Bu yardımda net güvenlik röportajında, Sunil Seshadri, EVP ve STK’taki sağlıklılık, sağlık verileri için artan riskler ve kuruluşların önde kalmak için neler yapabileceğinden bahsediyor. Eski sistem güvenlik açıklarıyla başa çıkmak için pratik adımlarla birlikte satıcı yönetimi, sıfır güven ve yazılım tedarik zincirini güvence altına alma hakkındaki bilgiler paylaşıyor. Tavsiyesi, kuruluşların hasta bakımını bozmadan güvenliği güçlendirmesine yardımcı olur.
Tedarik zinciri saldırılarındaki artış göz önüne alındığında, sağlık kuruluşları ihlalleri önlemek için satıcı risk yönetimine nasıl yaklaşmalıdır?
Korumalı sağlık bilgileri ve diğer kişisel olarak tanımlanabilir bilgiler için sağlam siber güvenlik sağlamak, sağlık ve fayda sağlayıcıları için çok önemlidir.
Sağlıklılık bir sağlık tasarrufu hesabı (HSA) vekili ve diğer tüketiciye yönelik faydaların bir sağlık hizmeti sağlayıcısı olmayan bir sağlık tasarrufu hesabı ve yöneticisi olmakla birlikte, kuruluşların duyarlı üye verileri, satıcı risk yönetimi için teknik, risk odaklı bir yaklaşım benimsemeli, güvenlik kontrollerini sunma konusundaki işgücü ve planlama için planlama için planlama ve planlama için planlama için planlama ve planlama için planlamalı bir yaklaşım benimsemelidir. yükümlülükler, olay müdahale planlaması vb.).
Yaklaşım, satıcı segmentasyonu, erişim kontrolleri, sıfır güven ve ağ segmentasyonu, güvenli yazılım tedarik zinciri ve SBOM uyumluluğu (yazılım faturası), sözleşmeye bağlı güvenlik kontrolleri ve sürekli uyumluluk yönlerini içermelidir. Ayrıca, kilit satıcıların olay tepkisi hazırlığı için siber matkaplara katılmaları gerekmektedir.
Sağlık cisos denge güvenliğini erişilebilirlikle nasıl önerirsiniz, bu da hasta bakımını bozmadan verilerin korunmasını sağlar?
Güvenliği herhangi bir kuruluşta erişilebilirlikle dengelemek – HealthCare veya başka bir şekilde, güvenlik ekipleri için önemli bir zorluktur. Önemli bir husus, iş akışlarını engellemeden sağlam güvenlik önlemleri sağlayan risk tabanlı, üye merkezli bir yaklaşım uygulamaktır.
Bir HSA bakıcısı ve diğer tüketiciye yönelik faydaların yöneticisi olarak, yüksek riskli faaliyetler için daha güçlü güvenliği uygularken sürtünmeyi en aza indirmek için sıfır tröst modeli ve riske dayalı MFA gibi uyarlanabilir kimlik doğrulama kullanarak iş akışlarını uyarlayarak bunu başarabiliriz.
Ayrıca, phi’yi kontrol etmek ve korumak için bağlama duyarlı erişim, rol tabanlı erişim, gerçek zamanlı DLP ve tokenizasyon mekanizmaları gibi kontroller, çalışanların ham hassas kayıtları açığa çıkarmadan hassas verilere güvenli bir şekilde erişmelerine yardımcı olabilir.
Birçok sağlık hizmeti sağlayıcısı, kolayca yamalanamayan eski sistemlerle mücadele etmektedir. Güvenlik ekipleri eski altyapı ile ilişkili riskleri nasıl azaltabilir?
Yama yapmak süper önemli olsa da, modası geçmiş altyapıyı güvence altına almak için pratik, katmanlı bir yaklaşım benimsemek riskleri bir ölçüde azaltmaya yardımcı olabilir. Benim tavsiyem, güvenlik ve yazılım tanımlı çevre katmanlarını kullanarak eski sistemleri internete bakan hizmetlerden ve diğer modern uygulamalardan izole etmenin yollarını bulmak.
Web uygulaması güvenlik duvarları, iyi yapılandırıldığında, eski sistemleri hedefleyen bilinen istismarları engelleyebilir. EDR çözümleri ve AI odaklı davranışsal analizler ek bir koruma katmanı sağlayabilir. Bununla birlikte, eski sistemlerin segmentleme, sertleştirilmesi ve izlenmesi zaman satın alabilirken, eski ortamları modern bir yığınla göç etmek önemlidir.
Sağlık hizmetleri birleşmeleri ve satın almalar önemli güvenlik riskleri getirir. Bir satın almadan önce hangi siber güvenlik durum tespiti adımları zorunlu olmalıdır?
M&A işlemleri, veri ihlalleri, uyumluluk sorunları ve entegrasyon zorlukları dahil olmak üzere önemli siber güvenlik riskleri getirebilir.
Yapılandırılmış bir siber güvenlik durum tespiti süreci, ön alma öncesi protokoller sırasında ilk adımlardan biri olarak zorunlu olmalıdır. Bu, şirketin güvenlik risklerini yönetmek için politikaları, kontrolleri ve uygulamalarının ve yönetişim uygulamalarının titizliğinin kapsamlı bir değerlendirmesini içermelidir.
Teknik bir değerlendirme, sağlıklı bir güvenlik duruşu sağlamak için uygulamaların yansımalarını doğrulamalıdır. Güvenlik uygulayıcıları tarafından sistemleri ve ortamları güçlendirmek için daha fazla benimsenen bir uygulama olan edinim sonrası, “ihlali varsaymak”, yani edinilen varlığın güvenlik kontrollerini ana şirketle entegre etmeden önce kabul edilebilir bir duruma yeniden inşa etmektir.
Daha fazla sağlık kuruluşunun uygulaması gerektiğine dair küçümseyen ancak son derece etkili bir güvenlik önlemi nedir?
Herhangi bir kuruluşun uygulaması gereken önemsiz fakat son derece etkili bir güvenlik önlemi, verileri devalüe etmektir. Şirketlerde en önemli verilerdir-ister PHI, finansal veriler veya şirketlerin koruması gereken daha geniş tüketici halka açık olmayan bilgiler olsun.
Paradigmaya, güvenlik kontrollerinin hiçbir şirkette asla mükemmel olmadığına inanıyorsa, başarılı bir ihlal olduğunda verilerin yetkisiz taraflar için nasıl kullanılamaz hale getirileceğini düşünmek gerekir. Bunu yapmanın etkili bir yolu, verilerin tokenize edilmesi veya verilerin doğru anahtar yönetim uygulamalarıyla şifreleme gibi stratejileri uygulamaktır. Bu önlemleri uygulayarak, verileri bir saldırgan için kullanılamaz hale getirerek bir veri ihlalinin etkisinin en aza indirilmesini sağlayabiliriz.