Leçons Zero Trust que les organisations de santé peuvent apprendre du gouvernement fédéral

L’adoption Zero-Trust est un voyage dans le domaine de la santé

“C’est un voyage pour déterminer où nous en sommes maintenant, ce que nous avons et déterminer nos lacunes”, a déclaré Jon McKeeby, CIO pour le Centre clinique des Instituts nationaux de la santéqui n’a que 10% de ses données actuellement dans le cloud. «Nous voulons répondre aux exigences de confiance zéro tout en répondant aux besoins en matière de soins cliniques et de soins aux patients. C’est une lutte pour nous tous de répondre à ces exigences en même temps. Nous devons mettre en œuvre la confiance zéro de la bonne manière pour garantir que les systèmes répondent à ces exigences. »

McKeeby a ajouté que la confiance zéro ne devrait pas être simplement une “manœuvre de case à cocher”. Il doit s’inscrire dans la mission d’une organisation.

Pour parvenir à une adoption zéro confiance, Robert Wood, CISO pour le Centres de services Medicare et Medicaid a expliqué que CMS cherche à tirer parti d’autant de services, de capacités et d’infrastructures centralisés que possible. L’agence concentre une grande partie de ses investissements sur la technologie cloud, la plupart de ses systèmes fonctionnant dans le cloud sous une forme ou une autre.

Paul Suh, CISO pour le Institut national des allergies et des maladies infectieusesdit que son organisation commence par le pilier d’identité de confiance zéro en utilisant des outils pour déterminer qui ou quoi accède aux systèmes et aux données. Bien que l’organisation dispose de plusieurs outils de sécurité, Suh a expliqué que l’équipe de sécurité ne les avait pas suffisamment bien configurés pour tirer pleinement parti des capacités des outils.

De nombreux appareils étaient connectés au réseau au début de la pandémie, et maintenant l’organisation détermine le bon niveau de protection pour ces appareils. En plus de protéger les données, le NIAID – et à plus grande échelle, le NIH – se concentre sur la manière de partager les données avec les chercheurs, les scientifiques, les cliniciens et les administrateurs.

“Une fois que nous aurons trouvé un modèle sur la façon dont nous pouvons partager des données tout en les protégeant de la bonne manière, c’est là que la confiance zéro aura le plus grand impact”, a déclaré Suh.

DÉCOUVRIR: Pourquoi les systèmes de santé devraient commencer leurs implémentations de confiance zéro avec l’identité.

Conseils pour parvenir à un cadre de sécurité Zero-Trust

“Je n’y arriverai pas niveau 4 maturité hors de la porte. Si je peux passer du niveau 1 au niveau 2 avec quelques investissements, alors je vais mieux », a déclaré Gerald J. Caron, CIO et inspecteur général adjoint pour l’informatique à le bureau de l’inspecteur général du département américain de la santé et des services sociaux. « Nous devons faire un meilleur travail de gestion de l’efficacité plutôt que de la conformité. Pour être efficace en matière de cybersécurité, être conforme ne suffit pas. Nous devons savoir ce que nous faisons bien, où nous devons faire plus et où nous avons des lacunes.

Il a souligné l’importance de revenir à la cinq principes de confiance zéro comprendre le cadre.

“Ces piliers doivent fonctionner ensemble”, a-t-il déclaré, ajoutant que la télémétrie est essentielle pour comprendre ce qui se passe au sein du réseau d’une organisation. « Que savez-vous de cet ordinateur et le gérez-vous ? Les appareils ont différents niveaux de risque, et il est important de leur attribuer un score de risque. Avoir cette visibilité vous permet de donner les bonnes données aux bonnes personnes au bon moment.

La confiance zéro signifie vérifier en permanence les facteurs d’appareil et d’identité en temps réel pour voir si quelque chose change. Wood a expliqué que l’utilisation de la télémétrie et des scores de risque permet aux organisations de faire partie du chemin vers l’adoption de la confiance zéro. Avec les applications, les données et les appareils, les équipes de sécurité doivent déterminer quelle est l’action qui déclenche un verrouillage, une mise en quarantaine ou une rétrogradation de l’accès pour un utilisateur. Cependant, une organisation a besoin d’une voie de contrôle adéquate et d’un environnement informatique qui peut s’interfacer avec cette voie de contrôle.

LIRE LA SUITE: Découvrez comment la confiance zéro protège les données des patients contre les menaces de sécurité les plus graves.

“La télémétrie et le score de risque sont importants, mais que pouvez-vous réellement faire une fois que vous avez ce score de risque ?” Il a demandé. « Pouvez-vous codifier les déclencheurs politiques en fonction d’une échelle mobile de risque ? Si vous ne pouvez pas faire cela, vous dépensez de l’argent pour des outils avec lesquels vous ne pouvez rien faire.

Caron a recommandé aux organisations d’inclure les utilisateurs tôt dans le processus et d’examiner les implémentation zéro confiance à travers le prisme du flux de travail des utilisateurs.

“Si vous faites quelque chose de nouveau sous couvert de sécurité sans comprendre le flux de travail, ils trouveront des moyens de contourner cela pour faire le travail”, a-t-il déclaré.

Le rôle de Zero Trust dans les priorités organisationnelles

La mise en œuvre de la confiance zéro peut aider les organisations de soins de santé à atteindre d’autres priorités commerciales et cliniques. Suh a expliqué que la confiance zéro aide le NIAID à rassembler différentes couches de l’informatique, les priorités axées sur la mission, les besoins de l’entreprise et les personnes.

“C’est une excellente occasion de pousser nos équipes informatiques et nos développeurs vers Principes DevOps,” il a dit.

Atteindre la confiance zéro repose également sur la collaboration entre les départements. Wood a souligné que la confiance zéro est un plan horizontal à l’échelle de l’organisation plutôt qu’une approche verticale et cloisonnée.

“Différents silos contribuent à ce plan horizontal, et tout le monde en profite en consommant ce plan”, a-t-il ajouté.

Leave a Comment