Ir para o conteúdo principal

Health-ISAC compartilha guia de implementação de confiança zero para CISOs de saúde

Os desafios com a adoção de um modelo de segurança de confiança zero na área da saúde resumem-se a duas questões principais: a rápida expansão dos dispositivos IoT e as complexidades de autenticação vinculadas à “natureza itinerante de alguns profissionais de saúde”, de acordo com um novo white paper da Health-ISAC.

Link para o artigo:

https://www.scmagazine.com/analysis/zero-trust/health-isac-shares-zero-trust-implementation-guide-for-healthcare-cisos

Esses obstáculos devem ser enfrentados antes de fazer a mudança para a confiança zero, pois “implementar uma arquitetura de confiança zero não é tão simples quanto ir até um fornecedor e escolher uma solução na prateleira”.

Como relatado anteriormente, a confiança zero é ideal para a área da saúde, mas a maioria das organizações prestadoras de serviços tem tido dificuldades para dar esse salto devido às complexidades do sistema e outros obstáculos.

Mas à medida que o Departamento de Saúde e Serviços Humanos continua a fazer progressos na interoperabilidade, que depende fortemente de APIs, adoção de confiança zero deve ser uma prioridade para que os hospitais possam se adaptar melhor às redes dispersas.

A identidade é o “núcleo da confiança zero”, incluindo autenticação multifatorial, governança de autorização e “o provisionamento adequado de funções e atributos para acesso”, observou o Health-ISAC. “As regras de acesso precisam ser o mais granulares possível para permitir o menor privilégio e todos os assuntos, ativos e fluxos de trabalho precisam ser explicitamente autenticados e autorizados.”

Por exemplo, a confiança zero garante que os funcionários tenham acesso somente aos elementos necessários para executar suas funções de trabalho necessárias. O modelo garante que a rede seja segmentada com base no acesso de privilégio mínimo, fornecendo acesso mínimo com base em políticas de confiança adaptadas ao usuário.

O papel tem como objetivo dar suporte aos diretores de segurança da informação na área da saúde para entender melhor a segurança de confiança zero e a abordagem recomendada para a arquitetura do modelo para construir uma abordagem centrada na identidade para a segurança cibernética.

O Health-ISAC observa que o guia foi criado para educar CISOs sobre zero trust e sua fundação necessária, juntamente com princípios básicos, desafios comuns para migrações de zero trust e como iniciar a mudança. O guia foi escrito para entidades de todos os tamanhos e níveis de maturidade, com a esperança de que esses CISOs entendam a importância de uma abordagem centrada na identidade para a segurança cibernética.

Os líderes de segurança encontrarão uma definição para confiança zero, implicações do modelo de segurança e etapas específicas para implementar a confiança zero no ambiente de saúde. O artigo também adiciona componentes de confiança zero ao Estrutura Health-ISAC para gerenciamento de identidade lançado no 2020.

A estrutura foi atualizada com conceitos de confiança zero e “incorporou controles adicionais para fornecer elementos essenciais de uma arquitetura de confiança zero”, incluindo padrões para proteger comunicações, monitoramento de ativos, perímetros para concessão de acesso, autorização baseada em políticas e adição de dispositivos para sistemas e recursos de destino.

Os CISOs de saúde podem aproveitar o guia para avaliar os desafios específicos que sua organização pode enfrentar ao tentar adotar o modelo. O Health-ISAC também está solicitando feedback das partes interessadas do setor.

“Os critérios podem parecer assustadores no início, mas acabarão levando a uma melhor segurança para as organizações a longo prazo”, concluiu Health-ISAC. “Já se foram os dias de deixar alguém entrar pela porta da frente, dar a ele uma função com privilégios de acesso e então deixá-lo seguir seu caminho alegremente.”

Health-ISAC fornece orientação de segurança Zero Trust para CISOs de saúde
Identidade e Zero Trust: Um guia Health-ISAC para CISOs