PAM: Gestión de acceso privilegiado en el trabajo sanitario remoto e híbrido

PAM de confianza cero para equipos de atención médica distribuidos

Para las organizaciones sanitarias, PAM es esencial por dos razones principales: ayuda a proteger sus valiosos datos y sus sistemas críticos. Pero PAM se vuelve aún más crucial para las organizaciones que cuentan con trabajadores remotos o híbridos, o que trabajan con una compleja combinación de terceros, como contratistas, proveedores de tecnología y proveedores de servicios.

Muchos trabajadores remotos o híbridos trabajan en los dispositivos del sistema de salud con toda la infraestructura de seguridad, como software antimalware, detección y respuesta extendida/de endpoints y prevención de pérdida de datos. Sin embargo, la situación es diferente cuando los trabajadores remotos o híbridos de los proveedores de servicios utilizan equipos que la organización no posee.

"No hay un perímetro real. El paradigma del castillo y el foso está muerto", afirma Burleson-Davis.

Es por eso que, en lugar de un enfoque de seguridad basado en el perímetro de la red, las organizaciones con PAM de confianza cero extienden sus límites de seguridad a las personas que acceden a sus sistemas.

“Si vamos a permitir que un trabajador remoto acceda a cualquier tipo de información confidencial, queremos que ese sistema remoto sea, a todos los efectos, parte de la organización. No debería ser un dispositivo personal o sin administrar”, afirma Monks. “La confianza cero tiene como lema que la identidad es el nuevo límite , y eso funciona bien en un entorno de trabajo remoto o híbrido”.

PAM permite a las organizaciones sanitarias obtener visibilidad y supervisar las autenticaciones y autorizaciones a nivel global, tanto in situ como remotamente. Ya sea mediante reconocimiento facial, claves de acceso o verificación de identidad, los altos niveles de autenticación de PAM garantizan la identidad del usuario.

LEER MÁS: IAM aborda los desafíos de entornos de TI cada vez más complejos.

Autenticación basada en riesgos para usuarios de atención médica

Sin embargo, la identidad del usuario por sí sola no es suficiente. Una solución PAM también considera los patrones de comportamiento habituales del usuario y determina cualquier desviación de la norma.

PAM considera una variedad de factores y riesgos para determinar si se debe conceder o denegar el acceso, como el tipo de datos a los que un usuario desea acceder, si los datos son confidenciales o no y si dicha solicitud de ese usuario es normal o no.

¿Trabaja la persona desde su oficina habitual en casa y en su horario habitual? ¿O su ubicación y horario han cambiado repentinamente? ¿Un usuario que normalmente inicia sesión en el sistema de Historia Clínica Electrónica solo una vez a la semana ha estado iniciando sesión varias veces al día?

Estas señales de riesgo indican que puede ser necesaria una autenticación adicional , como por ejemplo con una clave de acceso o con una autenticación avanzada para los usuarios que ya están conectados al sistema.

“Son muy adaptables por naturaleza”, afirma Monks sobre las soluciones PAM que aprovechan el análisis inteligente del comportamiento. “Se trata de comprender el contexto de la solicitud: desde dónde se conecta el usuario, qué tipo de acceso a los datos desea y qué tipo de dispositivo utiliza”.

Con PAM, los usuarios no tienen acceso permanente a cuentas privilegiadas. En cambio, solo pueden obtener acceso justo a tiempo y al mínimo necesario, es decir, con el mínimo privilegio necesario. Por ejemplo, un médico que trabaja desde casa para actualizar los historiales de sus pacientes necesita acceso a uno o dos sistemas, no a toda la red sanitaria.

Con la rotación de la gestión de credenciales, los usuarios acceden a sistemas privilegiados solo tras demostrar su identidad y solo por un periodo determinado. Después de ese periodo, la credencial no se puede volver a utilizar.

Pero los sistemas de salud deben aprovechar PAM sin obstaculizar el flujo de trabajo clínico ni el acceso a emergencias. «Uno de los aspectos más complejos de PAM es que las organizaciones sopesan constantemente los beneficios y la facilidad de uso desde la perspectiva del usuario con la seguridad», afirma Monks.

Las herramientas PAM con automatización e inteligencia integradas pueden detectar y responder a las señales de riesgo sin ralentizar el flujo de trabajo.

Por lo tanto, si los administradores de TI acceden a los sistemas habituales en su lugar y horario habituales, las herramientas inteligentes de PAM pueden considerar la dinámica del comportamiento y determinar que no se requiere la autenticación de tres niveles. Sin embargo, cuando las señales de riesgo cambian, las herramientas requieren automáticamente una autenticación adicional.

“Se trata de crear obstáculos cada vez mayores sin crear ningún obstáculo, a menos que sea malicioso”, dice Monks. “Se trata de crear la fricción adecuada para el escenario adecuado”.

EXPLORAR: Navegue por la gestión de identidad y acceso en la era de la IA.

Cumplimiento de HIPAA y auditabilidad en escenarios de acceso remoto

El acceso privilegiado para terceros remotos representa un riesgo significativo para el cumplimiento de la HIPAA. Al asegurar el acceso privilegiado a sistemas críticos como los historiales clínicos electrónicos (HCE), una solución PAM ayuda a garantizar el cumplimiento de la HIPAA para los sistemas de salud que trabajan con terceros remotos o híbridos, lo que reduce el riesgo y mejora la resiliencia.

"Si una organización de atención médica tiene a todos sus empleados no empleados y su historia clínica electrónica bien administrados en un sistema PAM, está en una muy buena posición", dice Burleson-Davis.

Y la auditabilidad es clave. Los procesos PAM deben ser auditables "para saber exactamente qué sucedió" cada vez que un usuario accede a un sistema privilegiado, afirma. "Necesitamos poder volver atrás y reproducirlo, para saber exactamente qué sucedió".