elementów potrzebnych do wykonywania wymaganych funkcji zawodowych. Model zapewnia, że ​​sieć jest segmentowana na podstawie dostępu o najmniejszych uprawnieniach, zapewniając minimalny dostęp na podstawie zasad zaufania dostosowanych do użytkownika.

Papier ma na celu wsparcie dyrektorów ds. bezpieczeństwa informacji w placówkach służby zdrowia w lepszym zrozumieniu modelu bezpieczeństwa zero-trust i zalecanego podejścia do architektury modelu w celu opracowania podejścia do cyberbezpieczeństwa skoncentrowanego na tożsamości.

Health-ISAC zauważa, że ​​przewodnik ma na celu edukację CISO na temat zerowego zaufania i jego niezbędnych podstaw, a także podstawowych zasad, typowych wyzwań dla migracji zerowego zaufania i sposobu rozpoczęcia zmiany. Przewodnik został napisany dla podmiotów o każdej wielkości i poziomie dojrzałości z nadzieją, że ci CISO zrozumieją znaczenie podejścia skoncentrowanego na tożsamości do cyberbezpieczeństwa.

Liderzy bezpieczeństwa znajdą definicja zerowego zaufania, implikacje modelu bezpieczeństwa i konkretne kroki wdrażania zerowego zaufania w środowisku opieki zdrowotnej. W artykule dodano również komponenty zerowego zaufania do Struktura Health-ISAC do zarządzania tożsamością wydany w 2020.

Struktura została zaktualizowana o koncepcje zerowego zaufania i „uwzględnia dodatkowe kontrole w celu dostarczenia podstawowych elementów architektury zerowego zaufania”, w tym standardów zabezpieczania komunikacji, monitorowania zasobów, obwodów udzielania dostępu, autoryzacji opartej na zasadach i dodawania urządzeń do systemów i zasobów docelowych.

CISO w służbie zdrowia mogą wykorzystać przewodnik, aby ocenić konkretne wyzwania, z którymi ich organizacja może się zmierzyć, próbując przyjąć model. Health-ISAC prosi również o opinie interesariuszy z branży.

„Kryteria mogą wydawać się na początku onieśmielające, ale ostatecznie doprowadzą do lepszego bezpieczeństwa organizacji w dłuższej perspektywie” – podsumowuje Health-ISAC. „Minęły czasy, gdy wpuszczano kogoś do środka, dawano mu rolę z uprawnieniami dostępu, a następnie pozwalano mu iść własną drogą”.

Health-ISAC zapewnia wskazówki dotyczące bezpieczeństwa Zero Trust dla CISO w opiece zdrowotnej
Tożsamość i Zero Trust: przewodnik Health-ISAC dla CISO