Governance, Anbieterpartnerschaften und Frameworks: Führungskräfte teilen die Formel für Cloud-Sicherheit

Sanjeev Sah, Vizepräsident und CISO, Centura Health

In den letzten Jahren hat sich die Einstellung gegenüber Cloud Computing im Gesundheitswesen erheblich verändert. Was einst mit einer gesunden Portion Skepsis betrachtet wurde, wird heute weithin übernommen. Tatsächlich wird die Rolle von Cloud-Diensten immer wichtiger, je tiefer Unternehmen in die digitale Transformation eintauchen. „Diese Lösungen spielen eine entscheidende Rolle dabei, wie schnell wir unsere digitalen Strategien anpassen, übertreffen und beschleunigen können“, sagte Sanjeev Sah, CISO bei Centura Health, in einer Podiumsdiskussion.

Natürlich birgt es erhebliche Risiken, was bedeutet, dass Führungskräfte „ein erhöhtes Vertrauen in die Wirksamkeit, Sicherheit und Belastbarkeit des Dienstes haben müssen“, fügte er hinzu. „Es ist ein durchdachter und programmatischer Ansatz erforderlich.“

Und es muss alle Grundlagen abdecken, einschließlich der Auswahl des richtigen Anbieters, der Nutzung von Standards wie HITRUST, der Gewährleistung angemessener Schutzmaßnahmen und Kontrollen sowie der Entwicklung einer soliden Governance-Strategie.

Während des Webinars tauschten er und seine Co-Diskussionsteilnehmer Michael Carr (CIO, Health First) und Andy Gilbert (Chief Revenue Officer, ClearDATA) Einblicke in ihre eigenen Ansätze zur Cloud-Sicherheit.

Governance: „Offene Gespräche“

Erstens handelt es sich um die Governance-Struktur, die Partnerschaften zwischen der Sicherheits- und der Geschäftsseite erleichtern und es Ersteren ermöglichen soll, „Input, Beratung und architektonische Entscheidungen und Standards bereitzustellen, die bei der Gestaltung der gesamten Entscheidungsfindung helfen“. Und das bedeutet, offene Gespräche darüber zu führen, wie eine vorgestellte Idee in die Architektur passen könnte und welche Sicherheitsaspekte berücksichtigt werden müssen.

Durch die Möglichkeit, Beiträge zu leisten, können Informationssicherheitsteams „unsere Geschäftspartner und Kollegen auf eine Weise anleiten“, die zu positiven Ergebnissen in Bezug auf Stabilität und Belastbarkeit führt, sagte Sah.

Michael Carr, Vizepräsident und CIO, Health First

Carr ging noch einen Schritt weiter und empfahl, Ingenieure, Technologen und Sicherheitsexperten in den Planungsprozess mit Anbietern einzubeziehen. Auf diese Weise können sie dazu beitragen, „die Roadmap zu beeinflussen, um sicherzustellen, dass sie bei der Entwicklung neuer Funktionen und Fähigkeiten den Sicherheitsaspekt nicht vergessen“, bemerkte er. Und „Je früher man sich einbringt, desto besser.“

Lesen Sie auch  Tiger Woods Vermögen und Karriereeinkommen

Lieferantenpartnerschaften: Warnsignale und Check-ins

Um dies zu erreichen, bedarf es jedoch einer starken Partnerschaft mit den Anbietern, so die Diskussionsteilnehmer, die Hinweise dazu gaben, was zu erwarten ist und wo die Grenze zu ziehen ist.

  • Führen Sie Ihre Due-Diligence-Prüfung durch. Es gibt keinen Mangel an Cloud-Produkten auf dem Markt. Deshalb müssen sich Führungskräfte während des Überprüfungsprozesses fragen: „Ist es wirklich eine Cloud-Lösung oder hosten Sie sie im Rechenzentrum einer anderen Person?“ laut Carr. Die nächste Frage betrifft das Sicherheitsniveau, das Anbieter möglicherweise überbewerten. „Allein der Wechsel in die Cloud macht sie nicht zwangsläufig mehr oder weniger sicher.“ Es ist wichtig zu verstehen, welche Art von Service angeboten wird und wie er im Vergleich zu On-Prem-Lösungen funktioniert.
  • Gemeinsame Verantwortung. Führungskräfte müssten von Anfang an eine gemeinsame Verantwortung mit den Anbietern etablieren, wenn es um den Schutz von Vermögenswerten gehe, sagte er. „Wenn sie es verwalten, neigen die Leute manchmal dazu zu sagen: ‚Nun, das gehört dem Verkäufer.‘ Nein. Wir sind weiterhin verantwortlich, auch wenn der Anbieter die Verantwortung übernimmt. Wir müssen sie noch bewerten.“
  • Beweise es. Dasselbe gelte für die Prüfung, bemerkte Carr und fügte hinzu, dass Anbieter es manchmal nicht schaffen, die Lücke zu schließen. „Da haben viele von ihnen Probleme“, sagte er. „Es ist großartig, dass Sie die Zertifizierung haben, aber zeigen Sie mir, dass Sie über diese Kontrollen verfügen.“ Sah stimmte zu und bemerkte, dass er auch erlebt habe, dass Anbieter „Schwierigkeiten hätten, die Erwartungen zu erfüllen“, wenn es um Audits gehe.
  • Testen, testen, testen. Ein weiteres Warnsignal ist, wenn Anbieter beschreiben, dass sie über eine robuste Architektur verfügen – mit geografisch verteilten Rechenzentren und einer vollständigen Disaster-Recovery-Umgebung –, diese aber nicht getestet haben, bemerkte Carr. „Vielleicht haben Sie eins, aber es ist nicht effektiv, wenn Sie nicht nachweisen können, dass es tatsächlich funktioniert.“ Sah verglich es damit, dass man über einen Vorfall- und Reaktionsplan verfügt, aber nie eine Tischübung durchgeführt hat, was im Katastrophenfall wenig nützt. „Wenn Sie eines haben, üben Sie es bitte aus“, warnte er. „Wenn nicht, stellen Sie eines zusammen und führen Sie eine Übung durch. Es wird ein großer Vorteil sein, wenn Sie es brauchen.“
  • Regelmäßige Check-ins. Durch seine jahrzehntelange Erfahrung auf der Anbieterseite hat Gilbert herausgefunden, dass eine der Komponenten, die CIOs und CISOs am ​​meisten schätzen, darin besteht, „einen regelmäßigen Rhythmus zu haben, sei es monatlich oder vierteljährlich, und einen Prozess zur kontinuierlichen Überprüfung der Vorgänge zu haben“, sagt er genannt. „Sie wollen diese Geschichte sehen.“
Lesen Sie auch  Die von ICER vorgeschlagenen Änderungen an ihrem Werterahmen – Healthcare Economist

Um vielbeschäftigten Kunden zu helfen, die manchmal vergessen, einen oder zwei Schalter umzulegen, führt die Plattform von ClearDATA automatisch einige Abhilfemaßnahmen aus Compliance-Sicht durch – beispielsweise wenn die Verschlüsselungsfunktion nicht aktiviert war. Außerdem könne das Unternehmen seinen großen Kundenstamm (mehr als 250) nutzen, um Bedrohungsanalysen durchzuführen und über Branchentrends zu berichten, fügte er hinzu. „Wir können sagen: ‚Hier sind drei Dinge, die im letzten Monat wichtig waren, und hier erfahren Sie, wie wir damit umgegangen sind.‘ Für unsere Kunden ist es sehr wertvoll, Analysen präsentieren zu können und ein kontinuierliches Wissen darüber zu zeigen, was vor sich geht.“

Frameworks: „Eine ständige Präsenz“

Ein weiterer wichtiger Bestandteil der Cloud-Sicherheitsstrategie ist die Einhaltung von Frameworks wie HITRUST, was laut der Website des Unternehmens besonders wichtig für Organisationen ist, die vertrauliche Patienteninformationen verarbeiten und strenge Vorschriften einhalten müssen. Über seine CyberHealth-Plattform erstellt ClearDATA eine Berichtszuordnung zu HIPAA-Kontrollen und -Anforderungen und ermöglicht Kunden, rund 60 Prozent der 545 Anforderungen zu übernehmen.

Und Sah schätzt HITRUST sehr und sagt: „Es gibt uns die Gewissheit, dass die Organisation in der Lage ist, alle Aspekte zu bewältigen, die aus Sicherheits-, Datenschutz- und Compliance-Perspektive wichtig sind.“ Seiner Ansicht nach trägt die HITRUST-Zertifizierung dazu bei, sicherzustellen, dass regelmäßige Bewertungen stattfinden. „Wir brauchen eine kontinuierliche Präsenz von Schutzmaßnahmen und Kontrollen und deren Wirksamkeit“, bemerkte er, insbesondere da sich die Landschaft weiter verändert. „Umgebungen verändern sich. Architekturen verändern sich. Menschen, Prozesse und Technologien verändern sich.“

Andy Gilbert, Chief Revenue Officer, ClearDATA

Ein zusätzlicher Vorteil: Indem eine externe Partei die Sicherheits- und Compliance-Kontrollen überwacht, können Führungskräfte laut Gilbert diejenigen entlasten, die damit beauftragt sind. „Oftmals sind es Anwendungsentwickler, die damit zu kämpfen haben. Damit wollen sie sich nicht befassen; Sie wollen sich auf ihren Tagesjob konzentrieren.“

Lesen Sie auch  Fragen Sie den Kinderarzt: Bauen Sie eine Bindung zu Ihrem Baby auf

Ihre Hauptaufgabe besteht darin, Werte für das Unternehmen zu schaffen. Daher ist es wichtig, dass sich niemand so sehr im „Alltagstrott“ verstrickt, dass er den Blick für das große Ganze verliert, sagte Carr. „Es benötigt weiterhin die richtigen Daten und Analysen von Endpoint-Erkennungs- und Reaktionstools, um sicherzustellen, dass Sie sich vor neuen Bedrohungen schützen.“ Gleichzeitig müssen CIOs und andere weiterhin „einen durchdachten Ansatz verfolgen, um es richtig aufzubauen, auszuführen und regelmäßig zu überprüfen, um sicherzustellen, dass diese Dinge getan werden“, und gleichzeitig mit den Anforderungen der Benutzer Schritt halten – sowohl intern als auch außerhalb der Organisation – und Entwicklung von Analysen. „Das sind die Best Practices, die wir sehen.“

Es mag viel erscheinen, aber für IT- und Sicherheitsverantwortliche ist das die Realität.

„Letztendlich brauchen Sie einen durchdachten, methodischen Prozess, der Ihnen den Mut und das Vertrauen gibt, jede neue Technologie, einschließlich Cloud-Services, einzuführen“, sagte Sah. „Das ist es, wonach wir alle suchen.“

Um das Archiv dieses Webinars „Strategies to Secure Your Move to the Cloud“ (gesponsert von ClearDATA) anzuzeigen, klicken Sie bitte hier.

Aktie

Recent News

Tags
als Auf aus bei Das Dass dem den der des die ein eine einem einen Einer Fußball FÜR gegen haben hat IST MEHR MIT nach Nachricht neue nicht sich SIE sind Sport tägliche Post Und Von Vor wegen werden Wie wird Wirtschaft Würde zum zur über

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Hosted by Byohosting - Most Recommended Web Hosting - for complains, abuse, advertising contact: o f f i c e @byohosting.com

Copyright 2023 Germanic.News. All rights reserved.